这就是我想要的。我有一个 IAM 用户,我想为其授予对 us-east-1 的只读访问权限,并且该用户也只读取特定 ec2 实例的指标。我有 3 个实例在 us-east-1 中运行,但我希望该用户只能访问 1 个 ec2 服务器的指标。
我写了如下政策。 它允许访问所有区域中的所有指标。我尝试将该实例 ID 放在下面的代码中,但它不起作用。
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"cloudwatch:Describe*",
"cloudwatch:Get*",
"cloudwatch:List*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
我不明白我在这里错过了什么。
简而言之,根据Cloudwatch文档,这是不可能的:
您无法使用 IAM 控制对特定 CloudWatch 数据的访问 资源。例如,您无法授予用户对 CloudWatch 的访问权限。 仅一组特定实例或特定负载均衡器的数据。 使用 IAM 授予的权限涵盖您使用的所有云资源 与云观察。
http://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/UsingIAM.html