Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
AWS politiche gestite per Amazon Managed Grafana
Una politica AWS gestita è una politica autonoma creata e amministrata da. AWS AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.
Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Consigliamo pertanto di ridurre ulteriormente le autorizzazioni definendo policy gestite dal cliente specifiche per i tuoi casi d'uso.
Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti.
Per ulteriori informazioni, consultare Policy gestite da AWSnella Guida per l'utente di IAM.
AWS politica gestita: AWSGrafanaAccountAdministrator
AWSGrafanaAccountAdministrator questa policy fornisce l'accesso all'interno di Amazon Managed Grafana per creare e gestire account e aree di lavoro per l'intera organizzazione.
Puoi collegarti AWSGrafanaAccountAdministrator alle tue entità IAM.
Dettagli dell'autorizzazione
Questa policy include le seguenti autorizzazioni:
-
iam
— Consente ai responsabili di elencare e ottenere i ruoli IAM in modo che l'amministratore possa associare un ruolo a uno spazio di lavoro e passare i ruoli al servizio Amazon Managed Grafana. -
Amazon Managed Grafana
— Consente ai principali di accedere in lettura e scrittura a tutte le API Amazon Managed Grafana.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSGrafanaOrganizationAdmin", "Effect": "Allow", "Action": [ "iam:ListRoles" ], "Resource": "*" }, { "Sid": "GrafanaIAMGetRolePermission", "Effect": "Allow", "Action": "iam:GetRole", "Resource": "arn:aws:iam::*:role/*" }, { "Sid": "AWSGrafanaPermissions", "Effect": "Allow", "Action": [ "grafana:*" ], "Resource": "*" }, { "Sid": "GrafanaIAMPassRolePermission", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringLike": { "iam:PassedToService": "grafana.amazonaws.com" } } } ] }
AWS politica gestita: AWSGrafanaWorkspacePermissionManagement (obsoleta)
Questa politica è obsoleta. Questa politica non deve essere associata a nuovi utenti, gruppi o ruoli.
Amazon Managed Grafana ha aggiunto una nuova policy, AWSGrafanaWorkspacePermissionManagementV2 per sostituire questa politica. Questa nuova policy gestita migliora la sicurezza del tuo spazio di lavoro fornendo un set di autorizzazioni più restrittivo.
AWS politica gestita: AWSGrafanaWorkspacePermissionManagementV2
AWSGrafanaWorkspacePermissionManagementVLa policy 2 offre solo la possibilità di aggiornare le autorizzazioni di utenti e gruppi per le aree di lavoro Amazon Managed Grafana.
Puoi collegarne AWSGrafanaWorkspacePermissionManagementV2 alle tue entità IAM.
Dettagli dell'autorizzazione
Questa policy include le seguenti autorizzazioni:
-
Amazon Managed Grafana
— Consente ai responsabili di leggere e aggiornare le autorizzazioni di utenti e gruppi per le aree di lavoro Amazon Managed Grafana. -
IAM Identity Center
— Consente ai responsabili di leggere le entità IAM Identity Center. Questa è una parte necessaria dell'associazione dei principali alle applicazioni Amazon Managed Grafana, ma richiede anche un passaggio aggiuntivo, descritto dopo l'elenco delle politiche che segue.
{ "Version": "2012-10-17", "Statement": [{ "Sid": "AWSGrafanaPermissions", "Effect": "Allow", "Action": [ "grafana:DescribeWorkspace", "grafana:DescribeWorkspaceAuthentication", "grafana:UpdatePermissions", "grafana:ListPermissions", "grafana:ListWorkspaces" ], "Resource": "arn:aws:grafana:*:*:/workspaces*" }, { "Sid": "IAMIdentityCenterPermissions", "Effect": "Allow", "Action": [ "sso:DescribeRegisteredRegions", "sso:GetSharedSsoConfiguration", "sso:ListDirectoryAssociations", "sso:GetManagedApplicationInstance", "sso:ListProfiles", "sso:GetProfile", "sso:ListProfileAssociations", "sso-directory:DescribeUser", "sso-directory:DescribeGroup" ], "Resource": "*" } ] }
È necessaria una politica aggiuntiva
Per consentire completamente a un utente di assegnare le autorizzazioni, oltre alla AWSGrafanaWorkspacePermissionManagementV2
policy, è necessario assegnare anche una policy per fornire l'accesso all'assegnazione delle applicazioni in IAM Identity Center.
Per creare questa politica, devi prima raccogliere l'ARN dell'applicazione Grafana per il tuo spazio di lavoro
-
Apri la console IAM Identity Center
. -
Scegli Applicazioni dal menu a sinistra.
-
Nella scheda AWS gestita, trova l'applicazione chiamata Amazon Grafana- workspace-name, dove
workspace-name
è il nome del tuo spazio di lavoro. Seleziona il nome dell'applicazione. -
Viene mostrata l'applicazione IAM Identity Center gestita da Amazon Managed Grafana per l'area di lavoro. L'ARN di questa applicazione è mostrato nella pagina dei dettagli. Sarà nella forma:
arn:aws:sso::
.owner-account-id
:application/ssoins-unique-id
/apl-unique-id
La politica che crei dovrebbe essere simile alla seguente. Sostituisci grafana-application-arn
con l'ARN che hai trovato nel passaggio precedente:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sso:CreateApplicationAssignment", "sso:DeleteApplicationAssignment" ], "Resource": [ "
grafana-application-arn
" ] } ] }
Per informazioni su come creare e applicare le policy ai ruoli o agli utenti, consulta Aggiungere e rimuovere le autorizzazioni di identità IAM nella Guida per l'AWS Identity and Access Management utente.
AWS politica gestita: AWSGrafanaConsoleReadOnlyAccess
AWSGrafanaConsoleReadOnlyAccess la policy consente l'accesso alle operazioni di sola lettura in Amazon Managed Grafana.
Puoi collegarti alle tue entità AWSGrafanaConsoleReadOnlyAccess IAM.
Dettagli dell'autorizzazione
Questa politica include le seguenti autorizzazioni.
-
Amazon Managed Grafana
— Consente ai principali l'accesso in sola lettura alle API Amazon Managed Grafana
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSGrafanaConsoleReadOnlyAccess", "Effect": "Allow", "Action": ["grafana:Describe*", "grafana:List*"], "Resource": "*" } ] }
AWS politica gestita: AmazonGrafanaRedshiftAccess
Questa policy garantisce l'accesso mirato ad Amazon Redshift e alle dipendenze necessarie per utilizzare il plug-in Amazon Redshift in Amazon Managed Grafana. AmazonGrafanaRedshiftAccess la policy consente a un utente o a un ruolo IAM di utilizzare il plug-in di origine dati Amazon Redshift in Grafana. Le credenziali temporanee per i database Amazon Redshift sono limitate all'redshift_data_api_user
utente del database e le credenziali di Secrets Manager possono essere recuperate se il segreto è etichettato con la chiave. RedshiftQueryOwner
Questa policy consente l'accesso ai cluster Amazon Redshift contrassegnati con. GrafanaDataSource
Quando si crea una policy gestita dal cliente, l'autenticazione basata su tag è facoltativa.
Puoi collegarti AmazonGrafanaRedshiftAccess alle tue entità IAM. Amazon Managed Grafana attribuisce questa politica anche a un ruolo di servizio che consente ad Amazon Managed Grafana di eseguire azioni per tuo conto.
Dettagli dell'autorizzazione
Questa politica include le seguenti autorizzazioni.
-
Amazon Redshift
— Consente ai responsabili di descrivere i cluster e ottenere credenziali temporanee per un utente del database denominato.redshift_data_api_user
-
Amazon Redshift–data
— Consente ai principali di eseguire interrogazioni sui cluster contrassegnati come.GrafanaDataSource
-
Secrets Manager
— Consente ai presidi di elencare i segreti e di leggere i valori segreti per i segreti etichettati come.RedshiftQueryOwner
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "redshift:DescribeClusters", "redshift-data:GetStatementResult", "redshift-data:DescribeStatement", "secretsmanager:ListSecrets" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "redshift-data:DescribeTable", "redshift-data:ExecuteStatement", "redshift-data:ListTables", "redshift-data:ListSchemas" ], "Resource": "*", "Condition": { "Null": { "aws:ResourceTag/GrafanaDataSource": "false" } } }, { "Effect": "Allow", "Action": "redshift:GetClusterCredentials", "Resource": [ "arn:aws:redshift:*:*:dbname:*/*", "arn:aws:redshift:*:*:dbuser:*/redshift_data_api_user" ] }, { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": "*", "Condition": { "Null": { "secretsmanager:ResourceTag/RedshiftQueryOwner": "false" } } } ] }
AWS politica gestita: AmazonGrafanaAthenaAccess
Questa policy garantisce l'accesso ad Athena e alle dipendenze necessarie per abilitare l'interrogazione e la scrittura dei risultati su Amazon S3 dal plug-in Athena in Amazon Managed Grafana. AmazonGrafanaAthenaAccessla policy consente a un utente o a un ruolo IAM di utilizzare il plug-in di origine dati Athena in Grafana. I gruppi di lavoro Athena devono essere etichettati con GrafanaDataSource
per essere accessibili. Questa policy contiene le autorizzazioni per scrivere i risultati delle query in un bucket Amazon S3 con un nome preceduto da. grafana-athena-query-results-
Le autorizzazioni di Amazon S3 per l'accesso all'origine dati sottostante di una query Athena non sono incluse in questa politica.
Puoi allegare AWSGrafanaAthenaAccess policy alle tue entità IAM. Amazon Managed Grafana attribuisce questa politica anche a un ruolo di servizio che consente ad Amazon Managed Grafana di eseguire azioni per tuo conto.
Dettagli dell'autorizzazione
Questa politica include le seguenti autorizzazioni.
-
Athena
— Consente ai responsabili di eseguire interrogazioni sulle risorse Athena nei gruppi di lavoro contrassegnati come.GrafanaDataSource
-
Amazon S3
— Consente ai responsabili di leggere e scrivere i risultati delle query in un bucket con il prefisso.grafana-athena-query-results-
-
AWS Glue
— Consente ai principali l'accesso ai database, alle tabelle e alle partizioni di AWS Glue. Ciò è necessario affinché il preside possa utilizzare il AWS Glue Data Catalog con Athena.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "athena:GetDatabase", "athena:GetDataCatalog", "athena:GetTableMetadata", "athena:ListDatabases", "athena:ListDataCatalogs", "athena:ListTableMetadata", "athena:ListWorkGroups" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "athena:GetQueryExecution", "athena:GetQueryResults", "athena:GetWorkGroup", "athena:StartQueryExecution", "athena:StopQueryExecution" ], "Resource": [ "*" ], "Condition": { "Null": { "aws:ResourceTag/GrafanaDataSource": "false" } } }, { "Effect": "Allow", "Action": [ "glue:GetDatabase", "glue:GetDatabases", "glue:GetTable", "glue:GetTables", "glue:GetPartition", "glue:GetPartitions", "glue:BatchGetPartition" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket", "s3:ListBucketMultipartUploads", "s3:ListMultipartUploadParts", "s3:AbortMultipartUpload", "s3:CreateBucket", "s3:PutObject", "s3:PutBucketPublicAccessBlock" ], "Resource": [ "arn:aws:s3:::grafana-athena-query-results-*" ] } ] }
AWS politica gestita: AmazonGrafanaCloudWatchAccess
Questa politica garantisce l'accesso ad Amazon CloudWatch e alle dipendenze necessarie per l'uso CloudWatch come origine dati all'interno di Amazon Managed Grafana.
Puoi allegare AWSGrafanaCloudWatchAccess policy alle tue entità IAM. Amazon Managed Grafana attribuisce questa politica anche a un ruolo di servizio che consente ad Amazon Managed Grafana di eseguire azioni per tuo conto.
Dettagli dell'autorizzazione
Questa policy include le seguenti autorizzazioni:
-
CloudWatch
— Consente ai responsabili di elencare e ottenere dati metrici e log da Amazon. CloudWatch Consente inoltre di visualizzare i dati condivisi dagli account di origine in CloudWatch modo osservabile su più account. -
Amazon EC2
— Consente ai responsabili di ottenere dettagli sulle risorse che vengono monitorate. -
Tags
— Consente ai responsabili di accedere ai tag sulle risorse, per consentire il filtraggio delle CloudWatch query metriche.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarmsForMetric", "cloudwatch:DescribeAlarmHistory", "cloudwatch:DescribeAlarms", "cloudwatch:ListMetrics", "cloudwatch:GetMetricStatistics", "cloudwatch:GetMetricData", "cloudwatch:GetInsightRuleReport" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "logs:DescribeLogGroups", "logs:GetLogGroupFields", "logs:StartQuery", "logs:StopQuery", "logs:GetQueryResults", "logs:GetLogEvents" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:DescribeTags", "ec2:DescribeInstances", "ec2:DescribeRegions" ], "Resource": "*" }, { "Effect": "Allow", "Action": "tag:GetResources", "Resource": "*" }, { "Effect": "Allow", "Action": [ "oam:ListSinks", "oam:ListAttachedLinks" ], "Resource": "*" } ] }
Amazon Managed Grafana si aggiorna alle AWS policy gestite
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite per Amazon Managed Grafana da quando questo servizio ha iniziato a tracciare queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al feed RSS nella pagina della cronologia dei documenti di Amazon Managed Grafana.
Modifica | Descrizione | Data |
---|---|---|
AWSGrafanaWorkspacePermissionManagement— obsoleto |
Questa policy è stata sostituita da AWSGrafanaWorkspacePermissionManagementV2. Questa politica è considerata obsoleta e non verrà più aggiornata. La nuova politica migliora la sicurezza dell'area di lavoro fornendo un set di autorizzazioni più restrittivo. |
5 gennaio 2024 |
AWSGrafanaWorkspacePermissionManagementV2 — Nuova politica |
Amazon Managed Grafana ha aggiunto una nuova politica, AWSGrafanaWorkspacePermissionManagementV2per sostituire la politica obsoleta AWSGrafanaWorkspacePermissionManagement. Questa nuova policy gestita migliora la sicurezza del tuo spazio di lavoro fornendo un set di autorizzazioni più restrittivo. |
5 gennaio 2024 |
AmazonGrafanaCloudWatchAccess: nuova policy |
Amazon Managed Grafana ha aggiunto una nuova policy. AmazonGrafanaCloudWatchAccess |
24 marzo 2023 |
AWSGrafanaWorkspacePermissionManagement: aggiornamento a una policy esistente |
Amazon Managed Grafana ha aggiunto nuove autorizzazioni in AWSGrafanaWorkspacePermissionManagementmodo che gli utenti e i gruppi di IAM Identity Center in Active Directory possano essere associati agli spazi di lavoro Grafana. Sono state aggiunte le seguenti autorizzazioni: e |
14 marzo 2023 |
AWSGrafanaWorkspacePermissionManagement: aggiornamento a una policy esistente |
Amazon Managed Grafana ha aggiunto nuove autorizzazioni per consentire agli utenti e ai AWSGrafanaWorkspacePermissionManagementgruppi di IAM Identity Center di essere associati agli spazi di lavoro Grafana. Sono state aggiunte le seguenti autorizzazioni: |
20 dicembre 2022 |
AmazonGrafanaServiceLinkedRolePolicy— Nuova politica SLR |
Amazon Managed Grafana ha aggiunto una nuova policy per il ruolo collegato ai servizi Grafana,. AmazonGrafanaServiceLinkedRolePolicy |
18 novembre 2022 |
AWSGrafanaAccountAdministrator, AWSGrafanaConsoleReadOnlyAccess |
Consenti l'accesso a tutte le risorse Amazon Managed Grafana | 17 febbraio 2022 |
AmazonGrafanaRedshiftAccess: nuova policy |
Amazon Managed Grafana ha aggiunto una nuova policy. AmazonGrafanaRedshiftAccess |
26 novembre 2021 |
AmazonGrafanaAthenaAccess: nuova policy |
Amazon Managed Grafana ha aggiunto una nuova policy. AmazonGrafanaAthenaAccess |
22 novembre 2021 |
AWSGrafanaAccountAdministrator: aggiornamento a una policy esistente |
Amazon Managed Grafana ha rimosso le autorizzazioni da. AWSGrafanaAccountAdministrator L'ambito di |
13 ottobre 2021 |
AWSGrafanaWorkspacePermissionManagement: aggiornamento a una policy esistente |
Amazon Managed Grafana ha aggiunto nuove autorizzazioni in AWSGrafanaWorkspacePermissionManagementmodo che gli utenti con questa policy possano vedere i metodi di autenticazione associati alle aree di lavoro. L' |
21 settembre 2021 |
AWSGrafanaConsoleReadOnlyAccess: aggiornamento a una policy esistente |
Amazon Managed Grafana ha aggiunto nuove autorizzazioni in AWSGrafanaConsoleReadOnlyAccessmodo che gli utenti con questa policy possano vedere i metodi di autenticazione associati alle aree di lavoro. Le |
21 settembre 2021 |
Amazon Managed Grafana ha iniziato a tracciare le modifiche |
Amazon Managed Grafana ha iniziato a tracciare le modifiche alle sue policy AWS gestite. |
9 settembre 2021 |