AWS Amazon Managed Grafana の マネージドポリシー - Amazon Managed Grafana

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Amazon Managed Grafana の マネージドポリシー

AWS 管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーです AWS。 AWS 管理ポリシーは、多くの一般的なユースケースにアクセス許可を付与するように設計されているため、ユーザー、グループ、ロールにアクセス許可の割り当てを開始できます。

AWS 管理ポリシーは、すべての AWS お客様が使用できるため、特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることに注意してください。ユースケース別にカスタマーマネージドポリシーを定義して、マネージドポリシーを絞り込むことをお勧めします。

AWS 管理ポリシーで定義されているアクセス許可は変更できません。が AWS 管理ポリシーで定義されたアクセス許可 AWS を更新すると、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) が更新されます。 は、新しい AWS のサービス が起動されたとき、または既存のサービスで新しい API AWS オペレーションが使用可能になったときに、 AWS 管理ポリシーを更新する可能性が最も高くなります。

詳細については、「IAM ユーザーガイド」の「AWS マネージドポリシー」を参照してください。

AWS マネージドポリシー: AWSGrafanaAccountAdministrator

AWSGrafanaAccountAdministrator ポリシーは、Amazon Managed Grafana 内でアクセスを提供し、組織全体のアカウントとワークスペースを作成および管理します。

IAM エンティティ AWSGrafanaAccountAdministrator に をアタッチできます。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • iam — プリンシパルが IAM ロールを一覧表示して取得できるようにします。これにより、管理者はロールをワークスペースに関連付けたり、ロールを Amazon Managed Grafana サービスに渡すことができます。

  • Amazon Managed Grafana – プリンシパルにすべての Amazon Managed Grafana APIs。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSGrafanaOrganizationAdmin", "Effect": "Allow", "Action": [ "iam:ListRoles" ], "Resource": "*" }, { "Sid": "GrafanaIAMGetRolePermission", "Effect": "Allow", "Action": "iam:GetRole", "Resource": "arn:aws:iam::*:role/*" }, { "Sid": "AWSGrafanaPermissions", "Effect": "Allow", "Action": [ "grafana:*" ], "Resource": "*" }, { "Sid": "GrafanaIAMPassRolePermission", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringLike": { "iam:PassedToService": "grafana.amazonaws.com" } } } ] }

AWS 管理ポリシー: AWSGrafanaWorkspacePermissionManagement (廃止)

このポリシーは廃止されています。このポリシーは、新しいユーザー、グループ、またはロールにアタッチしないでください。

Amazon Managed Grafana は、このポリシーを置き換える新しいポリシー AWSGrafanaWorkspacePermissionManagementV2 を追加しました。この新しい管理ポリシーは、より制限の厳しいアクセス許可セットを提供することで、ワークスペースのセキュリティを向上させます。

AWS 管理ポリシー: AWSGrafanaWorkspacePermissionManagementV2

AWSGrafanaWorkspacePermissionManagementV2 ポリシーは、Amazon Managed Grafana ワークスペースのユーザーおよびグループのアクセス許可を更新する機能のみを提供します。

IAM エンティティに AWSGrafanaWorkspacePermissionManagementV2 をアタッチできます。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • Amazon Managed Grafana — プリンシパルが Amazon Managed Grafana ワークスペースのユーザーおよびグループのアクセス許可を読み取って更新できるようにします。

  • IAM Identity Center — プリンシパルが IAM Identity Center エンティティを読み取ることを許可します。これは、プリンシパルを Amazon Managed Grafana アプリケーションに関連付けるために必要な部分ですが、以下のポリシーリストの後に説明されている追加のステップも必要です。

{ "Version": "2012-10-17", "Statement": [{ "Sid": "AWSGrafanaPermissions", "Effect": "Allow", "Action": [ "grafana:DescribeWorkspace", "grafana:DescribeWorkspaceAuthentication", "grafana:UpdatePermissions", "grafana:ListPermissions", "grafana:ListWorkspaces" ], "Resource": "arn:aws:grafana:*:*:/workspaces*" }, { "Sid": "IAMIdentityCenterPermissions", "Effect": "Allow", "Action": [ "sso:DescribeRegisteredRegions", "sso:GetSharedSsoConfiguration", "sso:ListDirectoryAssociations", "sso:GetManagedApplicationInstance", "sso:ListProfiles", "sso:GetProfile", "sso:ListProfileAssociations", "sso-directory:DescribeUser", "sso-directory:DescribeGroup" ], "Resource": "*" } ] }

追加のポリシーが必要

ユーザーに許可の割り当てを完全に許可するには、AWSGrafanaWorkspacePermissionManagementV2ポリシーに加えて、IAM Identity Center のアプリケーション割り当てへのアクセスを提供するポリシーも割り当てる必要があります。

このポリシーを作成するには、まずワークスペースの Grafana アプリケーション ARN を収集する必要があります。

  1. IAM Identity Center コンソールを開きます。

  2. 左側のメニューからアプリケーションを選択します。

  3. AWS マネージドタブで、Amazon Grafana-workspace-name というアプリケーションを見つけます。ここでworkspace-nameはワークスペースの名前です。アプリケーション名を選択します。

  4. Amazon Managed Grafana が管理するワークスペース用の IAM Identity Center アプリケーションが表示されます。このアプリケーションの ARN は詳細ページに表示されます。これは の形式になりますarn:aws:sso::owner-account-id:application/ssoins-unique-id/apl-unique-id

作成するポリシーは次のようになります。を、前のステップで確認した ARN grafana-application-arnに置き換えます。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sso:CreateApplicationAssignment", "sso:DeleteApplicationAssignment" ], "Resource": [ "grafana-application-arn" ] } ] }

ロールまたはユーザーにポリシーを作成して適用する方法については、 ユーザーガイドの「IAM ID アクセス許可の追加と削除AWS Identity and Access Management 」を参照してください。

AWS 管理ポリシー: AWSGrafanaConsoleReadOnlyAccess

AWSGrafanaConsoleReadOnlyAccess ポリシーは、Amazon Managed Grafana の読み取り専用オペレーションへのアクセスを許可します。

IAM エンティティ AWSGrafanaConsoleReadOnlyAccess に をアタッチできます。

許可の詳細

このポリシーには、次のアクセス許可が含まれます。

  • Amazon Managed Grafana — Amazon Managed Grafana APIs

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSGrafanaConsoleReadOnlyAccess", "Effect": "Allow", "Action": ["grafana:Describe*", "grafana:List*"], "Resource": "*" } ] }

AWS マネージドポリシー: AmazonGrafanaRedshiftAccess

このポリシーは、Amazon Redshift へのスコープ付きアクセスを許可し、Amazon Managed Grafana. AmazonGrafanaRedshiftAccess policy で Amazon Redshift プラグインを使用するために必要な依存関係により、ユーザーまたは IAM ロールが Grafana で Amazon Redshift データソースプラグインを使用できるようにします。Amazon Redshift データベースの一時的な認証情報はデータベースユーザーに限定redshift_data_api_userされ、シークレットがキー でタグ付けされている場合、Secrets Manager の認証情報を取得できますRedshiftQueryOwner。このポリシーは、 でタグ付けされた Amazon Redshift クラスターへのアクセスを許可しますGrafanaDataSource。カスタマー管理ポリシーを作成する場合、タグベースの認証はオプションです。

IAM エンティティ AmazonGrafanaRedshiftAccess に をアタッチできます。Amazon Managed Grafana は、Amazon Managed Grafana がユーザーに代わってアクションを実行できるようにするサービスロールにもこのポリシーをアタッチします。

許可の詳細

このポリシーには、次のアクセス許可が含まれます。

  • Amazon Redshift — プリンシパルがクラスターを記述し、 という名前のデータベースユーザーの一時的な認証情報を取得できるようにしますredshift_data_api_user

  • Amazon Redshift–data — プリンシパルが としてタグ付けされたクラスターでクエリを実行できるようにしますGrafanaDataSource

  • Secrets Manager – プリンシパルがシークレットを一覧表示し、 としてタグ付けされたシークレットのシークレット値を読み取ることを許可しますRedshiftQueryOwner

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "redshift:DescribeClusters", "redshift-data:GetStatementResult", "redshift-data:DescribeStatement", "secretsmanager:ListSecrets" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "redshift-data:DescribeTable", "redshift-data:ExecuteStatement", "redshift-data:ListTables", "redshift-data:ListSchemas" ], "Resource": "*", "Condition": { "Null": { "aws:ResourceTag/GrafanaDataSource": "false" } } }, { "Effect": "Allow", "Action": "redshift:GetClusterCredentials", "Resource": [ "arn:aws:redshift:*:*:dbname:*/*", "arn:aws:redshift:*:*:dbuser:*/redshift_data_api_user" ] }, { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": "*", "Condition": { "Null": { "secretsmanager:ResourceTag/RedshiftQueryOwner": "false" } } } ] }

AWS マネージドポリシー: AmazonGrafanaAthenaAccess

このポリシーは、Amazon Managed Grafana の Athena プラグインから Amazon S3 へのクエリと結果の書き込みを有効にするために必要な依存関係と Athena へのアクセスを許可します。 AmazonGrafanaAthenaAccess ポリシーは、ユーザーまたは IAM ロールが Grafana の Athena データソースプラグインを使用することを許可します。Athena ワークグループGrafanaDataSourceにアクセスするには、 でタグ付けする必要があります。このポリシーには、 というプレフィックスが付いた名前の Amazon S3 バケットにクエリ結果を書き込むためのアクセス許可が含まれていますgrafana-athena-query-results-。Athena クエリの基盤となるデータソースにアクセスするための Amazon S3 アクセス許可は、このポリシーに含まれません。

IAM エンティティに AWSGrafanaAthenaAccess ポリシーをアタッチできます。Amazon Managed Grafana は、Amazon Managed Grafana がユーザーに代わってアクションを実行できるようにするサービスロールにもこのポリシーをアタッチします。

許可の詳細

このポリシーには、次のアクセス許可が含まれます。

  • Athena — プリンシパルが としてタグ付けされたワークグループ内の Athena リソースに対してクエリを実行できるようにしますGrafanaDataSource

  • Amazon S3 – プリンシパルが、プレフィックスが のバケットに対してクエリ結果の読み取りと書き込みを行うことができますgrafana-athena-query-results-

  • AWS Glue – プリンシパルに AWS Glue データベース、テーブル、パーティションへのアクセスを許可します。これは、プリンシパルが Athena で Glue データカタログを使用 AWS できるようにするために必要です。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "athena:GetDatabase", "athena:GetDataCatalog", "athena:GetTableMetadata", "athena:ListDatabases", "athena:ListDataCatalogs", "athena:ListTableMetadata", "athena:ListWorkGroups" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "athena:GetQueryExecution", "athena:GetQueryResults", "athena:GetWorkGroup", "athena:StartQueryExecution", "athena:StopQueryExecution" ], "Resource": [ "*" ], "Condition": { "Null": { "aws:ResourceTag/GrafanaDataSource": "false" } } }, { "Effect": "Allow", "Action": [ "glue:GetDatabase", "glue:GetDatabases", "glue:GetTable", "glue:GetTables", "glue:GetPartition", "glue:GetPartitions", "glue:BatchGetPartition" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket", "s3:ListBucketMultipartUploads", "s3:ListMultipartUploadParts", "s3:AbortMultipartUpload", "s3:CreateBucket", "s3:PutObject", "s3:PutBucketPublicAccessBlock" ], "Resource": [ "arn:aws:s3:::grafana-athena-query-results-*" ] } ] }

AWS マネージドポリシー: AmazonGrafanaCloudWatchAccess

このポリシーは、Amazon へのアクセス CloudWatch と、Amazon Managed Grafana 内のデータソース CloudWatch として を使用するために必要な依存関係を付与します。

IAM エンティティに AWSGrafanaCloudWatchAccess ポリシーをアタッチできます。Amazon Managed Grafana は、Amazon Managed Grafana がユーザーに代わってアクションを実行できるようにするサービスロールにもこのポリシーをアタッチします。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • CloudWatch — プリンシパルが Amazon からメトリクスデータとログを一覧表示して取得できるようにします CloudWatch。また、ソースアカウントから共有されたデータを CloudWatch クロスアカウントオブザーバビリティで表示することもできます。

  • Amazon EC2 — プリンシパルがモニタリング対象のリソースに関する詳細を取得できるようにします。

  • Tags – プリンシパルがリソースのタグにアクセスして、 CloudWatch メトリクスクエリをフィルタリングできるようにします。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarmsForMetric", "cloudwatch:DescribeAlarmHistory", "cloudwatch:DescribeAlarms", "cloudwatch:ListMetrics", "cloudwatch:GetMetricStatistics", "cloudwatch:GetMetricData", "cloudwatch:GetInsightRuleReport" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "logs:DescribeLogGroups", "logs:GetLogGroupFields", "logs:StartQuery", "logs:StopQuery", "logs:GetQueryResults", "logs:GetLogEvents" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:DescribeTags", "ec2:DescribeInstances", "ec2:DescribeRegions" ], "Resource": "*" }, { "Effect": "Allow", "Action": "tag:GetResources", "Resource": "*" }, { "Effect": "Allow", "Action": [ "oam:ListSinks", "oam:ListAttachedLinks" ], "Resource": "*" } ] }

マネージド AWS ポリシーに対する Amazon Managed Grafana の更新

Amazon Managed Grafana の AWS マネージドポリシーの更新に関する詳細を、このサービスがこれらの変更の追跡を開始した以降の分について表示します。このページの変更に関する自動アラートを受け取るには、Amazon Managed Grafana ドキュメント履歴ページの RSS フィードにサブスクライブしてください。

変更 説明 日付

AWSGrafanaWorkspacePermissionManagement – 廃止

このポリシーは AWSGrafanaWorkspacePermissionManagementV2 に置き換えられました。

このポリシーは古いと見なされ、更新されなくなります。新しいポリシーでは、より制限の厳しいアクセス許可セットを提供することで、ワークスペースのセキュリティが向上します。

2024 年 1 月 5 日

AWSGrafanaWorkspacePermissionManagementV2 – 新しいポリシー

Amazon Managed Grafana は、古いポリシーを置き換えAWSGrafanaWorkspacePermissionManagementV2る新しいAWSGrafanaWorkspacePermissionManagementポリシーを追加しました。この新しい管理ポリシーは、より制限の厳しいアクセス許可セットを提供することで、ワークスペースのセキュリティを向上させます。

2024 年 1 月 5 日

AmazonGrafanaCloudWatchAccess - 新しいポリシー

Amazon Managed Grafana に新しいポリシー が追加されましたAmazonGrafanaCloudWatchAccess

2023 年 3 月 24 日

AWSGrafanaWorkspacePermissionManagement – 既存ポリシーへの更新

Amazon Managed Grafana は、Active Directory の IAM Identity Center ユーザーとグループAWSGrafanaWorkspacePermissionManagementを Grafana ワークスペースに関連付けることができるように、新しいアクセス許可を に追加しました。

次のアクセス許可が追加されました: sso-directory:DescribeUser、および sso-directory:DescribeGroup

2023 年 3 月 14 日

AWSGrafanaWorkspacePermissionManagement – 既存ポリシーへの更新

Amazon Managed Grafana は、IAM Identity Center のユーザーとグループAWSGrafanaWorkspacePermissionManagementを Grafana ワークスペースに関連付けることができるように、新しいアクセス許可を に追加しました。

次のアクセス許可が追加されました: sso:DescribeRegisteredRegionssso:GetSharedSsoConfigurationsso:ListDirectoryAssociationssso:GetManagedApplicationInstance、、sso:ListProfiles、、sso:AssociateProfilesso:DisassociateProfilesso:GetProfile、、sso:ListProfileAssociations

2022 年 12 月 20 日

AmazonGrafanaServiceLinkedRolePolicy – 新しい SLR ポリシー

Amazon Managed Grafana は、Grafana サービスにリンクされたロール の新しいポリシーを追加しましたAmazonGrafanaServiceLinkedRolePolicy

2022 年 11 月 18 日

AWSGrafanaAccountAdministrator, AWSGrafanaConsoleReadOnlyAccess

すべての Amazon Managed Grafana リソースへのアクセスを許可する 2022 年 2 月 17 日

AmazonGrafanaRedshiftAccess - 新しいポリシー

Amazon Managed Grafana に新しいポリシー が追加されましたAmazonGrafanaRedshiftAccess

2021 年 11 月 26 日

AmazonGrafanaAthenaAccess - 新しいポリシー

Amazon Managed Grafana に新しいポリシー が追加されましたAmazonGrafanaAthenaAccess

2021 年 11 月 22 日

AWSGrafanaAccountAdministrator - 既存ポリシーへの更新。

Amazon Managed Grafana が からアクセス許可を削除しましたAWSGrafanaAccountAdministrator

sso.amazonaws.com サービスの対象となるiam:CreateServiceLinkedRoleアクセス許可が削除されたため、代わりにこのアクセス許可をユーザーに付与するAWSSSOMasterAccountAdministratorポリシーをアタッチすることをお勧めします。

2021 年 10 月 13 日

AWSGrafanaWorkspacePermissionManagement – 既存ポリシーへの更新

Amazon Managed Grafana は、このポリシーを持つユーザーがワークスペースに関連付けられた認証方法を表示AWSGrafanaWorkspacePermissionManagementできるように、新しいアクセス許可を に追加しました。

アクセスgrafana:DescribeWorkspaceAuthentication許可が追加されました。

2021 年 9 月 21 日

AWSGrafanaConsoleReadOnlyAccess – 既存ポリシーへの更新

Amazon Managed Grafana は、このポリシーを持つユーザーがワークスペースに関連付けられた認証方法を表示AWSGrafanaConsoleReadOnlyAccessできるように、新しいアクセス許可を に追加しました。

grafana:Describe* および grafana:List*のアクセス許可がポリシーに追加され、以前のより狭いアクセス許可 grafana:DescribeWorkspacegrafana:ListPermissions、および が置き換えられましたgrafana:ListWorkspaces

2021 年 9 月 21 日

Amazon Managed Grafana が変更の追跡を開始

Amazon Managed Grafana が AWS マネージドポリシーの変更の追跡を開始しました。

2021 年 9 月 9 日