AmazonPrometheusFullAccess AmazonPrometheusConsoleFullAccess AmazonPrometheusRemoteWriteAccess AmazonPrometheusQueryAccess AmazonPrometheusScraperServiceRolePolicy Atualizações da política

Políticas gerenciadas pela AWS para o Amazon Managed Service for Prometheus

Uma política gerenciada pela AWS é uma política independente criada e administrada pela AWS. As políticas gerenciadas pela AWS são criadas para fornecer permissões a vários casos de uso comuns a fim de que você possa começar a atribuir permissões a usuários, grupos e perfis.

Lembre-se de que as políticas gerenciadas pela AWS podem não conceder permissões de privilégio mínimo para seus casos de uso específicos, por estarem disponíveis para uso por todos os clientes da AWS. Recomendamos que você reduza ainda mais as permissões definindo as políticas gerenciadas pelo cliente que são específicas para seus casos de uso.

Você não pode alterar as permissões definidas em políticas gerenciadas AWS. Se AWS atualiza as permissões definidas em um política gerenciada por AWS, a atualização afeta todas as identidades de entidades principais (usuários, grupos e perfis) às quais a política estiver vinculada. É provável que AWS atualize uma política gerenciada por AWS quando um novo AWS service (Serviço da AWS) for lançado, ou novas operações de API forem disponibilizadas para os serviços existentes.

Para obter mais informações, consulte Políticas gerenciadas pela AWS no Guia do usuário do IAM.

AmazonPrometheusFullAccess

É possível anexar a política AmazonPrometheusFullAccess a suas identidades do IAM.

Detalhes das permissões

Esta política inclui as seguintes permissões:

aps: permite acesso total ao Amazon Managed Service for Prometheus
eks: permite que o serviço Amazon Managed Service for Prometheus leia informações sobre os clusters do Amazon EKS. Isso é necessário para permitir a criação de extratores gerenciados e a descoberta de métricas no cluster.
ec2: permite que o serviço Amazon Managed Service for Prometheus leia informações sobre as redes do Amazon EC2. Isso é necessário para permitir a criação de extratores gerenciados com acesso às métricas do Amazon EKS.
iam: permite que as entidades principais criem um perfil vinculado ao serviço para extratores de métricas gerenciados.

O conteúdo de AmazonPrometheusFullAccess é o seguinte:


{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "AllPrometheusActions",
			"Effect": "Allow",
			"Action": [
				"aps:*"
			],
			"Resource": "*"
		},
		{
			"Sid": "DescribeCluster",
			"Effect": "Allow",
			"Action": [
				"eks:DescribeCluster",
				"ec2:DescribeSubnets",
				"ec2:DescribeSecurityGroups"
			],
			"Condition": {
				"ForAnyValue:StringEquals": {
					"aws:CalledVia": [
						"aps.amazonaws.com"
					]
				}
			},
			"Resource": "*"
		},
		{
			"Sid": "CreateServiceLinkedRole",
			"Effect": "Allow",
			"Action": "iam:CreateServiceLinkedRole",
			"Resource": "arn:aws:iam::*:role/aws-service-role/scraper.aps.amazonaws.com/AWSServiceRoleForAmazonPrometheusScraper*",
			"Condition": {
				"StringEquals": {
					"iam:AWSServiceName": "scraper.aps.amazonaws.com"
				}
			}
		}
	]
}

AmazonPrometheusConsoleFullAccess

É possível anexar a política AmazonPrometheusConsoleFullAccess a suas identidades do IAM.

Detalhes das permissões

Esta política inclui as seguintes permissões:

aps: permite acesso total ao Amazon Managed Service for Prometheus
tag: permite que as entidades principais vejam sugestões de tags no console do Amazon Managed Service for Prometheus.


{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "TagSuggestions",
			"Effect": "Allow",
			"Action": [
				"tag:GetTagValues",
				"tag:GetTagKeys"
			],
			"Resource": "*"
		},
		{
			"Sid": "PrometheusConsoleActions",
			"Effect": "Allow",
			"Action": [
				"aps:CreateWorkspace",
				"aps:DescribeWorkspace",
				"aps:UpdateWorkspaceAlias",
				"aps:DeleteWorkspace",
				"aps:ListWorkspaces",
				"aps:DescribeAlertManagerDefinition",
				"aps:DescribeRuleGroupsNamespace",
				"aps:CreateAlertManagerDefinition",
				"aps:CreateRuleGroupsNamespace",
				"aps:DeleteAlertManagerDefinition",
				"aps:DeleteRuleGroupsNamespace",
				"aps:ListRuleGroupsNamespaces",
				"aps:PutAlertManagerDefinition",
				"aps:PutRuleGroupsNamespace",
				"aps:TagResource",
				"aps:UntagResource",
				"aps:CreateLoggingConfiguration",
				"aps:UpdateLoggingConfiguration",
				"aps:DeleteLoggingConfiguration",
				"aps:DescribeLoggingConfiguration"
			],
			"Resource": "*"
		}
	]
}

AmazonPrometheusRemoteWriteAccess

O conteúdo de AmazonPrometheusRemoteWriteAccess é o seguinte:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "aps:RemoteWrite"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

AmazonPrometheusQueryAccess

O conteúdo de AmazonPrometheusQueryAccess é o seguinte:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "aps:GetLabels",
                "aps:GetMetricMetadata",
                "aps:GetSeries",
                "aps:QueryMetrics"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

Política gerenciada da AWS: AmazonPrometheusScraperServiceRolePolicy

Não é possível anexar AmazonPrometheusScraperServiceRolePolicy nas entidades do IAM. Essa política está anexada a um perfil vinculado ao serviço, o que possibilita que o Amazon Managed Service for Prometheus execute ações em seu nome. Para obter mais informações, consulte Usar perfis para extrair métricas do EKS.

Essa política concede permissões aos colaboradores que permitem a leitura do cluster do Amazon EKS e a gravação no espaço de trabalho do Amazon Managed Service for Prometheus.

nota

Anteriormente, este guia do usuário chamava erroneamente essa política de AmazonPrometheusScraperServiceLinkedRolePolicy

Detalhes das permissões

Esta política inclui as seguintes permissões:

aps: permite que a entidade principal do serviço grave métricas nos espaços de trabalho do Amazon Managed Service for Prometheus.
ec2: permite que a entidade principal do serviço leia e modifique a configuração da rede para se conectar à rede que contém os clusters do Amazon EKS.
eks: permite que a entidade principal do serviço acesse os clusters do Amazon EKS. Isso é necessário para que ela possa extrair automaticamente as métricas. Também permite que a entidade principal limpe os recursos do Amazon EKS quando um extrator é removido.


{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "DeleteSLR",
			"Effect": "Allow",
			"Action": [
				"iam:DeleteRole"
			],
			"Resource": "arn:aws:iam::*:role/aws-service-role/scraper.aps.amazonaws.com/AWSServiceRoleForAmazonPrometheusScraper*"
		},
		{
			"Sid": "NetworkDiscovery",
			"Effect": "Allow",
			"Action": [
				"ec2:DescribeNetworkInterfaces",
				"ec2:DescribeSubnets",
				"ec2:DescribeSecurityGroups"
			],
			"Resource": "*"
		},
		{
			"Sid": "ENIManagement",
			"Effect": "Allow",
			"Action": "ec2:CreateNetworkInterface",
			"Resource": "*",
			"Condition": {
				"ForAllValues:StringEquals": {
					"aws:TagKeys": [
						"AMPAgentlessScraper"
					]
				}
			}
		},
		{
			"Sid": "TagManagement",
			"Effect": "Allow",
			"Action": "ec2:CreateTags",
			"Resource": "arn:aws:ec2:*:*:network-interface/*",
			"Condition": {
				"StringEquals": {
					"ec2:CreateAction": "CreateNetworkInterface"
				},
				"Null": {
					"aws:RequestTag/AMPAgentlessScraper": "false"
				}
			}
		},
		{
			"Sid": "ENIUpdating",
			"Effect": "Allow",
			"Action": [
				"ec2:DeleteNetworkInterface",
				"ec2:ModifyNetworkInterfaceAttribute"
			],
			"Resource": "*",
			"Condition": {
				"Null": {
					"ec2:ResourceTag/AMPAgentlessScraper": "false"
				}
			}
		},
		{
			"Sid": "EKSAccess",
			"Effect": "Allow",
			"Action": "eks:DescribeCluster",
			"Resource": "arn:aws:eks:*:*:cluster/*"
		},
		{
			"Sid": "DeleteEKSAccessEntry",
			"Effect": "Allow",
			"Action": "eks:DeleteAccessEntry",
			"Resource": "arn:aws:eks:*:*:access-entry/*/role/*",
			"Condition": {
				"StringEquals": {
					"aws:PrincipalAccount": "${aws:ResourceAccount}"
				},
				"ArnLike": {
					"eks:principalArn": "arn:aws:iam::*:role/aws-service-role/scraper.aps.amazonaws.com/AWSServiceRoleForAmazonPrometheusScraper*"
				}
			}
		},
		{
			"Sid": "APSWriting",
			"Effect": "Allow",
			"Action": "aps:RemoteWrite",
			"Resource": "arn:aws:aps:*:*:workspace/*",
			"Condition": {
				"StringEquals": {
					"aws:PrincipalAccount": "${aws:ResourceAccount}"
				}
			}
		}
	]
}

Amazon Managed Service for Prometheus: atualizações para políticas gerenciadas pela AWS

Visualize detalhes sobre atualizações em políticas gerenciadas pela AWS para o Amazon Managed Service for Prometheus desde que esse serviço começou a monitorar essas alterações. Para receber alertas automáticos sobre mudanças nesta página, assine o feed RSS na página Histórico de documentos do Amazon Managed Service for Prometheus.

Alteração	Descrição	Data
AmazonPrometheusScraperServiceRolePolicy: atualização para uma política existente	O Amazon Managed Service for Prometheus adicionou novas permissões a AmazonPrometheusScraperServiceRolePolicy para possibilitar o uso de entradas de acesso no Amazon EKS. Inclui permissões para gerenciar entradas de acesso do Amazon EKS para permitir a limpeza de recursos quando os extratores são excluídos. nota Anteriormente, o guia do usuário chamava erroneamente essa política de `AmazonPrometheusScraperServiceLinkedRolePolicy`	2 de maio de 2024
AmazonPrometheusFullAccess: atualização de uma política existente	O Amazon Managed Service for Prometheus adicionou novas permissões ao AmazonPrometheusFullAccess para apoiar a criação de extratores gerenciados para métricas em clusters do Amazon EKS. Inclui permissões para conexão com clusters do Amazon EKS, leitura de redes do Amazon EC2 e criação de um perfil vinculado ao serviço para extratores.	26 de novembro de 2023
AmazonPrometheusScraperServiceLinkedRolePolicy: nova política	O Amazon Managed Service for Prometheus adicionou uma nova política de perfil vinculado ao serviço para ler os contêineres do Amazon EKS, a fim de permitir a extração automática de métricas. Inclui permissões para conexão com clusters do Amazon EKS, leitura de redes do Amazon EC2 e criação e exclusão de redes marcadas como `AMPAgentlessScraper`, bem como para gravação em espaços de trabalho do Amazon Managed Service for Prometheus.	26 de novembro de 2023
AmazonPrometheusConsoleFullAccess: atualizar para uma política existente	O Amazon Managed Service for Prometheus adicionou novas permissões ao AmazonPrometheusConsoleFullAccess para dar suporte a registros em log no gerenciador de alertas e eventos da régua no CloudWatch Logs. As permissões `aps:CreateLoggingConfiguration`, `aps:UpdateLoggingConfiguration`, `aps:DeleteLoggingConfiguration` e `aps:DescribeLoggingConfiguration` foram adicionadas.	24 de outubro de 2022
AmazonPrometheusConsoleFullAccess: atualizar para uma política existente	O Amazon Managed Service for Prometheus adicionou novas permissões ao AmazonPrometheusConsoleFullAccess para oferecer suporte aos novos atributos do Amazon Managed Service for Prometheus e para que os usuários com essa política possam ver uma lista de sugestões de tags ao aplicarem tags aos recursos do Amazon Managed Service for Prometheus. As permissões `tag:GetTagKeys`, `tag:GetTagValues`, `aps:CreateAlertManagerDefinition`, `aps:CreateRuleGroupsNamespace`, `aps:DeleteAlertManagerDefinition`, `aps:DeleteRuleGroupsNamespace`, `aps:DescribeAlertManagerDefinition`, `aps:DescribeRuleGroupsNamespace`, `aps:ListRuleGroupsNamespaces`, `aps:PutAlertManagerDefinition`, `aps:PutRuleGroupsNamespace`, `aps:TagResource` e `aps:UntagResource` foram adicionadas.	29 de setembro de 2021
O Amazon Managed Service for Prometheus começou a monitorar alterações	O Amazon Managed Service for Prometheus começou a monitorar alterações para suas políticas gerenciadas pela AWS.	15 de setembro de 2021

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Exemplos de políticas baseadas em identidade

Solução de problemas