アラームアクションを制限するための条件キーの使用
CloudWatch アラームの状態が変化すると、EC2 インスタンスの停止と終了、Systems Manager アクションの実行など、さまざまなアクションを実行できます。これらのアクションは、アラームが ALARM、OK、INSUFICIENT_DATA などの任意の状態に変更されたときに開始できます。
cloudwatch:AlarmActions
条件キーを使用して、アラームの状態が変化したときに指定したアクションを実行することしかできないアラームをユーザーが作成できるようにします。例えば、EC2 アクションではないアクションのみを実行できるアラームの作成をユーザーに許可できます。
Amazon SNS 通知を送信したり、Systems Manager のアクションを実行したりできるアラームの作成をユーザーに許可する
次のポリシーでは、ユーザーが作成できるのが、Amazon SNS 通知を送信し、Systems Manager のアクションを実行することしかできないアラームであるように制限します。ユーザーは EC2 アクションを実行するアラームを作成できません。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CreateAlarmsThatCanPerformOnlySNSandSSMActions", "Effect": "Allow", "Action": "cloudwatch:PutMetricAlarm", "Resource": "*", "Condition": { "ForAllValues:StringLike": { "cloudwatch:AlarmActions": [ "arn:aws:sns:*", "arn:aws:ssm:*" ] } } } ] }