Políticas gerenciadas pela AWS para o Amazon Managed Grafana - Amazon Managed Grafana
AWSGrafanaAccountAdministratorAWSGrafanaWorkspacePermissionManagement (obsoleta)AWSGrafanaWorkspacePermissionManagementV2AWSGrafanaConsoleReadOnlyAccess AmazonGrafanaRedshiftAccess AmazonGrafanaAthenaAccess AmazonGrafanaCloudWatchAccessAtualizações da política

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Políticas gerenciadas pela AWS para o Amazon Managed Grafana

Uma política gerenciada pela AWS é uma política independente criada e administrada pela AWS. As políticas gerenciadas pela AWS são criadas para fornecer permissões a vários casos de uso comuns a fim de que você possa começar a atribuir permissões a usuários, grupos e perfis.

Lembre-se de que as políticas gerenciadas pela AWS podem não conceder permissões de privilégio mínimo para seus casos de uso específicos, por estarem disponíveis para uso por todos os clientes da AWS. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo cliente da  específicas para seus casos de uso.

Você não pode alterar as permissões definidas em políticas gerenciadas AWS. Se AWS atualiza as permissões definidas em um política gerenciada por AWS, a atualização afeta todas as identidades de entidades principais (usuários, grupos e perfis) às quais a política estiver vinculada. É provável que AWS atualize uma política gerenciada por AWS quando um novo AWS service (Serviço da AWS) for lançado, ou novas operações de API forem disponibilizadas para os serviços existentes.

Para obter mais informações, consulte Políticas gerenciadas pela AWS no Guia do usuário do IAM.

Política gerenciada pela AWS: AWSGrafanaAccountAdministrator

A política AWSGrafanaAccountAdministrator fornece acesso no Amazon Managed Grafana para criar e gerenciar contas e espaços de trabalho para toda a organização.

Você pode anexar AWSGrafanaAccountAdministrator às suas entidades do IAM.

Detalhes das permissões

Esta política inclui as seguintes permissões:

  • iam: permite que as entidades principais listem e obtenham perfis do IAM para que o administrador possa associar um perfil a um espaço de trabalho, bem como passar perfis para o serviço do Amazon Managed Grafana.

  • Amazon Managed Grafana: permite às entidades principais acesso de leitura e gravação às APIs do Amazon Managed Grafana.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSGrafanaOrganizationAdmin",
            "Effect": "Allow",
            "Action": [
                "iam:ListRoles"
            ],
            "Resource": "*"
        },
        {
            "Sid": "GrafanaIAMGetRolePermission",
            "Effect": "Allow",
            "Action": "iam:GetRole",
            "Resource": "arn:aws:iam::*:role/*"
        },
        {
            "Sid": "AWSGrafanaPermissions",
            "Effect": "Allow",
            "Action": [
                "grafana:*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "GrafanaIAMPassRolePermission",
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::*:role/*",
            "Condition": {
                "StringLike": {
                    "iam:PassedToService": "grafana.amazonaws.com"
                }
            }
        }
    ]
}

Política gerenciada pela AWS: AWSGrafanaWorkspacePermissionManagement (obsoleta)

Esta política está obsoleta. Esta política não deve ser vinculada a novos usuários, grupos ou perfis.

O Amazon Managed Grafana adicionou uma nova política, AWSGrafanaWorkspacePermissionManagementV2, para substituir essa política. Essa nova política gerenciada melhora a segurança do espaço de trabalho ao fornecer um conjunto mais restritivo de permissões.

Política gerenciada pela AWS: AWSGrafanaWorkspacePermissionManagementV2

A política AWSGrafanaWorkspacePermissionManagementV2 fornece apenas a capacidade de atualizar as permissões de usuários e grupos para os espaços de trabalho do Amazon Managed Grafana.

Você pode anexar AWSGrafanaWorkspacePermissionManagementV2 às suas entidades do IAM.

Detalhes das permissões

Esta política inclui as seguintes permissões:

  • Amazon Managed Grafana: permite que as entidades principais leiam e atualizem as permissões de usuários e grupos dos espaços de trabalho do Amazon Managed Grafana.

  • IAM Identity Center: permite que as entidades principais leiam as entidades do Centro de Identidade do IAM. Esta é uma parte necessária da associação das entidades principais às aplicações do Amazon Managed Grafana, mas também requer uma etapa adicional, descrita após a listagem de políticas a seguir.

{
    "Version": "2012-10-17",
    "Statement": [{
            "Sid": "AWSGrafanaPermissions",
            "Effect": "Allow",
            "Action": [
                "grafana:DescribeWorkspace",
                "grafana:DescribeWorkspaceAuthentication",
                "grafana:UpdatePermissions",
                "grafana:ListPermissions",
                "grafana:ListWorkspaces"
            ],
            "Resource": "arn:aws:grafana:*:*:/workspaces*"
        },
        {
            "Sid": "IAMIdentityCenterPermissions",
            "Effect": "Allow",
            "Action": [
                "sso:DescribeRegisteredRegions",
                "sso:GetSharedSsoConfiguration",
                "sso:ListDirectoryAssociations",
                "sso:GetManagedApplicationInstance",
                "sso:ListProfiles",
                "sso:GetProfile",
                "sso:ListProfileAssociations",
                "sso-directory:DescribeUser",
                "sso-directory:DescribeGroup"
            ],
            "Resource": "*"
        }
    ]
}

Política adicional necessária

Para permitir integralmente que um usuário atribua permissões, além da política AWSGrafanaWorkspacePermissionManagementV2, você também deve atribuir uma política para fornecer acesso à atribuição de aplicações no Centro de Identidade do IAM.

Para criar essa política, você deve primeiro coletar o ARN da aplicação do Grafana para o espaço de trabalho

  1. Abra o console do IAM Identity Center.

  2. No menu à esquerda, escolha Aplicações.

  3. Na guia Gerenciada pela AWS, encontre a aplicação chamada Amazon Grafana-workspace-name, em que workspace-name é o nome do espaço de trabalho. Selecione o nome da aplicação.

  4. A aplicação do Centro de Identidade do IAM gerenciada pelo Amazon Managed Grafana para o espaço de trabalho é exibida. O ARN dessa aplicação é mostrado na página de detalhes. Estará no formulário: arn:aws:sso::owner-account-id:application/ssoins-unique-id/apl-unique-id.

A política que você criar deve ser semelhante ao exemplo a seguir. Substitua grafana-application-arn pelo ARN que você encontrou na etapa anterior:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sso:CreateApplicationAssignment",
                "sso:DeleteApplicationAssignment"
            ],
            "Resource": [
                "grafana-application-arn"
            ]
        }
    ]
}

Para obter informações sobre como criar e aplicar políticas aos perfis, consulte Adicionar e remover permissões de identidade do IAM no Guia do usuário do AWS Identity and Access Management.

Política gerenciada pela AWS: AWSGrafanaConsoleReadOnlyAccess

A política AWSGrafanaConsoleReadOnlyAccess concede acesso a operações somente leitura no Amazon Managed Grafana.

Você pode anexar AWSGrafanaConsoleReadOnlyAccess às suas entidades do IAM.

Detalhes da permissão

Esta política inclui a seguinte permissão.

  • Amazon Managed Grafana: permite às entidades principais acesso somente leitura às APIs do Amazon Managed Grafana

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AWSGrafanaConsoleReadOnlyAccess",
      "Effect": "Allow",
      "Action": ["grafana:Describe*", "grafana:List*"],
      "Resource": "*"
    }
  ]
}

Política gerenciada pela AWS: AmazonGrafanaRedshiftAccess

Esta política concede acesso com escopo ao Amazon Redshift e às dependências necessárias para usar o plug-in do Amazon Redshift no Amazon Managed Grafana. A política AmazonGrafanaRedshiftAccess permite que um usuário ou um perfil do IAM use o plug-in da fonte de dados Amazon Redshift no Grafana. As credenciais temporárias dos bancos de dados do Amazon Redshift têm como escopo o usuário redshift_data_api_user do banco de dados, e as credenciais do Secrets Manager poderão ser recuperadas se o segredo estiver marcado com a chave RedshiftQueryOwner. Esta política permite o acesso aos clusters do Amazon Redshift marcados com GrafanaDataSource. Ao criar uma política gerenciada pelo cliente, a autenticação baseada em tags é opcional.

Você pode anexar AmazonGrafanaRedshiftAccess às suas entidades do IAM. O Amazon Managed Grafana também anexa esta política a um perfil de serviço que permite que o Amazon Managed Grafana execute ações em seu nome.

Detalhes da permissão

Esta política inclui a seguinte permissão.

  • Amazon Redshift: permite que as entidades principais descrevam clusters e obtenham credenciais temporárias para um usuário de banco de dados chamado redshift_data_api_user.

  • Amazon Redshift–data: permite que as entidades principais executem consultas em clusters marcados como GrafanaDataSource.

  • Secrets Manager: permite que as entidades principais listem segredos e leiam valores secretos de segredos marcados como RedshiftQueryOwner.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "redshift:DescribeClusters",
        "redshift-data:GetStatementResult",
        "redshift-data:DescribeStatement",
        "secretsmanager:ListSecrets"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "redshift-data:DescribeTable",
        "redshift-data:ExecuteStatement",
        "redshift-data:ListTables",
        "redshift-data:ListSchemas"
      ],
      "Resource": "*",
      "Condition": {
        "Null": {
          "aws:ResourceTag/GrafanaDataSource": "false"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": "redshift:GetClusterCredentials",
      "Resource": [
        "arn:aws:redshift:*:*:dbname:*/*",
        "arn:aws:redshift:*:*:dbuser:*/redshift_data_api_user"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "secretsmanager:GetSecretValue"
      ],
      "Resource": "*",
      "Condition": {
        "Null": {
          "secretsmanager:ResourceTag/RedshiftQueryOwner": "false"
        }
      }
    }
  ]
}

Política gerenciada pela AWS: AmazonGrafanaAthenaAccess

Esta política concede acesso ao Athena e às dependências necessárias para permitir a consulta e a gravação de resultados no Amazon S3 do plug-in do Athena no Amazon Managed Grafana. A política AmazonGrafanaAthenaAccess permite que um usuário ou um perfil do IAM use o plug-in da fonte de dados Athena no Grafana. Os grupos de trabalho do Athena devem estar marcados com GrafanaDataSource para serem acessíveis. Esta política contém permissões para gravar resultados de consultas em um bucket do Amazon S3 com um nome prefixado com grafana-athena-query-results-. As permissões do Amazon S3 para acessar a fonte de dados subjacente de uma consulta do Athena não estão incluídas nesta política.

Você pode anexar a política AWSGrafanaAthenaAccess às entidades do IAM. O Amazon Managed Grafana também anexa esta política a um perfil de serviço que permite que o Amazon Managed Grafana execute ações em seu nome.

Detalhes da permissão

Esta política inclui a seguinte permissão.

  • Athena: permite que as entidades principais executem consultas em recursos do Athena em grupos de trabalho marcados como GrafanaDataSource.

  • Amazon S3: permite que as entidades principais leiam e gravem os resultados da consulta em um bucket prefixado com grafana-athena-query-results-.

  • AWS Glue: permite que as entidades principais acessem bancos de dados, tabelas e partições do AWS Glue. Isso é necessário para que a entidade principal possa usar o Catálogo de Dados do AWS Glue com o Athena.

{
	"Version": "2012-10-17",
	"Statement": [
	    {
	        "Effect": "Allow",
	        "Action": [
	            "athena:GetDatabase",
	            "athena:GetDataCatalog",
	            "athena:GetTableMetadata",
	            "athena:ListDatabases",
	            "athena:ListDataCatalogs",
	            "athena:ListTableMetadata",
	            "athena:ListWorkGroups"
	        ],
	        "Resource": [
	            "*"
	        ]
	    },
	    {
	        "Effect": "Allow",
	        "Action": [
	            "athena:GetQueryExecution",
	            "athena:GetQueryResults",
	            "athena:GetWorkGroup",
	            "athena:StartQueryExecution",
	            "athena:StopQueryExecution"
	        ],
	        "Resource": [
	            "*"
	        ],
	        "Condition": {
	            "Null": {
	                "aws:ResourceTag/GrafanaDataSource": "false"
	            }
	        }
	    },
	    {
	        "Effect": "Allow",
	        "Action": [
	            "glue:GetDatabase",
	            "glue:GetDatabases",	            
	            "glue:GetTable",
	            "glue:GetTables",
	            "glue:GetPartition",
	            "glue:GetPartitions",
	            "glue:BatchGetPartition"
	        ],
	        "Resource": [
	            "*"
	        ]
	    },
	    {
	        "Effect": "Allow",
	        "Action": [
	            "s3:GetBucketLocation",
	            "s3:GetObject",
	            "s3:ListBucket",
	            "s3:ListBucketMultipartUploads",
	            "s3:ListMultipartUploadParts",
	            "s3:AbortMultipartUpload",
	            "s3:CreateBucket",
	            "s3:PutObject",
	            "s3:PutBucketPublicAccessBlock"
	        ],
	        "Resource": [
	            "arn:aws:s3:::grafana-athena-query-results-*"
	        ]
	    }
	]
}

Política gerenciada pela AWS: AmazonGrafanaCloudWatchAccess

Esta política concede acesso ao Amazon CloudWatch e às dependências necessárias para usar o CloudWatch como fonte de dados no Amazon Managed Grafana.

Você pode anexar a política AWSGrafanaCloudWatchAccess às entidades do IAM. O Amazon Managed Grafana também anexa esta política a um perfil de serviço que permite que o Amazon Managed Grafana execute ações em seu nome.

Detalhes das permissões

Esta política inclui as seguintes permissões:

  • CloudWatch: permite que as entidades principais listem e obtenham logs e dados de métricas do Amazon CloudWatch. Também permite a visualização de dados compartilhados das contas de origem na observabilidade entre contas do CloudWatch.

  • Amazon EC2: permite que as entidades principais obtenham detalhes sobre os recursos que estão sendo monitorados.

  • Tags: permite que as entidades principais acessem tags nos recursos, para permitir a filtragem das consultas de métricas do CloudWatch.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloudwatch:DescribeAlarmsForMetric",
        "cloudwatch:DescribeAlarmHistory",
        "cloudwatch:DescribeAlarms",
        "cloudwatch:ListMetrics",
        "cloudwatch:GetMetricStatistics",
        "cloudwatch:GetMetricData",
        "cloudwatch:GetInsightRuleReport"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "logs:DescribeLogGroups",
        "logs:GetLogGroupFields",
        "logs:StartQuery",
        "logs:StopQuery",
        "logs:GetQueryResults",
        "logs:GetLogEvents"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeTags",
        "ec2:DescribeInstances",
        "ec2:DescribeRegions"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": "tag:GetResources",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "oam:ListSinks",
        "oam:ListAttachedLinks"
      ],
      "Resource": "*"
    }
  ]
}

Atualizações do Amazon Managed Grafana para políticas gerenciadas pela AWS

Visualize os detalhes sobre atualizações em políticas gerenciadas pela AWS do Amazon Managed Grafana desde que esse serviço começou a monitorá-las. Para alertas automáticos sobre mudanças nesta página, assine o RSS feed na página de histórico de documentos do Amazon Managed Grafana.

Alteração Descrição Data

AWSGrafanaWorkspacePermissionManagement: obsoleta

Esta política foi substituída por AWSGrafanaWorkspacePermissionManagementV2.

Esta política está obsoleta e não será mais atualizada. A nova política melhora a segurança do espaço de trabalho ao fornecer um conjunto mais restritivo de permissões.

 5 de janeiro de 2024

AWSGrafanaWorkspacePermissionManagementV2: nova política

O Amazon Managed Grafana adicionou uma nova política AWSGrafanaWorkspacePermissionManagementV2 para substituir a política AWSGrafanaWorkspacePermissionManagement obsoleta. Essa nova política gerenciada melhora a segurança do espaço de trabalho ao fornecer um conjunto mais restritivo de permissões.

 5 de janeiro de 2024

AmazonGrafanaCloudWatchAccess: nova política

O Amazon Managed Grafana adicionou uma nova política AmazonGrafanaCloudWatchAccess.

 24 de março de 2023

AWSGrafanaWorkspacePermissionManagement: atualização de uma política existente

O Amazon Managed Grafana adicionou novas permissões para AWSGrafanaWorkspacePermissionManagement a fim de que usuários e grupos do Centro de Identidade do IAM no Active Directory possam ser associados aos espaços de trabalho do Grafana.

As seguintes permissões foram adicionadas: sso-directory:DescribeUser e sso-directory:DescribeGroup

 14 de março de 2023

AWSGrafanaWorkspacePermissionManagement: atualização de uma política existente

O Amazon Managed Grafana adicionou novas permissões para AWSGrafanaWorkspacePermissionManagement a fim de que usuários e grupos do Centro de Identidade do IAM possam ser associados aos espaços de trabalho do Grafana.

As seguintes permissões foram adicionadas: sso:DescribeRegisteredRegions, sso:GetSharedSsoConfiguration, sso:ListDirectoryAssociations, sso:GetManagedApplicationInstance, sso:ListProfiles, sso:AssociateProfile, sso:DisassociateProfile, sso:GetProfile e sso:ListProfileAssociations.

 20 de dezembro de 2022

AmazonGrafanaServiceLinkedRolePolicy: nova política de SLR

O Amazon Managed Grafana adicionou uma nova política para o perfil vinculado ao serviço do Grafana, AmazonGrafanaServiceLinkedRolePolicy.

 18 de novembro de 2022

AWSGrafanaAccountAdministrator, AWSGrafanaConsoleReadOnlyAccess

 Permitir acesso a todos os recursos do Amazon Managed Grafana 17 de fevereiro de 2022

AmazonGrafanaRedshiftAccess: nova política

O Amazon Managed Grafana adicionou uma nova política AmazonGrafanaRedshiftAccess.

 26 de novembro de 2021

AmazonGrafanaAthenaAccess: nova política

O Amazon Managed Grafana adicionou uma nova política AmazonGrafanaAthenaAccess.

 22 de novembro de 2021

AWSGrafanaAccountAdministrator: atualizar para uma política existente

O Amazon Managed Grafana removeu as permissões de AWSGrafanaAccountAdministrator.

A permissão iam:CreateServiceLinkedRole com escopo do serviço sso.amazonaws.com foi removida e, em vez disso, recomendamos que você anexe a política AWSSSOMasterAccountAdministrator para conceder essa permissão a um usuário.

13 de outubro de 2021

AWSGrafanaWorkspacePermissionManagement: atualizar para uma política existente

O Amazon Managed Grafana adicionou novas permissões para AWSGrafanaWorkspacePermissionManagement a fim de que os usuários com essa política possam ver os métodos de autenticação associados aos espaços de trabalho.

A permissão grafana:DescribeWorkspaceAuthentication foi adicionada.

21 de setembro de 2021

AWSGrafanaConsoleReadOnlyAccess: atualizar para uma política existente

O Amazon Managed Grafana adicionou novas permissões para AWSGrafanaConsoleReadOnlyAccess a fim de que os usuários com essa política possam ver os métodos de autenticação associados aos espaços de trabalho.

As permissões grafana:Describe* e grafana:List* foram adicionadas à política e substituem as permissões anteriores mais restritas grafana:DescribeWorkspace, grafana:ListPermissions e grafana:ListWorkspaces.

 21 de setembro de 2021

O Amazon Managed Grafana começou a monitorar as alterações

O Amazon Managed Grafana começou a monitorar as alterações das políticas gerenciadas pela AWS.

 9 de setembro de 2021