本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Amazon 受管理的 Grafana 政策
受 AWS 管理的策略是由建立和管理的獨立策略 AWS。 AWS 受管理的策略旨在為許多常見使用案例提供權限,以便您可以開始將權限指派給使用者、群組和角色。
請記住, AWS 受管理的政策可能不會為您的特定使用案例授與最低權限權限,因為這些權限可供所有 AWS 客戶使用。我們建議您定義使用案例專屬的客戶管理政策,以便進一步減少許可。
您無法變更受 AWS 管理策略中定義的權限。如果 AWS 更新 AWS 受管理原則中定義的權限,則此更新會影響附加原則的所有主體識別 (使用者、群組和角色)。 AWS 當新的啟動或新 AWS 服務 的 API 操作可供現有服務使用時,最有可能更新 AWS 受管理策略。
如需詳細資訊,請參閱《IAM 使用者指南》中的 AWS 受管政策。
AWS 受管理的策略: AWSGrafanaAccountAdministrator
AWSGrafanaAccountAdministrator 政策提供 Amazon 受管 Grafana 內部的存取權,以建立和管理整個組織的帳戶和工作區。
您可以附加 AWSGrafanaAccountAdministrator 到 IAM 實體。
許可詳細資訊
此政策包含以下許可。
-
iam— 允許主體列出和取得 IAM 角色,以便管理員可以將角色與工作區建立關聯,並將角色傳遞給 Amazon 受管的 Grafana 服務。 -
Amazon Managed Grafana— 允許主體讀取和寫入所有 Amazon 受管的 Grafana API。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSGrafanaOrganizationAdmin", "Effect": "Allow", "Action": [ "iam:ListRoles" ], "Resource": "*" }, { "Sid": "GrafanaIAMGetRolePermission", "Effect": "Allow", "Action": "iam:GetRole", "Resource": "arn:aws:iam::*:role/*" }, { "Sid": "AWSGrafanaPermissions", "Effect": "Allow", "Action": [ "grafana:*" ], "Resource": "*" }, { "Sid": "GrafanaIAMPassRolePermission", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringLike": { "iam:PassedToService": "grafana.amazonaws.com" } } } ] }
AWS 受管理策略: AWSGrafanaWorkspacePermissionManagement (已過時)
此原則已過時。此原則不應附加至任何新使用者、群組或角色。
Amazon 受管的 Grafana 新增了一項新政策,AWSGrafanaWorkspacePermissionManagementV2 取代此政策。這項新的受管理原則可提供更嚴格的權限集,藉此改善工作區的安全性。
AWS 管理策略: AWSGrafanaWorkspacePermissionManagementV2
AWSGrafanaWorkspacePermissionManagementV2 政策僅提供更新 Amazon 受管 Grafana 工作區的使用者和群組許可的功能。
您可以將 AWSGrafanaWorkspacePermissionManagementV2 附加到 IAM 實體。
許可詳細資訊
此政策包含以下許可。
-
Amazon Managed Grafana— 允許主體讀取和更新 Amazon 受管的 Grafana 工作區的使用者和群組許可。 -
IAM Identity Center— 允許主體讀取 IAM 身分中心實體。這是將主體與 Amazon Managed Grafana 應用程式建立關聯的必要部分,但這也需要執行額外的步驟,如下列政策列出之後所述。
{ "Version": "2012-10-17", "Statement": [{ "Sid": "AWSGrafanaPermissions", "Effect": "Allow", "Action": [ "grafana:DescribeWorkspace", "grafana:DescribeWorkspaceAuthentication", "grafana:UpdatePermissions", "grafana:ListPermissions", "grafana:ListWorkspaces" ], "Resource": "arn:aws:grafana:*:*:/workspaces*" }, { "Sid": "IAMIdentityCenterPermissions", "Effect": "Allow", "Action": [ "sso:DescribeRegisteredRegions", "sso:GetSharedSsoConfiguration", "sso:ListDirectoryAssociations", "sso:GetManagedApplicationInstance", "sso:ListProfiles", "sso:GetProfile", "sso:ListProfileAssociations", "sso-directory:DescribeUser", "sso-directory:DescribeGroup" ], "Resource": "*" } ] }
需要額外的政策
若要完全允許使用者指派許可,除了AWSGrafanaWorkspacePermissionManagementV2政策之外,您還必須指派政策,以提供 IAM Identity Center 中應用程式指派的存取權。
若要建立此原則,您必須先收集工作區的 Grafana 應用程式 ARN
-
開啟 IAM 身分中心主控台
。 -
從左側菜單中選擇「應用程序」。
-
在AWS 受管索引標籤下,找到名為 Amazon Grafana-工作區名稱的應用程式,其中
workspace-name是工作區的名稱。選取應用程式名稱。 -
顯示由 Amazon 管理的 Grafana 為工作區管理的 IAM 身分識別中心應用程式。此應用程序的 ARN 顯示在詳細信息頁面中。它將以下格式:
arn:aws:sso::。owner-account-id:application/ssoins-unique-id/apl-unique-id
您建立的原則應如下所示。以您在上一個步驟中找到的 ARN 取grafana-application-arn代:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sso:CreateApplicationAssignment", "sso:DeleteApplicationAssignment" ], "Resource": [ "grafana-application-arn" ] } ] }
如需如何建立政策並將其套用至角色或AWS Identity and Access Management 使用者的詳細資訊,請參閱使用指南中的新增和移除 IAM 身分許可。
AWS 受管理的策略: AWSGrafanaConsoleReadOnlyAccess
AWSGrafanaConsoleReadOnlyAccess 政策授予對 Amazon 受管 Grafana 中唯讀操作的存取權。
您可以附加 AWSGrafanaConsoleReadOnlyAccess 到 IAM 實體。
許可詳細資訊
此原則包含下列權限。
-
Amazon Managed Grafana— 允許校長以唯讀方式存取 Amazon 受管的 Grafana API
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSGrafanaConsoleReadOnlyAccess", "Effect": "Allow", "Action": ["grafana:Describe*", "grafana:List*"], "Resource": "*" } ] }
AWS 受管理的策略: AmazonGrafanaRedshiftAccess
此政策授予範圍內的 Amazon Redshift 存取權限,以及在亞馬遜受管的 Grafana 中使用 Amazon Redshift 外掛程式所需的相依性。 AmazonGrafanaRedshiftAccess 政策允許使用者或 IAM 角色使用 Grafana 中的 Amazon Redshift 資料來源外掛程式。Amazon Redshift 資料庫的臨時登入資料範圍為資料庫使用者redshift_data_api_user,如果密碼已標記為金鑰,則可從 Secrets Manager 擷取登入資料。RedshiftQueryOwner此政策允許存 Amazon Redshift 標記為. GrafanaDataSource 建立客戶管理的策略時,標籤式驗證是選擇性的。
您可以附加 AmazonGrafanaRedshiftAccess 到 IAM 實體。Amazon 受管的 Grafana 也會將此政策附加到一個服務角色,讓 Amazon 受管的 Grafana 代表您執行動作。
許可詳細資訊
此原則包含下列權限。
-
Amazon Redshift— 允許主參與者描述叢集,並取得名redshift_data_api_user為的資料庫使用者的暫時認證。 -
Amazon Redshift–data— 允許主參與者在標記為GrafanaDataSource的叢集上執行查詢。 -
Secrets Manager— 允許主參與者列出機密並讀取標記為RedshiftQueryOwner的密碼的密碼值。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "redshift:DescribeClusters", "redshift-data:GetStatementResult", "redshift-data:DescribeStatement", "secretsmanager:ListSecrets" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "redshift-data:DescribeTable", "redshift-data:ExecuteStatement", "redshift-data:ListTables", "redshift-data:ListSchemas" ], "Resource": "*", "Condition": { "Null": { "aws:ResourceTag/GrafanaDataSource": "false" } } }, { "Effect": "Allow", "Action": "redshift:GetClusterCredentials", "Resource": [ "arn:aws:redshift:*:*:dbname:*/*", "arn:aws:redshift:*:*:dbuser:*/redshift_data_api_user" ] }, { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": "*", "Condition": { "Null": { "secretsmanager:ResourceTag/RedshiftQueryOwner": "false" } } } ] }
AWS 受管理的策略: AmazonGrafanaAthenaAccess
此政策授予對 Athena 的存取權,以及允許從 Amazon 受管 Grafana 中的 Athena 外掛程式向 Amazon S3 查詢和寫入結果所需的相依性。 AmazonGrafanaAthenaAccess政策允許使用者或 IAM 角色在 Grafana 中使用 Athena 資料來源外掛程式。Athena 工作群組必須加上標籤GrafanaDataSource才能存取。此政策包含在 Amazon S3 儲存貯體中寫入查詢結果的許可,名稱前綴grafana-athena-query-results-為。此政策不包括用於存取 Athena 查詢基礎資料來源的 Amazon S3 許可。
您可以將 AWSGrafanaAthenaAccess 政策附加到 IAM 實體。Amazon 受管的 Grafana 也會將此政策附加到一個服務角色,讓 Amazon 受管的 Grafana 代表您執行動作。
許可詳細資訊
此原則包含下列權限。
-
Athena— 允許主參與者對標記為的工作群組中的 Athena 資源執行查詢。GrafanaDataSource -
Amazon S3— 允許主參與者將查詢結果讀取和寫入前綴為的值區。grafana-athena-query-results- -
AWS Glue— 允許主參與者存取 AWS Glue 資料庫、表格和分割區。這是必要的,主體才能搭配 Athena 使用 AWS Glue 資料目錄。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "athena:GetDatabase", "athena:GetDataCatalog", "athena:GetTableMetadata", "athena:ListDatabases", "athena:ListDataCatalogs", "athena:ListTableMetadata", "athena:ListWorkGroups" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "athena:GetQueryExecution", "athena:GetQueryResults", "athena:GetWorkGroup", "athena:StartQueryExecution", "athena:StopQueryExecution" ], "Resource": [ "*" ], "Condition": { "Null": { "aws:ResourceTag/GrafanaDataSource": "false" } } }, { "Effect": "Allow", "Action": [ "glue:GetDatabase", "glue:GetDatabases", "glue:GetTable", "glue:GetTables", "glue:GetPartition", "glue:GetPartitions", "glue:BatchGetPartition" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket", "s3:ListBucketMultipartUploads", "s3:ListMultipartUploadParts", "s3:AbortMultipartUpload", "s3:CreateBucket", "s3:PutObject", "s3:PutBucketPublicAccessBlock" ], "Resource": [ "arn:aws:s3:::grafana-athena-query-results-*" ] } ] }
AWS 受管理的策略: AmazonGrafanaCloudWatchAccess
此政策授予對 Amazon 的存取權限,以 CloudWatch 及在 Amazon 受管 Grafana 中用 CloudWatch 作資料來源所需的相依性。
您可以將 AWSGrafanaCloudWatchAccess 政策附加到 IAM 實體。Amazon 受管的 Grafana 也會將此政策附加到一個服務角色,讓 Amazon 受管的 Grafana 代表您執行動作。
許可詳細資訊
此政策包含以下許可。
-
CloudWatch— 允許主體列出並從 Amazon CloudWatch 取得指標資料和日誌。它還允許以 CloudWatch 跨帳戶觀察性查看來源帳戶共享的數據。 -
Amazon EC2— 允許主參與者取得有關正在監視之資源的詳細資訊。 -
Tags— 允許主參與者存取資源上的標籤,以允許篩選 CloudWatch 量度查詢。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarmsForMetric", "cloudwatch:DescribeAlarmHistory", "cloudwatch:DescribeAlarms", "cloudwatch:ListMetrics", "cloudwatch:GetMetricStatistics", "cloudwatch:GetMetricData", "cloudwatch:GetInsightRuleReport" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "logs:DescribeLogGroups", "logs:GetLogGroupFields", "logs:StartQuery", "logs:StopQuery", "logs:GetQueryResults", "logs:GetLogEvents" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:DescribeTags", "ec2:DescribeInstances", "ec2:DescribeRegions" ], "Resource": "*" }, { "Effect": "Allow", "Action": "tag:GetResources", "Resource": "*" }, { "Effect": "Allow", "Action": [ "oam:ListSinks", "oam:ListAttachedLinks" ], "Resource": "*" } ] }
Amazon 受管的 Grafana 受管政策更新 AWS
檢視有關 Amazon AWS Managed Grafana 受管政策更新的詳細資訊,因為此服務開始追蹤這些變更。如需有關此頁面變更的自動警示,請在 Amazon 受管的 Grafana 文件歷史記錄頁面訂閱 RSS 摘要。
| 變更 | 描述 | 日期 |
|---|---|---|
|
此政策已被 AWSGrafanaWorkspacePermissionManagementV2 取代。 此政策被視為過時,將不再更新。新原則會提供更嚴格的權限集,藉此改善工作區的安全性。 |
2024年1月5日 | |
|
Amazon 管理 Grafana 增加了一項新政策,AWSGrafanaWorkspacePermissionManagementV2以取代過時AWSGrafanaWorkspacePermissionManagement的政策。這項新的受管理原則可提供更嚴格的權限集,藉此改善工作區的安全性。 |
2024年1月5日 | |
|
Amazon 託管 Grafana 增加了一項新政策。AmazonGrafanaCloudWatchAccess |
2023 年 3 月 24 日 | |
|
Amazon 受管的 Grafana 新增了許可,以AWSGrafanaWorkspacePermissionManagement便使用中目錄中的 IAM 身分中心使用者和群組可以與 Grafana 工作區建立關聯。 已新增下列權限: |
2023 年 3 月 14 日 | |
|
Amazon 受管的 Grafana 新增許可,AWSGrafanaWorkspacePermissionManagement讓 IAM 身分中心使用者和群組可以與 Grafana 工作區建立關聯。 已新增下列權限: |
2022 年 12 月 20 日 | |
|
Amazon 受管的 Grafana 為 Grafana 服務連結角色新增了一項新政策。AmazonGrafanaServiceLinkedRolePolicy |
2022 年 11 月 18 日 | |
|
AWSGrafanaAccountAdministrator, AWSGrafanaConsoleReadOnlyAccess |
允許存取所有 Amazon 受管的 Grafana 資源 | 2022 年 2 月 17 日 |
|
Amazon 託管 Grafana 增加了一項新政策。AmazonGrafanaRedshiftAccess |
2021 年 11 月 26 日 | |
|
Amazon 託管 Grafana 增加了一項新政策。AmazonGrafanaAthenaAccess |
2021 年 11 月 22 日 | |
|
AWSGrafanaAccountAdministrator – 更新現有政策 |
Amazon 受管的 Grafana 已從中移除許可。AWSGrafanaAccountAdministrator 已移除 |
2021 年 10 月 13 日 |
|
Amazon 受管的 Grafana 新增了許可,AWSGrafanaWorkspacePermissionManagement讓具有此政策的使用者可以看到與工作區相關聯的身份驗證方法。 已新增 |
2021 年 9 月 21 日 | |
|
AWSGrafanaConsoleReadOnlyAccess – 更新現有政策 |
Amazon 受管的 Grafana 新增了許可,AWSGrafanaConsoleReadOnlyAccess讓具有此政策的使用者可以看到與工作區相關聯的身份驗證方法。
|
2021 年 9 月 21 日 |
|
Amazon 託管 Grafana 開始追蹤變更 |
Amazon 受管的 Grafana 開始追蹤其 AWS 受管政策的變更。 |
2021 年 9 月 9 日 |
