11. Sécurité & Permissions : Garder les Clés du Royaume

Voici un exemple de politique pour un rôle attaché à une instance EC2 qui doit envoyer des métriques système et les logs d'une application spécifique. ```json { "Version": "2012-10-17", "Statement": [ { "Sid": "AllowAgentMetricPublishing", "Effect": "Allow", "Action": "cloudwatch:PutMetricData", "Resource": "*", "Condition": { "StringEquals": { "cloudwatch:namespace": ["CWAgent", "MonApplication/Metrics"] } } }, { "Sid": "AllowAppLogWriting", "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:PutLogEvents", "logs:DescribeLogStreams" ], "Resource": "arn:aws:logs:eu-west-1:123456789012:log-group:/mon-app/production:*" } ] } ``` **Analyse de la politique :** - La première déclaration (`AllowAgentMetricPublishing`) autorise la publication de métriques, mais **uniquement** pour les namespaces `CWAgent` (utilisé par l'agent) et `MonApplication/Metrics`. Elle n'autorise pas la publication dans d'autres namespaces. - La deuxième déclaration (`AllowAppLogWriting`) autorise l'écriture de logs, mais **uniquement** dans le groupe de logs `/mon-app/production`. L'instance ne peut pas écrire de logs dans d'autres groupes. - Le principe du moindre privilège est respecté en limitant les actions et en spécifiant précisément les ressources autorisées.