Amazon Managed Service for Prometheus の AWS マネージドポリシー - Amazon Managed Service for Prometheus
AmazonPrometheusFullAccessAmazonPrometheusConsoleFullAccessAmazonPrometheusRemoteWriteAccessAmazonPrometheusQueryAccessAmazonPrometheusScraperServiceRolePolicyポリシーの更新

Amazon Managed Service for Prometheus の AWS マネージドポリシー

AWS マネージドポリシーは、AWS が作成および管理するスタンドアロンポリシーです。AWS マネージドポリシーは、多くの一般的なユースケースで権限を提供できるように設計されているため、ユーザー、グループ、ロールへの権限の割り当てを開始できます。

AWS マネージドポリシーは、ご利用の特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることにご注意ください。AWSのすべてのお客様が使用できるようになるのを避けるためです。ユースケース別にカスタマーマネージドポリシーを定義して、マネージドポリシーを絞り込むことをお勧めします。

AWS マネージドポリシーで定義したアクセス権限は変更できません。AWS が AWS マネージドポリシーに定義されている権限を更新すると、更新はポリシーがアタッチされているすべてのプリンシパルアイデンティティ (ユーザー、グループ、ロール) に影響します。新しい AWS のサービス を起動するか、既存のサービスで新しい API オペレーションが使用可能になると、AWS が AWS マネージドポリシーを更新する可能性が最も高くなります。

詳細については、「IAM ユーザーガイド」の「AWS 管理ポリシー」を参照してください。

AmazonPrometheusFullAccess

AmazonPrometheusFullAccess ポリシーは IAM ID にアタッチできます。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • aps — Amazon Managed Service for Prometheus へのフルアクセスを許可します

  • eks — Amazon Managed Service for Prometheus が Amazon EKS クラスターに関する情報を読み取れるようにします。これは、クラスター内のマネージドスクレイパーの作成とメトリクスの検出を可能にするために必要です。

  • ec2 — Amazon Managed Service for Prometheus が Amazon EC2 ネットワークに関する情報を読み取れるようにします。これは、Amazon EKS メトリクスにアクセスできるマネージドスクレイパーを作成できるようにするために必要です。

  • iam - マネージドメトリクススクレイパーのサービスリンクロールの作成をプリンシパルに許可します。

AmazonPrometheusFullAccess の内容は次のとおりです。

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "AllPrometheusActions",
			"Effect": "Allow",
			"Action": [
				"aps:*"
			],
			"Resource": "*"
		},
		{
			"Sid": "DescribeCluster",
			"Effect": "Allow",
			"Action": [
				"eks:DescribeCluster",
				"ec2:DescribeSubnets",
				"ec2:DescribeSecurityGroups"
			],
			"Condition": {
				"ForAnyValue:StringEquals": {
					"aws:CalledVia": [
						"aps.amazonaws.com"
					]
				}
			},
			"Resource": "*"
		},
		{
			"Sid": "CreateServiceLinkedRole",
			"Effect": "Allow",
			"Action": "iam:CreateServiceLinkedRole",
			"Resource": "arn:aws:iam::*:role/aws-service-role/scraper.aps.amazonaws.com/AWSServiceRoleForAmazonPrometheusScraper*",
			"Condition": {
				"StringEquals": {
					"iam:AWSServiceName": "scraper.aps.amazonaws.com"
				}
			}
		}
	]
}

AmazonPrometheusConsoleFullAccess

AmazonPrometheusConsoleFullAccess ポリシーは IAM ID にアタッチできます。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • aps — Amazon Managed Service for Prometheus へのフルアクセスを許可します

  • tag — プリンシパルが Amazon Managed Service for Prometheus コンソールでタグの候補を確認できるようにします。

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "TagSuggestions",
			"Effect": "Allow",
			"Action": [
				"tag:GetTagValues",
				"tag:GetTagKeys"
			],
			"Resource": "*"
		},
		{
			"Sid": "PrometheusConsoleActions",
			"Effect": "Allow",
			"Action": [
				"aps:CreateWorkspace",
				"aps:DescribeWorkspace",
				"aps:UpdateWorkspaceAlias",
				"aps:DeleteWorkspace",
				"aps:ListWorkspaces",
				"aps:DescribeAlertManagerDefinition",
				"aps:DescribeRuleGroupsNamespace",
				"aps:CreateAlertManagerDefinition",
				"aps:CreateRuleGroupsNamespace",
				"aps:DeleteAlertManagerDefinition",
				"aps:DeleteRuleGroupsNamespace",
				"aps:ListRuleGroupsNamespaces",
				"aps:PutAlertManagerDefinition",
				"aps:PutRuleGroupsNamespace",
				"aps:TagResource",
				"aps:UntagResource",
				"aps:CreateLoggingConfiguration",
				"aps:UpdateLoggingConfiguration",
				"aps:DeleteLoggingConfiguration",
				"aps:DescribeLoggingConfiguration"
			],
			"Resource": "*"
		}
	]
}

AmazonPrometheusRemoteWriteAccess

AmazonPrometheusRemoteWriteAccess の内容は次のとおりです。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "aps:RemoteWrite"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

AmazonPrometheusQueryAccess

AmazonPrometheusQueryAccess の内容は次のとおりです。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "aps:GetLabels",
                "aps:GetMetricMetadata",
                "aps:GetSeries",
                "aps:QueryMetrics"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

AWS マネージドポリシー: AmazonPrometheusScraperServiceRolePolicy

AmazonPrometheusScraperServiceRolePolicy は IAM エンティティにアタッチできません。このポリシーは、ユーザーに代わって Amazon Managed Service for Prometheus がアクションを実行することを許可する、サービスリンクロールにアタッチされます。詳細については、「EKS からメトリクスをスクレイピングするためのロールの使用」を参照してください。

このポリシーは、Amazon EKS クラスターからの読み取りと Amazon Managed Service for Prometheus ワークスペースへの書き込みを許可する権限を寄稿者に付与します。

注記

このユーザーガイドでは、以前に誤って、このポリシー名を AmazonPrometheusScraperServiceLinkedRolePolicy にしていました。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • aps — サービスプリンシパルが Amazon Managed Service for Prometheus ワークスペース にメトリクスを書き込むことを許可します。

  • ec2 — サービスプリンシパルがネットワーク設定を読み取って変更し、Amazon EKS クラスターを含むネットワークに接続できるようにします。

  • eks — サービスプリンシパルが Amazon EKS クラスターにアクセスできるようにします。これは、メトリクスを自動的にスクレイプできるようにするために必要です。また、スクレイパーが削除されたときに Amazon EKS リソースをクリーンアップすることをプリンシパルに許可します。

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "DeleteSLR",
			"Effect": "Allow",
			"Action": [
				"iam:DeleteRole"
			],
			"Resource": "arn:aws:iam::*:role/aws-service-role/scraper.aps.amazonaws.com/AWSServiceRoleForAmazonPrometheusScraper*"
		},
		{
			"Sid": "NetworkDiscovery",
			"Effect": "Allow",
			"Action": [
				"ec2:DescribeNetworkInterfaces",
				"ec2:DescribeSubnets",
				"ec2:DescribeSecurityGroups"
			],
			"Resource": "*"
		},
		{
			"Sid": "ENIManagement",
			"Effect": "Allow",
			"Action": "ec2:CreateNetworkInterface",
			"Resource": "*",
			"Condition": {
				"ForAllValues:StringEquals": {
					"aws:TagKeys": [
						"AMPAgentlessScraper"
					]
				}
			}
		},
		{
			"Sid": "TagManagement",
			"Effect": "Allow",
			"Action": "ec2:CreateTags",
			"Resource": "arn:aws:ec2:*:*:network-interface/*",
			"Condition": {
				"StringEquals": {
					"ec2:CreateAction": "CreateNetworkInterface"
				},
				"Null": {
					"aws:RequestTag/AMPAgentlessScraper": "false"
				}
			}
		},
		{
			"Sid": "ENIUpdating",
			"Effect": "Allow",
			"Action": [
				"ec2:DeleteNetworkInterface",
				"ec2:ModifyNetworkInterfaceAttribute"
			],
			"Resource": "*",
			"Condition": {
				"Null": {
					"ec2:ResourceTag/AMPAgentlessScraper": "false"
				}
			}
		},
		{
			"Sid": "EKSAccess",
			"Effect": "Allow",
			"Action": "eks:DescribeCluster",
			"Resource": "arn:aws:eks:*:*:cluster/*"
		},
		{
			"Sid": "DeleteEKSAccessEntry",
			"Effect": "Allow",
			"Action": "eks:DeleteAccessEntry",
			"Resource": "arn:aws:eks:*:*:access-entry/*/role/*",
			"Condition": {
				"StringEquals": {
					"aws:PrincipalAccount": "${aws:ResourceAccount}"
				},
				"ArnLike": {
					"eks:principalArn": "arn:aws:iam::*:role/aws-service-role/scraper.aps.amazonaws.com/AWSServiceRoleForAmazonPrometheusScraper*"
				}
			}
		},
		{
			"Sid": "APSWriting",
			"Effect": "Allow",
			"Action": "aps:RemoteWrite",
			"Resource": "arn:aws:aps:*:*:workspace/*",
			"Condition": {
				"StringEquals": {
					"aws:PrincipalAccount": "${aws:ResourceAccount}"
				}
			}
		}
	]
}

AWS マネージドポリシーに対する Amazon Managed Service for Prometheus の更新

Amazon Managed Service for Prometheus の AWS マネージドポリシーに対する更新について、このサービスが変更の追跡を開始してからの詳細を示します。このページの変更に関する自動通知を受け取るには、Amazon Managed Service for Prometheus ドキュメントの履歴ページから、RSS フィードにサブスクライブしてください。

変更 説明 日付

AmazonPrometheusScraperServiceRolePolicy – 既存のポリシーの更新

Amazon Managed Service for Prometheus は、Amazon EKS でのアクセスエントリの使用をサポートするために、AmazonPrometheusScraperServiceRolePolicy に新しいアクセス許可を追加しました。

スクレイパーが削除されたときにリソースをクリーンアップできるように、Amazon EKS のアクセスエントリを管理するためのアクセス許可が含まれています。

注記

ユーザーガイドでは、以前に誤って、このポリシー名を AmazonPrometheusScraperServiceLinkedRolePolicy にしていました。

 2024 年 5 月 2 日

AmazonPrometheusFullAccess — 既存のポリシーへの更新

Amazon Managed Service for Prometheus では、Amazon EKS クラスター内のメトリクスのマネージドスクレイパーの作成をサポートする新しい権限が AmazonPrometheusFullAccess に追加されました。

Amazon EKS クラスターへの接続、Amazon EC2 ネットワークの読み取り、およびスクレイパー用のサービスリンクロールを作成するための権限が含まれます。

 2023 年 11 月 26 日

AmazonPrometheusScraperServiceLinkedRolePolicy — 新しいポリシー

Amazon Managed Service for Prometheus では、Amazon EKS コンテナから読み取る新しいサービスリンクロールポリシーが追加され、メトリクスを自動的にスクレイピングできるようになりました。

Amazon EKS クラスターへの接続、Amazon EC2 ネットワークの読み取り、AMPAgentlessScraper としてタグ付けされたネットワークの作成と削除、および Amazon Managed Service for Prometheus ワークスペースへの書き込みを行うアクセス許可が含まれます。

 2023 年 11 月 26 日

AmazonPrometheusConsoleFullAccess - 既存ポリシーへの更新

Amazon Managed Service for Prometheus で、CloudWatch Logs へのアラートマネージャーとルーラーイベントのログ記録をサポートする新しいアクセス許可が AmazonPrometheusConsoleFullAccess に追加されました。

aps:CreateLoggingConfigurationaps:UpdateLoggingConfigurationaps:DeleteLoggingConfigurationaps:DescribeLoggingConfiguration のアクセス許可が追加されました。

 2022 年 10 月 24 日

AmazonPrometheusConsoleFullAccess – 既存ポリシーへの更新

Amazon Managed Service for Prometheus で、Amazon Managed Service for Prometheus の新機能をサポートするための新しいアクセス許可が AmazonPrometheusConsoleFullAccess に追加されました。これにより、このポリシーを持つユーザーは、Amazon Managed Service for Prometheus リソースにタグを適用するときに、タグの候補のリストを表示できます。

tag:GetTagKeystag:GetTagValuesaps:CreateAlertManagerDefinitionaps:CreateRuleGroupsNamespaceaps:DeleteAlertManagerDefinitionaps:DeleteRuleGroupsNamespaceaps:DescribeAlertManagerDefinitionaps:DescribeRuleGroupsNamespaceaps:ListRuleGroupsNamespacesaps:PutAlertManagerDefinitionaps:PutRuleGroupsNamespaceaps:TagResourceaps:UntagResource のアクセス許可が追加されました。

 2021 年 9 月 29 日

Amazon Managed Service for Prometheus で変更の追跡を開始

Amazon Managed Service for Prometheus で AWS マネージドポリシーの変更の追跡が開始されました。

 2021 年 9 月 15 日