这就是我想要的。我有一个IAM用户,我想让他们只读访问us-east-1,而且只读取特定ec2实例的指标。我有3个实例在us-east-1中运行,但我希望这个用户只能访问1个ec2服务器的指标。
我写了如下政策。这样可以访问所有地区的所有指标。我尝试将该instanceid放在下面的代码中,但它没有用。
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"cloudwatch:Describe*",
"cloudwatch:Get*",
"cloudwatch:List*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
我不明白我在这里缺少什么。
答案 0 :(得分:4)
简而言之,根据Cloudwatch文档:
,这是不可能的您无法使用IAM控制对特定的CloudWatch数据的访问 资源。例如,您无法授予用户访问CloudWatch的权限 仅针对特定实例集或特定LoadBalancer的数据。 使用IAM授予的权限涵盖您使用的所有云资源 使用CloudWatch。
http://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/UsingIAM.html