Utilisation de clés de condition pour limiter l'accès des utilisateurs Contributor Insights aux groupes de journaux - Amazon CloudWatch

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation de clés de condition pour limiter l'accès des utilisateurs Contributor Insights aux groupes de journaux

Pour créer une règle dans Contributor Insights et voir ses résultats, un utilisateur doit disposer de l'option autorisation cloudwatch:PutInsightRule. Par défaut, un utilisateur disposant de cette autorisation peut créer une règle Contributor Insights qui évalue n'importe quel groupe de CloudWatch journaux dans Logs, puis en voit les résultats. Les résultats peuvent contenir des données de contributeur pour ces groupes de journaux.

Vous pouvez créer des IAM politiques avec des clés de condition afin d'autoriser les utilisateurs à rédiger des règles Contributor Insights pour certains groupes de journaux tout en les empêchant d'écrire des règles pour d'autres groupes de journaux et de consulter ces données à partir d'autres groupes de journaux.

Pour plus d'informations sur l'Conditionélément dans IAM les politiques, voir Éléments IAM JSON de stratégie : Condition.

Autoriser l'accès aux règles d'écriture et afficher les résultats pour certains groupes de journaux uniquement

La politique suivante permet à l'utilisateur d'écrire des règles et d'afficher les résultats pour le groupe de journaux nommé AllowedLogGroup et tous les groupes de journaux dont le nom commence par AllowedWildCard. Il n'accorde pas l'accès aux règles d'écriture ou à l'affichage des résultats des règles pour les autres groupes de journaux.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCertainLogGroups",
            "Effect": "Allow",
            "Action": "cloudwatch:PutInsightRule",
            "Resource": "arn:aws:cloudwatch:*:*:insight-rule/*",
            "Condition": {
                "ForAllValues:StringEqualsIgnoreCase": {
                    "cloudwatch:requestInsightRuleLogGroups": [
                        "AllowedLogGroup",
                        "AllowedWildcard*"
                    ]
                }
            }
        }
    ]
}

Interdire les règles d'écriture pour des groupes de journaux spécifiques, mais autoriser l'écriture de règles pour tous les autres groupes de journaux

La politique suivante refuse explicitement à l'utilisateur l'accès pour écrire des règles et afficher les résultats des règles pour le groupe de journaux nommé ExplicitlyDeniedLogGroup, mais permet d'écrire des règles et d'afficher les résultats des règles pour tous les autres groupes de journaux.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowInsightRulesOnLogGroupsByDefault",
            "Effect": "Allow",
            "Action": "cloudwatch:PutInsightRule",
            "Resource": "arn:aws:cloudwatch:*:*:insight-rule/*"
          
        },
        {
            "Sid": "ExplicitDenySomeLogGroups",
            "Effect": "Deny",
            "Action": "cloudwatch:PutInsightRule",
            "Resource": "arn:aws:cloudwatch:*:*:insight-rule/*",
            "Condition": {
                "ForAllValues:StringEqualsIgnoreCase": {
                    "cloudwatch:requestInsightRuleLogGroups": [
                        "/test/alpine/ExplicitlyDeniedLogGroup"
                    ]
                }
            }
        }
    ]
}