amazon-web-services - 按区域限制 cloudwatch 访问

标签 amazon-web-services aws-sdk amazon-iam amazon-cloudwatch

I can't use a resource arn to restrict cloudwatch access .

但我可以使用条件。我可以使用条件仅允许用户在特定区域执行 cloudwatch 操作吗?我还没有看到任何使用这样的条件的示例。

最佳答案

CloudWatch 在访问控制方面非常糟糕,因为它不提供在“资源”中使用的资源或条件键。在某些时候,DescribeAlarms 操作特别是在美国区域执行,并且在通过控制台访问时导致了不必要的错误,但我在 CloudTrail 中没有看到它现在出现的情况。也许现在可以限制所有操作。

限制 cloudwatch 访问欧盟中部地区的政策声明如下:

         {
           "Sid": "CloudWatchInFrankfurtOnly",
           "Effect": "Deny",
           "NotAction": ["cloudwatch:DescribeAlarms"],
           "Resource": ["arn:aws:cloudwatch:*:*:alarm:*","arn:aws:cloudwatch::*:dashboard/*"],
           "Condition": {"StringNotEquals": {"aws:RequestedRegion": "eu-central-1"}}
         }

关于amazon-web-services - 按区域限制 cloudwatch 访问,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/45973604/

上一篇:java - 用于将 SGML 转换为 XML 的正则表达式

下一篇:Python DJANGO 错误 IndexError at/list 索引超出范围

相关文章:

php - 如何从xampp连接到网站的数据库

ios - AWS Cognito 数据集同步限制 - 每组同步超过 1mb 时会发生什么

amazon-web-services - 如何限制 IAM 用户访问(列出)特定角色和 CF 堆栈?

amazon-web-services - AWS 上的 Kubernetes 1.4 SSL 终止

amazon-web-services - `aws.cognito.signin.user.admin` 范围在 Amazon Cognito 中是什么意思?

amazon-web-services - 架构Kubernetes +微服务

php - 如何确定文件名中是否有加号 (+)?

java - 如何使用 java api 获取 AWS 帐户详细信息?不适用于 IAM 用户

amazon-web-services - 可以创建策略并共享该策略以在多个帐户之间发挥作用

amazon-web-services - IAM角色+ Boto3 + Docker容器

©2024 IT工具网  联系我们