我可以根据资源或条件限制CloudWatch操作吗?

时间:2016-06-27 10:45:24

标签: amazon-web-services amazon-iam amazon-cloudwatch

我正在尝试将CloudWatch操作限制为某个VPC或资源。我能这样做吗?以下是政策

function createOption(ddl, text, value) {
    var opt = document.createElement('option');
    opt.value = value;
    opt.text = text;
    ddl.options.add(opt);
}

 </script>

我可以为此指定任何条件吗?

2 个答案:

答案 0 :(得分:3)

CloudWatch没有任何资源级权限。引用AWS文档:

  

CloudWatch没有任何特定资源可供您控制对其的访问权限。因此,您无法在IAM策略中使用CloudWatch ARN。在编写策略以控制对CloudWatch操作的访问时,您使用*作为资源。

来源:http://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/UsingIAM.html

因此无法创建将数据限制为某些资源(VPC等)的指标的策略

&#34;条件&#34;通常不会申请数据或所请求的资源(即您的指标)。相反,&#34;条件&#34;适用于请求的来源,例如VPC或IP地址。

答案 1 :(得分:3)

根据AWS doco,条件键可用于限制对CloudWatch名称空间的访问。 https://docs.amazonaws.cn/en_us/AmazonCloudWatch/latest/monitoring/iam-cw-condition-keys-namespace.html

实际上,我向AWS发出了一张票,以限制获取CloudWatch指标,并得到确认说它适用于PutMetricData,但不适用于GetMetricData。

相关问题
最新问题