Amazon CloudWatch 的示例 SCP - Amazon Organizations
阻止用户禁用 CloudWatch 或更改其配置
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon CloudWatch 的示例 SCP

阻止用户禁用 CloudWatch 或更改其配置

低级 CloudWatch 操作员需要监控控制面板和警报。但不得删除或更改高级人员可能设置的任何控制面板或警报。此 SCP 阻止任何受影响账户中的用户或角色运行可删除或更改您的控制面板或警报的任何 CloudWatch 命令。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "cloudwatch:DeleteAlarms",
        "cloudwatch:DeleteDashboards",
        "cloudwatch:DisableAlarmActions",
        "cloudwatch:PutDashboard",
        "cloudwatch:PutMetricAlarm",
        "cloudwatch:SetAlarmState"
      ],
      "Resource": "*"
    }
  ]
}