本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS 适用于 Prometheus 的亚马逊托管服务的托管政策
AWS 托管策略是由创建和管理的独立策略 AWS。 AWS 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。
请记住, AWS 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 AWS 客户使用。我们建议通过定义特定于您的使用场景的客户管理型策略来进一步减少权限。
您无法更改 AWS 托管策略中定义的权限。如果 AWS 更新 AWS 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 AWS 最有可能在启动新的 API 或现有服务可以使用新 AWS 服务 的 API 操作时更新 AWS 托管策略。
有关更多信息,请参阅《IAM 用户指南》中的 AWS 托管式策略。
AmazonPrometheusFullAccess
您可以将 AmazonPrometheusFullAccess 策略附加到 IAM 身份。
权限详细信息
该策略包含以下权限。
-
aps:允许完整访问 Amazon Managed Service for Prometheus -
eks:允许 Amazon Managed Service for Prometheus 服务读取有关 Amazon EKS 集群的信息。这是允许创建托管抓取程序并在集群中发现指标所必需的。 -
ec2:允许 Amazon Managed Service for Prometheus 服务读取有关 Amazon EC2 网络的信息。这是允许创建可访问您 Amazon EKS 指标的托管抓取程序所必需的。 -
iam:允许主体为托管指标抓取程序创建服务相关角色。
的内容AmazonPrometheusFullAccess如下:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllPrometheusActions", "Effect": "Allow", "Action": [ "aps:*" ], "Resource": "*" }, { "Sid": "DescribeCluster", "Effect": "Allow", "Action": [ "eks:DescribeCluster", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups" ], "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": [ "aps.amazonaws.com" ] } }, "Resource": "*" }, { "Sid": "CreateServiceLinkedRole", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/scraper.aps.amazonaws.com/AWSServiceRoleForAmazonPrometheusScraper*", "Condition": { "StringEquals": { "iam:AWSServiceName": "scraper.aps.amazonaws.com" } } } ] }
AmazonPrometheusConsoleFullAccess
您可以将 AmazonPrometheusConsoleFullAccess 策略附加到 IAM 身份。
权限详细信息
该策略包含以下权限。
-
aps:允许完整访问 Amazon Managed Service for Prometheus -
tag:允许主体在 Amazon Managed Service for Prometheus 控制台中查看标签建议。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "TagSuggestions", "Effect": "Allow", "Action": [ "tag:GetTagValues", "tag:GetTagKeys" ], "Resource": "*" }, { "Sid": "PrometheusConsoleActions", "Effect": "Allow", "Action": [ "aps:CreateWorkspace", "aps:DescribeWorkspace", "aps:UpdateWorkspaceAlias", "aps:DeleteWorkspace", "aps:ListWorkspaces", "aps:DescribeAlertManagerDefinition", "aps:DescribeRuleGroupsNamespace", "aps:CreateAlertManagerDefinition", "aps:CreateRuleGroupsNamespace", "aps:DeleteAlertManagerDefinition", "aps:DeleteRuleGroupsNamespace", "aps:ListRuleGroupsNamespaces", "aps:PutAlertManagerDefinition", "aps:PutRuleGroupsNamespace", "aps:TagResource", "aps:UntagResource", "aps:CreateLoggingConfiguration", "aps:UpdateLoggingConfiguration", "aps:DeleteLoggingConfiguration", "aps:DescribeLoggingConfiguration" ], "Resource": "*" } ] }
AmazonPrometheusRemoteWriteAccess
的内容AmazonPrometheusRemoteWriteAccess如下:
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "aps:RemoteWrite" ], "Effect": "Allow", "Resource": "*" } ] }
AmazonPrometheusQueryAccess
的内容AmazonPrometheusQueryAccess如下:
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "aps:GetLabels", "aps:GetMetricMetadata", "aps:GetSeries", "aps:QueryMetrics" ], "Effect": "Allow", "Resource": "*" } ] }
AWS 托管策略: AmazonPrometheusScraperServiceRolePolicy
您无法附加 AmazonPrometheusScraperServiceRolePolicy 到您的 IAM 实体。此附加到服务相关角色的策略允许 Amazon Managed Service for Prometheus 代表您执行操作。有关更多信息,请参阅 使用角色从 EKS 中抓取指标。
此策略向贡献者授予权限,以允许从您的 Amazon EKS 集群读取和写入到 Amazon Managed Service for Prometheus 工作区。
注意
此用户指南以前错误地称之为此政策 AmazonPrometheusScraperServiceLinkedRolePolicy
权限详细信息
该策略包含以下权限。
-
aps:允许服务主体将指标写入 Amazon Managed Service for Prometheus 工作区。 -
ec2:允许服务主体读取和修改网络配置,以连接到包含您的 Amazon EKS 集群的网络。 -
eks:允许服务主体访问您的 Amazon EKS 集群。这是必需的,这样它才能自动抓取指标。还允许委托人在移除抓取器时清理 Amazon EKS 资源。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DeleteSLR", "Effect": "Allow", "Action": [ "iam:DeleteRole" ], "Resource": "arn:aws:iam::*:role/aws-service-role/scraper.aps.amazonaws.com/AWSServiceRoleForAmazonPrometheusScraper*" }, { "Sid": "NetworkDiscovery", "Effect": "Allow", "Action": [ "ec2:DescribeNetworkInterfaces", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups" ], "Resource": "*" }, { "Sid": "ENIManagement", "Effect": "Allow", "Action": "ec2:CreateNetworkInterface", "Resource": "*", "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": [ "AMPAgentlessScraper" ] } } }, { "Sid": "TagManagement", "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*:*:network-interface/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateNetworkInterface" }, "Null": { "aws:RequestTag/AMPAgentlessScraper": "false" } } }, { "Sid": "ENIUpdating", "Effect": "Allow", "Action": [ "ec2:DeleteNetworkInterface", "ec2:ModifyNetworkInterfaceAttribute" ], "Resource": "*", "Condition": { "Null": { "ec2:ResourceTag/AMPAgentlessScraper": "false" } } }, { "Sid": "EKSAccess", "Effect": "Allow", "Action": "eks:DescribeCluster", "Resource": "arn:aws:eks:*:*:cluster/*" }, { "Sid": "DeleteEKSAccessEntry", "Effect": "Allow", "Action": "eks:DeleteAccessEntry", "Resource": "arn:aws:eks:*:*:access-entry/*/role/*", "Condition": { "StringEquals": { "aws:PrincipalAccount": "${aws:ResourceAccount}" }, "ArnLike": { "eks:principalArn": "arn:aws:iam::*:role/aws-service-role/scraper.aps.amazonaws.com/AWSServiceRoleForAmazonPrometheusScraper*" } } }, { "Sid": "APSWriting", "Effect": "Allow", "Action": "aps:RemoteWrite", "Resource": "arn:aws:aps:*:*:workspace/*", "Condition": { "StringEquals": { "aws:PrincipalAccount": "${aws:ResourceAccount}" } } } ] }
适用于 Prometheus 的亚马逊托管服务更新了托管政策 AWS
查看有关自亚马逊 AWS 托管服务 Prometheus 托管政策开始跟踪这些更改以来该服务更新的详细信息。有关此页面更改的自动提示,请订阅 Amazon Managed Service for Prometheus 文档历史记录页面上的 RSS 源。
| 更改 | 描述 | 日期 |
|---|---|---|
|
AmazonPrometheusScraperServiceRolePolicy – 对现有策略的更新 |
适用于 Prometheus 的亚马逊托管服务增加了新的权限,AmazonPrometheusScraperServiceRolePolicy以支持使用亚马逊 EKS 中的访问条目。 包括管理 Amazon EKS 访问条目的权限,允许在删除抓取器时清理资源。 注意之前的用户指南错误地称之为此政策 |
2024年5月2日 |
|
AmazonPrometheusFullAccess – 更新了现有策略 |
Amazon Managed Service for Prometheus 在 AmazonPrometheusFullAccess 中添加了新的权限,以支持为 Amazon EKS 集群中的指标创建托管抓取程序。 包括连接到 Amazon EKS 集群、读取 Amazon EC2 网络以及为抓取程序创建服务相关角色的权限。 |
2023 年 11 月 26 日 |
|
Amazon Managed Service for Prometheus 添加了一项新的服务相关角色策略,用于从 Amazon EKS 容器中读取,以允许自动抓取指标。 包括连接到 Amazon EKS 集群、读取 Amazon EC2 网络、创建和删除标记为 |
2023 年 11 月 26 日 | |
|
AmazonPrometheusConsoleFullAccess – 更新了现有策略 |
适用于 Prometheus 的亚马逊托管服务为支持在日志中记录警报管理器和标尺事件添加了新的权限AmazonPrometheusConsoleFullAccess。 CloudWatch 添加了 |
2022 年 10 月 24 日 |
|
AmazonPrometheusConsoleFullAccess – 更新了现有策略 |
Amazon Managed Service for Prometheus 向 AmazonPrometheusConsoleFullAccess 添加了新的权限,以支持新的 Amazon Managed Service for Prometheus 功能,因此,使用此策略的用户在将标签应用于 Amazon Managed Service for Prometheus 资源时可以看到标签建议列表。 添加了 |
2021 年 9 月 29 日 |
|
Amazon Managed Service for Prometheus 开始跟踪更改 |
适用于 Prometheus 的亚马逊托管服务已开始跟踪其托管政策的变更。 AWS |
2021 年 9 月 15 日 |
