1
I can't use a resource arn to restrict cloudwatch access。按区域限制cloudwatch访问
但我可以使用条件。我是否可以使用条件仅允许用户在特定区域执行CloudWatch操作?我还没有看到使用这种条件的例子。
I can't use a resource arn to restrict cloudwatch access。按区域限制cloudwatch访问
但我可以使用条件。我是否可以使用条件仅允许用户在特定区域执行CloudWatch操作?我还没有看到使用这种条件的例子。
是的,您可以在您的政策中使用条件,例如,以下政策只允许访问eu-central-1中的cloudwatch操作。
{
"Statement": [
{ "Sid": "Stmt1338559372809",
"Action": [
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics",
"cloudwatch:DescribeAlarms"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringEquals": {
"ec2:Region": "eu-central-1"
}
}
}
]
}
希望它会帮助!
但ec2地区只会让它与EC2资源互动不是吗?你为什么使用ec2:region? – red888
它不会有什么区别,因为您现在只需为区域应用过滤器就可以访问cloudwatch。试试吧..如果不行的话让我知道 –
@ShashiBhushan did *你*试试看?这里有两个明显的问题。首先,允许策略语句**从不**正确描述为“过滤器”。如果一个政策同时授予X和Y,而另一个政策仅授予Y,那么您仍然同时拥有X和Y.当允许X时,“允许Y”的存在并不隐含地拒绝X.另外,'ec2:region'条件上下文关键字被记录为特定于EC2的服务,并且此处不应执行任何操作。 –