I can't use a resource arn to restrict cloudwatch access .
但我可以使用条件。我可以使用条件仅允许用户在特定区域执行 cloudwatch 操作吗?我还没有看到任何使用这样的条件的示例。
最佳答案
CloudWatch 在访问控制方面非常糟糕,因为它不提供在“资源”中使用的资源或条件键。在某些时候,DescribeAlarms 操作特别是在美国区域执行,并且在通过控制台访问时导致了不必要的错误,但我在 CloudTrail 中没有看到它现在出现的情况。也许现在可以限制所有操作。
限制 cloudwatch 访问欧盟中部地区的政策声明如下:
{
"Sid": "CloudWatchInFrankfurtOnly",
"Effect": "Deny",
"NotAction": ["cloudwatch:DescribeAlarms"],
"Resource": ["arn:aws:cloudwatch:*:*:alarm:*","arn:aws:cloudwatch::*:dashboard/*"],
"Condition": {"StringNotEquals": {"aws:RequestedRegion": "eu-central-1"}}
}
关于amazon-web-services - 按区域限制 cloudwatch 访问,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/45973604/