Menggunakan kunci syarat untuk membatasi akses pengguna Wawasan Kontributor ke grup log - Amazon CloudWatch

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan kunci syarat untuk membatasi akses pengguna Wawasan Kontributor ke grup log

Untuk membuat aturan di Wawasan Kontributor dan melihat hasilnya, pengguna harus memiliki izin cloudwatch:PutInsightRule. Secara default, pengguna dengan izin ini dapat membuat aturan Contributor Insights yang mengevaluasi grup log apa pun di CloudWatch Log dan kemudian melihat hasilnya. Hasil dapat memuat data kontributor untuk grup log tersebut.

Anda dapat membuat kebijakan IAM dengan kunci syarat untuk memberikan izin kepada pengguna untuk menulis aturan Wawasan Kontributor pada beberapa grup log sambil mencegah mereka menulis aturan untuk dan melihat data ini dari grup log lainnya.

Untuk informasi selengkapnya tentang elemen Condition dalam kebijakan IAM, silakan lihat Elemen kebijakan JSON IAM: Syarat.

Izinkan akses untuk menulis aturan dan melihat hasil hanya untuk grup log tertentu

Kebijakan berikut memungkinkan akses pengguna untuk menulis aturan dan melihat hasil untuk grup log yang diberi nama AllowedLogGroup dan semua grup log yang memiliki nama yang dimulai dengan AllowedWildCard. Ini tidak memberikan akses untuk menulis aturan atau melihat aturan hasil untuk setiap grup log lainnya.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowCertainLogGroups",
            "Effect": "Allow",
            "Action": "cloudwatch:PutInsightRule",
            "Resource": "arn:aws:cloudwatch:*:*:insight-rule/*",
            "Condition": {
                "ForAllValues:StringEqualsIgnoreCase": {
                    "cloudwatch:requestInsightRuleLogGroups": [
                        "AllowedLogGroup",
                        "AllowedWildcard*"
                    ]
                }
            }
        }
    ]
}

Tolak aturan penulisan untuk grup log tertentu, tetapi izinkan penulisan aturan untuk semua grup log lainnya

Kebijakan berikut secara eksplisit menolak akses pengguna untuk menulis aturan dan melihat hasil aturan untuk grup log yang diberi nama ExplicitlyDeniedLogGroup, tetapi memungkinkan untuk menulis aturan dan melihat hasil aturan untuk semua grup log lainnya.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowInsightRulesOnLogGroupsByDefault",
            "Effect": "Allow",
            "Action": "cloudwatch:PutInsightRule",
            "Resource": "arn:aws:cloudwatch:*:*:insight-rule/*"
          
        },
        {
            "Sid": "ExplicitDenySomeLogGroups",
            "Effect": "Deny",
            "Action": "cloudwatch:PutInsightRule",
            "Resource": "arn:aws:cloudwatch:*:*:insight-rule/*",
            "Condition": {
                "ForAllValues:StringEqualsIgnoreCase": {
                    "cloudwatch:requestInsightRuleLogGroups": [
                        "/test/alpine/ExplicitlyDeniedLogGroup"
                    ]
                }
            }
        }
    ]
}