我正在尝试将CloudWatch动作限制到某个VPC或资源。我能做到吗?以下是策略
{
"Sid": "AllowCloudWatchActions",
"Effect": "Allow",
"Action": [
"cloudwatch:DescribeAlarms",
"cloudwatch:GetMetricStatistics"
],
"Resource": "*"
}
我可以为此指定任何条件吗?
CloudWatch没有任何资源级权限。引用AWS文档:
CloudWatch没有任何特定的资源供您控制访问。因此,没有CloudWatch ARNs供您在IAM策略中使用。当编写策略来控制对CloudWatch操作的访问时,您可以使用*作为资源。
来源:http://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/UsingIAM.html
因此不可能创建一个将数据限制为来自某些资源(vpc等)的度量的策略
"条件"通常不适用于所请求的数据或资源(例如:你的指标)。条件适用于请求的来源,如VPC、IP地址等。
根据AWS文档,条件键可以用来限制对CloudWatch名称空间的访问。https://docs.amazonaws.cn/en_us/AmazonCloudWatch/latest/monitoring/iam-cw-condition-keys-namespace.html
实际上,我向AWS提出了限制获取CloudWatch指标的罚单,并得到确认说它适用于PutMetricData,但不适用于GetMetricData。