Я пытаюсь ограничить действия CloudWatch определенным VPC или ресурсом. Я могу это сделать?. Ниже приводится политикаМогу ли я ограничить действия CloudWatch на основе ресурсов или условий?
{
"Sid": "AllowCloudWatchActions",
"Effect": "Allow",
"Action": [
"cloudwatch:DescribeAlarms",
"cloudwatch:GetMetricStatistics"
],
"Resource": "*"
}
Могу ли я указать какое-либо условие для этого?
CloudWatch не имеет разрешений на уровне ресурса. Процитировать документы AWS:
CloudWatch не имеет каких-либо конкретных ресурсов для контроля доступа. Таким образом, для использования в политике IAM не существует CCN CloudWatch. Вы используете * в качестве ресурса при написании политики для контроля доступа к действиям CloudWatch.
Источник: http://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/UsingIAM.html
Так что это не представляется возможным создать политику, которая ограничивает данные метрикам из определенных ресурсов (VPCs и т.д.)
«Условия» обычно не применяются к данных или запрашиваемого ресурса (т. е. ваших показателей). Вместо этого «Условие» относится к началу запроса, например, к VPC или IP-адресу.