I can't use a resource arn to restrict cloudwatch access.Restreindre l'accès au cloudwatch par région
Mais je peux utiliser des conditions. Puis-je utiliser une condition pour autoriser uniquement les utilisateurs à effectuer des actions cloudwatch dans une région spécifique? Je n'ai vu aucun exemple d'utilisation de conditions comme celle-ci.
Mais la région ec2 ne le laissera que interagir avec les ressources EC2, n'est-ce pas? Pourquoi utilisez-vous ec2: region? – red888
Cela ne fera pas de différence, puisque vous avez déjà donné l'accès à cloudwatch maintenant vous n'appliquez qu'un filtre pour la région. essayez-le .. si ce ne fonctionne pas laissez-moi savoir –
@ShashiBhushan l'avez * vous * l'essayer? Il y a deux problèmes apparents, ici. Premièrement, une déclaration de politique 'allow' est ** jamais ** correctement décrite comme un" filtre ". Si une politique accorde à la fois X et Y et qu'une autre politique accorde seulement Y, alors vous avez toujours X et Y. L'existence de "autoriser Y" ne nie pas implicitement X quand X est déjà autorisé. De plus, la clé contextuelle de l'état 'ec2: region' est documentée comme étant spécifique au service pour EC2 et ne devrait rien faire ici. –