AmazonPrometheusFullAccess AmazonPrometheusConsoleFullAccess AmazonPrometheusRemoteWriteAccess AmazonPrometheusQueryAccess AmazonPrometheusScraperServiceRolePolicy Atualizações da política

AWS políticas gerenciadas para o Amazon Managed Service for Prometheus

Uma política AWS gerenciada é uma política autônoma criada e administrada por AWS. AWS as políticas gerenciadas são projetadas para fornecer permissões para muitos casos de uso comuns, para que você possa começar a atribuir permissões a usuários, grupos e funções.

Lembre-se de que as políticas AWS gerenciadas podem não conceder permissões de privilégio mínimo para seus casos de uso específicos porque estão disponíveis para uso de todos os AWS clientes. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo cliente da específicas para seus casos de uso.

Você não pode alterar as permissões definidas nas políticas AWS gerenciadas. Se AWS atualizar as permissões definidas em uma política AWS gerenciada, a atualização afetará todas as identidades principais (usuários, grupos e funções) às quais a política está anexada. AWS é mais provável que atualize uma política AWS gerenciada quando uma nova AWS service (Serviço da AWS) é lançada ou novas operações de API são disponibilizadas para serviços existentes.

Para mais informações, consulte Políticas gerenciadas pela AWS no Manual do usuário do IAM.

AmazonPrometheusFullAccess

É possível anexar a política AmazonPrometheusFullAccess a suas identidades do IAM.

Detalhes das permissões

Esta política inclui as seguintes permissões:

aps: permite acesso total ao Amazon Managed Service for Prometheus
eks: permite que o serviço Amazon Managed Service for Prometheus leia informações sobre os clusters do Amazon EKS. Isso é necessário para permitir a criação de extratores gerenciados e a descoberta de métricas no cluster.
ec2: permite que o serviço Amazon Managed Service for Prometheus leia informações sobre as redes do Amazon EC2. Isso é necessário para permitir a criação de extratores gerenciados com acesso às métricas do Amazon EKS.
iam: permite que as entidades principais criem um perfil vinculado ao serviço para extratores de métricas gerenciados.

O conteúdo do AmazonPrometheusFullAccessé o seguinte:


{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "AllPrometheusActions",
			"Effect": "Allow",
			"Action": [
				"aps:*"
			],
			"Resource": "*"
		},
		{
			"Sid": "DescribeCluster",
			"Effect": "Allow",
			"Action": [
				"eks:DescribeCluster",
				"ec2:DescribeSubnets",
				"ec2:DescribeSecurityGroups"
			],
			"Condition": {
				"ForAnyValue:StringEquals": {
					"aws:CalledVia": [
						"aps.amazonaws.com"
					]
				}
			},
			"Resource": "*"
		},
		{
			"Sid": "CreateServiceLinkedRole",
			"Effect": "Allow",
			"Action": "iam:CreateServiceLinkedRole",
			"Resource": "arn:aws:iam::*:role/aws-service-role/scraper.aps.amazonaws.com/AWSServiceRoleForAmazonPrometheusScraper*",
			"Condition": {
				"StringEquals": {
					"iam:AWSServiceName": "scraper.aps.amazonaws.com"
				}
			}
		}
	]
}

AmazonPrometheusConsoleFullAccess

É possível anexar a política AmazonPrometheusConsoleFullAccess a suas identidades do IAM.

Detalhes das permissões

Esta política inclui as seguintes permissões:

aps: permite acesso total ao Amazon Managed Service for Prometheus
tag: permite que as entidades principais vejam sugestões de tags no console do Amazon Managed Service for Prometheus.


{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "TagSuggestions",
			"Effect": "Allow",
			"Action": [
				"tag:GetTagValues",
				"tag:GetTagKeys"
			],
			"Resource": "*"
		},
		{
			"Sid": "PrometheusConsoleActions",
			"Effect": "Allow",
			"Action": [
				"aps:CreateWorkspace",
				"aps:DescribeWorkspace",
				"aps:UpdateWorkspaceAlias",
				"aps:DeleteWorkspace",
				"aps:ListWorkspaces",
				"aps:DescribeAlertManagerDefinition",
				"aps:DescribeRuleGroupsNamespace",
				"aps:CreateAlertManagerDefinition",
				"aps:CreateRuleGroupsNamespace",
				"aps:DeleteAlertManagerDefinition",
				"aps:DeleteRuleGroupsNamespace",
				"aps:ListRuleGroupsNamespaces",
				"aps:PutAlertManagerDefinition",
				"aps:PutRuleGroupsNamespace",
				"aps:TagResource",
				"aps:UntagResource",
				"aps:CreateLoggingConfiguration",
				"aps:UpdateLoggingConfiguration",
				"aps:DeleteLoggingConfiguration",
				"aps:DescribeLoggingConfiguration"
			],
			"Resource": "*"
		}
	]
}

AmazonPrometheusRemoteWriteAccess

O conteúdo do AmazonPrometheusRemoteWriteAccessé o seguinte:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "aps:RemoteWrite"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

AmazonPrometheusQueryAccess

O conteúdo do AmazonPrometheusQueryAccessé o seguinte:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "aps:GetLabels",
                "aps:GetMetricMetadata",
                "aps:GetSeries",
                "aps:QueryMetrics"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

AWS política gerenciada: AmazonPrometheusScraperServiceRolePolicy

Você não pode se vincular AmazonPrometheusScraperServiceRolePolicy às suas entidades do IAM. Essa política está anexada a um perfil vinculado ao serviço, o que possibilita que o Amazon Managed Service for Prometheus execute ações em seu nome. Para ter mais informações, consulte Usar perfis para extrair métricas do EKS.

Essa política concede permissões aos colaboradores que permitem a leitura do cluster do Amazon EKS e a gravação no espaço de trabalho do Amazon Managed Service for Prometheus.

nota

Este guia do usuário anteriormente chamava erroneamente essa política AmazonPrometheusScraperServiceLinkedRolePolicy

Detalhes das permissões

Esta política inclui as seguintes permissões:

aps: permite que a entidade principal do serviço grave métricas nos espaços de trabalho do Amazon Managed Service for Prometheus.
ec2: permite que a entidade principal do serviço leia e modifique a configuração da rede para se conectar à rede que contém os clusters do Amazon EKS.
eks: permite que a entidade principal do serviço acesse os clusters do Amazon EKS. Isso é necessário para que ela possa extrair automaticamente as métricas. Também permite que o diretor limpe os recursos do Amazon EKS quando um raspador é removido.


{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "DeleteSLR",
			"Effect": "Allow",
			"Action": [
				"iam:DeleteRole"
			],
			"Resource": "arn:aws:iam::*:role/aws-service-role/scraper.aps.amazonaws.com/AWSServiceRoleForAmazonPrometheusScraper*"
		},
		{
			"Sid": "NetworkDiscovery",
			"Effect": "Allow",
			"Action": [
				"ec2:DescribeNetworkInterfaces",
				"ec2:DescribeSubnets",
				"ec2:DescribeSecurityGroups"
			],
			"Resource": "*"
		},
		{
			"Sid": "ENIManagement",
			"Effect": "Allow",
			"Action": "ec2:CreateNetworkInterface",
			"Resource": "*",
			"Condition": {
				"ForAllValues:StringEquals": {
					"aws:TagKeys": [
						"AMPAgentlessScraper"
					]
				}
			}
		},
		{
			"Sid": "TagManagement",
			"Effect": "Allow",
			"Action": "ec2:CreateTags",
			"Resource": "arn:aws:ec2:*:*:network-interface/*",
			"Condition": {
				"StringEquals": {
					"ec2:CreateAction": "CreateNetworkInterface"
				},
				"Null": {
					"aws:RequestTag/AMPAgentlessScraper": "false"
				}
			}
		},
		{
			"Sid": "ENIUpdating",
			"Effect": "Allow",
			"Action": [
				"ec2:DeleteNetworkInterface",
				"ec2:ModifyNetworkInterfaceAttribute"
			],
			"Resource": "*",
			"Condition": {
				"Null": {
					"ec2:ResourceTag/AMPAgentlessScraper": "false"
				}
			}
		},
		{
			"Sid": "EKSAccess",
			"Effect": "Allow",
			"Action": "eks:DescribeCluster",
			"Resource": "arn:aws:eks:*:*:cluster/*"
		},
		{
			"Sid": "DeleteEKSAccessEntry",
			"Effect": "Allow",
			"Action": "eks:DeleteAccessEntry",
			"Resource": "arn:aws:eks:*:*:access-entry/*/role/*",
			"Condition": {
				"StringEquals": {
					"aws:PrincipalAccount": "${aws:ResourceAccount}"
				},
				"ArnLike": {
					"eks:principalArn": "arn:aws:iam::*:role/aws-service-role/scraper.aps.amazonaws.com/AWSServiceRoleForAmazonPrometheusScraper*"
				}
			}
		},
		{
			"Sid": "APSWriting",
			"Effect": "Allow",
			"Action": "aps:RemoteWrite",
			"Resource": "arn:aws:aps:*:*:workspace/*",
			"Condition": {
				"StringEquals": {
					"aws:PrincipalAccount": "${aws:ResourceAccount}"
				}
			}
		}
	]
}

O Amazon Managed Service for Prometheus atualiza as políticas gerenciadas AWS

Veja detalhes sobre as atualizações das políticas AWS gerenciadas do Amazon Managed Service for Prometheus desde que esse serviço começou a monitorar essas alterações. Para receber alertas automáticos sobre mudanças nesta página, assine o feed RSS na página Histórico de documentos do Amazon Managed Service for Prometheus.

Alteração	Descrição	Data
AmazonPrometheusScraperServiceRolePolicy: atualizar para uma política existente	O Amazon Managed Service for Prometheus adicionou novas permissões ao suporte AmazonPrometheusScraperServiceRolePolicyao uso de entradas de acesso no Amazon EKS. Inclui permissões para gerenciar entradas de acesso ao Amazon EKS para permitir a limpeza de recursos quando os raspadores são excluídos. nota O guia do usuário anteriormente chamava erroneamente essa política `AmazonPrometheusScraperServiceLinkedRolePolicy`	2 de maio de 2024
AmazonPrometheusFullAccess: atualização para uma política existente	O Amazon Managed Service for Prometheus adicionou novas permissões ao AmazonPrometheusFullAccess para apoiar a criação de extratores gerenciados para métricas em clusters do Amazon EKS. Inclui permissões para conexão com clusters do Amazon EKS, leitura de redes do Amazon EC2 e criação de um perfil vinculado ao serviço para extratores.	26 de novembro de 2023
AmazonPrometheusScraperServiceLinkedRolePolicy – Nova política	O Amazon Managed Service for Prometheus adicionou uma nova política de perfil vinculado ao serviço para ler os contêineres do Amazon EKS, a fim de permitir a extração automática de métricas. Inclui permissões para conexão com clusters do Amazon EKS, leitura de redes do Amazon EC2 e criação e exclusão de redes marcadas como `AMPAgentlessScraper`, bem como para gravação em espaços de trabalho do Amazon Managed Service for Prometheus.	26 de novembro de 2023
AmazonPrometheusConsoleFullAccess: atualização para uma política existente	O Amazon Managed Service for Prometheus adicionou novas permissões AmazonPrometheusConsoleFullAccesspara suportar o registro de eventos do gerenciador de alertas e do governante em registros. CloudWatch As permissões `aps:CreateLoggingConfiguration`, `aps:UpdateLoggingConfiguration`, `aps:DeleteLoggingConfiguration` e `aps:DescribeLoggingConfiguration` foram adicionadas.	24 de outubro de 2022
AmazonPrometheusConsoleFullAccess: atualização para uma política existente	O Amazon Managed Service for Prometheus adicionou novas permissões ao AmazonPrometheusConsoleFullAccess para oferecer suporte aos novos atributos do Amazon Managed Service for Prometheus e para que os usuários com essa política possam ver uma lista de sugestões de tags ao aplicarem tags aos recursos do Amazon Managed Service for Prometheus. As permissões `tag:GetTagKeys`, `tag:GetTagValues`, `aps:CreateAlertManagerDefinition`, `aps:CreateRuleGroupsNamespace`, `aps:DeleteAlertManagerDefinition`, `aps:DeleteRuleGroupsNamespace`, `aps:DescribeAlertManagerDefinition`, `aps:DescribeRuleGroupsNamespace`, `aps:ListRuleGroupsNamespaces`, `aps:PutAlertManagerDefinition`, `aps:PutRuleGroupsNamespace`, `aps:TagResource` e `aps:UntagResource` foram adicionadas.	29 de setembro de 2021
O Amazon Managed Service for Prometheus começou a monitorar alterações	O Amazon Managed Service for Prometheus começou a monitorar as mudanças em suas políticas gerenciadas AWS .	15 de setembro de 2021

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Exemplos de políticas baseadas em identidade

Solução de problemas