IAM のアクセス許可とポリシー - Amazon Managed Service for Prometheus
Amazon Managed Service for Prometheus のアクセス許可IAM ポリシーのサンプル

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

IAM のアクセス許可とポリシー

Amazon Managed Service for Prometheus のアクションとデータにアクセスするには、認証情報が必要です。これらの認証情報には、クラウドリソースに関する Amazon Managed Service for Prometheus データを取得するなど、アクションを実行したり、AWS リソースにアクセスしたりするためのアクセス許可が付与されている必要があります。以下のセクションでは、AWS Identity and Access Management (IAM) と Amazon Managed Service for Prometheus を使用してリソースにアクセスできるユーザーを制御することで、リソースを保護する方法について詳しく説明します。詳細については、「IAM でのポリシーとアクセス許可」を参照してください。

Amazon Managed Service for Prometheus のアクセス許可

次の表は、Amazon Managed Service for Prometheus で実行される可能性のあるアクションと、そのアクションに必要なアクセス許可を示しています。アクションには他のサービスからのアクセス許可も必要になる場合がありますが、ここでは詳しく説明しません。

[アクション] 必要なアクセス許可

アラートを作成する。

aps:CreateAlertManagerAlerts

ワークスペースにアラートマネージャーの定義を作成する。詳細については、「アラートマネージャーによる Amazon Managed Service for Prometheus でのアラートの管理と転送」を参照してください。

aps:CreateAlertManagerDefinition

ワークスペースにルールグループ名前空間を作成する。詳細については、「ルールを使用して、受信時にメトリクスを変更またはモニタリングする」を参照してください。

aps:CreateRuleGroupsNamespace

Amazon Managed Service for Prometheus ワークスペースを作成する。ワークスペースは、Prometheus メトリクスの保存とクエリに使用される専用の論理スペースです。

aps:CreateWorkspace

ワークスペースからアラートマネージャーの定義を削除する。

aps:DeleteAlertManagerDefinition

アラートサイレンスを削除する。

aps:DeleteAlertManagerSilence

Amazon Managed Service for Prometheus ワークスペースを削除する。

aps:DeleteWorkspace

アラートマネージャーの定義に関する詳細情報を取得する。

aps:DescribeAlertManagerDefinition

ルールグループ名前空間に関する詳細情報を取得する。

aps:DescribeRuleGroupsNamespace

Amazon Managed Service for Prometheus ワークスペースに関する詳細情報を取得する。

aps:DescribeWorkspace

アラートサイレンスに関する詳細情報を取得する。

aps:GetAlertManagerSilence

ワークスペース内のアラートマネージャーのステータスを取得する。

aps:GetAlertManagerStatus

ラベルを取得する。

aps:GetLabels

Amazon Managed Service for Prometheus メトリクスのメタデータを取得する。

aps:GetMetricMetadata

時系列データを取得する。

aps:GetSeries

アラートマネージャーの定義に含まれているアラートグループのリストを取得する。

aps:ListAlertManagerAlertGroups

アラートマネージャーで定義されているアラートのリストを取得する。

aps:ListAlertManagerAlerts

アラートマネージャーの定義に含まれているレシーバーのリストを取得する。

aps:ListAlertManagerReceivers

定義されているアラートサイレンスのリストを取得する。

aps:ListAlertManagerSilences

アクティブなアラートのリストを取得する。

aps:ListAlerts

ワークスペース内のルールグループ名前空間にあるルールのリストを取得する。

aps:ListRules

ワークスペース内のルールグループ名前空間のリストを取得する。

aps:ListRuleGroupsNamespaces

Amazon Managed Service for Prometheus に関連付けられているタグを取得する。

aps:ListTagsForResource

アカウント内に存在する Amazon Managed Service for Prometheus ワークスペースのリストを取得する。

aps:ListWorkspaces

ワークスペース内の既存のアラートマネージャーの定義を更新する。

aps:PutAlertManagerDefinition

アラートサイレンスを作成する。

aps:PutAlertManagerSilences

既存のルールグループ名前空間を更新する。

aps:PutRuleGroupsNamespace

Amazon Managed Service for Prometheus メトリクスに対するクエリを実行する。

aps:QueryMetrics

リモート書き込みオペレーションを実行して Prometheus サーバーから Amazon Managed Service for Prometheus へのメトリクスのストリーミングを開始する。

aps:RemoteWrite

Amazon Managed Service for Prometheus リソースにタグを割り当てる。

aps:TagResource

Amazon Managed Service for Prometheus リソースからタグを削除する。

aps:UntagResource

既存のワークスペースのエイリアスを変更する。

aps:UpdateWorkspaceAlias

ログ記録設定を作成する。

aps:CreateLoggingConfiguration

ログ記録設定を削除する。

aps:DeleteLoggingConfiguration

ログ記録設定を記述する。

aps:DescribeLoggingConfiguration

ログ記録設定を更新する。

aps:UpdateLoggingConfiguration

IAM ポリシーのサンプル

このセクションでは、ユーザーが作成できるセルフマネージドポリシーの例を示します。

次の IAM ポリシーでは、Amazon Managed Service for Prometheus へのフルアクセスを許可するとともに、ユーザーが Amazon EKS クラスターを検出してその詳細を確認できるようにします。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "aps:*",
                "eks:DescribeCluster",
                "eks:ListClusters"
            ],
            "Resource": "*"
        }
    ]
}