Những quyền / chính sách nào cho vai trò IAM sẽ được sử dụng với tập lệnh giám sát CloudWatch


13

Với tập lệnh giám sát CloudWatch (mon-put-instance-data.pl), có thể chỉ định tên vai trò IAM để cung cấp thông tin xác thực AWS (--aws-iam-vai trò = VALUE).

Tôi đang tạo một vai trò IAM cho mục đích này (để chạy mon-put-instance-data.pl trên một ví dụ AWS), nhưng tôi nên cấp quyền / chính sách nào cho vai trò này ??

Cảm ơn sự giúp đỡ của bạn

Câu trả lời:


20

Các Amazon CloudWatch Giám sát Scripts cho Linux được bao gồm hai kịch bản Perl, cả hai sử dụng một mô-đun Perl - một peek ngắn vào nguồn tiết lộ những hành động API AWS sau được sử dụng:

Với thông tin này, bạn có thể tập hợp chính sách IAM của mình , ví dụ thông qua trình tạo chính sách AWS - một chính sách bao gồm tất cả sẽ là:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "cloudwatch:GetMetricStatistics",
        "cloudwatch:ListMetrics",
        "cloudwatch:PutMetricData",
        "ec2:DescribeTags"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

Tất nhiên bạn có thể bỏ qua cloudwatch:GetMetricStatistics cloudwatch:ListMetricskhi chỉ sử dụng mon-put-instance-data.pl- xin lưu ý rằng tôi chưa thực sự kiểm tra mã.


Những hành động này khớp với các hành động được liệt kê trong tài liệu tại docs.aws.amazon.com/AWSEC2/latest/UserGuide/ Kẻ
htaccess

2

Các chính sách trên cho lỗi yêu cầu phiên bản.

Sau đây nên làm việc:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Stmt1426849513000",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:GetMetricStatistics",
                "cloudwatch:ListMetrics",
                "cloudwatch:PutMetricAlarm",
                "cloudwatch:PutMetricData",
                "cloudwatch:SetAlarmState"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

2

Có chính sách IAM do Amazon cung cấp cho CloudWatch. Không cần phải xây dựng của riêng bạn. CloudWatchFullAccess


2
Cảm ơn câu trả lời của bạn. Tôi không muốn cung cấp quyền truy cập đầy đủ vào CloudWatch mặc dù ... Tôi không muốn cấp quyền cho DeleteAlarms.
Céline Aussourd

Đối với dịch vụ dynatrace này là hoàn hảo!
thánh

IMHO, đối với hầu hết mọi trường hợp sử dụng 'giám sát', đây là quá nhiều quyền truy cập. Tập lệnh giám sát của bạn không cần (nói) tạo hoặc xóa số liệu hoặc bảng điều khiển. Chính sách này thêm một số quyền truy cập không phải trên đám mây khá an toàn, nhưng sau đó cũng thêm tất cả các quyền này: docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ . Theo phỏng đoán sơ bộ, CloudWatchReadOnlyAccesssẽ là một 'lần thử đầu tiên' an toàn, nhưng ngay cả điều đó có thể quá hào phóng.
Ralph Bolton
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.