Amazon CloudWatch RUM がデータ取り込みアクセスのためのリソースベースのポリシーサポートを導入

本記事は、2025 年 3 月 3 日にAWS公式サイトの What’s New with AWS? に掲載された英語記事を自動翻訳したものです。

ニュース内容

ユーザーインタラクションを追跡することでウェブアプリケーションのパフォーマンスをリアルタイムで監視する CloudWatch RUM は、RUM へのデータ取り込みのアクセスを簡素化するリソースベースのポリシーをサポートするようになりました。リソースベースのポリシーを使用すると、RUM アプリモニターにデータを取り込むためのアクセス権を持つ Identity and Access Management (IAM) プリンシパルを指定できます。つまり、どのクライアントが RUM にデータを書き込むことができるかを指定できます。これにより、大量のデータを取り込むことも可能になり、RUM へのデータ取り込みをより細かく制御できます。

リソースベースのポリシーを使用すると、Amazon Cognito を使用して IAM ロールを引き受けたり、AWS Security Token Service (STS) を使用してセキュリティ認証情報を取得して CloudWatch RUM にデータを書き込んだりすることなく、アプリモニターへの取り込みアクセスを管理できます。これは、大量のリクエストが Cognito のクォータ制限の対象となり、RUM へのデータ取り込みが調整され、失敗する可能性がある高スループットのユースケースに役立ちます。パブリックリソースポリシーでは、このような制限は適用されません。認証されていないユーザーやクライアントを含む誰でも、CloudWatch RUM にデータを送信できます。さらに、AWS グローバル コンテキスト キーを使用してこれらのポリシーを使用し、特定の IP をブロックしたり、RUM にデータを送信するクライアントを無効にしたりできます。これらのポリシーは、AWS コンソールまたは AWS CloudFormation を使用したコードで設定できます。

これらの拡張機能は、CloudWatch RUM が利用可能なすべてのリージョンで、ユーザーに追加費用なしで利用できます。

この機能の詳細についてはドキュメントを参照するか、CloudWatch RUM のリソースベースのポリシーを設定する方法についてはユーザーガイドを参照してください。

原文

CloudWatch RUM, which provides real-time monitoring into web application performance by tracking user interactions, now supports resource based policies that simplify access for data ingestion to RUM. With resource-based policies, you can specify which Identity and Access Management (IAM) principals have access to ingest data to your RUM app monitors— effectively which clients can write data to RUM. This would also allow you to ingest data at higher volume and gives you greater control over data ingress in RUM.

Using resource based policies allows you to manage ingestion access to your app monitor without using Amazon Cognito to assume an IAM role, and AWS Security Token Service (STS) to obtain security credentials to write data to CloudWatch RUM. This is beneficial for high throughput use cases where a high volume of requests may be subject to Cognito’s quota limits leading to throttling and potentially failure in ingesting data to RUM. With a public resource policy, no such limits apply. Anyone can send data to CloudWatch RUM including unauthenticated users and clients. In addition, you can use AWS Global context keys to use these policies to block certain IPs or disable clients sending data to RUM. You can configure these policies on the AWS console or via code using AWS CloudFormation.

These enhancements are available in all regions where CloudWatch RUM is available at no additional cost to users.

See documentation to know more about the feature, or see user guide to learn how to configure resource based policies for CloudWatch RUM.

引用元：Amazon CloudWatch RUM introduces resource-based policy support for data ingestion access