기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS 아마존 매니지드 Grafana에 대한 관리형 정책
AWS 관리형 정책은 에서 생성하고 관리하는 독립형 정책입니다. AWS AWS 관리형 정책은 많은 일반 사용 사례에 대한 권한을 제공하도록 설계되었으므로 사용자, 그룹 및 역할에 권한을 할당하기 시작할 수 있습니다.
AWS 관리형 정책은 모든 AWS 고객이 사용할 수 있으므로 특정 사용 사례에 대해 최소 권한 권한을 부여하지 않을 수도 있다는 점에 유의하세요. 사용 사례에 고유한 고객 관리형 정책을 정의하여 권한을 줄이는 것이 좋습니다.
관리형 정책에 정의된 권한은 변경할 수 없습니다. AWS AWS 관리형 정책에 정의된 권한을 업데이트하는 경우 AWS 해당 업데이트는 정책이 연결된 모든 주체 ID (사용자, 그룹, 역할) 에 영향을 미칩니다. AWS 새 API 작업이 시작되거나 기존 서비스에 새 AWS 서비스 API 작업을 사용할 수 있게 되면 AWS 관리형 정책을 업데이트할 가능성이 가장 높습니다.
자세한 내용은 IAM 사용자 설명서의 AWS 관리형 정책을 참조하세요.
AWS 관리형 정책: AWSGrafanaAccountAdministrator
AWSGrafanaAccountAdministrator 정책은 Amazon Managed Grafana 내에서 전체 조직의 계정과 작업 공간을 생성하고 관리할 수 있는 액세스를 제공합니다.
IAM AWSGrafanaAccountAdministrator 엔티티에 연결할 수 있습니다.
권한 세부 정보
이 정책에는 다음 권한이 포함되어 있습니다.
-
iam— 관리자가 IAM 역할을 나열하고 가져올 수 있으므로 관리자는 역할을 작업 공간에 연결하고 Amazon Managed Grafana 서비스에 역할을 전달할 수 있습니다. -
Amazon Managed Grafana— 보안 주체가 모든 Amazon 관리형 Grafana API에 대한 읽기 및 쓰기 액세스 권한을 허용합니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSGrafanaOrganizationAdmin", "Effect": "Allow", "Action": [ "iam:ListRoles" ], "Resource": "*" }, { "Sid": "GrafanaIAMGetRolePermission", "Effect": "Allow", "Action": "iam:GetRole", "Resource": "arn:aws:iam::*:role/*" }, { "Sid": "AWSGrafanaPermissions", "Effect": "Allow", "Action": [ "grafana:*" ], "Resource": "*" }, { "Sid": "GrafanaIAMPassRolePermission", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringLike": { "iam:PassedToService": "grafana.amazonaws.com" } } } ] }
AWS 관리형 정책: (더 이상 사용되지 않음) AWSGrafanaWorkspacePermissionManagement
이 정책은 더 이상 사용되지 않습니다. 이 정책을 새 사용자, 그룹 또는 역할에 연결해서는 안 됩니다.
Amazon Managed Grafana는 이 정책을 대체하는 새 정책 AWSGrafanaWorkspacePermissionManagementV2 개를 추가했습니다. 이 새로운 관리형 정책은 보다 제한적인 권한 세트를 제공하여 작업 공간의 보안을 개선합니다.
AWS 관리형 정책: AWSGrafanaWorkspacePermissionManagementV2
AWSGrafanaWorkspacePermissionManagementV2 정책은 Amazon Managed Grafana 작업 영역에 대한 사용자 및 그룹 권한을 업데이트하는 기능만 제공합니다.
IAM 엔티티에 AWSGrafanaWorkspacePermissionManagementV2 를 연결할 수 있습니다.
권한 세부 정보
이 정책에는 다음 권한이 포함되어 있습니다.
-
Amazon Managed Grafana— 보안 주체가 Amazon Managed Grafana 작업 영역에 대한 사용자 및 그룹 권한을 읽고 업데이트할 수 있습니다. -
IAM Identity Center— 보안 주체가 IAM ID 센터 엔티티를 읽을 수 있도록 허용합니다. 이는 보안 주체를 Amazon Managed Grafana 애플리케이션과 연결하는 데 필요한 부분이지만, 다음 정책 목록 다음에 설명된 추가 단계도 필요합니다.
{ "Version": "2012-10-17", "Statement": [{ "Sid": "AWSGrafanaPermissions", "Effect": "Allow", "Action": [ "grafana:DescribeWorkspace", "grafana:DescribeWorkspaceAuthentication", "grafana:UpdatePermissions", "grafana:ListPermissions", "grafana:ListWorkspaces" ], "Resource": "arn:aws:grafana:*:*:/workspaces*" }, { "Sid": "IAMIdentityCenterPermissions", "Effect": "Allow", "Action": [ "sso:DescribeRegisteredRegions", "sso:GetSharedSsoConfiguration", "sso:ListDirectoryAssociations", "sso:GetManagedApplicationInstance", "sso:ListProfiles", "sso:GetProfile", "sso:ListProfileAssociations", "sso-directory:DescribeUser", "sso-directory:DescribeGroup" ], "Resource": "*" } ] }
추가 정책이 필요합니다.
사용자가 권한을 할당할 수 있도록 허용하려면 AWSGrafanaWorkspacePermissionManagementV2 정책 외에도 IAM Identity Center의 애플리케이션 할당에 대한 액세스를 제공하는 정책도 할당해야 합니다.
이 정책을 생성하려면 먼저 작업 공간에 대한 Grafana 애플리케이션 ARN을 수집해야 합니다.
-
IAM Identity Center 콘솔
을 엽니다. -
왼쪽 메뉴에서 애플리케이션을 선택합니다.
-
AWS 관리형 탭에서 Amazon Grafana - workspace-name이라는 애플리케이션을 찾습니다.
workspace-name여기서 은 작업 공간의 이름입니다. 애플리케이션 이름을 선택합니다. -
Amazon Managed Grafana에서 워크스페이스에 대해 관리하는 IAM ID 센터 애플리케이션이 표시됩니다. 이 애플리케이션의 ARN은 세부 정보 페이지에 표시됩니다. 형식은 다음과 같습니다.
arn:aws:sso::owner-account-id:application/ssoins-unique-id/apl-unique-id
생성하는 정책은 다음과 같아야 합니다. 이전 단계에서 찾은 grafana-application-arnARN으로 바꾸십시오.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sso:CreateApplicationAssignment", "sso:DeleteApplicationAssignment" ], "Resource": [ "grafana-application-arn" ] } ] }
정책을 생성하여 역할 또는 사용자에게 적용하는 방법에 대한 자세한 내용은 사용 AWS Identity and Access Management 설명서의 IAM 자격 증명 권한 추가 및 제거를 참조하십시오.
AWS 관리형 정책: AWSGrafanaConsoleReadOnlyAccess
AWSGrafanaConsoleReadOnlyAccess 정책은 Amazon Managed Grafana의 읽기 전용 작업에 대한 액세스 권한을 부여합니다.
IAM AWSGrafanaConsoleReadOnlyAccess 엔티티에 연결할 수 있습니다.
권한 세부 정보
이 정책에는 다음 권한이 포함됩니다.
-
Amazon Managed Grafana— 보안 주체가 아마존 관리형 Grafana API에 대한 읽기 전용 액세스를 허용합니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSGrafanaConsoleReadOnlyAccess", "Effect": "Allow", "Action": ["grafana:Describe*", "grafana:List*"], "Resource": "*" } ] }
AWS 관리형 정책: AmazonGrafanaRedshiftAccess
이 정책은 Amazon Redshift에 대한 범위 지정 액세스 권한과 Amazon Managed Grafana의 Amazon Redshift 플러그인을 사용하는 데 필요한 종속성을 부여합니다. AmazonGrafanaRedshiftAccess 정책은 사용자 또는 IAM 역할이 Grafana의 Amazon Redshift 데이터 소스 플러그인을 사용할 수 있도록 허용합니다. Amazon Redshift 데이터베이스의 임시 자격 증명은 데이터베이스 redshift_data_api_user 사용자로 범위가 지정되며, 암호에 키 태그가 지정된 경우 Secrets Manager에서 자격 증명을 검색할 수 있습니다. RedshiftQueryOwner 이 정책은 태그가 지정된 Amazon Redshift 클러스터에 대한 액세스를 허용합니다. GrafanaDataSource 고객 관리형 정책을 생성할 때 태그 기반 인증은 선택 사항입니다.
IAM AmazonGrafanaRedshiftAccess 엔티티에 연결할 수 있습니다. 또한 Amazon Managed Grafana는 이 정책을 서비스 역할에 연결하여 Amazon Managed Grafana가 사용자를 대신하여 작업을 수행할 수 있도록 합니다.
권한 세부 정보
이 정책에는 다음 권한이 포함됩니다.
-
Amazon Redshift- 주체가 클러스터를 설명하고 이름이 지정된 데이터베이스 사용자의 임시 자격 증명을 얻을 수 있도록 허용합니다.redshift_data_api_user -
Amazon Redshift–data— 주도자가 태그가 지정된 클러스터에 대해 쿼리를 실행할 수 있습니다.GrafanaDataSource -
Secrets Manager— 보안 주체가 암호를 나열하고 태그가 지정된 암호의 암호 값을 읽을 수 있습니다.RedshiftQueryOwner
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "redshift:DescribeClusters", "redshift-data:GetStatementResult", "redshift-data:DescribeStatement", "secretsmanager:ListSecrets" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "redshift-data:DescribeTable", "redshift-data:ExecuteStatement", "redshift-data:ListTables", "redshift-data:ListSchemas" ], "Resource": "*", "Condition": { "Null": { "aws:ResourceTag/GrafanaDataSource": "false" } } }, { "Effect": "Allow", "Action": "redshift:GetClusterCredentials", "Resource": [ "arn:aws:redshift:*:*:dbname:*/*", "arn:aws:redshift:*:*:dbuser:*/redshift_data_api_user" ] }, { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": "*", "Condition": { "Null": { "secretsmanager:ResourceTag/RedshiftQueryOwner": "false" } } } ] }
AWS 관리형 정책: AmazonGrafanaAthenaAccess
이 정책은 Amazon Managed Grafana의 Athena 플러그인에서 Amazon S3에 결과를 쿼리하고 쓸 수 있도록 하는 데 필요한 Athena에 대한 액세스 권한과 종속성을 부여합니다. AmazonGrafanaAthenaAccess정책은 사용자 또는 IAM 역할이 Grafana의 Athena 데이터 소스 플러그인을 사용할 수 있도록 허용합니다. Athena 작업그룹에 액세스할 수 있으려면 태그가 지정되어야 합니다. GrafanaDataSource 이 정책에는 이름 접두사가 붙은 Amazon S3 버킷에 쿼리 결과를 작성할 수 있는 권한이 포함되어 있습니다. grafana-athena-query-results- Athena 쿼리의 기본 데이터 소스에 액세스할 수 있는 Amazon S3 권한은 이 정책에 포함되지 않습니다.
AWSGrafanaAthenaAccess 정책을 IAM 엔티티에 연결할 수 있습니다. 또한 Amazon Managed Grafana는 이 정책을 서비스 역할에 연결하여 Amazon Managed Grafana가 사용자를 대신하여 작업을 수행할 수 있도록 합니다.
권한 세부 정보
이 정책에는 다음 권한이 포함됩니다.
-
Athena— 주도자가 로 태그가 지정된 작업 그룹의 Athena 리소스에 대해 쿼리를 실행할 수 있습니다.GrafanaDataSource -
Amazon S3— 보안 주체가 접두사가 붙은 버킷에서 쿼리 결과를 읽고 쓸 수 있습니다.grafana-athena-query-results- -
AWS Glue— 보안 주체가 AWS Glue 데이터베이스, 테이블, 파티션에 액세스할 수 있습니다. 이는 교장이 Athena와 함께 AWS Glue 데이터 카탈로그를 사용할 수 있도록 하기 위해 필요합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "athena:GetDatabase", "athena:GetDataCatalog", "athena:GetTableMetadata", "athena:ListDatabases", "athena:ListDataCatalogs", "athena:ListTableMetadata", "athena:ListWorkGroups" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "athena:GetQueryExecution", "athena:GetQueryResults", "athena:GetWorkGroup", "athena:StartQueryExecution", "athena:StopQueryExecution" ], "Resource": [ "*" ], "Condition": { "Null": { "aws:ResourceTag/GrafanaDataSource": "false" } } }, { "Effect": "Allow", "Action": [ "glue:GetDatabase", "glue:GetDatabases", "glue:GetTable", "glue:GetTables", "glue:GetPartition", "glue:GetPartitions", "glue:BatchGetPartition" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket", "s3:ListBucketMultipartUploads", "s3:ListMultipartUploadParts", "s3:AbortMultipartUpload", "s3:CreateBucket", "s3:PutObject", "s3:PutBucketPublicAccessBlock" ], "Resource": [ "arn:aws:s3:::grafana-athena-query-results-*" ] } ] }
AWS 관리형 정책: AmazonGrafanaCloudWatchAccess
이 정책은 Amazon Managed Grafana 내에서 데이터 CloudWatch 소스로 사용하는 데 필요한 Amazon CloudWatch 및 종속 항목에 대한 액세스 권한을 부여합니다.
AWSGrafanaCloudWatchAccess 정책을 IAM 엔티티에 연결할 수 있습니다. 또한 Amazon Managed Grafana는 이 정책을 서비스 역할에 연결하여 Amazon Managed Grafana가 사용자를 대신하여 작업을 수행할 수 있도록 합니다.
권한 세부 정보
이 정책에는 다음 권한이 포함되어 있습니다.
-
CloudWatch— 보안 주체가 Amazon에서 지표 데이터 및 로그를 나열하고 가져올 수 있습니다. CloudWatch 또한 계정 CloudWatch 간 관찰 기능을 통해 소스 계정에서 공유한 데이터를 볼 수 있습니다. -
Amazon EC2— 담당자가 모니터링 중인 리소스에 대한 세부 정보를 얻을 수 있습니다. -
Tags— 주체가 리소스의 태그에 액세스하여 메트릭 쿼리를 필터링할 수 있도록 허용합니다. CloudWatch
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarmsForMetric", "cloudwatch:DescribeAlarmHistory", "cloudwatch:DescribeAlarms", "cloudwatch:ListMetrics", "cloudwatch:GetMetricStatistics", "cloudwatch:GetMetricData", "cloudwatch:GetInsightRuleReport" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "logs:DescribeLogGroups", "logs:GetLogGroupFields", "logs:StartQuery", "logs:StopQuery", "logs:GetQueryResults", "logs:GetLogEvents" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:DescribeTags", "ec2:DescribeInstances", "ec2:DescribeRegions" ], "Resource": "*" }, { "Effect": "Allow", "Action": "tag:GetResources", "Resource": "*" }, { "Effect": "Allow", "Action": [ "oam:ListSinks", "oam:ListAttachedLinks" ], "Resource": "*" } ] }
아마존 매니지드 Grafana, 관리형 정책 업데이트 AWS
이 서비스가 이러한 변경 사항을 추적하기 AWS 시작한 이후 Amazon Managed Grafana의 관리형 정책 업데이트에 대한 세부 정보를 확인하십시오. 이 페이지의 변경 사항에 대한 자동 알림을 받으려면 Amazon Managed Grafana 문서 기록 페이지에서 RSS 피드를 구독하십시오.
| 변경 사항 | 설명 | 날짜 |
|---|---|---|
|
AWSGrafanaWorkspacePermissionManagement— 더 이상 사용되지 않음 |
이 정책은 AWSGrafanaWorkspacePermissionManagementV2(으)로 대체되었습니다. 이 정책은 더 이상 사용되지 않는 것으로 간주되며 더 이상 업데이트되지 않습니다. 새 정책은 보다 제한적인 권한 세트를 제공하여 작업 공간의 보안을 개선합니다. |
2024년 1월 5일 |
|
Amazon Managed Grafana는 더 이상 사용되지 않는 정책을 대체하기 위해 새 정책을 AWSGrafanaWorkspacePermissionManagementV2추가했습니다. AWSGrafanaWorkspacePermissionManagement 이 새로운 관리형 정책은 보다 제한적인 권한 세트를 제공하여 작업 공간의 보안을 개선합니다. |
2024년 1월 5일 | |
|
아마존 매니지드 Grafana는 새로운 정책을 추가했습니다. AmazonGrafanaCloudWatchAccess |
2023년 3월 24일 | |
|
AWSGrafanaWorkspacePermissionManagement-기존 정책 업데이트 |
Amazon Managed Grafana는 Active Directory의 IAM ID 센터 사용자 및 그룹을 Grafana 작업 영역에 연결할 수 있도록 새 권한을 AWSGrafanaWorkspacePermissionManagement추가했습니다. 다음과 같은 권한이 추가되었습니다. |
2023년 3월 14일 |
AWSGrafanaWorkspacePermissionManagement-기존 정책 업데이트 |
Amazon Managed Grafana는 IAM ID 센터 사용자 및 그룹을 Grafana 작업 영역에 연결할 수 있도록 새 권한을 AWSGrafanaWorkspacePermissionManagement추가했습니다. 다음 권한이 추가되었습니다: |
2022년 12월 20일 |
|
AmazonGrafanaServiceLinkedRolePolicy— 새 SLR 정책 |
Amazon Managed Grafana는 Grafana 서비스 연결 역할에 대한 새 정책을 추가했습니다. AmazonGrafanaServiceLinkedRolePolicy |
2022년 11월 18일 |
|
AWSGrafanaAccountAdministrator, AWSGrafanaConsoleReadOnlyAccess |
모든 아마존 매니지드 Grafana 리소스에 대한 액세스 허용 | 2022년 2월 17일 |
|
AmazonGrafanaRedshiftAccess - 새 정책 |
아마존 매니지드 Grafana는 새로운 정책을 추가했습니다. AmazonGrafanaRedshiftAccess |
2021년 11월 26일 |
|
AmazonGrafanaAthenaAccess - 새 정책 |
아마존 매니지드 Grafana는 새로운 정책을 추가했습니다. AmazonGrafanaAthenaAccess |
2021년 11월 22일 |
|
AWSGrafanaAccountAdministrator-기존 정책 업데이트 |
아마존 매니지드 Grafana는 에서 권한을 제거했습니다. AWSGrafanaAccountAdministrator
|
2021년 10월 13일 |
|
AWSGrafanaWorkspacePermissionManagement-기존 정책 업데이트 |
Amazon Managed Grafana는 이 정책을 사용하는 사용자가 AWSGrafanaWorkspacePermissionManagement작업 공간과 관련된 인증 방법을 볼 수 있도록 새 권한을 추가했습니다.
|
2021년 9월 21일 |
|
AWSGrafanaConsoleReadOnlyAccess-기존 정책 업데이트 |
Amazon Managed Grafana는 이 정책을 사용하는 사용자가 AWSGrafanaConsoleReadOnlyAccess작업 공간과 관련된 인증 방법을 볼 수 있도록 새 권한을 추가했습니다.
|
2021년 9월 21일 |
|
아마존 매니지드 Grafana가 변경 사항 추적을 시작했습니다 |
Amazon Managed Grafana는 관리형 정책의 변경 사항을 추적하기 시작했습니다. AWS |
2021년 9월 9일 |
