สิทธิ์ / นโยบายใดสำหรับบทบาท IAM ที่จะใช้กับสคริปต์การตรวจสอบ CloudWatch


13

ด้วยสคริปต์การตรวจสอบ CloudWatch (mon-put-instance-data.pl) เป็นไปได้ที่จะระบุชื่อบทบาท IAM เพื่อให้ข้อมูลรับรอง AWS (--aws-iam-role = VALUE)

ฉันกำลังสร้างบทบาท IAM เพื่อจุดประสงค์นี้ (เพื่อเรียกใช้ mon-put-instance-data.pl บนอินสแตนซ์ AWS) แต่ฉันควรให้สิทธิ์ / นโยบายใดแก่บทบาทนี้

ขอขอบคุณสำหรับความช่วยเหลือของคุณ

คำตอบ:


20

Amazon CloudWatch การตรวจสอบสคริปสำหรับลินุกซ์จะประกอบด้วยสองสคริปต์ Perl ทั้งใช้โมดูล Perl หนึ่ง - มองสั้นลงไปในแหล่งที่มาเผยให้เห็นต่อไปนี้การกระทำของ AWS API ถูกใช้:

ด้วยข้อมูลนี้คุณสามารถรวบรวมนโยบาย IAMของคุณเช่นผ่านตัวสร้างนโยบาย AWS - นโยบายที่ครอบคลุมทั้งหมดจะเป็น:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "cloudwatch:GetMetricStatistics",
        "cloudwatch:ListMetrics",
        "cloudwatch:PutMetricData",
        "ec2:DescribeTags"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

แน่นอนคุณสามารถวางcloudwatch:GetMetricStatistics cloudwatch:ListMetricsเมื่อใช้mon-put-instance-data.pl- โปรดทราบว่าฉันไม่ได้ทดสอบรหัสจริง


การกระทำเหล่านี้ตรงกับการกระทำที่ระบุไว้ในเอกสารที่docs.aws.amazon.com/AWSEC2/latest/UserGuide/…
htaccess

2

นโยบายด้านบนแสดงข้อผิดพลาดในการขอรุ่น

ต่อไปนี้ควรทำงาน:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Stmt1426849513000",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:GetMetricStatistics",
                "cloudwatch:ListMetrics",
                "cloudwatch:PutMetricAlarm",
                "cloudwatch:PutMetricData",
                "cloudwatch:SetAlarmState"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

2

มี Amazon ที่ให้นโยบาย IAM สำหรับ CloudWatch ไม่จำเป็นต้องสร้างของคุณเอง CloudWatchFullAccess


2
ขอบคุณสำหรับคำตอบ. ฉันไม่ต้องการให้สิทธิ์การเข้าถึง CloudWatch แบบเต็มแม้ว่า ... ฉันไม่ต้องการให้สิทธิ์ DeleteAlarms
Céline Aussourd

สำหรับบริการไดนาเทรซนี่มันสมบูรณ์แบบ!
Holms

IMHO สำหรับเกือบทุกกรณีการใช้งาน 'การตรวจสอบ' นี่เป็นการเข้าถึงที่มากเกินไป สคริปต์การตรวจสอบของคุณไม่จำเป็นต้อง (พูด) สร้างหรือลบเมทริกหรือแดชบอร์ด นโยบายดังกล่าวได้เพิ่มการอนุญาตที่ไม่ใช่คลาวด์วอชที่ดูค่อนข้างปลอดภัย แต่ก็เพิ่มทั้งหมดเหล่านี้ด้วย: docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ ...... ในการเดาอย่างคร่าวๆCloudWatchReadOnlyAccessจะเป็น 'ความพยายามครั้งแรก' ที่ปลอดภัย แต่แม้อาจจะใจกว้างเกินไป
Ralph Bolton
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.