Amazon Managed Grafana에 대한 AWS 관리형 정책 - Amazon Managed Grafana
AWSGrafanaAccountAdministratorAWSGrafanaWorkspacePermissionManagement(더 이상 사용되지 않음)AWSGrafanaWorkspacePermissionManagementV2AWSGrafanaConsoleReadOnlyAccess AmazonGrafanaRedshiftAccess AmazonGrafanaAthenaAccess AmazonGrafanaCloudWatchAccess정책 업데이트

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon Managed Grafana에 대한 AWS 관리형 정책

AWS 관리형 정책은 AWS에 의해 생성되고 관리되는 독립 실행형 정책입니다. AWS 관리형 정책은 사용자, 그룹 및 역할에 권한 할당을 시작할 수 있도록 많은 일반 사용 사례에 대한 권한을 제공하도록 설계되었습니다.

AWS 관리형 정책은 모든 AWS 고객이 사용할 수 있기 때문에 특정 사용 사례에 대해 최소 권한을 부여하지 않을 수 있습니다. 사용 사례에 고유한 고객 관리형 정책을 정의하여 권한을 줄이는 것이 좋습니다.

AWS 관리형 정책에서 정의한 권한은 변경할 수 없습니다. 만약 AWS가 AWS 관리형 정책에 정의된 권한을 업데이트할 경우 정책이 연결되어 있는 모든 보안 주체 엔터티(사용자, 그룹 및 역할)에도 업데이트가 적용됩니다. 새로운 AWS 서비스를 시작하거나 새로운 API 작업을 기존 서비스에 이용하는 경우 AWS가 AWS 관리형 정책을 업데이트할 가능성이 높습니다.

자세한 내용은 IAM 사용 설명서AWS 관리형 정책을 참조하세요.

AWS 관리형 정책: AWSGrafanaAccountAdministrator

AWSGrafanaAccountAdministrator 정책에서는 Amazon Managed Grafana 내에서 조직 전체를 위한 워크스페이스를 생성하고 관리할 수 있는 액세스를 제공합니다.

AWSGrafanaAccountAdministrator를 IAM 엔터티에 연결할 수 있습니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • iam - 위탁자가 IAM 역할을 나열하고 가져오도록 허용합니다. 이를 통해 관리자가 역할을 워크스페이스에 연결하고 역할을 Amazon Managed Grafana 서비스에 전달할 수 있습니다.

  • Amazon Managed Grafana - 위탁자에게 모든 Amazon Managed Grafana API에 대한 읽기 및 쓰기 액세스를 허용합니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSGrafanaOrganizationAdmin",
            "Effect": "Allow",
            "Action": [
                "iam:ListRoles"
            ],
            "Resource": "*"
        },
        {
            "Sid": "GrafanaIAMGetRolePermission",
            "Effect": "Allow",
            "Action": "iam:GetRole",
            "Resource": "arn:aws:iam::*:role/*"
        },
        {
            "Sid": "AWSGrafanaPermissions",
            "Effect": "Allow",
            "Action": [
                "grafana:*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "GrafanaIAMPassRolePermission",
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::*:role/*",
            "Condition": {
                "StringLike": {
                    "iam:PassedToService": "grafana.amazonaws.com"
                }
            }
        }
    ]
}

AWS 관리형 정책: AWSGrafanaWorkspacePermissionManagement(더 이상 사용되지 않음)

이 정책은 더 이상 사용되지 않습니다. 이 정책은 다른 사용자, 그룹 또는 역할에 연결되어서는 안 됩니다.

Amazon Managed Grafana는 이 정책을 대체하기 위해 AWSGrafanaWorkspacePermissionManagementV2라는 새 정책을 추가했습니다. 이 새로운 관리형 정책은 보다 제한적인 권한 세트를 제공하여 워크스페이스에 대한 보안을 향상시킵니다.

AWS 관리형 정책: AWSGrafanaWorkspacePermissionManagementV2

AWSGrafanaWorkspacePermissionManagementV2 정책은 Amazon Managed Grafana 워크스페이스에 대한 사용자 및 그룹 권한을 업데이트하는 기능만 제공합니다.

AWSGrafanaWorkspacePermissionManagementV2를 IAM 엔터티에 연결할 수 없습니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • Amazon Managed Grafana - 위탁자가 Amazon Managed Grafana 워크스페이스에 대한 사용자 및 그룹 권한을 읽고 업데이트하도록 허용합니다.

  • IAM Identity Center - 위탁자가 IAM Identity Center 엔터티를 읽도록 허용합니다. 이는 위탁자를 Amazon Managed Grafana 애플리케이션과 연결하는 데 필요한 부분이지만, 다음에 나오는 정책 목록 이후에 설명된 추가 단계도 필요합니다.

{
    "Version": "2012-10-17",
    "Statement": [{
            "Sid": "AWSGrafanaPermissions",
            "Effect": "Allow",
            "Action": [
                "grafana:DescribeWorkspace",
                "grafana:DescribeWorkspaceAuthentication",
                "grafana:UpdatePermissions",
                "grafana:ListPermissions",
                "grafana:ListWorkspaces"
            ],
            "Resource": "arn:aws:grafana:*:*:/workspaces*"
        },
        {
            "Sid": "IAMIdentityCenterPermissions",
            "Effect": "Allow",
            "Action": [
                "sso:DescribeRegisteredRegions",
                "sso:GetSharedSsoConfiguration",
                "sso:ListDirectoryAssociations",
                "sso:GetManagedApplicationInstance",
                "sso:ListProfiles",
                "sso:GetProfile",
                "sso:ListProfileAssociations",
                "sso-directory:DescribeUser",
                "sso-directory:DescribeGroup"
            ],
            "Resource": "*"
        }
    ]
}

추가 정책이 필요함

사용자가 권한을 할당할 수 있도록 최대한 허용하려면 AWSGrafanaWorkspacePermissionManagementV2 정책 외에도 IAM Identity Center에서 애플리케이션 할당에 대한 액세스를 제공하기 위한 정책도 할당해야 합니다.

이 정책을 생성하려면 먼저 워크스페이스에 대한 Grafana 애플리케이션 ARN을 수집해야 합니다.

  1. IAM Identity Center 콘솔을 엽니다.

  2. 왼쪽 메뉴에서 애플리케이션을 선택하세요.

  3. AWS 관리형 탭에서 Amazon Grafana-workspace-name이라는 애플리케이션을 찾으세요. 여기서, workspace-name는 워크스페이스 이름입니다. 애플리케이션 이름을 선택하세요.

  4. Amazon Managed Grafana에서 관리하는 워크스페이스에 대한 IAM Identity Center 애플리케이션이 표시됩니다. 이 애플리케이션의 ARN은 세부 정보 페이지에 표시됩니다. arn:aws:sso::owner-account-id:application/ssoins-unique-id/apl-unique-id 양식입니다.

생성한 정책은 다음과 비슷합니다. grafana-application-arn을 이전 단계에서 찾은 ARN으로 바꿉니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sso:CreateApplicationAssignment",
                "sso:DeleteApplicationAssignment"
            ],
            "Resource": [
                "grafana-application-arn"
            ]
        }
    ]
}

정책을 생성하고 역할 또는 사용자에 정책을 적용하는 방법에 대한 자세한 내용은 AWS Identity and Access Management 사용 설명서IAM 자격 증명 권한 추가 및 제거를 참조하세요.

AWS 관리형 정책: AWSGrafanaConsoleReadOnlyAccess

AWSGrafanaConsoleReadOnlyAccess 정책은 Amazon Managed Grafana의 읽기 전용 작업에 대한 액세스 권한을 부여합니다.

AWSGrafanaConsoleReadOnlyAccess를 IAM 엔터티에 연결할 수 있습니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • Amazon Managed Grafana - 위탁자에게 Amazon Managed Grafana API에 대한 읽기 전용 액세스 허용

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AWSGrafanaConsoleReadOnlyAccess",
      "Effect": "Allow",
      "Action": ["grafana:Describe*", "grafana:List*"],
      "Resource": "*"
    }
  ]
}

AWS 관리형 정책: AmazonGrafanaRedshiftAccess

이 정책은 Amazon Redshift 및 Amazon Managed Grafana의 Amazon Redshift 플러그인을 사용하는 데 필요한 종속 항목에 대한 범위 지정된 액세스를 부여합니다. AmazonGrafanaRedshiftAccess 정책은 사용자 또는 IAM 역할이 Grafana에서 Amazon Redshift 데이터 소스 플러그인을 사용할 수 있도록 허용합니다. Amazon Redshift 데이터베이스의 임시 자격 증명은 redshift_data_api_user 데이터베이스 사용자에게 적용되고 보안 암호가 RedshiftQueryOwner 키로 태그 지정된 경우 Secrets Manager의 자격 증명을 검색할 수 있습니다. 이 정책에서는 GrafanaDataSource로 태그 지정된 Amazon Redshift 클러스터에 대한 액세스를 허용합니다. 고객 관리형 정책을 생성할 때 태그 기반 인증은 선택 사항입니다.

AmazonGrafanaRedshiftAccess를 IAM 엔터티에 연결할 수 있습니다. Amazon Managed Grafana는 사용자를 대신하여 서비스 역할에서 작업을 수행할 수 있도록 허용하는 서비스 역할에도 이 정책을 연결합니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • Amazon Redshift - 위탁자가 클러스터를 설명하고 이름이 redshift_data_api_user인 데이터베이스 사용자의 임시 자격 증명을 확보하도록 허용합니다.

  • Amazon Redshift–data - 위탁자가 GrafanaDataSource로 태그 지정된 클러스터에서 쿼리를 실행하도록 허용합니다.

  • Secrets Manager - 위탁자가 보안 암호를 나열하고 RedshiftQueryOwner로 태그 지정된 보안 암호의 보안 암호 값을 읽도록 허용합니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "redshift:DescribeClusters",
        "redshift-data:GetStatementResult",
        "redshift-data:DescribeStatement",
        "secretsmanager:ListSecrets"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "redshift-data:DescribeTable",
        "redshift-data:ExecuteStatement",
        "redshift-data:ListTables",
        "redshift-data:ListSchemas"
      ],
      "Resource": "*",
      "Condition": {
        "Null": {
          "aws:ResourceTag/GrafanaDataSource": "false"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": "redshift:GetClusterCredentials",
      "Resource": [
        "arn:aws:redshift:*:*:dbname:*/*",
        "arn:aws:redshift:*:*:dbuser:*/redshift_data_api_user"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "secretsmanager:GetSecretValue"
      ],
      "Resource": "*",
      "Condition": {
        "Null": {
          "secretsmanager:ResourceTag/RedshiftQueryOwner": "false"
        }
      }
    }
  ]
}

AWS 관리형 정책: AmazonGrafanaAthenaAccess

이 정책에서는 Athena 및 Amazon Managed Grafana의 Athena 플러그인에서 Amazon S3로 결과를 쿼리하고 작성하는 데 필요한 종속 항목에 대한 액세스를 부여합니다. AmazonGrafanaAthenaAccess 정책은 사용자 또는 IAM 역할이 Grafana에서 Athena 데이터 소스 플러그인을 사용하도록 허용합니다. 액세스하려면 Athena 작업 그룹에 GrafanaDataSource 태그를 지정해야 합니다. 이 정책에는 이름에 grafana-athena-query-results- 접두사가 추가된 Amazon S3 버킷에서 쿼리 결과를 작성할 수 있는 권한이 포함되어 있습니다. Athena 쿼리의 기본 데이터 소스에 액세스하기 위한 Amazon S3 권한은 이 정책에 포함되지 않습니다.

AWSGrafanaAthenaAccess 정책을 IAM 엔터티에 연결할 수 있습니다. Amazon Managed Grafana는 사용자를 대신하여 서비스 역할에서 작업을 수행할 수 있도록 허용하는 서비스 역할에도 이 정책을 연결합니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • Athena - 위탁자가 GrafanaDataSource로 태그 지정된 작업 그룹의 Athena 리소스에서 쿼리를 실행하도록 허용합니다.

  • Amazon S3 - 위탁자가 grafana-athena-query-results- 접두사가 추가된 버킷에 대한 쿼리 결과를 읽고 쓸 수 있도록 허용합니다.

  • AWS Glue - 위탁자에게 AWS Glue 데이터베이스, 테이블 및 파티션에 대한 액세스를 허용합니다. 위탁자가 Athena에서 AWS Glue Data Catalog를 사용하려면 이 권한이 필수입니다.

{
	"Version": "2012-10-17",
	"Statement": [
	    {
	        "Effect": "Allow",
	        "Action": [
	            "athena:GetDatabase",
	            "athena:GetDataCatalog",
	            "athena:GetTableMetadata",
	            "athena:ListDatabases",
	            "athena:ListDataCatalogs",
	            "athena:ListTableMetadata",
	            "athena:ListWorkGroups"
	        ],
	        "Resource": [
	            "*"
	        ]
	    },
	    {
	        "Effect": "Allow",
	        "Action": [
	            "athena:GetQueryExecution",
	            "athena:GetQueryResults",
	            "athena:GetWorkGroup",
	            "athena:StartQueryExecution",
	            "athena:StopQueryExecution"
	        ],
	        "Resource": [
	            "*"
	        ],
	        "Condition": {
	            "Null": {
	                "aws:ResourceTag/GrafanaDataSource": "false"
	            }
	        }
	    },
	    {
	        "Effect": "Allow",
	        "Action": [
	            "glue:GetDatabase",
	            "glue:GetDatabases",	            
	            "glue:GetTable",
	            "glue:GetTables",
	            "glue:GetPartition",
	            "glue:GetPartitions",
	            "glue:BatchGetPartition"
	        ],
	        "Resource": [
	            "*"
	        ]
	    },
	    {
	        "Effect": "Allow",
	        "Action": [
	            "s3:GetBucketLocation",
	            "s3:GetObject",
	            "s3:ListBucket",
	            "s3:ListBucketMultipartUploads",
	            "s3:ListMultipartUploadParts",
	            "s3:AbortMultipartUpload",
	            "s3:CreateBucket",
	            "s3:PutObject",
	            "s3:PutBucketPublicAccessBlock"
	        ],
	        "Resource": [
	            "arn:aws:s3:::grafana-athena-query-results-*"
	        ]
	    }
	]
}

AWS 관리형 정책: AmazonGrafanaCloudWatchAccess

이 정책에서는 Amazon CloudWatch 및 Amazon Managed Grafana 내에서 CloudWatch를 데이터 소스로 사용하는 데 필요한 종속 항목에 대한 액세스를 부여합니다.

AWSGrafanaCloudWatchAccess 정책을 IAM 엔터티에 연결할 수 있습니다. Amazon Managed Grafana는 사용자를 대신하여 서비스 역할에서 작업을 수행할 수 있도록 허용하는 서비스 역할에도 이 정책을 연결합니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • CloudWatch - 위틱자가 Amazon CloudWatch에서 지표를 나열하고 지표 데이터를 가져오도록 허용합니다. 또한 CloudWatch 교차 계정 관찰성에서 소스 계정으로부터 공유된 데이터를 볼 수 있습니다.

  • Amazon EC2 - 위탁자가 모니터링 중인 리소스에 대한 세부 정보를 가져오도록 허용합니다.

  • Tags - 위탁자가 리소스의 태그에 액세스하여 CloudWatch 지표 쿼리를 필터링할 수 있도록 허용합니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloudwatch:DescribeAlarmsForMetric",
        "cloudwatch:DescribeAlarmHistory",
        "cloudwatch:DescribeAlarms",
        "cloudwatch:ListMetrics",
        "cloudwatch:GetMetricStatistics",
        "cloudwatch:GetMetricData",
        "cloudwatch:GetInsightRuleReport"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "logs:DescribeLogGroups",
        "logs:GetLogGroupFields",
        "logs:StartQuery",
        "logs:StopQuery",
        "logs:GetQueryResults",
        "logs:GetLogEvents"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeTags",
        "ec2:DescribeInstances",
        "ec2:DescribeRegions"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": "tag:GetResources",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "oam:ListSinks",
        "oam:ListAttachedLinks"
      ],
      "Resource": "*"
    }
  ]
}

AWS 관리형 정책에 대한 Amazon Managed Grafana 업데이트

해당 서비스가 이러한 변경 사항을 추적하기 시작한 이후 Amazon Managed Grafana의 AWS 관리형 정책 업데이트에 대한 세부 정보를 확인합니다. 이 페이지의 변경 사항에 대한 자동 알림을 받으려면 Amazon Managed Grafana 문서 기록 페이지에서 RSS 피드를 구독하세요.

변경 사항 설명 날짜

AWSGrafanaWorkspacePermissionManagement – 더 이상 사용되지 않음

이 정책은 AWSGrafanaWorkspacePermissionManagementV2(으)로 대체되었습니다.

이 정책은 더 이상 사용되지 않는 것으로 간주되며 더 이상 업데이트되지 않습니다. 새로운 정책은 보다 제한적인 권한 세트를 제공하여 워크스페이스에 대한 보안을 향상시킵니다.

 2024년 1월 5일

AWSGrafanaWorkspacePermissionManagementV2 – 새 정책

Amazon Managed Grafana에서 더 이상 사용되지 않는 AWSGrafanaWorkspacePermissionManagement 정책을 대체하기 위해 새 정책, AWSGrafanaWorkspacePermissionManagementV2를 추가했습니다. 이 새로운 관리형 정책은 보다 제한적인 권한 세트를 제공하여 워크스페이스에 대한 보안을 향상시킵니다.

 2024년 1월 5일

AmazonGrafanaCloudWatchAccess – 새 정책

Amazon Managed Grafana에서 새 정책 AmazonGrafanaCloudWatchAccess를 추가했습니다.

 2023년 3월 24일

AWSGrafanaWorkspacePermissionManagement - 기존 정책에 대한 업데이트

Amazon Managed Grafana에서 Active Directory에서 IAM Identity Center 사용자 및 그룹을 Grafana 워크스페이스와 연결할 수 있도록 AWSGrafanaWorkspacePermissionManagement에 새 권한을 추가했습니다.

sso-directory:DescribeUsersso-directory:DescribeGroup 권한이 추가됨

 2023년 3월 14일

AWSGrafanaWorkspacePermissionManagement - 기존 정책에 대한 업데이트

Amazon Managed Grafana에서 IAM Identity Center 사용자 및 그룹을 Amazon Managed Grafana 워크스페이스와 연결할 수 있도록 AWSGrafanaWorkspacePermissionManagement에 새 권한을 추가했습니다.

sso:DescribeRegisteredRegions, sso:GetSharedSsoConfiguration, sso:ListDirectoryAssociations, sso:GetManagedApplicationInstance, sso:ListProfiles, sso:AssociateProfile, sso:DisassociateProfile, sso:GetProfile, sso:ListProfileAssociations 권한이 추가되었습니다.

 2022년 12월 20일

AmazonGrafanaServiceLinkedRolePolicy – 새 SLR 정책

Amazon Managed Grafana는 Grafana 서비스 연결 역할에 대한 새 정책, AmazonGrafanaServiceLinkedRolePolicy를 추가했습니다.

 2022년 11월 18일

AWSGrafanaAccountAdministrator, AWSGrafanaConsoleReadOnlyAccess

 모든 Amazon Managed Grafana 리소스에 대한 액세스 허용 2022년 2월 17일

AmazonGrafanaRedshiftAccess – 새 정책

Amazon Managed Grafana에서 새 정책 AmazonGrafanaRedshiftAccess를 추가했습니다.

 2021년 11월 26일

AmazonGrafanaAthenaAccess – 새 정책

Amazon Managed Grafana에서 새 정책 AmazonGrafanaAthenaAccess를 추가했습니다.

 2021년 11월 22일

AWSGrafanaAccountAdministrator -기존 정책 업데이트

Amazon Managed Grafana에서 AWSGrafanaAccountAdministrator로부터 권한을 제거했습니다.

sso.amazonaws.com 서비스로 범위 지정된 iam:CreateServiceLinkedRole 권한이 제거되었으며, 대신 AWSSSOMasterAccountAdministrator 정책을 연결하여 사용자에게 이 권한을 부여하는 것이 좋습니다.

 2021년 10월 13일

AWSGrafanaWorkspacePermissionManagement -기존 정책 업데이트

Amazon Managed Grafana에서는 이 정책을 사용하는 사용자가 워크스페이스와 연결된 인증 방법을 볼 수 있도록 AWSGrafanaWorkspacePermissionManagement에 새 권한을 추가했습니다.

grafana:DescribeWorkspaceAuthentication 권한이 추가되었습니다.

 2021년 9월 21일

AWSGrafanaConsoleReadOnlyAccess -기존 정책 업데이트

Amazon Managed Grafana에서는 이 정책을 사용하는 사용자가 워크스페이스와 연결된 인증 방법을 볼 수 있도록 AWSGrafanaConsoleReadOnlyAccess에 새 권한을 추가했습니다.

grafana:Describe*grafana:List* 권한이 정책에 추가되었으며 이전의 더 좁은 범위의 권한 grafana:DescribeWorkspace, grafana:ListPermissionsgrafana:ListWorkspaces를 대체합니다.

 2021년 9월 21일

Amazon Managed Grafana에서 변경 사항 추적을 시작함

Amazon Managed Grafana에서 AWS 관리형 정책에 대한 변경 사항 추적을 시작했습니다.

 2021년 9월 9일