使用条件键限制 Contributor Insights 用户对日志组的访问权限 - Amazon CloudWatch
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用条件键限制 Contributor Insights 用户对日志组的访问权限

要在 Contributor Insights 中创建规则并查看其结果,用户必须具有 cloudwatch:PutInsightRule 权限。默认情况下,具有此权限的用户可以创建 Contributor Insights 规则,该规则评估 中的任何日志组CloudWatch Logs,然后查看结果。结果可以包含这些日志组的参与者数据。

您可以使用条件键创建 IAM 策略,授予用户为某些日志组编写 Contributor Insights 规则的权限,同时阻止他们为 编写规则并从其他日志组查看此数据。

有关Condition策略中的 IAM 元素的更多信息,请参阅 IAM JSON 策略元素:条件

允许只访问写入规则和查看特定日志组的结果

以下策略允许用户访问 以写入规则和查看名为 的日志组AllowedLogGroup以及名称以 开头的所有日志组的结果AllowedWildCard。它不会授予对写入规则或查看任何其他日志组的规则结果的访问权限。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCertainLogGroups", "Effect": "Allow", "Action": "cloudwatch:PutInsightRule", "Resource": "arn:aws:cloudwatch:*:*:insight-rule/*", "Condition": { "ForAllValues:StringEqualsIgnoreCase": { "cloudwatch:requestInsightRuleLogGroups": [ "AllowedLogGroup", "AllowedWildcard*" ] } } } ] }

拒绝针对特定日志组的写入规则,但允许编写规则所有其他日志组

以下策略显式拒绝用户访问名为 的日志组的写入规则和查看规则结果ExplicitlyDeniedLogGroup,但允许写入规则和查看所有其他日志组的规则结果。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowInsightRulesOnLogGroupsByDefault", "Effect": "Allow", "Action": "cloudwatch:PutInsightRule", "Resource": "arn:aws:cloudwatch:*:*:insight-rule/*" }, { "Sid": "ExplicitDenySomeLogGroups", "Effect": "Deny", "Action": "cloudwatch:PutInsightRule", "Resource": "arn:aws:cloudwatch:*:*:insight-rule/*", "Condition": { "ForAllValues:StringEqualsIgnoreCase": { "cloudwatch:requestInsightRuleLogGroups": [ "/test/alpine/ExplicitlyDeniedLogGroup" ] } } } ] }