Aws IAM用户对云表特定区域的权限

Question

这是我想要的。我有一个IAM用户，我希望为其提供对美国-东方-1的只读访问权，而这也只能读取特定ec2实例的指标。我有3个实例运行在我们东部-1，但我希望这个用户能够访问的指标，只有一个ec2服务器。

我已经写了如下的政策。这让我们可以访问所有地区的所有指标。我试着把这个instanceid放在下面的代码中，但是它没有起作用。

​

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "cloudwatch:Describe*",
        "cloudwatch:Get*",
        "cloudwatch:List*"
                   ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

​

我不明白我在这里错过了什么。

Answer 1

简而言之，根据Cloudwatch文档，这是不可能的：

不能使用IAM来控制对特定资源的CloudWatch数据的访问。例如，您不能只为特定的一组实例或特定的LoadBalancer授予用户对LoadBalancer数据的访问权限。使用IAM授予的权限涵盖了您在CloudWatch中使用的所有云资源。

http://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/UsingIAM.html