条件キーを使用した CloudWatch 名前空間へのアクセスの制限
IAM 条件キーを使用して、ユーザーがメトリクスを公開する先を、指定した CloudWatch 名前空間に限定します。このセクションでは、名前空間にメトリクスを発行することをユーザーに許可または禁止する方法を示した例を紹介します。
1 つの名前空間でのみ公開を許可する
次のポリシーでは、ユーザーがメトリクスを公開する先を、MyCustomNamespace
という名前空間に限定します。
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Resource": "*", "Action": "cloudwatch:PutMetricData", "Condition": { "StringEquals": { "cloudwatch:namespace": "MyCustomNamespace" } } } }
名前空間から公開を除外する
次のポリシーでは、ユーザーがメトリクスを公開する先として、CustomNamespace2
以外のすべての名前空間を許可します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Resource": "*", "Action": "cloudwatch:PutMetricData" }, { "Effect": "Deny", "Resource": "*", "Action": "cloudwatch:PutMetricData", "Condition": { "StringEquals": { "cloudwatch:namespace": "CustomNamespace2" } } } ] }