限制用户查看特定的金丝雀 - Amazon CloudWatch
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

限制用户查看特定的金丝雀

您可以限制用户查看金丝雀相关信息,使他们只能看到您指定金丝雀的信息。为此,请将 IAM policy 与类似以下内容的 Condition 声明配合使用,并将此策略附加到用户或 IAM 角色。

以下示例限制了用户只能查看 name-of-allowed-canary-1name-of-allowed-canary-2 相关信息。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "synthetics:DescribeCanaries",
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "synthetics:Names": [
                        "name-of-allowed-canary-1",
                        "name-of-allowed-canary-2"
                    ]
                }
            }
        }
    ]
}

CloudWatch Synthetics 支持在 synthetics:Names 数组中最多列出五个项目。

您也可以创建策略,在允许的金丝雀名称中使用 * 作为通配符,如以下示例所示:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "synthetics:DescribeCanaries",
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringLike": {
                    "synthetics:Names": [
                        "my-team-canary-*"
                    ]
                }
            }
        }
    ]
}

使用所附的这些策略之一登录的任何用户都不能使用 CloudWatch 控制台查看任何金丝雀信息。他们只能使用 DescribeCanaries API 或 describe-canaries Amazon CLI 命令,查看策略授权的金丝雀信息。