AmazonPrometheusFullAccess AmazonPrometheusConsoleFullAccess AmazonPrometheusRemoteWriteAccess AmazonPrometheusQueryAccess AmazonPrometheusScraperServiceRolePolicy Atualizações da política

AWS políticas gerenciadas para o Amazon Managed Service for Prometheus

Uma política AWS gerenciada é uma política autônoma criada e administrada por AWS. AWS as políticas gerenciadas são projetadas para fornecer permissões para muitos casos de uso comuns, para que você possa começar a atribuir permissões a usuários, grupos e funções.

Lembre-se de que as políticas AWS gerenciadas podem não conceder permissões de privilégio mínimo para seus casos de uso específicos porque elas estão disponíveis para uso de todos os AWS clientes. Recomendamos que você reduza ainda mais as permissões definindo as políticas gerenciadas pelo cliente que são específicas para seus casos de uso.

Você não pode alterar as permissões definidas nas políticas AWS gerenciadas. Se AWS atualizar as permissões definidas em uma política AWS gerenciada, a atualização afetará todas as identidades principais (usuários, grupos e funções) às quais a política está anexada. AWS é mais provável que atualize uma política AWS gerenciada quando uma nova AWS service (Serviço da AWS) for lançada ou novas operações de API forem disponibilizadas para serviços existentes.

Para obter mais informações, consulte Políticas gerenciadas pela AWS no Guia do usuário do IAM.

AmazonPrometheusFullAccess

É possível anexar a política AmazonPrometheusFullAccess às identidades do IAM.

Detalhes das permissões

Esta política inclui as seguintes permissões.

aps: permite acesso total ao Amazon Managed Service for Prometheus
eks: permite que o serviço Amazon Managed Service for Prometheus leia informações sobre os clusters do Amazon EKS. Isso é necessário para permitir a criação de extratores gerenciados e a descoberta de métricas no cluster.
ec2— Permite que o serviço Amazon Managed Service for Prometheus leia informações sobre suas redes Amazon. EC2 Isso é necessário para permitir a criação de extratores gerenciados com acesso às métricas do Amazon EKS.
iam: permite que as entidades principais criem um perfil vinculado ao serviço para extratores de métricas gerenciados.

O conteúdo do AmazonPrometheusFullAccessé o seguinte:


{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "AllPrometheusActions",
			"Effect": "Allow",
			"Action": [
				"aps:*"
			],
			"Resource": "*"
		},
		{
			"Sid": "DescribeCluster",
			"Effect": "Allow",
			"Action": [
				"eks:DescribeCluster",
				"ec2:DescribeSubnets",
				"ec2:DescribeSecurityGroups"
			],
			"Condition": {
				"ForAnyValue:StringEquals": {
					"aws:CalledVia": [
						"aps.amazonaws.com"
					]
				}
			},
			"Resource": "*"
		},
		{
			"Sid": "CreateServiceLinkedRole",
			"Effect": "Allow",
			"Action": "iam:CreateServiceLinkedRole",
			"Resource": "arn:aws:iam::*:role/aws-service-role/scraper.aps.amazonaws.com/AWSServiceRoleForAmazonPrometheusScraper*",
			"Condition": {
				"StringEquals": {
					"iam:AWSServiceName": "scraper.aps.amazonaws.com"
				}
			}
		}
	]
}

AmazonPrometheusConsoleFullAccess

É possível anexar a política AmazonPrometheusConsoleFullAccess às identidades do IAM.

Detalhes das permissões

Esta política inclui as seguintes permissões.

aps: permite acesso total ao Amazon Managed Service for Prometheus
tag: permite que as entidades principais vejam sugestões de tags no console do Amazon Managed Service for Prometheus.


{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "TagSuggestions",
			"Effect": "Allow",
			"Action": [
				"tag:GetTagValues",
				"tag:GetTagKeys"
			],
			"Resource": "*"
		},
		{
			"Sid": "PrometheusConsoleActions",
			"Effect": "Allow",
			"Action": [
				"aps:CreateWorkspace",
				"aps:DescribeWorkspace",
				"aps:UpdateWorkspaceAlias",
				"aps:DeleteWorkspace",
				"aps:ListWorkspaces",
				"aps:DescribeAlertManagerDefinition",
				"aps:DescribeRuleGroupsNamespace",
				"aps:CreateAlertManagerDefinition",
				"aps:CreateRuleGroupsNamespace",
				"aps:DeleteAlertManagerDefinition",
				"aps:DeleteRuleGroupsNamespace",
				"aps:ListRuleGroupsNamespaces",
				"aps:PutAlertManagerDefinition",
				"aps:PutRuleGroupsNamespace",
				"aps:TagResource",
				"aps:UntagResource",
				"aps:CreateLoggingConfiguration",
				"aps:UpdateLoggingConfiguration",
				"aps:DeleteLoggingConfiguration",
				"aps:DescribeLoggingConfiguration"
			],
			"Resource": "*"
		}
	]
}

AmazonPrometheusRemoteWriteAccess

O conteúdo do AmazonPrometheusRemoteWriteAccessé o seguinte:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "aps:RemoteWrite"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

AmazonPrometheusQueryAccess

O conteúdo do AmazonPrometheusQueryAccessé o seguinte:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "aps:GetLabels",
                "aps:GetMetricMetadata",
                "aps:GetSeries",
                "aps:QueryMetrics"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

AWS política gerenciada: AmazonPrometheusScraperServiceRolePolicy

Você não pode se vincular AmazonPrometheusScraperServiceRolePolicy às suas entidades do IAM. Essa política está anexada a um perfil vinculado ao serviço, o que possibilita que o Amazon Managed Service for Prometheus execute ações em seu nome. Para obter mais informações, consulte Usar perfis para extrair métricas do EKS.

Essa política concede permissões aos colaboradores que permitem a leitura do cluster do Amazon EKS e a gravação no espaço de trabalho do Amazon Managed Service for Prometheus.

nota

Anteriormente, este guia do usuário chamava erroneamente essa política de AmazonPrometheusScraperServiceLinkedRolePolicy

Detalhes das permissões

Esta política inclui as seguintes permissões.

aps: permite que a entidade principal do serviço grave métricas nos espaços de trabalho do Amazon Managed Service for Prometheus.
ec2: permite que a entidade principal do serviço leia e modifique a configuração da rede para se conectar à rede que contém os clusters do Amazon EKS.
eks: permite que a entidade principal do serviço acesse os clusters do Amazon EKS. Isso é necessário para que ela possa extrair automaticamente as métricas. Também permite que a entidade principal limpe os recursos do Amazon EKS quando um extrator é removido.


{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "DeleteSLR",
			"Effect": "Allow",
			"Action": [
				"iam:DeleteRole"
			],
			"Resource": "arn:aws:iam::*:role/aws-service-role/scraper.aps.amazonaws.com/AWSServiceRoleForAmazonPrometheusScraper*"
		},
		{
			"Sid": "NetworkDiscovery",
			"Effect": "Allow",
			"Action": [
				"ec2:DescribeNetworkInterfaces",
				"ec2:DescribeSubnets",
				"ec2:DescribeSecurityGroups"
			],
			"Resource": "*"
		},
		{
			"Sid": "ENIManagement",
			"Effect": "Allow",
			"Action": "ec2:CreateNetworkInterface",
			"Resource": "*",
			"Condition": {
				"ForAllValues:StringEquals": {
					"aws:TagKeys": [
						"AMPAgentlessScraper"
					]
				}
			}
		},
		{
			"Sid": "TagManagement",
			"Effect": "Allow",
			"Action": "ec2:CreateTags",
			"Resource": "arn:aws:ec2:*:*:network-interface/*",
			"Condition": {
				"StringEquals": {
					"ec2:CreateAction": "CreateNetworkInterface"
				},
				"Null": {
					"aws:RequestTag/AMPAgentlessScraper": "false"
				}
			}
		},
		{
			"Sid": "ENIUpdating",
			"Effect": "Allow",
			"Action": [
				"ec2:DeleteNetworkInterface",
				"ec2:ModifyNetworkInterfaceAttribute"
			],
			"Resource": "*",
			"Condition": {
				"Null": {
					"ec2:ResourceTag/AMPAgentlessScraper": "false"
				}
			}
		},
		{
			"Sid": "EKSAccess",
			"Effect": "Allow",
			"Action": "eks:DescribeCluster",
			"Resource": "arn:aws:eks:*:*:cluster/*"
		},
		{
			"Sid": "DeleteEKSAccessEntry",
			"Effect": "Allow",
			"Action": "eks:DeleteAccessEntry",
			"Resource": "arn:aws:eks:*:*:access-entry/*/role/*",
			"Condition": {
				"StringEquals": {
					"aws:PrincipalAccount": "${aws:ResourceAccount}"
				},
				"ArnLike": {
					"eks:principalArn": "arn:aws:iam::*:role/aws-service-role/scraper.aps.amazonaws.com/AWSServiceRoleForAmazonPrometheusScraper*"
				}
			}
		},
		{
			"Sid": "APSWriting",
			"Effect": "Allow",
			"Action": "aps:RemoteWrite",
			"Resource": "arn:aws:aps:*:*:workspace/*",
			"Condition": {
				"StringEquals": {
					"aws:PrincipalAccount": "${aws:ResourceAccount}"
				}
			}
		}
	]
}

O Amazon Managed Service for Prometheus atualiza as políticas gerenciadas AWS

Veja detalhes sobre as atualizações das políticas AWS gerenciadas do Amazon Managed Service for Prometheus desde que esse serviço começou a monitorar essas alterações. Para receber alertas automáticos sobre mudanças nesta página, assine o feed RSS na página Histórico de documentos do Amazon Managed Service for Prometheus.

Alteração	Descrição	Data
AmazonPrometheusScraperServiceRolePolicy: atualizar para uma política existente	O Amazon Managed Service para Prometheus adicionou novas permissões ao AmazonPrometheusScraperServiceRolePolicypara oferecer suporte ao uso de entradas de acesso no Amazon EKS. Inclui permissões para gerenciar entradas de acesso do Amazon EKS para permitir a limpeza de recursos quando os extratores são excluídos. nota Anteriormente, o guia do usuário chamava erroneamente essa política de `AmazonPrometheusScraperServiceLinkedRolePolicy`	2 de maio de 2024
AmazonPrometheusFullAccess: atualizar para uma política existente	O Amazon Managed Service para Prometheus adicionou novas permissões ao AmazonPrometheusFullAccesspara apoiar a criação de raspadores gerenciados para métricas em clusters do Amazon EKS. Inclui permissões para conexão com clusters do Amazon EKS, leitura de EC2 redes da Amazon e criação de uma função vinculada a serviços para scrapers.	26 de novembro de 2023
AmazonPrometheusScraperServiceLinkedRolePolicy – Nova política	O Amazon Managed Service for Prometheus adicionou uma nova política de perfil vinculado ao serviço para ler os contêineres do Amazon EKS, a fim de permitir a extração automática de métricas. Inclui permissões para conexão com clusters do Amazon EKS, leitura de EC2 redes da Amazon e criação e exclusão de redes marcadas como`AMPAgentlessScraper`, bem como para gravação no Amazon Managed Service para espaços de trabalho do Prometheus.	26 de novembro de 2023
AmazonPrometheusConsoleFullAccess: atualizar para uma política existente	O Amazon Managed Service para Prometheus adicionou novas permissões ao AmazonPrometheusConsoleFullAccesspara suportar o registro de eventos do gerenciador de alertas e da régua no CloudWatch Logs. As permissões `aps:CreateLoggingConfiguration`, `aps:UpdateLoggingConfiguration`, `aps:DeleteLoggingConfiguration` e `aps:DescribeLoggingConfiguration` foram adicionadas.	24 de outubro de 2022
AmazonPrometheusConsoleFullAccess: atualizar para uma política existente	O Amazon Managed Service para Prometheus adicionou novas permissões ao AmazonPrometheusConsoleFullAccesspara oferecer suporte aos novos recursos do Amazon Managed Service for Prometheus e para que os usuários com essa política possam ver uma lista de sugestões de tags ao aplicarem tags aos recursos do Amazon Managed Service for Prometheus. As permissões `tag:GetTagKeys`, `tag:GetTagValues`, `aps:CreateAlertManagerDefinition`, `aps:CreateRuleGroupsNamespace`, `aps:DeleteAlertManagerDefinition`, `aps:DeleteRuleGroupsNamespace`, `aps:DescribeAlertManagerDefinition`, `aps:DescribeRuleGroupsNamespace`, `aps:ListRuleGroupsNamespaces`, `aps:PutAlertManagerDefinition`, `aps:PutRuleGroupsNamespace`, `aps:TagResource` e `aps:UntagResource` foram adicionadas.	29 de setembro de 2021
O Amazon Managed Service for Prometheus começou a monitorar alterações	O Amazon Managed Service for Prometheus começou a monitorar as mudanças em suas políticas gerenciadas AWS .	15 de setembro de 2021

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Exemplos de políticas baseadas em identidade

Solução de problemas