AWS 亚马逊托管 Grafana 的托管政策 - Amazon Managed Grafana

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS 亚马逊托管 Grafana 的托管政策

AWS 托管策略是由创建和管理的独立策略 AWS。 AWS 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。

请记住, AWS 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 AWS 客户使用。我们建议通过定义特定于您的使用场景的客户管理型策略来进一步减少权限。

您无法更改 AWS 托管策略中定义的权限。如果 AWS 更新 AWS 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 AWS 最有可能在启动新的 API 或现有服务可以使用新 AWS 服务 的 API 操作时更新 AWS 托管策略。

有关更多信息,请参阅《IAM 用户指南》中的 AWS 托管式策略

AWS 托管策略: AWSGrafanaAccountAdministrator

AWSGrafanaAccountAdministrator 策略提供在 Amazon Managed Grafana 中为整个组织创建和管理账户和工作空间的访问权限。

您可以附加 AWSGrafanaAccountAdministrator 到您的 IAM 实体。

权限详细信息

该策略包含以下权限。

  • iam— 允许委托人列出和获取 IAM 角色,以便管理员可以将角色与工作空间关联并将角色传递给 Amazon Managed Grafana 服务。

  • Amazon Managed Grafana— 允许委托人读写所有亚马逊托管 Grafana API。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSGrafanaOrganizationAdmin", "Effect": "Allow", "Action": [ "iam:ListRoles" ], "Resource": "*" }, { "Sid": "GrafanaIAMGetRolePermission", "Effect": "Allow", "Action": "iam:GetRole", "Resource": "arn:aws:iam::*:role/*" }, { "Sid": "AWSGrafanaPermissions", "Effect": "Allow", "Action": [ "grafana:*" ], "Resource": "*" }, { "Sid": "GrafanaIAMPassRolePermission", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringLike": { "iam:PassedToService": "grafana.amazonaws.com" } } } ] }

AWS 托管策略: AWSGrafanaWorkspacePermissionManagement (已过时)

此政策已过时。不应将此政策附加到任何新用户、群组或角色。

Amazon Managed Grafana 添加了一项新政策 AWSGrafanaWorkspacePermissionManagementV2即 来取代此政策。这项新的托管策略提供了一组更严格的权限,从而提高了工作空间的安全性。

AWS 托管策略: AWSGrafanaWorkspacePermissionManagementV2

AWSGrafanaWorkspacePermissionManagementV2 策略仅提供更新亚马逊托管 Grafana 工作空间的用户和群组权限的权限。

您可以将 AWSGrafanaWorkspacePermissionManagementV2 附加到您的 IAM 实体。

权限详细信息

该策略包含以下权限。

  • Amazon Managed Grafana— 允许委托人读取和更新 Amazon Managed Grafana 工作空间的用户和群组权限。

  • IAM Identity Center— 允许委托人读取 IAM 身份中心实体。这是将委托人与 Amazon Managed Grafana 应用程序关联的必要部分,但这也需要额外的步骤,如下面的政策清单所述。

{ "Version": "2012-10-17", "Statement": [{ "Sid": "AWSGrafanaPermissions", "Effect": "Allow", "Action": [ "grafana:DescribeWorkspace", "grafana:DescribeWorkspaceAuthentication", "grafana:UpdatePermissions", "grafana:ListPermissions", "grafana:ListWorkspaces" ], "Resource": "arn:aws:grafana:*:*:/workspaces*" }, { "Sid": "IAMIdentityCenterPermissions", "Effect": "Allow", "Action": [ "sso:DescribeRegisteredRegions", "sso:GetSharedSsoConfiguration", "sso:ListDirectoryAssociations", "sso:GetManagedApplicationInstance", "sso:ListProfiles", "sso:GetProfile", "sso:ListProfileAssociations", "sso-directory:DescribeUser", "sso-directory:DescribeGroup" ], "Resource": "*" } ] }

需要其他政策

要完全允许用户分配权限,除了策略外,您还必须分配AWSGrafanaWorkspacePermissionManagementV2策略以提供对 IAM Identity Center 中应用程序分配的访问权限。

要创建此策略,您必须先收集工作空间的 Grafana 应用程序 ARN

  1. 打开 IAM Identity Center 控制台

  2. 从左侧菜单中选择 “应用程序”。

  3. AWS 托管选项卡下,找到名为 Amazon Grafana-workspace - name 的应用程序,workspace-name其中是您的工作空间名称。选择应用程序名称。

  4. 显示了由亚马逊托管 Grafana 管理的用于工作空间的 IAM 身份中心应用程序。此应用程序的 ARN 显示在详情页面中。它将采用以下形式:arn:aws:sso::owner-account-id:application/ssoins-unique-id/apl-unique-id.

您创建的策略应如下所示。grafana-application-arn替换为您在上一步中找到的 ARN:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sso:CreateApplicationAssignment", "sso:DeleteApplicationAssignment" ], "Resource": [ "grafana-application-arn" ] } ] }

有关如何创建策略并将其应用于您的角色或用户的信息,请参阅AWS Identity and Access Management 用户指南中的添加和删除 IAM 身份权限

AWS 托管策略: AWSGrafanaConsoleReadOnlyAccess

AWSGrafanaConsoleReadOnlyAccess 策略允许访问亚马逊托管 Grafana 中的只读操作。

您可以附加 AWSGrafanaConsoleReadOnlyAccess 到您的 IAM 实体。

权限详细信息

此政策包括以下权限。

  • Amazon Managed Grafana— 允许委托人以只读方式访问亚马逊托管 Grafana API

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSGrafanaConsoleReadOnlyAccess", "Effect": "Allow", "Action": ["grafana:Describe*", "grafana:List*"], "Resource": "*" } ] }

AWS 托管策略: AmazonGrafanaRedshiftAccess

该政策授予对亚马逊 Redshift 的限定访问权限以及在亚马逊托管 Grafana 中使用亚马逊 Redshift 插件所需的依赖项。 AmazonGrafanaRedshiftAccess 策略允许用户或 IAM 角色在 Grafana 中使用 Amazon Redshift 数据源插件。Amazon Redshift 数据库的临时证书仅限于数据库用户redshift_data_api_user,如果使用密钥标记了密钥,则可以从 Secrets Manager 中检索证书。RedshiftQueryOwner此策略允许访问标记为的亚马逊 Redshift 集群。GrafanaDataSource创建客户托管策略时,基于标签的身份验证是可选的。

您可以附加 AmazonGrafanaRedshiftAccess 到您的 IAM 实体。Amazon Managed Grafana 还将此政策附加到允许亚马逊托管 Grafana 代表您执行操作的服务角色。

权限详细信息

此政策包括以下权限。

  • Amazon Redshift— 允许委托人描述集群并为名redshift_data_api_user为的数据库用户获取临时证书。

  • Amazon Redshift–data— 允许委托人对标记为GrafanaDataSource的集群执行查询。

  • Secrets Manager— 允许委托人列出密钥并读取标记为RedshiftQueryOwner的密钥的机密值。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "redshift:DescribeClusters", "redshift-data:GetStatementResult", "redshift-data:DescribeStatement", "secretsmanager:ListSecrets" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "redshift-data:DescribeTable", "redshift-data:ExecuteStatement", "redshift-data:ListTables", "redshift-data:ListSchemas" ], "Resource": "*", "Condition": { "Null": { "aws:ResourceTag/GrafanaDataSource": "false" } } }, { "Effect": "Allow", "Action": "redshift:GetClusterCredentials", "Resource": [ "arn:aws:redshift:*:*:dbname:*/*", "arn:aws:redshift:*:*:dbuser:*/redshift_data_api_user" ] }, { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": "*", "Condition": { "Null": { "secretsmanager:ResourceTag/RedshiftQueryOwner": "false" } } } ] }

AWS 托管策略: AmazonGrafanaAthenaAccess

该政策授予访问雅典娜和依赖项的权限,以便能够通过亚马逊托管 Grafana 中的 Athena 插件查询和写入结果,并将结果写入亚马逊 S3。 AmazonGrafanaAthenaAccess策略允许用户或 IAM 角色在 Grafana 中使用 Athena 数据源插件。必须使用标记 GrafanaDataSource Athena 工作组才能访问。此策略包含在名称前缀为的 Amazon S3 存储桶中写入查询结果的grafana-athena-query-results-权限。Amazon S3 访问雅典娜查询底层数据源的权限不包含在本政策中。

您可以将 AWSGrafanaAthenaAccess 策略附加到您的 IAM 实体。Amazon Managed Grafana 还将此政策附加到允许亚马逊托管 Grafana 代表您执行操作的服务角色。

权限详细信息

此政策包括以下权限。

  • Athena— 允许委托人对标记为的工作组中的 Athena 资源运行查询。GrafanaDataSource

  • Amazon S3— 允许委托人读取查询结果并将其写入前缀为的存储桶。grafana-athena-query-results-

  • AWS Glue— 允许委托人访问 AWS Glue 数据库、表和分区。这是必需的,这样委托人才能将 AWS Glue 数据目录与 Athena 一起使用。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "athena:GetDatabase", "athena:GetDataCatalog", "athena:GetTableMetadata", "athena:ListDatabases", "athena:ListDataCatalogs", "athena:ListTableMetadata", "athena:ListWorkGroups" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "athena:GetQueryExecution", "athena:GetQueryResults", "athena:GetWorkGroup", "athena:StartQueryExecution", "athena:StopQueryExecution" ], "Resource": [ "*" ], "Condition": { "Null": { "aws:ResourceTag/GrafanaDataSource": "false" } } }, { "Effect": "Allow", "Action": [ "glue:GetDatabase", "glue:GetDatabases", "glue:GetTable", "glue:GetTables", "glue:GetPartition", "glue:GetPartitions", "glue:BatchGetPartition" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket", "s3:ListBucketMultipartUploads", "s3:ListMultipartUploadParts", "s3:AbortMultipartUpload", "s3:CreateBucket", "s3:PutObject", "s3:PutBucketPublicAccessBlock" ], "Resource": [ "arn:aws:s3:::grafana-athena-query-results-*" ] } ] }

AWS 托管策略: AmazonGrafanaCloudWatchAccess

该政策授予访问亚马逊 CloudWatch 和在亚马逊托管 Grafana 中 CloudWatch 用作数据源所需的依赖项的权限。

您可以将 AWSGrafanaCloudWatchAccess 策略附加到您的 IAM 实体。Amazon Managed Grafana 还将此政策附加到允许亚马逊托管 Grafana 代表您执行操作的服务角色。

权限详细信息

该策略包含以下权限。

  • CloudWatch— 允许委托人列出并从 Amazon CloudWatch 获取指标数据和日志。它还允许在 CloudWatch 跨账户可观察性中查看源账户共享的数据。

  • Amazon EC2— 允许委托人获取有关正在监控的资源的详细信息。

  • Tags— 允许委托人访问资源上的标签,以允许筛选 CloudWatch 指标查询。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarmsForMetric", "cloudwatch:DescribeAlarmHistory", "cloudwatch:DescribeAlarms", "cloudwatch:ListMetrics", "cloudwatch:GetMetricStatistics", "cloudwatch:GetMetricData", "cloudwatch:GetInsightRuleReport" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "logs:DescribeLogGroups", "logs:GetLogGroupFields", "logs:StartQuery", "logs:StopQuery", "logs:GetQueryResults", "logs:GetLogEvents" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:DescribeTags", "ec2:DescribeInstances", "ec2:DescribeRegions" ], "Resource": "*" }, { "Effect": "Allow", "Action": "tag:GetResources", "Resource": "*" }, { "Effect": "Allow", "Action": [ "oam:ListSinks", "oam:ListAttachedLinks" ], "Resource": "*" } ] }

亚马逊托管 Grafana 更新了托管政策 AWS

查看自 Amazon Managed Grafana 托 AWS 管政策开始跟踪这些变更以来该服务更新的详细信息。要获取有关此页面变更的自动提醒,请订阅 Amazon Managed Grafana 文档历史记录页面上的 RSS 提要。

更改 描述 日期

AWSGrafanaWorkspacePermissionManagement— 已过时

此策略已被 AWSGrafanaWorkspacePermissionManagementV2 取代。

此政策已被视为过时,将不再更新。新策略提供了一组更严格的权限,从而提高了工作空间的安全性。

2024 年 1 月 5 日

AWSGrafanaWorkspacePermissionManagementV2 — 新政策

Amazon Managed Grafana 添加了一项新政策 AWSGrafanaWorkspacePermissionManagementV2,以取代过时的政策。AWSGrafanaWorkspacePermissionManagement这项新的托管策略提供了一组更严格的权限,从而提高了工作空间的安全性。

2024 年 1 月 5 日

AmazonGrafanaCloudWatchAccess:新策略

Amazon Managed Grafana 添加了一项新政策。AmazonGrafanaCloudWatchAccess

2023 年 3 月 24 日

AWSGrafanaWorkspacePermissionManagement – 更新了现有策略

Amazon Managed Grafana AWSGrafanaWorkspacePermissionManagement为其添加了新权限,这样,Active Directory 中的 IAM 身份中心用户和群组就可以与 Grafana 工作空间相关联。

添加了以下权限:sso-directory:DescribeUsersso-directory:DescribeGroup

2023 年 3 月 14 日

AWSGrafanaWorkspacePermissionManagement – 更新了现有策略

Amazon Managed Grafana AWSGrafanaWorkspacePermissionManagement为其添加了新的权限,这样 IAM 身份中心用户和群组就可以与 Grafana 工作空间相关联。

添加了以下权限:sso:DescribeRegisteredRegionssso:GetSharedSsoConfigurationsso:ListDirectoryAssociationssso:GetManagedApplicationInstancesso:ListProfilessso:AssociateProfilesso:DisassociateProfilesso:GetProfile、和sso:ListProfileAssociations

2022 年 12 月 20 日

AmazonGrafanaServiceLinkedRolePolicy— 新的单反政策

Amazon Managed Grafana 为 Grafana 服务相关角色添加了一项新政策。AmazonGrafanaServiceLinkedRolePolicy

2022 年 11 月 18 日

AWSGrafanaAccountAdministrator, AWSGrafanaConsoleReadOnlyAccess

允许访问所有亚马逊托管 Grafana 资源 2022 年 2 月 17 日

AmazonGrafanaRedshiftAccess:新策略

Amazon Managed Grafana 添加了一项新政策。AmazonGrafanaRedshiftAccess

2021 年 11 月 26 日

AmazonGrafanaAthenaAccess:新策略

Amazon Managed Grafana 添加了一项新政策。AmazonGrafanaAthenaAccess

2021 年 11 月 22 日

AWSGrafanaAccountAdministrator – 现有策略更新

Amazon Managed Grafana 已从中移除权限。AWSGrafanaAccountAdministrator

sso.amazonaws.com服务的iam:CreateServiceLinkedRole权限范围已被删除,相反,我们建议您附加AWSSSOMasterAccountAdministrator策略以向用户授予此权限。

2021 年 10 月 13 日

AWSGrafanaWorkspacePermissionManagement – 更新了现有策略

Amazon Managed Grafana AWSGrafanaWorkspacePermissionManagement向添加了新的权限,因此拥有此策略的用户可以查看与工作空间关联的身份验证方法。

grafana:DescribeWorkspaceAuthentication权限已添加。

2021 年 9 月 21 日

AWSGrafanaConsoleReadOnlyAccess – 更新了现有策略

Amazon Managed Grafana AWSGrafanaConsoleReadOnlyAccess向添加了新的权限,因此拥有此策略的用户可以查看与工作空间关联的身份验证方法。

grafana:Describe*grafana:List*权限已添加到策略中,它们取代了之前较窄的权限grafana:DescribeWorkspacegrafana:ListPermissions、和grafana:ListWorkspaces

2021 年 9 月 21 日

亚马逊 Managed Grafana 开始追踪变更

亚马逊托管 Grafana 开始跟踪其托管策略的变更。 AWS

2021 年 9 月 9 日