AWS politiche gestite per Amazon Managed Service for Prometheus - Amazon Managed Service per Prometheus
AmazonPrometheusFullAccessAmazonPrometheusConsoleFullAccessAmazonPrometheusRemoteWriteAccessAmazonPrometheusQueryAccessAmazonPrometheusScraperServiceRolePolicyAggiornamenti alle policy

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS politiche gestite per Amazon Managed Service for Prometheus

Una politica AWS gestita è una politica autonoma creata e amministrata da. AWS AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.

Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Ti consigliamo pertanto di ridurre ulteriormente le autorizzazioni definendo policy gestite dal cliente specifiche per i tuoi casi d'uso.

Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti.

Per ulteriori informazioni, consulta Policy gestite da AWSnella Guida per l'utente di IAM.

AmazonPrometheusFullAccess

È possibile allegare la policy AmazonPrometheusFullAccess alle identità IAM.

Dettagli dell'autorizzazione

Questa policy include le seguenti autorizzazioni:

  • aps – Consente l'accesso completo al servizio gestito da Amazon per Prometheus

  • eks – Consente al servizio gestito da Amazon per Prometheus di leggere informazioni sui cluster Amazon EKS. Ciò è necessario per consentire la creazione di scraper gestiti e scoprire i parametri nel cluster.

  • ec2— Consente al servizio Amazon Managed Service for Prometheus di leggere informazioni sulle tue reti Amazon. EC2 Ciò è necessario per consentire la creazione di scraper gestiti con accesso ai parametri di Amazon EKS.

  • iam – Consente ai responsabili di creare un ruolo collegato ai servizi per gli scraper gestiti tramite parametri.

I contenuti di AmazonPrometheusFullAccesssono i seguenti:

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "AllPrometheusActions",
			"Effect": "Allow",
			"Action": [
				"aps:*"
			],
			"Resource": "*"
		},
		{
			"Sid": "DescribeCluster",
			"Effect": "Allow",
			"Action": [
				"eks:DescribeCluster",
				"ec2:DescribeSubnets",
				"ec2:DescribeSecurityGroups"
			],
			"Condition": {
				"ForAnyValue:StringEquals": {
					"aws:CalledVia": [
						"aps.amazonaws.com"
					]
				}
			},
			"Resource": "*"
		},
		{
			"Sid": "CreateServiceLinkedRole",
			"Effect": "Allow",
			"Action": "iam:CreateServiceLinkedRole",
			"Resource": "arn:aws:iam::*:role/aws-service-role/scraper.aps.amazonaws.com/AWSServiceRoleForAmazonPrometheusScraper*",
			"Condition": {
				"StringEquals": {
					"iam:AWSServiceName": "scraper.aps.amazonaws.com"
				}
			}
		}
	]
}

AmazonPrometheusConsoleFullAccess

È possibile allegare la policy AmazonPrometheusConsoleFullAccess alle identità IAM.

Dettagli dell'autorizzazione

Questa policy include le seguenti autorizzazioni:

  • aps – Consente l'accesso completo al servizio gestito da Amazon per Prometheus

  • tag – Consente ai responsabili di visualizzare i suggerimenti sui tag nella console del servizio gestito da Amazon per Prometheus.

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "TagSuggestions",
			"Effect": "Allow",
			"Action": [
				"tag:GetTagValues",
				"tag:GetTagKeys"
			],
			"Resource": "*"
		},
		{
			"Sid": "PrometheusConsoleActions",
			"Effect": "Allow",
			"Action": [
				"aps:CreateWorkspace",
				"aps:DescribeWorkspace",
				"aps:UpdateWorkspaceAlias",
				"aps:DeleteWorkspace",
				"aps:ListWorkspaces",
				"aps:DescribeAlertManagerDefinition",
				"aps:DescribeRuleGroupsNamespace",
				"aps:CreateAlertManagerDefinition",
				"aps:CreateRuleGroupsNamespace",
				"aps:DeleteAlertManagerDefinition",
				"aps:DeleteRuleGroupsNamespace",
				"aps:ListRuleGroupsNamespaces",
				"aps:PutAlertManagerDefinition",
				"aps:PutRuleGroupsNamespace",
				"aps:TagResource",
				"aps:UntagResource",
				"aps:CreateLoggingConfiguration",
				"aps:UpdateLoggingConfiguration",
				"aps:DeleteLoggingConfiguration",
				"aps:DescribeLoggingConfiguration"
			],
			"Resource": "*"
		}
	]
}

AmazonPrometheusRemoteWriteAccess

I contenuti di AmazonPrometheusRemoteWriteAccesssono i seguenti:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "aps:RemoteWrite"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

AmazonPrometheusQueryAccess

I contenuti di AmazonPrometheusQueryAccesssono i seguenti:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "aps:GetLabels",
                "aps:GetMetricMetadata",
                "aps:GetSeries",
                "aps:QueryMetrics"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

AWS politica gestita: AmazonPrometheusScraperServiceRolePolicy

Non puoi collegarti AmazonPrometheusScraperServiceRolePolicy alle tue entità IAM. Questa policy è associata a un ruolo collegato ai servizi che consente al servizio gestito da Amazon per Prometheus di eseguire operazioni per tuo conto. Per ulteriori informazioni, consulta Utilizzo dei ruoli per l'analisi dei parametri da EKS.

Questa policy concede le autorizzazioni per i contributori che consentono la lettura dal tuo cluster Amazon EKS e la scrittura nel tuo spazio di lavoro del servizio gestito da Amazon per Prometheus.

Nota

Questa guida per l'utente in precedenza chiamava erroneamente questa politica AmazonPrometheusScraperServiceLinkedRolePolicy

Dettagli dell'autorizzazione

Questa policy include le seguenti autorizzazioni:

  • aps – Consente al responsabile del servizio di scrivere metriche nelle aree di lavoro del servizio gestito da Amazon per Prometheus.

  • ec2 – Consente al responsabile del servizio di leggere e modificare la configurazione di rete per connettersi alla rete che contiene i cluster Amazon EKS.

  • eks – Consente al responsabile del servizio di accedere ai cluster Amazon EKS. Ciò è necessario per consentire di acquisire automaticamente i parametri. Consente inoltre al committente di ripulire le risorse Amazon EKS quando viene rimosso uno scraper.

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "DeleteSLR",
			"Effect": "Allow",
			"Action": [
				"iam:DeleteRole"
			],
			"Resource": "arn:aws:iam::*:role/aws-service-role/scraper.aps.amazonaws.com/AWSServiceRoleForAmazonPrometheusScraper*"
		},
		{
			"Sid": "NetworkDiscovery",
			"Effect": "Allow",
			"Action": [
				"ec2:DescribeNetworkInterfaces",
				"ec2:DescribeSubnets",
				"ec2:DescribeSecurityGroups"
			],
			"Resource": "*"
		},
		{
			"Sid": "ENIManagement",
			"Effect": "Allow",
			"Action": "ec2:CreateNetworkInterface",
			"Resource": "*",
			"Condition": {
				"ForAllValues:StringEquals": {
					"aws:TagKeys": [
						"AMPAgentlessScraper"
					]
				}
			}
		},
		{
			"Sid": "TagManagement",
			"Effect": "Allow",
			"Action": "ec2:CreateTags",
			"Resource": "arn:aws:ec2:*:*:network-interface/*",
			"Condition": {
				"StringEquals": {
					"ec2:CreateAction": "CreateNetworkInterface"
				},
				"Null": {
					"aws:RequestTag/AMPAgentlessScraper": "false"
				}
			}
		},
		{
			"Sid": "ENIUpdating",
			"Effect": "Allow",
			"Action": [
				"ec2:DeleteNetworkInterface",
				"ec2:ModifyNetworkInterfaceAttribute"
			],
			"Resource": "*",
			"Condition": {
				"Null": {
					"ec2:ResourceTag/AMPAgentlessScraper": "false"
				}
			}
		},
		{
			"Sid": "EKSAccess",
			"Effect": "Allow",
			"Action": "eks:DescribeCluster",
			"Resource": "arn:aws:eks:*:*:cluster/*"
		},
		{
			"Sid": "DeleteEKSAccessEntry",
			"Effect": "Allow",
			"Action": "eks:DeleteAccessEntry",
			"Resource": "arn:aws:eks:*:*:access-entry/*/role/*",
			"Condition": {
				"StringEquals": {
					"aws:PrincipalAccount": "${aws:ResourceAccount}"
				},
				"ArnLike": {
					"eks:principalArn": "arn:aws:iam::*:role/aws-service-role/scraper.aps.amazonaws.com/AWSServiceRoleForAmazonPrometheusScraper*"
				}
			}
		},
		{
			"Sid": "APSWriting",
			"Effect": "Allow",
			"Action": "aps:RemoteWrite",
			"Resource": "arn:aws:aps:*:*:workspace/*",
			"Condition": {
				"StringEquals": {
					"aws:PrincipalAccount": "${aws:ResourceAccount}"
				}
			}
		}
	]
}

Amazon Managed Service for Prometheus aggiorna le policy gestite AWS

Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite per Amazon Managed Service for Prometheus da quando questo servizio ha iniziato a tracciare queste modifiche. Per gli avvisi automatici sulle modifiche apportate a questa pagina, sottoscrivere il feed RSS nella pagina di Cronologia dei documenti del servizio gestito da Amazon per Prometheus.

Modifica Descrizione Data

AmazonPrometheusScraperServiceRolePolicy: aggiornamento a una policy esistente

Amazon Managed Service for Prometheus ha aggiunto nuove autorizzazioni a AmazonPrometheusScraperServiceRolePolicyper supportare l'utilizzo delle voci di accesso in Amazon EKS.

Include le autorizzazioni per la gestione delle voci di accesso di Amazon EKS per consentire la pulizia delle risorse quando gli scraper vengono eliminati.

Nota

La guida per l'utente in precedenza indicava erroneamente questa politica AmazonPrometheusScraperServiceLinkedRolePolicy

 2 maggio 2024

AmazonPrometheusFullAccess: aggiornamento a una policy esistente

Amazon Managed Service for Prometheus ha aggiunto nuove autorizzazioni a AmazonPrometheusFullAccessper supportare la creazione di scraper gestiti per le metriche nei cluster Amazon EKS.

Include le autorizzazioni per la connessione ai cluster Amazon EKS, la lettura EC2 delle reti Amazon e la creazione di un ruolo collegato ai servizi per gli scraper.

 26 novembre 2023

AmazonPrometheusScraperServiceLinkedRolePolicy: nuova policy

Il servizio gestito da Amazon per Prometheus ha aggiunto una nuova policy relativa ai ruoli collegati ai servizi da leggere dai contenitori Amazon EKS, per consentire lo scraping automatico dei parametri.

Include le autorizzazioni per la connessione ai cluster Amazon EKS, la lettura EC2 delle reti Amazon e la creazione e l'eliminazione di reti contrassegnate comeAMPAgentlessScraper, nonché per la scrittura negli spazi di lavoro Amazon Managed Service for Prometheus.

 26 novembre 2023

AmazonPrometheusConsoleFullAccess: aggiornamento a una policy esistente

Amazon Managed Service for Prometheus ha aggiunto nuove autorizzazioni a AmazonPrometheusConsoleFullAccessper supportare la registrazione degli eventi di Alert Manager e Ruler in Logs. CloudWatch

Le autorizzazioni aps:CreateLoggingConfiguration, aps:UpdateLoggingConfiguration, aps:DeleteLoggingConfiguration, aps:DescribeLoggingConfiguration sono state aggiunte.

 24 ottobre 2022

AmazonPrometheusConsoleFullAccess: aggiornamento a una policy esistente

Amazon Managed Service for Prometheus ha aggiunto nuove autorizzazioni a AmazonPrometheusConsoleFullAccessper supportare le nuove funzionalità di Amazon Managed Service for Prometheus e in modo che gli utenti con questa politica possano visualizzare un elenco di suggerimenti di tag quando applicano tag alle risorse di Amazon Managed Service for Prometheus.

Le autorizzazioni tag:GetTagKeys, tag:GetTagValues, aps:CreateAlertManagerDefinition, aps:CreateRuleGroupsNamespace, aps:DeleteAlertManagerDefinition, aps:DeleteRuleGroupsNamespace, aps:DescribeAlertManagerDefinition, aps:DescribeRuleGroupsNamespace, aps:ListRuleGroupsNamespaces, aps:PutAlertManagerDefinition, aps:PutRuleGroupsNamespace, aps:TagResource e aps:UntagResource sono state aggiunte.

 29 settembre 2021

Il servizio gestito da Amazon per Prometheus ha iniziato a tenere traccia delle modifiche

Amazon Managed Service for Prometheus ha iniziato a tracciare le modifiche alle sue politiche gestite. AWS

15 settembre 2021