Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Eine AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von erstellt und verwaltet AWS wird. AWS Verwaltete Richtlinien sind so konzipiert, dass sie Berechtigungen für viele gängige Anwendungsfälle bereitstellen, sodass Sie damit beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.
Beachten Sie, dass AWS verwaltete Richtlinien für Ihre speziellen Anwendungsfälle möglicherweise keine Berechtigungen mit den geringsten Rechten gewähren, da sie allen AWS Kunden zur Verfügung stehen. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.
Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen nicht ändern. Wenn die in einer AWS verwalteten Richtlinie definierten Berechtigungen AWS aktualisiert werden, wirkt sich das Update auf alle Prinzidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. AWS aktualisiert eine AWS verwaltete Richtlinie höchstwahrscheinlich, wenn eine neue Richtlinie eingeführt AWS-Service wird oder neue API-Operationen für bestehende Dienste verfügbar werden.
Weitere Informationen finden Sie unter Von AWS verwaltete Richtlinien im IAM-Benutzerhandbuch.
AWS verwaltete Richtlinie: AWSGrafana AccountAdministrator
AWSGrafanaAccountAdministrator Die Richtlinie ermöglicht den Zugriff innerhalb von Amazon Managed Grafana, um Konten und Arbeitsbereiche für das gesamte Unternehmen zu erstellen und zu verwalten.
Sie können sie an Ihre AWSGrafana AccountAdministrator IAM-Entitäten anhängen.
Details zu Berechtigungen
Diese Richtlinie umfasst die folgenden Berechtigungen.
-
iam— Ermöglicht Prinzipalen das Auflisten und Abrufen von IAM-Rollen, sodass der Administrator eine Rolle einem Workspace zuordnen und Rollen an den Amazon Managed Grafana-Service übergeben kann. -
Amazon Managed Grafana— Ermöglicht Prinzipalen Lese- und Schreibzugriff auf alle Amazon Managed APIs Grafana.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AWSGrafanaOrganizationAdmin",
"Effect": "Allow",
"Action": [
"iam:ListRoles"
],
"Resource": "*"
},
{
"Sid": "GrafanaIAMGetRolePermission",
"Effect": "Allow",
"Action": "iam:GetRole",
"Resource": "arn:aws:iam::*:role/*"
},
{
"Sid": "AWSGrafanaPermissions",
"Effect": "Allow",
"Action": [
"grafana:*"
],
"Resource": "*"
},
{
"Sid": "GrafanaIAMPassRolePermission",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringLike": {
"iam:PassedToService": "grafana.amazonaws.com"
}
}
}
]
}AWS
verwaltete Richtlinie: AWSGrafana WorkspacePermissionManagement (veraltet)
Diese Richtlinie ist veraltet. Diese Richtlinie sollte keinen neuen Benutzern, Gruppen oder Rollen zugewiesen werden.
Amazon Managed Grafana hat eine neue Richtlinie, AWSGrafanaWorkspacePermissionManagementV2, hinzugefügt, um diese Richtlinie zu ersetzen. Diese neue verwaltete Richtlinie verbessert die Sicherheit für Ihren Arbeitsbereich, indem sie restriktivere Berechtigungen bereitstellt.
AWS
verwaltete Richtlinie: AWSGrafana WorkspacePermissionManagement V2
AWSGrafanaWorkspacePermissionManagementDie V2-Richtlinie bietet nur die Möglichkeit, Benutzer- und Gruppenberechtigungen für Amazon Managed Grafana-Arbeitsbereiche zu aktualisieren.
Sie können AWSGrafana WorkspacePermissionManagement V2 an Ihre IAM-Entitäten anhängen.
Details zu Berechtigungen
Diese Richtlinie umfasst die folgenden Berechtigungen.
-
Amazon Managed Grafana— Ermöglicht Prinzipalen das Lesen und Aktualisieren von Benutzer- und Gruppenberechtigungen für Amazon Managed Grafana-Arbeitsbereiche. -
IAM Identity Center— Ermöglicht Prinzipalen das Lesen von IAM Identity Center-Entitäten. Dies ist ein notwendiger Teil der Verknüpfung von Principals mit Amazon Managed Grafana-Anwendungen, erfordert jedoch auch einen zusätzlichen Schritt, der nach der folgenden Richtlinienliste beschrieben wird.
{
"Version": "2012-10-17",
"Statement": [{
"Sid": "AWSGrafanaPermissions",
"Effect": "Allow",
"Action": [
"grafana:DescribeWorkspace",
"grafana:DescribeWorkspaceAuthentication",
"grafana:UpdatePermissions",
"grafana:ListPermissions",
"grafana:ListWorkspaces"
],
"Resource": "arn:aws:grafana:*:*:/workspaces*"
},
{
"Sid": "IAMIdentityCenterPermissions",
"Effect": "Allow",
"Action": [
"sso:DescribeRegisteredRegions",
"sso:GetSharedSsoConfiguration",
"sso:ListDirectoryAssociations",
"sso:GetManagedApplicationInstance",
"sso:ListProfiles",
"sso:GetProfile",
"sso:ListProfileAssociations",
"sso-directory:DescribeUser",
"sso-directory:DescribeGroup"
],
"Resource": "*"
}
]
}Zusätzliche Richtlinie erforderlich
Um einem Benutzer die vollständige Zuweisung von Berechtigungen zu ermöglichen, müssen Sie zusätzlich zur AWSGrafanaWorkspacePermissionManagementV2 Richtlinie auch eine Richtlinie zuweisen, um Zugriff auf die Anwendungszuweisung in IAM Identity Center zu gewähren.
Um diese Richtlinie zu erstellen, müssen Sie zuerst den ARN der Grafana-Anwendung für Ihren Workspace sammeln
-
Öffnen Sie die IAM-Identity-Center-Konsole
. -
Wählen Sie im linken Menü Anwendungen aus.
-
Suchen Sie auf der Registerkarte AWS Verwaltet nach der Anwendung Amazon Grafana-Workspace-Name, wo sich der Name Ihres Workspace
workspace-namebefindet. Wählen Sie den Namen der Anwendung aus. -
Die von Amazon Managed Grafana für den Workspace verwaltete IAM Identity Center-Anwendung wird angezeigt. Der ARN dieser Anwendung wird auf der Detailseite angezeigt. Es wird in der Form sein:
arn:aws:sso::.owner-account-id:application/ssoins-unique-id/apl-unique-id
Die von Ihnen erstellte Richtlinie sollte wie folgt aussehen. grafana-application-arnErsetzen Sie durch den ARN, den Sie im vorherigen Schritt gefunden haben:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sso:CreateApplicationAssignment", "sso:DeleteApplicationAssignment" ], "Resource": [ "grafana-application-arn" ] } ] }
Informationen zum Erstellen und Anwenden von Richtlinien für Ihre Rollen oder Benutzer finden Sie im AWS Identity and Access Management Benutzerhandbuch unter Hinzufügen und Entfernen von IAM-Identitätsberechtigungen.
AWS verwaltete Richtlinie: AWSGrafana ConsoleReadOnlyAccess
AWSGrafanaConsoleReadOnlyAccess Die Richtlinie gewährt Zugriff auf schreibgeschützte Operationen in Amazon Managed Grafana.
Sie können sie an Ihre AWSGrafana ConsoleReadOnlyAccess IAM-Entitäten anhängen.
Details zu Berechtigungen
Diese Richtlinie umfasst die folgende Berechtigung.
-
Amazon Managed Grafana— Ermöglicht Prinzipalen Lesezugriff auf Amazon Managed Grafana APIs
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AWSGrafanaConsoleReadOnlyAccess",
"Effect": "Allow",
"Action": ["grafana:Describe*", "grafana:List*"],
"Resource": "*"
}
]
}AWS verwaltete Richtlinie: AmazonGrafanaRedshiftAccess
Diese Richtlinie gewährt begrenzten Zugriff auf Amazon Redshift und die Abhängigkeiten, die für die Verwendung des Amazon Redshift Redshift-Plug-ins in Amazon Managed Grafana erforderlich sind. AmazonGrafanaRedshiftAccess Die Richtlinie ermöglicht es einem Benutzer oder einer IAM-Rolle, das Amazon Redshift Redshift-Datenquellen-Plugin in Grafana zu verwenden. Temporäre Anmeldeinformationen für Amazon Redshift Redshift-Datenbanken sind auf den Datenbankbenutzer beschränkt, redshift_data_api_user und Anmeldeinformationen von Secrets Manager können abgerufen werden, wenn das Geheimnis mit dem Schlüssel gekennzeichnet ist. RedshiftQueryOwner Diese Richtlinie ermöglicht den Zugriff auf Amazon Redshift Redshift-Cluster, die mit GrafanaDataSource gekennzeichnet sind. Bei der Erstellung einer vom Kunden verwalteten Richtlinie ist die tagbasierte Authentifizierung optional.
Sie können eine Verbindung AmazonGrafanaRedshiftAccess zu Ihren IAM-Entitäten herstellen. Amazon Managed Grafana verknüpft diese Richtlinie auch mit einer Servicerolle, die es Amazon Managed Grafana ermöglicht, Aktionen in Ihrem Namen durchzuführen.
Details zu Berechtigungen
Diese Richtlinie umfasst die folgende Berechtigung.
-
Amazon Redshift— Ermöglicht Prinzipalen, Cluster zu beschreiben und temporäre Anmeldeinformationen für einen Datenbankbenutzer mit dem Namen zu erhalten.redshift_data_api_user -
Amazon Redshift–data— Ermöglicht Prinzipalen die Ausführung von Abfragen auf Clustern, die als gekennzeichnet sind.GrafanaDataSource -
Secrets Manager— Ermöglicht Prinzipalen, Geheimnisse aufzulisten und geheime Werte für Geheimnisse zu lesen, die als markiert sind.RedshiftQueryOwner
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"redshift:DescribeClusters",
"redshift-data:GetStatementResult",
"redshift-data:DescribeStatement",
"secretsmanager:ListSecrets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"redshift-data:DescribeTable",
"redshift-data:ExecuteStatement",
"redshift-data:ListTables",
"redshift-data:ListSchemas"
],
"Resource": "*",
"Condition": {
"Null": {
"aws:ResourceTag/GrafanaDataSource": "false"
}
}
},
{
"Effect": "Allow",
"Action": "redshift:GetClusterCredentials",
"Resource": [
"arn:aws:redshift:*:*:dbname:*/*",
"arn:aws:redshift:*:*:dbuser:*/redshift_data_api_user"
]
},
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": "*",
"Condition": {
"Null": {
"secretsmanager:ResourceTag/RedshiftQueryOwner": "false"
}
}
}
]
}AWS verwaltete Richtlinie: AmazonGrafanaAthenaAccess
Diese Richtlinie gewährt Zugriff auf Athena und die Abhängigkeiten, die erforderlich sind, um das Abfragen und Schreiben von Ergebnissen in Amazon S3 über das Athena-Plug-In in Amazon Managed Grafana zu ermöglichen. AmazonGrafanaAthenaAccessDie Richtlinie ermöglicht es einem Benutzer oder einer IAM-Rolle, das Athena-Datenquellen-Plugin in Grafana zu verwenden. Athena-Arbeitsgruppen müssen mit markiert sein, GrafanaDataSource um zugänglich zu sein. Diese Richtlinie enthält Berechtigungen zum Schreiben von Abfrageergebnissen in einen Amazon S3 S3-Bucket mit einem Namen als Präfix. grafana-athena-query-results- Amazon S3 S3-Berechtigungen für den Zugriff auf die zugrunde liegende Datenquelle einer Athena-Abfrage sind in dieser Richtlinie nicht enthalten.
Sie können AWSGrafana AthenaAccess Richtlinien an Ihre IAM-Entitäten anhängen. Amazon Managed Grafana verknüpft diese Richtlinie auch mit einer Servicerolle, die es Amazon Managed Grafana ermöglicht, Aktionen in Ihrem Namen durchzuführen.
Details zu Berechtigungen
Diese Richtlinie umfasst die folgende Berechtigung.
-
Athena— Ermöglicht Prinzipalen das Ausführen von Abfragen auf Athena-Ressourcen in Arbeitsgruppen, die als markiert sind.GrafanaDataSource -
Amazon S3— Ermöglicht Prinzipalen das Lesen und Schreiben von Abfrageergebnissen in einen Bucket mit dem Präfix.grafana-athena-query-results- -
AWS Glue— Ermöglicht Prinzipalen den Zugriff auf AWS Glue-Datenbanken, -Tabellen und -Partitionen. Dies ist erforderlich, damit der Principal den AWS Glue-Datenkatalog mit Athena verwenden kann.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"athena:GetDatabase",
"athena:GetDataCatalog",
"athena:GetTableMetadata",
"athena:ListDatabases",
"athena:ListDataCatalogs",
"athena:ListTableMetadata",
"athena:ListWorkGroups"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"athena:GetQueryExecution",
"athena:GetQueryResults",
"athena:GetWorkGroup",
"athena:StartQueryExecution",
"athena:StopQueryExecution"
],
"Resource": [
"*"
],
"Condition": {
"Null": {
"aws:ResourceTag/GrafanaDataSource": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"glue:GetDatabase",
"glue:GetDatabases",
"glue:GetTable",
"glue:GetTables",
"glue:GetPartition",
"glue:GetPartitions",
"glue:BatchGetPartition"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:GetObject",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:ListMultipartUploadParts",
"s3:AbortMultipartUpload",
"s3:CreateBucket",
"s3:PutObject",
"s3:PutBucketPublicAccessBlock"
],
"Resource": [
"arn:aws:s3:::grafana-athena-query-results-*"
]
}
]
}AWS verwaltete Richtlinie: AmazonGrafanaCloudWatchAccess
Diese Richtlinie gewährt Zugriff auf Amazon CloudWatch und die Abhängigkeiten, die für die Verwendung CloudWatch als Datenquelle in Amazon Managed Grafana erforderlich sind.
Sie können AWSGrafana CloudWatchAccess Richtlinien an Ihre IAM-Entitäten anhängen. Amazon Managed Grafana verknüpft diese Richtlinie auch mit einer Servicerolle, die es Amazon Managed Grafana ermöglicht, Aktionen in Ihrem Namen durchzuführen.
Details zu Berechtigungen
Diese Richtlinie umfasst die folgenden Berechtigungen.
-
CloudWatch— Ermöglicht es Prinzipalen, metrische Daten und Protokolle von Amazon CloudWatch aufzulisten und abzurufen. Es ermöglicht auch die CloudWatch kontenübergreifende Anzeige von Daten, die von Quellkonten gemeinsam genutzt wurden. -
Amazon EC2— Ermöglicht es Schulleitern, Details zu den Ressourcen abzurufen, die überwacht werden. -
Tags— Ermöglicht Prinzipalen den Zugriff auf Tags auf Ressourcen, um das Filtern der CloudWatch Metrikabfragen zu ermöglichen.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:DescribeAlarmsForMetric",
"cloudwatch:DescribeAlarmHistory",
"cloudwatch:DescribeAlarms",
"cloudwatch:ListMetrics",
"cloudwatch:GetMetricStatistics",
"cloudwatch:GetMetricData",
"cloudwatch:GetInsightRuleReport"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups",
"logs:GetLogGroupFields",
"logs:StartQuery",
"logs:StopQuery",
"logs:GetQueryResults",
"logs:GetLogEvents"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeTags",
"ec2:DescribeInstances",
"ec2:DescribeRegions"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "tag:GetResources",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"oam:ListSinks",
"oam:ListAttachedLinks"
],
"Resource": "*"
}
]
}Amazon Managed Grafana-Aktualisierungen der AWS verwalteten Richtlinien
Sehen Sie sich Details zu Aktualisierungen der AWS verwalteten Richtlinien für Amazon Managed Grafana an, seit dieser Service begonnen hat, diese Änderungen zu verfolgen. Abonnieren Sie den RSS-Feed auf der Amazon Managed Grafana-Dokumentverlaufsseite, um automatische Benachrichtigungen über Änderungen an dieser Seite zu erhalten.
| Änderung | Beschreibung | Datum |
|---|---|---|
|
AWSGrafanaWorkspacePermissionManagement— veraltet |
Diese Richtlinie wurde ersetzt durch AWSGrafanaWorkspacePermissionManagementV2. Diese Richtlinie gilt als veraltet und wird nicht mehr aktualisiert. Die neue Richtlinie verbessert die Sicherheit für deinen Arbeitsplatz, indem sie restriktivere Berechtigungen bietet. |
5. Januar 2024 |
|
AWSGrafanaWorkspacePermissionManagementV2 — Neue Richtlinie |
Amazon Managed Grafana hat eine neue Richtlinie hinzugefügt, AWSGrafanaWorkspacePermissionManagementV2um das Veraltete zu ersetzen AWSGrafanaWorkspacePermissionManagementPolitik. Diese neue verwaltete Richtlinie verbessert die Sicherheit für deinen Workspace, indem sie restriktivere Berechtigungen bereitstellt. |
5. Januar 2024 |
|
AmazonGrafanaCloudWatchAccess – Neue Richtlinie |
Amazon Managed Grafana hat eine neue Richtlinie hinzugefügt AmazonGrafanaCloudWatchAccess. |
24. März 2023 |
|
AWSGrafanaWorkspacePermissionManagement – Aktualisierung auf eine bestehende Richtlinie |
Amazon Managed Grafana hat neue Berechtigungen hinzugefügt AWSGrafanaWorkspacePermissionManagementsodass IAM Identity Center-Benutzer und -Gruppen in Active Directory Grafana-Workspaces zugeordnet werden können. Die folgenden Berechtigungen wurden hinzugefügt:, und |
14. März 2023 |
AWSGrafanaWorkspacePermissionManagement – Aktualisierung auf eine bestehende Richtlinie |
Amazon Managed Grafana hat neue Berechtigungen hinzugefügt AWSGrafanaWorkspacePermissionManagementsodass IAM Identity Center-Benutzer und -Gruppen Grafana-Workspaces zugeordnet werden können. Die folgenden Berechtigungen wurden hinzugefügt: |
20. Dezember 2022 |
|
AmazonGrafanaServiceLinkedRolePolicy— Neue SLR-Richtlinie |
Amazon Managed Grafana hat eine neue Richtlinie für die serviceverknüpfte Grafana-Rolle hinzugefügt. AmazonGrafanaServiceLinkedRolePolicy. |
18. November 2022 |
|
AWSGrafanaAccountAdministrator, AWSGrafanaConsoleReadOnlyAccess |
Erlauben Sie den Zugriff auf alle Amazon Managed Grafana-Ressourcen | 17. Februar 2022 |
|
AmazonGrafanaRedshiftAccess – Neue Richtlinie |
Amazon Managed Grafana hat eine neue Richtlinie hinzugefügt AmazonGrafanaRedshiftAccess. |
26. November 2021 |
|
AmazonGrafanaAthenaAccess – Neue Richtlinie |
Amazon Managed Grafana hat eine neue Richtlinie hinzugefügt AmazonGrafanaAthenaAccess. |
22. November 2021 |
|
AWSGrafanaAccountAdministrator – Aktualisierung auf eine bestehende Richtlinie |
Amazon Managed Grafana hat Berechtigungen entfernt von AWSGrafanaAccountAdministrator. Die für den |
13. Oktober 2021 |
|
AWSGrafanaWorkspacePermissionManagement – Aktualisierung auf eine bestehende Richtlinie |
Amazon Managed Grafana hat neue Berechtigungen hinzugefügt AWSGrafanaWorkspacePermissionManagementsodass Benutzer mit dieser Richtlinie die mit Workspaces verknüpften Authentifizierungsmethoden sehen können. Die |
21. September 2021 |
|
AWSGrafanaConsoleReadOnlyAccess – Aktualisierung auf eine bestehende Richtlinie |
Amazon Managed Grafana hat neue Berechtigungen hinzugefügt AWSGrafanaConsoleReadOnlyAccesssodass Benutzer mit dieser Richtlinie die mit Workspaces verknüpften Authentifizierungsmethoden sehen können. Die |
21. September 2021 |
|
Amazon Managed Grafana hat begonnen, Änderungen zu verfolgen |
Amazon Managed Grafana hat damit begonnen, Änderungen an seinen AWS verwalteten Richtlinien nachzuverfolgen. |
9. September 2021 |
