Мне нужно предоставить кому-то ТОЛЬКО доступ через интерфейс командной строки AWS для чтения к нашим метрикам выставления счетов CloudWatch. Я не знаю, как это сделать, поскольку у CloudWatch нет конкретных ресурсов, доступ к которым можно контролировать. Это означает, что в политике IAM нет ARN, которые можно указать, и в результате любое обозначение ресурса в политике равно «*». Дополнительную информацию об ограничениях CloudWatch ARN можно найти здесь. Я изучил использование пространства имен, но я считаю, что пространство имен "aws-portal" предназначено для консоли. Любое направление или идеи приветствуются.
С текущими ограничениями CloudWatch ARN политика IAM будет выглядеть примерно так.
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"cloudwatch:DescribeMetricData",
"cloudwatch:GetMetricData"
],
"Effect": "Allow",
"Resource": "*"
}
]
}