AWS politiques gérées pour Amazon Managed Service for Prometheus - Amazon Managed Service for Prometheus
AmazonPrometheusFullAccessAmazonPrometheusConsoleFullAccessAmazonPrometheusRemoteWriteAccessAmazonPrometheusQueryAccessAmazonPrometheusScraperServiceRolePolicyMises à jour des politiques

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS politiques gérées pour Amazon Managed Service for Prometheus

Une politique AWS gérée est une politique autonome créée et administrée par AWS. AWS les politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.

N'oubliez pas que les politiques AWS gérées peuvent ne pas accorder d'autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles sont accessibles à tous les AWS clients. Nous vous recommandons de réduire encore les autorisations en définissant des politiques gérées par le client qui sont propres à vos cas d’utilisation.

Vous ne pouvez pas modifier les autorisations définies dans les politiques AWS gérées. Si les autorisations définies dans une politique AWS gérée sont AWS mises à jour, la mise à jour affecte toutes les identités principales (utilisateurs, groupes et rôles) auxquelles la politique est attachée. AWS est le plus susceptible de mettre à jour une politique AWS gérée lorsqu'une nouvelle politique Service AWS est lancée ou lorsque de nouvelles opérations d'API sont disponibles pour les services existants.

Pour plus d’informations, consultez Politiques gérées par AWS dans le Guide de l’utilisateur IAM.

AmazonPrometheusFullAccess

Vous pouvez associer la politique AmazonPrometheusFullAccess à vos identités IAM.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • aps – Permet un accès complet à Amazon Managed Service for Prometheus.

  • eks – Permet au service Amazon Managed Service for Prometheus de lire les informations relatives à vos clusters Amazon EKS. Cette autorisation est nécessaire pour créer des scrapers gérés et découvrir des métriques dans votre cluster.

  • ec2— Permet au service Amazon Managed Service for Prometheus de lire les informations relatives à vos réseaux Amazon. EC2 Cette autorisation est nécessaire pour permettre la création de scrapers gérés ayant accès à vos métriques Amazon EKS.

  • iam – Permet aux principaux de créer un rôle lié à un service pour les scrapers de métriques gérés.

Le contenu de AmazonPrometheusFullAccessest le suivant :

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "AllPrometheusActions",
			"Effect": "Allow",
			"Action": [
				"aps:*"
			],
			"Resource": "*"
		},
		{
			"Sid": "DescribeCluster",
			"Effect": "Allow",
			"Action": [
				"eks:DescribeCluster",
				"ec2:DescribeSubnets",
				"ec2:DescribeSecurityGroups"
			],
			"Condition": {
				"ForAnyValue:StringEquals": {
					"aws:CalledVia": [
						"aps.amazonaws.com"
					]
				}
			},
			"Resource": "*"
		},
		{
			"Sid": "CreateServiceLinkedRole",
			"Effect": "Allow",
			"Action": "iam:CreateServiceLinkedRole",
			"Resource": "arn:aws:iam::*:role/aws-service-role/scraper.aps.amazonaws.com/AWSServiceRoleForAmazonPrometheusScraper*",
			"Condition": {
				"StringEquals": {
					"iam:AWSServiceName": "scraper.aps.amazonaws.com"
				}
			}
		}
	]
}

AmazonPrometheusConsoleFullAccess

Vous pouvez associer la politique AmazonPrometheusConsoleFullAccess à vos identités IAM.

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • aps – Permet un accès complet à Amazon Managed Service for Prometheus.

  • tag – Permet aux principaux de voir les suggestions de balises dans la console Amazon Managed Service for Prometheus.

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "TagSuggestions",
			"Effect": "Allow",
			"Action": [
				"tag:GetTagValues",
				"tag:GetTagKeys"
			],
			"Resource": "*"
		},
		{
			"Sid": "PrometheusConsoleActions",
			"Effect": "Allow",
			"Action": [
				"aps:CreateWorkspace",
				"aps:DescribeWorkspace",
				"aps:UpdateWorkspaceAlias",
				"aps:DeleteWorkspace",
				"aps:ListWorkspaces",
				"aps:DescribeAlertManagerDefinition",
				"aps:DescribeRuleGroupsNamespace",
				"aps:CreateAlertManagerDefinition",
				"aps:CreateRuleGroupsNamespace",
				"aps:DeleteAlertManagerDefinition",
				"aps:DeleteRuleGroupsNamespace",
				"aps:ListRuleGroupsNamespaces",
				"aps:PutAlertManagerDefinition",
				"aps:PutRuleGroupsNamespace",
				"aps:TagResource",
				"aps:UntagResource",
				"aps:CreateLoggingConfiguration",
				"aps:UpdateLoggingConfiguration",
				"aps:DeleteLoggingConfiguration",
				"aps:DescribeLoggingConfiguration"
			],
			"Resource": "*"
		}
	]
}

AmazonPrometheusRemoteWriteAccess

Le contenu de AmazonPrometheusRemoteWriteAccessest le suivant :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "aps:RemoteWrite"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

AmazonPrometheusQueryAccess

Le contenu de AmazonPrometheusQueryAccessest le suivant :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "aps:GetLabels",
                "aps:GetMetricMetadata",
                "aps:GetSeries",
                "aps:QueryMetrics"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

AWS politique gérée : AmazonPrometheusScraperServiceRolePolicy

Vous ne pouvez pas vous associer AmazonPrometheusScraperServiceRolePolicy à vos entités IAM. Cette politique est attachée à un rôle lié à un service qui permet à Amazon Managed Service for Prometheus de réaliser des actions en votre nom. Pour de plus amples informations, veuillez consulter Utilisation de rôles pour récupérer des métriques d’EKS.

Cette politique accorde aux contributeurs des autorisations qui leur permettent de lire depuis votre cluster Amazon EKS et d’écrire sur votre espace de travail Amazon Managed Service for Prometheus.

Note

Ce guide de l'utilisateur appelait auparavant cette politique par erreur AmazonPrometheusScraperServiceLinkedRolePolicy

Détails de l’autorisation

Cette politique inclut les autorisations suivantes.

  • aps – Permet au principal de service d’écrire des métriques dans vos espaces de travail Amazon Managed Service for Prometheus.

  • ec2 – Permet au principal de service de lire et de modifier la configuration réseau pour se connecter au réseau qui contient vos clusters Amazon EKS.

  • eks – Permet au principal de service d’accéder à vos clusters Amazon EKS. Cette autorisation est nécessaire pour pouvoir automatiquement récupérer des métriques. Permet également au principal de nettoyer les ressources Amazon EKS lorsqu'un grattoir est retiré.

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "DeleteSLR",
			"Effect": "Allow",
			"Action": [
				"iam:DeleteRole"
			],
			"Resource": "arn:aws:iam::*:role/aws-service-role/scraper.aps.amazonaws.com/AWSServiceRoleForAmazonPrometheusScraper*"
		},
		{
			"Sid": "NetworkDiscovery",
			"Effect": "Allow",
			"Action": [
				"ec2:DescribeNetworkInterfaces",
				"ec2:DescribeSubnets",
				"ec2:DescribeSecurityGroups"
			],
			"Resource": "*"
		},
		{
			"Sid": "ENIManagement",
			"Effect": "Allow",
			"Action": "ec2:CreateNetworkInterface",
			"Resource": "*",
			"Condition": {
				"ForAllValues:StringEquals": {
					"aws:TagKeys": [
						"AMPAgentlessScraper"
					]
				}
			}
		},
		{
			"Sid": "TagManagement",
			"Effect": "Allow",
			"Action": "ec2:CreateTags",
			"Resource": "arn:aws:ec2:*:*:network-interface/*",
			"Condition": {
				"StringEquals": {
					"ec2:CreateAction": "CreateNetworkInterface"
				},
				"Null": {
					"aws:RequestTag/AMPAgentlessScraper": "false"
				}
			}
		},
		{
			"Sid": "ENIUpdating",
			"Effect": "Allow",
			"Action": [
				"ec2:DeleteNetworkInterface",
				"ec2:ModifyNetworkInterfaceAttribute"
			],
			"Resource": "*",
			"Condition": {
				"Null": {
					"ec2:ResourceTag/AMPAgentlessScraper": "false"
				}
			}
		},
		{
			"Sid": "EKSAccess",
			"Effect": "Allow",
			"Action": "eks:DescribeCluster",
			"Resource": "arn:aws:eks:*:*:cluster/*"
		},
		{
			"Sid": "DeleteEKSAccessEntry",
			"Effect": "Allow",
			"Action": "eks:DeleteAccessEntry",
			"Resource": "arn:aws:eks:*:*:access-entry/*/role/*",
			"Condition": {
				"StringEquals": {
					"aws:PrincipalAccount": "${aws:ResourceAccount}"
				},
				"ArnLike": {
					"eks:principalArn": "arn:aws:iam::*:role/aws-service-role/scraper.aps.amazonaws.com/AWSServiceRoleForAmazonPrometheusScraper*"
				}
			}
		},
		{
			"Sid": "APSWriting",
			"Effect": "Allow",
			"Action": "aps:RemoteWrite",
			"Resource": "arn:aws:aps:*:*:workspace/*",
			"Condition": {
				"StringEquals": {
					"aws:PrincipalAccount": "${aws:ResourceAccount}"
				}
			}
		}
	]
}

Amazon Managed Service for Prometheus met à jour les politiques gérées AWS

Consultez les informations relatives aux mises à jour des politiques AWS gérées pour Amazon Managed Service for Prometheus depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques sur les modifications apportées à cette page, abonnez-vous au flux RSS de la page de l’historique du document Amazon Managed Service for Prometheus.

Modification Description Date

AmazonPrometheusScraperServiceRolePolicy – Mise à jour d’une stratégie existante

Amazon Managed Service for Prometheus a ajouté de nouvelles autorisations à AmazonPrometheusScraperServiceRolePolicypour prendre en charge l'utilisation des entrées d'accès dans Amazon EKS.

Inclut des autorisations pour gérer les entrées d'accès Amazon EKS afin de permettre le nettoyage des ressources lorsque les scrapers sont supprimés.

Note

Le guide de l'utilisateur appelait cette politique par erreur AmazonPrometheusScraperServiceLinkedRolePolicy

 2 mai 2024

AmazonPrometheusFullAccess – Mise à jour d’une politique existante

Amazon Managed Service for Prometheus a ajouté de nouvelles autorisations à AmazonPrometheusFullAccesspour prendre en charge la création de scrapers gérés pour les métriques dans les clusters Amazon EKS.

Inclut des autorisations pour la connexion aux clusters Amazon EKS, la lecture des EC2 réseaux Amazon et la création d'un rôle lié à un service pour les scrapers.

 26 novembre 2023

AmazonPrometheusScraperServiceLinkedRolePolicy : nouvelle politique

Ajout d’une nouvelle politique Amazon Managed Service for Prometheus de rôles liés aux services pour lire à partir des conteneurs Amazon EKS, afin de permettre la récupération automatique des métriques.

Inclut des autorisations pour la connexion aux clusters Amazon EKS, la lecture des EC2 réseaux Amazon, la création et la suppression de réseaux marqués comme telsAMPAgentlessScraper, ainsi que pour écrire sur les espaces de travail Amazon Managed Service for Prometheus.

 26 novembre 2023

AmazonPrometheusConsoleFullAccess – Mise à jour d’une politique existante

Amazon Managed Service for Prometheus a ajouté de nouvelles autorisations à AmazonPrometheusConsoleFullAccesspour prendre en charge la journalisation des événements liés au gestionnaire d'alertes et aux règles dans CloudWatch Logs.

Ajout des autorisations aps:CreateLoggingConfiguration, aps:UpdateLoggingConfiguration, aps:DeleteLoggingConfiguration et aps:DescribeLoggingConfiguration.

 24 octobre 2022

AmazonPrometheusConsoleFullAccess – Mise à jour d’une politique existante

Amazon Managed Service for Prometheus a ajouté de nouvelles autorisations à AmazonPrometheusConsoleFullAccesspour prendre en charge les nouvelles fonctionnalités d'Amazon Managed Service for Prometheus et pour que les utilisateurs soumis à cette politique puissent consulter une liste de suggestions de balises lorsqu'ils appliquent des balises aux ressources Amazon Managed Service for Prometheus.

Ajout des autorisations tag:GetTagKeys, tag:GetTagValues, aps:CreateAlertManagerDefinition, aps:CreateRuleGroupsNamespace, aps:DeleteAlertManagerDefinition, aps:DeleteRuleGroupsNamespace, aps:DescribeAlertManagerDefinition, aps:DescribeRuleGroupsNamespace, aps:ListRuleGroupsNamespaces, aps:PutAlertManagerDefinition, aps:PutRuleGroupsNamespace, aps:TagResource et aps:UntagResource.

 29 septembre 2021

Ajout du suivi des modifications par Amazon Managed Service for Prometheus

Amazon Managed Service for Prometheus a commencé à suivre les modifications apportées à ses politiques gérées. AWS

15 septembre 2021