AWS kebijakan terkelola untuk Amazon Managed Service untuk Prometheus - Layanan Terkelola Amazon untuk Prometheus
AmazonPrometheusFullAccessAmazonPrometheusConsoleFullAccessAmazonPrometheusRemoteWriteAccessAmazonPrometheusQueryAccessAmazonPrometheusScraperServiceRolePolicyPembaruan kebijakan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS kebijakan terkelola untuk Amazon Managed Service untuk Prometheus

Kebijakan AWS terkelola adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. AWS Kebijakan terkelola dirancang untuk memberikan izin bagi banyak kasus penggunaan umum sehingga Anda dapat mulai menetapkan izin kepada pengguna, grup, dan peran.

Perlu diingat bahwa kebijakan AWS terkelola mungkin tidak memberikan izin hak istimewa paling sedikit untuk kasus penggunaan spesifik Anda karena tersedia untuk digunakan semua pelanggan. AWS Kami menyarankan Anda untuk mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelola pelanggan yang khusus untuk kasus penggunaan Anda.

Anda tidak dapat mengubah izin yang ditentukan dalam kebijakan AWS terkelola. Jika AWS memperbarui izin yang ditentukan dalam kebijakan AWS terkelola, pembaruan akan memengaruhi semua identitas utama (pengguna, grup, dan peran) yang dilampirkan kebijakan tersebut. AWS kemungkinan besar akan memperbarui kebijakan AWS terkelola saat baru Layanan AWS diluncurkan atau operasi API baru tersedia untuk layanan yang ada.

Untuk informasi selengkapnya, lihat AWS kebijakan yang dikelola dalam Panduan Pengguna IAM.

AmazonPrometheusFullAccess

Anda dapat melampirkan kebijakan AmazonPrometheusFullAccess ke identitas IAM Anda.

Detail izin

Kebijakan ini mencakup izin berikut.

  • aps— Memungkinkan akses penuh ke Amazon Managed Service untuk Prometheus

  • eks— Memungkinkan Layanan Terkelola Amazon untuk layanan Prometheus membaca informasi tentang kluster Amazon EKS Anda. Ini diperlukan untuk memungkinkan pembuatan pencakar terkelola dan menemukan metrik di cluster Anda.

  • ec2— Memungkinkan Layanan Terkelola Amazon untuk layanan Prometheus membaca informasi tentang jaringan Amazon EC2 Anda. Ini diperlukan untuk memungkinkan pembuatan pencakar terkelola dengan akses ke metrik Amazon EKS Anda.

  • iam— Memungkinkan kepala sekolah untuk membuat peran terkait layanan untuk pencakar metrik terkelola.

Isi dari AmazonPrometheusFullAccessadalah sebagai berikut:

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "AllPrometheusActions",
			"Effect": "Allow",
			"Action": [
				"aps:*"
			],
			"Resource": "*"
		},
		{
			"Sid": "DescribeCluster",
			"Effect": "Allow",
			"Action": [
				"eks:DescribeCluster",
				"ec2:DescribeSubnets",
				"ec2:DescribeSecurityGroups"
			],
			"Condition": {
				"ForAnyValue:StringEquals": {
					"aws:CalledVia": [
						"aps.amazonaws.com"
					]
				}
			},
			"Resource": "*"
		},
		{
			"Sid": "CreateServiceLinkedRole",
			"Effect": "Allow",
			"Action": "iam:CreateServiceLinkedRole",
			"Resource": "arn:aws:iam::*:role/aws-service-role/scraper.aps.amazonaws.com/AWSServiceRoleForAmazonPrometheusScraper*",
			"Condition": {
				"StringEquals": {
					"iam:AWSServiceName": "scraper.aps.amazonaws.com"
				}
			}
		}
	]
}

AmazonPrometheusConsoleFullAccess

Anda dapat melampirkan kebijakan AmazonPrometheusConsoleFullAccess ke identitas IAM Anda.

Detail izin

Kebijakan ini mencakup izin berikut.

  • aps— Memungkinkan akses penuh ke Amazon Managed Service untuk Prometheus

  • tag— Memungkinkan kepala sekolah melihat saran tag di Amazon Managed Service untuk konsol Prometheus.

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "TagSuggestions",
			"Effect": "Allow",
			"Action": [
				"tag:GetTagValues",
				"tag:GetTagKeys"
			],
			"Resource": "*"
		},
		{
			"Sid": "PrometheusConsoleActions",
			"Effect": "Allow",
			"Action": [
				"aps:CreateWorkspace",
				"aps:DescribeWorkspace",
				"aps:UpdateWorkspaceAlias",
				"aps:DeleteWorkspace",
				"aps:ListWorkspaces",
				"aps:DescribeAlertManagerDefinition",
				"aps:DescribeRuleGroupsNamespace",
				"aps:CreateAlertManagerDefinition",
				"aps:CreateRuleGroupsNamespace",
				"aps:DeleteAlertManagerDefinition",
				"aps:DeleteRuleGroupsNamespace",
				"aps:ListRuleGroupsNamespaces",
				"aps:PutAlertManagerDefinition",
				"aps:PutRuleGroupsNamespace",
				"aps:TagResource",
				"aps:UntagResource",
				"aps:CreateLoggingConfiguration",
				"aps:UpdateLoggingConfiguration",
				"aps:DeleteLoggingConfiguration",
				"aps:DescribeLoggingConfiguration"
			],
			"Resource": "*"
		}
	]
}

AmazonPrometheusRemoteWriteAccess

Isi dari AmazonPrometheusRemoteWriteAccessadalah sebagai berikut:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "aps:RemoteWrite"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

AmazonPrometheusQueryAccess

Isi dari AmazonPrometheusQueryAccessadalah sebagai berikut:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "aps:GetLabels",
                "aps:GetMetricMetadata",
                "aps:GetSeries",
                "aps:QueryMetrics"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

AWS kebijakan terkelola: AmazonPrometheusScraperServiceRolePolicy

Anda tidak dapat melampirkan AmazonPrometheusScraperServiceRolePolicy ke entitas IAM Anda. Kebijakan ini dilampirkan ke peran terkait layanan yang memungkinkan Layanan Terkelola Amazon untuk Prometheus melakukan tindakan atas nama Anda. Untuk informasi selengkapnya, lihat Menggunakan peran untuk mengikis metrik dari EKS.

Kebijakan ini memberikan izin kontributor yang memungkinkan membaca dari klaster Amazon EKS Anda dan menulis ke ruang kerja Layanan Terkelola Amazon untuk Prometheus.

catatan

Panduan pengguna ini sebelumnya keliru menyebut kebijakan ini AmazonPrometheusScraperServiceLinkedRolePolicy

Detail izin

Kebijakan ini mencakup izin berikut.

  • aps— Memungkinkan kepala layanan untuk menulis metrik ke Layanan Terkelola Amazon Anda untuk ruang kerja Prometheus.

  • ec2— Memungkinkan kepala layanan untuk membaca dan memodifikasi konfigurasi jaringan untuk terhubung ke jaringan yang berisi kluster Amazon EKS Anda.

  • eks— Memungkinkan kepala layanan untuk mengakses kluster Amazon EKS Anda. Ini diperlukan agar dapat secara otomatis mengikis metrik. Juga memungkinkan kepala sekolah untuk membersihkan sumber daya Amazon EKS saat scraper dihapus.

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "DeleteSLR",
			"Effect": "Allow",
			"Action": [
				"iam:DeleteRole"
			],
			"Resource": "arn:aws:iam::*:role/aws-service-role/scraper.aps.amazonaws.com/AWSServiceRoleForAmazonPrometheusScraper*"
		},
		{
			"Sid": "NetworkDiscovery",
			"Effect": "Allow",
			"Action": [
				"ec2:DescribeNetworkInterfaces",
				"ec2:DescribeSubnets",
				"ec2:DescribeSecurityGroups"
			],
			"Resource": "*"
		},
		{
			"Sid": "ENIManagement",
			"Effect": "Allow",
			"Action": "ec2:CreateNetworkInterface",
			"Resource": "*",
			"Condition": {
				"ForAllValues:StringEquals": {
					"aws:TagKeys": [
						"AMPAgentlessScraper"
					]
				}
			}
		},
		{
			"Sid": "TagManagement",
			"Effect": "Allow",
			"Action": "ec2:CreateTags",
			"Resource": "arn:aws:ec2:*:*:network-interface/*",
			"Condition": {
				"StringEquals": {
					"ec2:CreateAction": "CreateNetworkInterface"
				},
				"Null": {
					"aws:RequestTag/AMPAgentlessScraper": "false"
				}
			}
		},
		{
			"Sid": "ENIUpdating",
			"Effect": "Allow",
			"Action": [
				"ec2:DeleteNetworkInterface",
				"ec2:ModifyNetworkInterfaceAttribute"
			],
			"Resource": "*",
			"Condition": {
				"Null": {
					"ec2:ResourceTag/AMPAgentlessScraper": "false"
				}
			}
		},
		{
			"Sid": "EKSAccess",
			"Effect": "Allow",
			"Action": "eks:DescribeCluster",
			"Resource": "arn:aws:eks:*:*:cluster/*"
		},
		{
			"Sid": "DeleteEKSAccessEntry",
			"Effect": "Allow",
			"Action": "eks:DeleteAccessEntry",
			"Resource": "arn:aws:eks:*:*:access-entry/*/role/*",
			"Condition": {
				"StringEquals": {
					"aws:PrincipalAccount": "${aws:ResourceAccount}"
				},
				"ArnLike": {
					"eks:principalArn": "arn:aws:iam::*:role/aws-service-role/scraper.aps.amazonaws.com/AWSServiceRoleForAmazonPrometheusScraper*"
				}
			}
		},
		{
			"Sid": "APSWriting",
			"Effect": "Allow",
			"Action": "aps:RemoteWrite",
			"Resource": "arn:aws:aps:*:*:workspace/*",
			"Condition": {
				"StringEquals": {
					"aws:PrincipalAccount": "${aws:ResourceAccount}"
				}
			}
		}
	]
}

Layanan Terkelola Amazon untuk Prometheus memperbarui kebijakan terkelola AWS

Lihat detail tentang pembaruan kebijakan AWS terkelola untuk Layanan Terkelola Amazon untuk Prometheus sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan umpan RSS di halaman riwayat Amazon Managed Service for Prometheus Document.

Perubahan Deskripsi Tanggal

AmazonPrometheusScraperServiceRolePolicy — Permbaruan ke kebijakan yang sudah ada

Amazon Managed Service untuk Prometheus menambahkan izin baru untuk mendukung penggunaan entri akses di Amazon AmazonPrometheusScraperServiceRolePolicyEKS.

Termasuk izin untuk mengelola entri akses Amazon EKS untuk memungkinkan pembersihan sumber daya saat pencakar dihapus.

catatan

Panduan pengguna yang sebelumnya keliru menyebut kebijakan ini AmazonPrometheusScraperServiceLinkedRolePolicy

 2 Mei 2024

AmazonPrometheusFullAccess – Pembaruan ke kebijakan yang ada

Layanan Terkelola Amazon untuk Prometheus menambahkan izin baru untuk mendukung pembuatan pencakar terkelola AmazonPrometheusFullAccessuntuk metrik di kluster Amazon EKS.

Termasuk izin untuk menghubungkan ke kluster Amazon EKS, membaca jaringan Amazon EC2, dan membuat peran terkait layanan untuk pencakar.

 26 November 2023

AmazonPrometheusScraperServiceLinkedRolePolicy – Kebijakan baru

Layanan Terkelola Amazon untuk Prometheus menambahkan kebijakan peran terkait layanan baru untuk dibaca dari kontainer Amazon EKS, untuk memungkinkan pengikisan metrik secara otomatis.

Termasuk izin untuk menghubungkan ke kluster Amazon EKS, membaca jaringan Amazon EC2, dan membuat dan menghapus jaringan yang diberi tag, AMPAgentlessScraper serta untuk menulis ke Layanan Terkelola Amazon untuk ruang kerja Prometheus.

 26 November 2023

AmazonPrometheusConsoleFullAccess – Pembaruan ke kebijakan yang ada

Layanan Terkelola Amazon untuk Prometheus menambahkan izin baru untuk mendukung pengelola peringatan pencatatan dan AmazonPrometheusConsoleFullAccessperistiwa penggaris di Log. CloudWatch

aps:DescribeLoggingConfigurationIzin aps:CreateLoggingConfiguration aps:UpdateLoggingConfigurationaps:DeleteLoggingConfiguration,, ditambahkan.

 24 Oktober 2022

AmazonPrometheusConsoleFullAccess – Pembaruan ke kebijakan yang ada

Layanan Terkelola Amazon untuk Prometheus menambahkan izin baru untuk mendukung Layanan Terkelola Amazon baru AmazonPrometheusConsoleFullAccessuntuk fitur Prometheus dan agar pengguna dengan kebijakan ini dapat melihat daftar saran tag saat mereka menerapkan tag ke Layanan Terkelola Amazon untuk sumber daya Prometheus.

aps:UntagResourceIzin tag:GetTagKeys tag:GetTagValuesaps:CreateAlertManagerDefinition,aps:CreateRuleGroupsNamespace,aps:DeleteAlertManagerDefinition,aps:DeleteRuleGroupsNamespace, aps:DescribeAlertManagerDefinitionaps:DescribeRuleGroupsNamespace,aps:ListRuleGroupsNamespaces,aps:PutAlertManagerDefinition,aps:PutRuleGroupsNamespace,aps:TagResource,,, dan ditambahkan.

 29 September 2021

Amazon Managed Service untuk Prometheus mulai melacak perubahan

Layanan Terkelola Amazon untuk Prometheus mulai melacak perubahan untuk kebijakan yang dikelola. AWS

15 September 2021