使用条件键限制告警操作 - Amazon CloudWatch
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

使用条件键限制告警操作

当 CloudWatch 告警更改状态时,它们可以执行不同的操作,例如停止和终止 EC2 实例以及执行 Systems Manager 操作。当告警变为任何状态(包括 ALARM(告警)、OK(正常)或 INSUFFICIENT_DATA(数据不足))时,可以启动这些操作。

使用 cloudwatch:AlarmActions 条件键,以允许用户创建告警,这些告警只能在告警状态发生变化时执行您指定的操作。例如,您可以允许用户创建只能执行非 EC2 操作的告警。

允许用户创建只能发送 Amazon SNS 通知或执行 Systems Manager 操作的告警

以下策略限制用户只能创建发送 Amazon SNS 通知或执行 Systems Manager 操作的告警。用户不能创建执行 EC2 操作的告警。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateAlarmsThatCanPerformOnlySNSandSSMActions",
            "Effect": "Allow",
            "Action": "cloudwatch:PutMetricAlarm",
            "Resource": "*",
            "Condition": {
                "ForAllValues:StringLike": {
                    "cloudwatch:AlarmActions": [
                        "arn:aws:sns:*",
                        "arn:aws:ssm:*"
                    ]
                }
            }
        }
    ]
}