สิทธิ์ / นโยบายใดสำหรับบทบาท IAM ที่จะใช้กับสคริปต์การตรวจสอบ CloudWatch

ด้วยสคริปต์การตรวจสอบ CloudWatch (mon-put-instance-data.pl) เป็นไปได้ที่จะระบุชื่อบทบาท IAM เพื่อให้ข้อมูลรับรอง AWS (--aws-iam-role = VALUE)

ฉันกำลังสร้างบทบาท IAM เพื่อจุดประสงค์นี้ (เพื่อเรียกใช้ mon-put-instance-data.pl บนอินสแตนซ์ AWS) แต่ฉันควรให้สิทธิ์ / นโยบายใดแก่บทบาทนี้

ขอขอบคุณสำหรับความช่วยเหลือของคุณ

Amazon CloudWatch การตรวจสอบสคริปสำหรับลินุกซ์จะประกอบด้วยสองสคริปต์ Perl ทั้งใช้โมดูล Perl หนึ่ง - มองสั้นลงไปในแหล่งที่มาเผยให้เห็นต่อไปนี้การกระทำของ AWS API ถูกใช้:

• CloudWatchClient.pm- อธิบายแท็ก
• mon-get-instance-stats.pl- GetMetricStatistics , ListMetrics
• mon-put-instance-data.pl- PutMetricData

ด้วยข้อมูลนี้คุณสามารถรวบรวมนโยบาย IAMของคุณเช่นผ่านตัวสร้างนโยบาย AWS - นโยบายที่ครอบคลุมทั้งหมดจะเป็น:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "cloudwatch:GetMetricStatistics",
        "cloudwatch:ListMetrics",
        "cloudwatch:PutMetricData",
        "ec2:DescribeTags"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

แน่นอนคุณสามารถวางcloudwatch:GetMetricStatistics cloudwatch:ListMetricsเมื่อใช้mon-put-instance-data.pl- โปรดทราบว่าฉันไม่ได้ทดสอบรหัสจริง

นโยบายด้านบนแสดงข้อผิดพลาดในการขอรุ่น

ต่อไปนี้ควรทำงาน:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Stmt1426849513000",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:GetMetricStatistics",
                "cloudwatch:ListMetrics",
                "cloudwatch:PutMetricAlarm",
                "cloudwatch:PutMetricData",
                "cloudwatch:SetAlarmState"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

มี Amazon ที่ให้นโยบาย IAM สำหรับ CloudWatch ไม่จำเป็นต้องสร้างของคุณเอง CloudWatchFullAccess