Usar chaves de condição para limitar o acesso a namespaces do CloudWatch
Use chaves de condição do IAM para limitar o usuário a publicar métricas somente nos namespaces do CloudWatch especificados.
Permitir a publicação em apenas um namespace
A política a seguir limita o usuário a publicar métricas somente no namespace chamado MyCustomNamespace
.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Resource": "*", "Action": "cloudwatch:PutMetricData", "Condition": { "StringEquals": { "cloudwatch:namespace": "MyCustomNamespace" } } } }
Excluir publicação de um namespace
A política a seguir permite que o usuário publique métricas em qualquer namespace, exceto para CustomNamespace2
.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Resource": "*", "Action": "cloudwatch:PutMetricData" }, { "Effect": "Deny", "Resource": "*", "Action": "cloudwatch:PutMetricData", "Condition": { "StringEquals": { "cloudwatch:namespace": "CustomNamespace2" } } } ] }