I can't use a resource arn to restrict cloudwatch access.Restreindre l'accès au cloudwatch par région
Mais je peux utiliser des conditions. Puis-je utiliser une condition pour autoriser uniquement les utilisateurs à effectuer des actions cloudwatch dans une région spécifique? Je n'ai vu aucun exemple d'utilisation de conditions comme celle-ci.
Oui, vous pouvez utiliser des conditions dans votre stratégie. Par exemple, la stratégie ci-dessous autorise uniquement l'accès aux actions cloudwatch dans eu-central-1.
{
"Statement": [
{ "Sid": "Stmt1338559372809",
"Action": [
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics",
"cloudwatch:DescribeAlarms"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringEquals": {
"ec2:Region": "eu-central-1"
}
}
}
]
}
Espérons que cela aidera!
Mais la région ec2 ne le laissera que interagir avec les ressources EC2, n'est-ce pas? Pourquoi utilisez-vous ec2: region? – red888
Cela ne fera pas de différence, puisque vous avez déjà donné l'accès à cloudwatch maintenant vous n'appliquez qu'un filtre pour la région. essayez-le .. si ce ne fonctionne pas laissez-moi savoir –
@ShashiBhushan l'avez * vous * l'essayer? Il y a deux problèmes apparents, ici. Premièrement, une déclaration de politique 'allow' est ** jamais ** correctement décrite comme un" filtre ". Si une politique accorde à la fois X et Y et qu'une autre politique accorde seulement Y, alors vous avez toujours X et Y. L'existence de "autoriser Y" ne nie pas implicitement X quand X est déjà autorisé. De plus, la clé contextuelle de l'état 'ec2: region' est documentée comme étant spécifique au service pour EC2 et ne devrait rien faire ici. –