조건 키를 사용하여 Contributor Insights 사용자의 로그 그룹 액세스 제한
Contributor Insights에서 규칙을 생성하고 그 결과를 확인하려면 사용자에게 cloudwatch:PutInsightRule
권한이 있어야 합니다. 기본적으로 이 권한이 있는 사용자는 CloudWatch Logs의 로그 그룹을 평가하는 Contributor Insights 규칙을 생성한 다음, 결과를 확인할 수 있습니다. 결과에는 해당 로그 그룹의 기여자 데이터가 포함될 수 있습니다.
조건 키를 사용해 IAM 정책을 생성하여 사용자에게 일부 로그 그룹에 대한 Contributor Insights 규칙을 쓸 수 있는 권한을 부여하는 동시에 다른 로그 그룹에 대한 규칙을 쓰고 이 데이터를 보는 것을 방지할 수 있습니다.
IAM 정책의 Condition
요소에 대한 자세한 내용은 IAM JSON 정책 요소: Condition 단원을 참조하세요.
특정 로그 그룹에 대해서만 규칙을 쓰고 결과를 볼 수 있는 액세스 권한 허용
다음 정책은 사용자에게 AllowedLogGroup
이라는 로그 그룹과 이름이 AllowedWildCard
로 시작하는 모든 로그 그룹에 대한 규칙을 쓰고 결과를 볼 수 있는 액세스 권한을 허용합니다. 다른 로그 그룹에 대한 규칙을 쓰거나 규칙 결과를 볼 수 있는 액세스 권한은 부여하지 않습니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCertainLogGroups", "Effect": "Allow", "Action": "cloudwatch:PutInsightRule", "Resource": "arn:aws:cloudwatch:*:*:insight-rule/*", "Condition": { "ForAllValues:StringEqualsIgnoreCase": { "cloudwatch:requestInsightRuleLogGroups": [ "AllowedLogGroup", "AllowedWildcard*" ] } } } ] }
특정 로그 그룹에 대한 규칙 쓰기는 거부하지만 다른 모든 로그 그룹에 대한 규칙 쓰기는 허용
다음 정책은 사용자에게 ExplicitlyDeniedLogGroup
이라는 로그 그룹에 대한 규칙 쓰기 및 규칙 결과 보기 액세스 권한을 명시적으로 거부하지만 다른 모든 로그 그룹에 대한 규칙 쓰기 및 규칙 결과 보기는 허용합니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowInsightRulesOnLogGroupsByDefault", "Effect": "Allow", "Action": "cloudwatch:PutInsightRule", "Resource": "arn:aws:cloudwatch:*:*:insight-rule/*" }, { "Sid": "ExplicitDenySomeLogGroups", "Effect": "Deny", "Action": "cloudwatch:PutInsightRule", "Resource": "arn:aws:cloudwatch:*:*:insight-rule/*", "Condition": { "ForAllValues:StringEqualsIgnoreCase": { "cloudwatch:requestInsightRuleLogGroups": [ "/test/alpine/ExplicitlyDeniedLogGroup" ] } } } ] }