Với tập lệnh giám sát CloudWatch (mon-put-instance-data.pl), có thể chỉ định tên vai trò IAM để cung cấp thông tin xác thực AWS (--aws-iam-vai trò = VALUE).
Tôi đang tạo một vai trò IAM cho mục đích này (để chạy mon-put-instance-data.pl trên một ví dụ AWS), nhưng tôi nên cấp quyền / chính sách nào cho vai trò này ??
Cảm ơn sự giúp đỡ của bạn
Câu trả lời:
Các Amazon CloudWatch Giám sát Scripts cho Linux được bao gồm hai kịch bản Perl, cả hai sử dụng một mô-đun Perl - một peek ngắn vào nguồn tiết lộ những hành động API AWS sau được sử dụng:
CloudWatchClient.pm- Mô tảmon-get-instance-stats.pl- GetMetricStatistic , ListMetricsmon-put-instance-data.pl- PutMetricDataVới thông tin này, bạn có thể tập hợp chính sách IAM của mình , ví dụ thông qua trình tạo chính sách AWS - một chính sách bao gồm tất cả sẽ là:
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics",
"cloudwatch:PutMetricData",
"ec2:DescribeTags"
],
"Effect": "Allow",
"Resource": "*"
}
]
}Tất nhiên bạn có thể bỏ qua cloudwatch:GetMetricStatistics cloudwatch:ListMetricskhi chỉ sử dụng mon-put-instance-data.pl- xin lưu ý rằng tôi chưa thực sự kiểm tra mã.
Các chính sách trên cho lỗi yêu cầu phiên bản.
Sau đây nên làm việc:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Stmt1426849513000",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics",
"cloudwatch:PutMetricAlarm",
"cloudwatch:PutMetricData",
"cloudwatch:SetAlarmState"
],
"Resource": [
"*"
]
}
]
}
Có chính sách IAM do Amazon cung cấp cho CloudWatch. Không cần phải xây dựng của riêng bạn. CloudWatchFullAccess
CloudWatchReadOnlyAccesssẽ là một 'lần thử đầu tiên' an toàn, nhưng ngay cả điều đó có thể quá hào phóng.