AWS políticas gerenciadas para Amazon Managed Grafana - Amazon Managed Grafana
AWSGrafanaAccountAdministratorAWSGrafanaWorkspacePermissionManagement (obsoleto)AWSGrafanaWorkspacePermissionManagementV2AWSGrafanaConsoleReadOnlyAccess AmazonGrafanaRedshiftAccess AmazonGrafanaAthenaAccess AmazonGrafanaCloudWatchAccessAtualizações da política

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS políticas gerenciadas para Amazon Managed Grafana

Uma política AWS gerenciada é uma política autônoma criada e administrada por AWS. AWS as políticas gerenciadas são projetadas para fornecer permissões para muitos casos de uso comuns, para que você possa começar a atribuir permissões a usuários, grupos e funções.

Lembre-se de que as políticas AWS gerenciadas podem não conceder permissões de privilégio mínimo para seus casos de uso específicos porque estão disponíveis para uso de todos os AWS clientes. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo cliente da  específicas para seus casos de uso.

Você não pode alterar as permissões definidas nas políticas AWS gerenciadas. Se AWS atualizar as permissões definidas em uma política AWS gerenciada, a atualização afetará todas as identidades principais (usuários, grupos e funções) às quais a política está anexada. AWS é mais provável que atualize uma política AWS gerenciada quando uma nova serviço da AWS é lançada ou novas operações de API são disponibilizadas para serviços existentes.

Para mais informações, consulte Políticas gerenciadas pela AWS no Manual do usuário do IAM.

AWS política gerenciada: AWSGrafanaAccountAdministrator

AWSGrafanaAccountAdministrator A política fornece acesso ao Amazon Managed Grafana para criar e gerenciar contas e espaços de trabalho para toda a organização.

Você pode anexar AWSGrafanaAccountAdministrator às suas entidades do IAM.

Detalhes das permissões

Esta política inclui as seguintes permissões:

  • iam— Permite que os diretores listem e obtenham funções do IAM para que o administrador possa associar uma função a um espaço de trabalho, bem como passar funções para o serviço Amazon Managed Grafana.

  • Amazon Managed Grafana— Permite que os diretores tenham acesso de leitura e gravação a todas as APIs do Amazon Managed Grafana.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSGrafanaOrganizationAdmin",
            "Effect": "Allow",
            "Action": [
                "iam:ListRoles"
            ],
            "Resource": "*"
        },
        {
            "Sid": "GrafanaIAMGetRolePermission",
            "Effect": "Allow",
            "Action": "iam:GetRole",
            "Resource": "arn:aws:iam::*:role/*"
        },
        {
            "Sid": "AWSGrafanaPermissions",
            "Effect": "Allow",
            "Action": [
                "grafana:*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "GrafanaIAMPassRolePermission",
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::*:role/*",
            "Condition": {
                "StringLike": {
                    "iam:PassedToService": "grafana.amazonaws.com"
                }
            }
        }
    ]
}

AWS política gerenciada: AWSGrafanaWorkspacePermissionManagement (obsoleta)

Essa política está obsoleta. Essa política não deve ser vinculada a novos usuários, grupos ou funções.

O Amazon Managed Grafana adicionou uma nova política, AWSGrafanaWorkspacePermissionManagementV2, para substituir essa política. Essa nova política gerenciada melhora a segurança do seu espaço de trabalho ao fornecer um conjunto de permissões mais restritivo.

AWS política gerenciada: AWSGrafanaWorkspacePermissionManagementV2

AWSGrafanaWorkspacePermissionManagementVA política 2 fornece somente a capacidade de atualizar as permissões de usuários e grupos para os espaços de trabalho Amazon Managed Grafana.

Você pode anexar AWSGrafanaWorkspacePermissionManagementV2 às suas entidades do IAM.

Detalhes das permissões

Esta política inclui as seguintes permissões:

  • Amazon Managed Grafana— Permite que os diretores leiam e atualizem as permissões de usuários e grupos para os espaços de trabalho Amazon Managed Grafana.

  • IAM Identity Center— Permite que os diretores leiam as entidades do IAM Identity Center. Essa é uma parte necessária da associação de diretores aos aplicativos Amazon Managed Grafana, mas também requer uma etapa adicional, descrita após a listagem de políticas a seguir.

{
    "Version": "2012-10-17",
    "Statement": [{
            "Sid": "AWSGrafanaPermissions",
            "Effect": "Allow",
            "Action": [
                "grafana:DescribeWorkspace",
                "grafana:DescribeWorkspaceAuthentication",
                "grafana:UpdatePermissions",
                "grafana:ListPermissions",
                "grafana:ListWorkspaces"
            ],
            "Resource": "arn:aws:grafana:*:*:/workspaces*"
        },
        {
            "Sid": "IAMIdentityCenterPermissions",
            "Effect": "Allow",
            "Action": [
                "sso:DescribeRegisteredRegions",
                "sso:GetSharedSsoConfiguration",
                "sso:ListDirectoryAssociations",
                "sso:GetManagedApplicationInstance",
                "sso:ListProfiles",
                "sso:GetProfile",
                "sso:ListProfileAssociations",
                "sso-directory:DescribeUser",
                "sso-directory:DescribeGroup"
            ],
            "Resource": "*"
        }
    ]
}

É necessária uma política adicional

Para permitir que um usuário atribua permissões totalmente, além da AWSGrafanaWorkspacePermissionManagementV2 política, você também deve atribuir uma política para fornecer acesso à atribuição de aplicativos no IAM Identity Center.

Para criar essa política, você deve primeiro coletar o ARN do aplicativo Grafana para seu espaço de trabalho

  1. Abra o console do Centro de Identidade do IAM.

  2. Escolha Aplicativos no menu à esquerda.

  3. Na guia AWS gerenciado, encontre o aplicativo chamado Amazon Grafana- nome do espaço de trabalho, onde workspace-name está o nome do seu espaço de trabalho. Selecione o nome do aplicativo.

  4. O aplicativo IAM Identity Center gerenciado pelo Amazon Managed Grafana para o espaço de trabalho é exibido. O ARN desse aplicativo é mostrado na página de detalhes. Estará no formato:arn:aws:sso::owner-account-id:application/ssoins-unique-id/apl-unique-id.

A política que você criar deve ter a seguinte aparência. grafana-application-arnSubstitua pelo ARN que você encontrou na etapa anterior:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sso:CreateApplicationAssignment",
                "sso:DeleteApplicationAssignment"
            ],
            "Resource": [
                "grafana-application-arn"
            ]
        }
    ]
}

Para obter informações sobre como criar e aplicar políticas às suas funções ou usuários, consulte Adicionar e remover permissões de identidade do IAM no Guia do AWS Identity and Access Management usuário.

AWS política gerenciada: AWSGrafanaConsoleReadOnlyAccess

AWSGrafanaConsoleReadOnlyAccess a política concede acesso a operações somente de leitura no Amazon Managed Grafana.

Você pode anexar AWSGrafanaConsoleReadOnlyAccess às suas entidades do IAM.

Detalhes da permissão

Essa política inclui a seguinte permissão.

  • Amazon Managed Grafana— Permite que os diretores tenham acesso somente para leitura às APIs do Amazon Managed Grafana

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AWSGrafanaConsoleReadOnlyAccess",
      "Effect": "Allow",
      "Action": ["grafana:Describe*", "grafana:List*"],
      "Resource": "*"
    }
  ]
}

AWS política gerenciada: AmazonGrafanaRedshiftAccess

Essa política concede acesso definido ao Amazon Redshift e às dependências necessárias para usar o plug-in Amazon Redshift no Amazon Managed Grafana. AmazonGrafanaRedshiftAccess A política permite que um usuário ou uma função do IAM use o plug-in de fonte de dados do Amazon Redshift no Grafana. As credenciais temporárias dos bancos de dados do Amazon Redshift têm como escopo o redshift_data_api_user usuário do banco de dados e as credenciais do Secrets Manager podem ser recuperadas se o segredo estiver marcado com a chave. RedshiftQueryOwner Essa política permite o acesso aos clusters do Amazon Redshift marcados com. GrafanaDataSource Ao criar uma política gerenciada pelo cliente, a autenticação baseada em tags é opcional.

Você pode anexar AmazonGrafanaRedshiftAccess às suas entidades do IAM. O Amazon Managed Grafana também vincula essa política a uma função de serviço que permite que o Amazon Managed Grafana execute ações em seu nome.

Detalhes da permissão

Essa política inclui a seguinte permissão.

  • Amazon Redshift— Permite que os diretores descrevam clusters e obtenham credenciais temporárias para um usuário de banco de dados chamado. redshift_data_api_user

  • Amazon Redshift–data— Permite que os diretores executem consultas em clusters marcados como. GrafanaDataSource

  • Secrets Manager— Permite que os diretores listem segredos e leiam valores secretos para segredos marcados comoRedshiftQueryOwner.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "redshift:DescribeClusters",
        "redshift-data:GetStatementResult",
        "redshift-data:DescribeStatement",
        "secretsmanager:ListSecrets"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "redshift-data:DescribeTable",
        "redshift-data:ExecuteStatement",
        "redshift-data:ListTables",
        "redshift-data:ListSchemas"
      ],
      "Resource": "*",
      "Condition": {
        "Null": {
          "aws:ResourceTag/GrafanaDataSource": "false"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": "redshift:GetClusterCredentials",
      "Resource": [
        "arn:aws:redshift:*:*:dbname:*/*",
        "arn:aws:redshift:*:*:dbuser:*/redshift_data_api_user"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "secretsmanager:GetSecretValue"
      ],
      "Resource": "*",
      "Condition": {
        "Null": {
          "secretsmanager:ResourceTag/RedshiftQueryOwner": "false"
        }
      }
    }
  ]
}

AWS política gerenciada: AmazonGrafanaAthenaAccess

Essa política concede acesso ao Athena e às dependências necessárias para permitir a consulta e gravação de resultados no Amazon S3 a partir do plug-in Athena no Amazon Managed Grafana. AmazonGrafanaAthenaAccessA política permite que um usuário ou uma função do IAM use o plug-in de fonte de dados Athena no Grafana. Os grupos de trabalho do Athena devem estar marcados com GrafanaDataSource para serem acessíveis. Essa política contém permissões para gravar resultados de consultas em um bucket do Amazon S3 com um nome prefixado com. grafana-athena-query-results- As permissões do Amazon S3 para acessar a fonte de dados subjacente de uma consulta do Athena não estão incluídas nesta política.

Você pode anexar AWSGrafanaAthenaAccess políticas às suas entidades do IAM. O Amazon Managed Grafana também vincula essa política a uma função de serviço que permite que o Amazon Managed Grafana execute ações em seu nome.

Detalhes da permissão

Essa política inclui a seguinte permissão.

  • Athena— Permite que os diretores façam consultas sobre os recursos do Athena em grupos de trabalho marcados como. GrafanaDataSource

  • Amazon S3— Permite que os diretores leiam e gravem os resultados da consulta em um bucket prefixado com. grafana-athena-query-results-

  • AWS Glue— Permite que os diretores acessem bancos de dados, tabelas e partições do AWS Glue. Isso é necessário para que o diretor possa usar o AWS Glue Data Catalog com Athena.

{
	"Version": "2012-10-17",
	"Statement": [
	    {
	        "Effect": "Allow",
	        "Action": [
	            "athena:GetDatabase",
	            "athena:GetDataCatalog",
	            "athena:GetTableMetadata",
	            "athena:ListDatabases",
	            "athena:ListDataCatalogs",
	            "athena:ListTableMetadata",
	            "athena:ListWorkGroups"
	        ],
	        "Resource": [
	            "*"
	        ]
	    },
	    {
	        "Effect": "Allow",
	        "Action": [
	            "athena:GetQueryExecution",
	            "athena:GetQueryResults",
	            "athena:GetWorkGroup",
	            "athena:StartQueryExecution",
	            "athena:StopQueryExecution"
	        ],
	        "Resource": [
	            "*"
	        ],
	        "Condition": {
	            "Null": {
	                "aws:ResourceTag/GrafanaDataSource": "false"
	            }
	        }
	    },
	    {
	        "Effect": "Allow",
	        "Action": [
	            "glue:GetDatabase",
	            "glue:GetDatabases",	            
	            "glue:GetTable",
	            "glue:GetTables",
	            "glue:GetPartition",
	            "glue:GetPartitions",
	            "glue:BatchGetPartition"
	        ],
	        "Resource": [
	            "*"
	        ]
	    },
	    {
	        "Effect": "Allow",
	        "Action": [
	            "s3:GetBucketLocation",
	            "s3:GetObject",
	            "s3:ListBucket",
	            "s3:ListBucketMultipartUploads",
	            "s3:ListMultipartUploadParts",
	            "s3:AbortMultipartUpload",
	            "s3:CreateBucket",
	            "s3:PutObject",
	            "s3:PutBucketPublicAccessBlock"
	        ],
	        "Resource": [
	            "arn:aws:s3:::grafana-athena-query-results-*"
	        ]
	    }
	]
}

AWS política gerenciada: AmazonGrafanaCloudWatchAccess

Essa política concede acesso à Amazon CloudWatch e às dependências necessárias para uso CloudWatch como fonte de dados no Amazon Managed Grafana.

Você pode anexar AWSGrafanaCloudWatchAccess políticas às suas entidades do IAM. O Amazon Managed Grafana também vincula essa política a uma função de serviço que permite que o Amazon Managed Grafana execute ações em seu nome.

Detalhes das permissões

Esta política inclui as seguintes permissões:

  • CloudWatch— Permite que os diretores listem e obtenham dados métricos e registros da Amazon CloudWatch. Também permite visualizar dados compartilhados das contas de origem na CloudWatch observabilidade entre contas.

  • Amazon EC2— Permite que os diretores obtenham detalhes sobre os recursos que estão sendo monitorados.

  • Tags— Permite que os diretores acessem tags nos recursos, para permitir a filtragem das consultas CloudWatch métricas.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloudwatch:DescribeAlarmsForMetric",
        "cloudwatch:DescribeAlarmHistory",
        "cloudwatch:DescribeAlarms",
        "cloudwatch:ListMetrics",
        "cloudwatch:GetMetricStatistics",
        "cloudwatch:GetMetricData",
        "cloudwatch:GetInsightRuleReport"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "logs:DescribeLogGroups",
        "logs:GetLogGroupFields",
        "logs:StartQuery",
        "logs:StopQuery",
        "logs:GetQueryResults",
        "logs:GetLogEvents"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeTags",
        "ec2:DescribeInstances",
        "ec2:DescribeRegions"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": "tag:GetResources",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "oam:ListSinks",
        "oam:ListAttachedLinks"
      ],
      "Resource": "*"
    }
  ]
}

Atualizações do Amazon Managed Grafana para AWS políticas gerenciadas

Veja detalhes sobre as atualizações das políticas AWS gerenciadas do Amazon Managed Grafana desde que esse serviço começou a rastrear essas alterações. Para receber alertas automáticos sobre alterações nessa página, assine o feed RSS na página de histórico de documentos da Amazon Managed Grafana.

Alteração Descrição Data

AWSGrafanaWorkspacePermissionManagement— obsoleto

Esta política foi substituída por AWSGrafanaWorkspacePermissionManagementV2.

Essa política é considerada obsoleta e não será mais atualizada. A nova política melhora a segurança do seu espaço de trabalho ao fornecer um conjunto de permissões mais restritivo.

 5 de janeiro de 2024

AWSGrafanaWorkspacePermissionManagementV2 — Nova política

O Amazon Managed Grafana adicionou uma nova política AWSGrafanaWorkspacePermissionManagementV2para substituir a política obsoleta AWSGrafanaWorkspacePermissionManagement. Essa nova política gerenciada melhora a segurança do seu espaço de trabalho ao fornecer um conjunto de permissões mais restritivo.

 5 de janeiro de 2024

AmazonGrafanaCloudWatchAccess – Nova política

O Amazon Managed Grafana adicionou uma nova política. AmazonGrafanaCloudWatchAccess

 24 de março de 2023

AWSGrafanaWorkspacePermissionManagement: atualização para uma política existente

O Amazon Managed Grafana adicionou novas permissões para AWSGrafanaWorkspacePermissionManagementque usuários e grupos do IAM Identity Center no Active Directory possam ser associados aos espaços de trabalho do Grafana.

As seguintes permissões foram adicionadas:sso-directory:DescribeUser, e sso-directory:DescribeGroup

 14 de março de 2023

AWSGrafanaWorkspacePermissionManagement: atualização para uma política existente

O Amazon Managed Grafana adicionou novas permissões para AWSGrafanaWorkspacePermissionManagementque usuários e grupos do IAM Identity Center possam ser associados aos espaços de trabalho do Grafana.

As seguintes permissões foram adicionadas: sso:DescribeRegisteredRegions sso:GetSharedSsoConfigurationsso:ListDirectoryAssociations,sso:GetManagedApplicationInstance,sso:ListProfiles,sso:AssociateProfile,sso:DisassociateProfile,sso:GetProfile,, sso:ListProfileAssociations e.

 20 de dezembro de 2022

AmazonGrafanaServiceLinkedRolePolicy— Nova política de SLR

O Amazon Managed Grafana adicionou uma nova política para a função vinculada ao serviço Grafana,. AmazonGrafanaServiceLinkedRolePolicy

 18 de novembro de 2022

AWSGrafanaAccountAdministrator, AWSGrafanaConsoleReadOnlyAccess

 Permita o acesso a todos os recursos do Amazon Managed Grafana 17 de fevereiro de 2022

AmazonGrafanaRedshiftAccess – Nova política

O Amazon Managed Grafana adicionou uma nova política. AmazonGrafanaRedshiftAccess

 26 de novembro de 2021

AmazonGrafanaAthenaAccess – Nova política

O Amazon Managed Grafana adicionou uma nova política. AmazonGrafanaAthenaAccess

 22 de novembro de 2021

AWSGrafanaAccountAdministrator: atualização para uma política existente

O Amazon Managed Grafana removeu as permissões de. AWSGrafanaAccountAdministrator

A iam:CreateServiceLinkedRole permissão do escopo do sso.amazonaws.com serviço foi removida e, em vez disso, recomendamos que você anexe a AWSSSOMasterAccountAdministratorpolítica para conceder essa permissão a um usuário.

13 de outubro de 2021

AWSGrafanaWorkspacePermissionManagement: atualização para uma política existente

O Amazon Managed Grafana adicionou novas permissões para AWSGrafanaWorkspacePermissionManagementque os usuários com essa política possam ver os métodos de autenticação associados aos espaços de trabalho.

A grafana:DescribeWorkspaceAuthentication permissão foi adicionada.

21 de setembro de 2021

AWSGrafanaConsoleReadOnlyAccess: atualização para uma política existente

O Amazon Managed Grafana adicionou novas permissões para AWSGrafanaConsoleReadOnlyAccessque os usuários com essa política possam ver os métodos de autenticação associados aos espaços de trabalho.

As grafana:List* permissões grafana:Describe* e foram adicionadas à política e substituem as permissões anteriores mais restritas grafana:DescribeWorkspacegrafana:ListPermissions, e. grafana:ListWorkspaces

 21 de setembro de 2021

O Amazon Managed Grafana começou a monitorar as mudanças

O Amazon Managed Grafana começou a monitorar as mudanças em suas políticas AWS gerenciadas.

 9 de setembro de 2021