使用条件键限制对 CloudWatch 命名空间的访问 - Amazon CloudWatch
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

如果我们为英文版本指南提供翻译,那么如果存在任何冲突,将以英文版本指南为准。在提供翻译时使用机器翻译。

使用条件键限制对 CloudWatch 命名空间的访问

使用 IAM 条件键限制用户仅在指定的 CloudWatch 命名空间中发布指标。

仅允许在一个命名空间中发布

以下策略将用户限制为仅在名为 MyCustomNamespace 的命名空间中发布指标。

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Resource": "*", "Action": "cloudwatch:PutMetricData", "Condition": { "StringEquals": { "cloudwatch:namespace": "MyCustomNamespace" } } } }

排除从命名空间发布

以下策略允许用户在除 CustomNamespace2 之外的任何命名空间中发布指标。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Resource": "*", "Action": "cloudwatch:PutMetricData" }, { "Effect": "Deny", "Resource": "*", "Action": "cloudwatch:PutMetricData", "Condition": { "StringEquals": { "cloudwatch:namespace": "CustomNamespace2" } } } ] }