IAM角色的哪些权限/策略可与CloudWatch监视脚本一起使用

13

使用CloudWatch监视脚本(mon-put-instance-data.pl),可以指定IAM角色名称以提供AWS凭证(--aws-iam-role = VALUE)。

我正在为此创建一个IAM角色(以便在AWS实例上运行mon-put-instance-data.pl),但是我应该赋予该角色哪些权限/策略?

谢谢您的帮助

amazon-ec2  amazon-web-services  amazon-cloudwatch  amazon-iam 
席琳·奥苏德
source

Answers:

20

适用于LinuxAmazon CloudWatch监视脚本由两个Perl脚本组成,两个脚本均使用一个Perl模块-简要查看源代码即可发现正在使用的以下AWS API操作:

借助此信息,您可以例如通过AWS策略生成器来组合您的IAM策略 -全面的策略将是:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "cloudwatch:GetMetricStatistics",
        "cloudwatch:ListMetrics",
        "cloudwatch:PutMetricData",
        "ec2:DescribeTags"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

当然,您可以cloudwatch:GetMetricStatistics cloudwatch:ListMetrics在使用时删除它mon-put-instance-data.pl-请注意,尽管我没有实际测试代码。

斯特芬·欧宝
source
htaccess
2

上面的策略给出了错误,要求版本。

以下应该工作:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Stmt1426849513000",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:GetMetricStatistics",
                "cloudwatch:ListMetrics",
                "cloudwatch:PutMetricAlarm",
                "cloudwatch:PutMetricData",
                "cloudwatch:SetAlarmState"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}
斯瓦普尼尔·贾斯瓦尔
source
2

亚马逊提供了CloudWatch的IAM策略。无需构建自己的。CloudWatchFullAccess

约弗斯
source
2
感谢您的回答。我不想授予对CloudWatch的完全访问权限...例如,我不想授予DeleteAlarms权限。
席琳Aussourd
对于dynatrace服务,这是完美的!
霍尔姆斯'18
恕我直言,对于几乎所有“监视”用例,这都是太多的访问。您的监视脚本不需要(例如)创建或删除指标或仪表板。该策略添加了一些相当安全的非cloudwatch权限,但同时也添加了所有这些权限:docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/…。粗略地猜测,CloudWatchReadOnlyAccess这将是一个安全的“首次尝试”,但即使这样也可能过于慷慨。
拉尔夫·博尔顿
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.