本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Amazon Managed Service for Prometheus 的 受管政策
AWS 受管政策是由 AWS AWS 受管政策建立和管理的獨立政策旨在為許多常見使用案例提供許可,以便您可以開始將許可指派給使用者、群組和角色。
請記住, AWS 受管政策可能不會授予特定使用案例的最低權限許可,因為這些許可可供所有 AWS 客戶使用。我們建議您定義使用案例專屬的客戶管理政策,以便進一步減少許可。
您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新受管政策中 AWS 定義的許可,則更新會影響政策連接的所有主體身分 (使用者、群組和角色)。當新的 AWS 服務 啟動或新的 API 操作可用於現有服務時, AWS 最有可能更新受 AWS 管政策。
如需詳細資訊,請參閱《IAM 使用者指南》中的 AWS 受管政策。
AmazonPrometheusFullAccess
您可將 AmazonPrometheusFullAccess 政策連接到 IAM 身分。
許可詳細資訊
此政策包含以下許可。
-
aps:允許完全存取 Amazon Managed Service for Prometheus -
eks:讓 Amazon Managed Service for Prometheus 服務讀取有關 Amazon EKS 叢集的資訊。若要允許在叢集中建立受管湊集器並探索指標,則這會相當必要。 -
ec2:允許 Amazon Managed Service for Prometheus 服務讀取有關您的 Amazon EC2 網路的資訊。若要使用 Amazon EKS 指標的存取權建立受管湊集器,則這會相當必要。 -
iam:允許主體為受管理的指標湊集器建立服務連結角色。
AmazonPrometheusFullAccess 的內容如下所示:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllPrometheusActions", "Effect": "Allow", "Action": [ "aps:*" ], "Resource": "*" }, { "Sid": "DescribeCluster", "Effect": "Allow", "Action": [ "eks:DescribeCluster", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups" ], "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": [ "aps.amazonaws.com" ] } }, "Resource": "*" }, { "Sid": "CreateServiceLinkedRole", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/scraper.aps.amazonaws.com/AWSServiceRoleForAmazonPrometheusScraper*", "Condition": { "StringEquals": { "iam:AWSServiceName": "scraper.aps.amazonaws.com" } } } ] }
AmazonPrometheusConsoleFullAccess
您可將 AmazonPrometheusConsoleFullAccess 政策連接到 IAM 身分。
許可詳細資訊
此政策包含以下許可。
-
aps:允許完全存取 Amazon Managed Service for Prometheus -
tag:允許主體在 Amazon Managed Service for Prometheus 主控台中查看標籤建議。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "TagSuggestions", "Effect": "Allow", "Action": [ "tag:GetTagValues", "tag:GetTagKeys" ], "Resource": "*" }, { "Sid": "PrometheusConsoleActions", "Effect": "Allow", "Action": [ "aps:CreateWorkspace", "aps:DescribeWorkspace", "aps:UpdateWorkspaceAlias", "aps:DeleteWorkspace", "aps:ListWorkspaces", "aps:DescribeAlertManagerDefinition", "aps:DescribeRuleGroupsNamespace", "aps:CreateAlertManagerDefinition", "aps:CreateRuleGroupsNamespace", "aps:DeleteAlertManagerDefinition", "aps:DeleteRuleGroupsNamespace", "aps:ListRuleGroupsNamespaces", "aps:PutAlertManagerDefinition", "aps:PutRuleGroupsNamespace", "aps:TagResource", "aps:UntagResource", "aps:CreateLoggingConfiguration", "aps:UpdateLoggingConfiguration", "aps:DeleteLoggingConfiguration", "aps:DescribeLoggingConfiguration" ], "Resource": "*" } ] }
AmazonPrometheusRemoteWriteAccess
AmazonPrometheusRemoteWriteAccess 的內容如下所示:
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "aps:RemoteWrite" ], "Effect": "Allow", "Resource": "*" } ] }
AmazonPrometheusQueryAccess
AmazonPrometheusQueryAccess 的內容如下所示:
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "aps:GetLabels", "aps:GetMetricMetadata", "aps:GetSeries", "aps:QueryMetrics" ], "Effect": "Allow", "Resource": "*" } ] }
AWS 受管政策:AmazonPrometheusScraperServiceRolePolicy
您無法將 AmazonPrometheusScraperServiceRolePolicy 連接至您的 IAM 實體。此政策會附加至服務連結角色,可讓 Amazon Managed Service for Prometheus 代表您執行動作。如需詳細資訊,請參閱 使用角色從 EKS 湊集指標。
此政策授予參與者許可,允許從 Amazon EKS 叢集讀取並寫入 Amazon Managed Service for Prometheus 工作區。
注意
此使用者指南先前錯誤地稱為此政策 AmazonPrometheusScraperServiceLinkedRolePolicy
許可詳細資訊
此政策包含以下許可。
-
aps:讓服務主體將指標寫入 Amazon Managed Service for Prometheus 工作區。 -
ec2:讓服務主體讀取和修改網路組態,以連接到包含 Amazon EKS 叢集的網路。 -
eks:讓服務主體存取您的 Amazon EKS 叢集。此為必要項目,以讓其可自動湊集指標。也允許主體在刪除抓取器時清除 Amazon EKS 資源。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DeleteSLR", "Effect": "Allow", "Action": [ "iam:DeleteRole" ], "Resource": "arn:aws:iam::*:role/aws-service-role/scraper.aps.amazonaws.com/AWSServiceRoleForAmazonPrometheusScraper*" }, { "Sid": "NetworkDiscovery", "Effect": "Allow", "Action": [ "ec2:DescribeNetworkInterfaces", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups" ], "Resource": "*" }, { "Sid": "ENIManagement", "Effect": "Allow", "Action": "ec2:CreateNetworkInterface", "Resource": "*", "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": [ "AMPAgentlessScraper" ] } } }, { "Sid": "TagManagement", "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*:*:network-interface/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateNetworkInterface" }, "Null": { "aws:RequestTag/AMPAgentlessScraper": "false" } } }, { "Sid": "ENIUpdating", "Effect": "Allow", "Action": [ "ec2:DeleteNetworkInterface", "ec2:ModifyNetworkInterfaceAttribute" ], "Resource": "*", "Condition": { "Null": { "ec2:ResourceTag/AMPAgentlessScraper": "false" } } }, { "Sid": "EKSAccess", "Effect": "Allow", "Action": "eks:DescribeCluster", "Resource": "arn:aws:eks:*:*:cluster/*" }, { "Sid": "DeleteEKSAccessEntry", "Effect": "Allow", "Action": "eks:DeleteAccessEntry", "Resource": "arn:aws:eks:*:*:access-entry/*/role/*", "Condition": { "StringEquals": { "aws:PrincipalAccount": "${aws:ResourceAccount}" }, "ArnLike": { "eks:principalArn": "arn:aws:iam::*:role/aws-service-role/scraper.aps.amazonaws.com/AWSServiceRoleForAmazonPrometheusScraper*" } } }, { "Sid": "APSWriting", "Effect": "Allow", "Action": "aps:RemoteWrite", "Resource": "arn:aws:aps:*:*:workspace/*", "Condition": { "StringEquals": { "aws:PrincipalAccount": "${aws:ResourceAccount}" } } } ] }
Amazon Managed Service for Prometheus 受 AWS 管政策更新
檢視自此服務開始追蹤這些變更以來,Amazon Managed Service for Prometheus AWS 受管政策更新的詳細資訊。如需有關此頁面變更的自動提示,請訂閱 Amazon Managed Service for Prometheus 文件歷史記錄頁面上的 RSS 摘要。
| 變更 | 描述 | 日期 |
|---|---|---|
|
AmazonPrometheusScraperServiceRolePolicy – 更新至現有政策 |
Amazon Managed Service for Prometheus 新增了 的新許可AmazonPrometheusScraperServiceRolePolicy,以支援在 Amazon EKS 中使用存取項目。 包括管理 Amazon EKS 存取項目的許可,以允許在刪除抓取器時清理資源。 注意使用者指南先前錯誤地稱為此政策 |
2024 年 5 月 2 日 |
|
AmazonPrometheusFullAccess:更新至現有政策 |
Amazon Managed Service for Prometheus 已新增 AmazonPrometheusFullAccess 許可,以支援在 Amazon EKS 叢集中為指標建立受管湊集器。 包含連線至 Amazon EKS 叢集、讀取 Amazon EC2 網路以及為湊集器建立服務連結角色的許可。 |
2023 年 11 月 26 日 |
|
Amazon Managed Service for Prometheus 已新增服務連結角色政策,以自 Amazon EKS 容器讀取來允許自動湊集指標。 包括連線至 Amazon EKS 叢集、讀取 Amazon EC2 網路、建立和刪除標記為 |
2023 年 11 月 26 日 | |
|
AmazonPrometheusConsoleFullAccess – 更新現有政策 |
Amazon Managed Service for Prometheus 已新增 AmazonPrometheusConsoleFullAccess 的許可,以支援 CloudWatch Logs 中的記錄警示管理員和尺規事件。 已新增 |
2022 年 10 月 24 日 |
|
AmazonPrometheusConsoleFullAccess – 更新現有政策 |
Amazon Managed Service for Prometheus 已新增 AmazonPrometheusConsoleFullAccess 許可,以支援全新 Amazon Managed Service for Prometheus 功能,以便使用此政策的使用者可在將標籤套用至 Amazon Managed Service for Prometheus 資源時,看到標籤建議清單。 已新增 |
2021 年 9 月 29 日 |
|
Amazon Managed Service for Prometheus 已開始追蹤變更 |
Amazon Managed Service for Prometheus 開始追蹤其 AWS 受管政策的變更。 |
2021 年 9 月 15 日 |
