Amazon Managed Grafana-Berechtigungen und Richtlinien für AWS Datenquellen - Amazon Managed Grafana
Vom Service verwaltete Berechtigungen für ein einzelnes Konto Vom Service verwaltete Berechtigungen für eine Organisation Vom Kunden verwaltete Berechtigungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Amazon Managed Grafana-Berechtigungen und Richtlinien für AWS Datenquellen

Amazon Managed Grafana bietet drei Berechtigungsmodi:

  • Vom Service verwaltete Berechtigungen für das Girokonto

  • Vom Service verwaltete Berechtigungen für Organisationen

  • Vom Kunden verwaltete Berechtigungen

Wenn Sie einen Workspace erstellen, wählen Sie aus, welcher Berechtigungsmodus verwendet werden soll. Du kannst dies auch später ändern, wenn du möchtest.

In jedem der vom Service verwalteten Berechtigungsmodi erstellt Amazon Managed Grafana Rollen und Richtlinien, die für den Zugriff auf und die Erkennung von AWS Datenquellen in Ihrem Konto oder Ihrer Organisation erforderlich sind. Sie können diese Richtlinien dann in der IAM-Konsole bearbeiten, wenn Sie möchten.

Vom Service verwaltete Berechtigungen für ein einzelnes Konto

In diesem Modus erstellt Amazon Managed Grafana eine Rolle namens AmazonGrafanaServiceRole- random-id. Amazon Managed Grafana fügt dieser Rolle dann eine Richtlinie für jeden AWS Service hinzu, auf den Sie vom Amazon Managed Grafana-Arbeitsbereich aus zugreifen möchten.

CloudWatch

Amazon Managed Grafana fügt die AWS verwaltete Richtlinie hinzu. AmazonGrafanaCloudWatchAccess

Anmerkung

Für Workspaces, die CloudWatch vor der Erstellung der AmazonGrafanaCloudWatchAccessverwalteten Richtlinie verwendet wurden, hat Amazon Managed Grafana eine vom Kunden verwaltete Richtlinie mit dem Namen AmazonGrafanaCloudWatchPolicy random-id erstellt.

OpenSearch Amazon-Dienst

Amazon Managed Grafana erstellt eine vom Kunden verwaltete Richtlinie mit dem Namen Random-ID AmazonGrafanaOpenSearchPolicy. Die Get/Post-Berechtigungen werden für den Zugriff auf die Datenquelle benötigt. Die Berechtigungen List/Describe werden von Amazon Managed Grafana für die Datenquellenerkennung verwendet, sind aber nicht erforderlich, damit das Datenquellen-Plug-In funktioniert. Der Inhalt der Richtlinie lautet wie folgt:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "es:ESHttpGet",
                "es:DescribeElasticsearchDomains",
                "es:ListDomainNames"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "es:ESHttpPost",
            "Resource": [
                "arn:aws:es:*:*:domain/*/_msearch*",
                "arn:aws:es:*:*:domain/*/_opendistro/_ppl"
            ]
        }
    ]
}
AWS IoT SiteWise

Amazon Managed Grafana fügt die AWS verwaltete Richtlinie hinzu. AWSIoTSiteWiseReadOnlyAccess

Amazon-Redshift

Amazon Managed Grafana fügt die AWS verwaltete Richtlinie hinzu. AmazonGrafanaRedshiftAccess

Amazon Athena

Amazon Managed Grafana fügt die AWS verwaltete Richtlinie hinzu. AmazonGrafanaAthenaAccess

Amazon Managed Service for Prometheus

Amazon Managed Grafana erstellt eine vom Kunden verwaltete Richtlinie mit dem Namen Random-ID AmazonGrafanaPrometheusPolicy. Die Berechtigungen List/Describe werden von Amazon Managed Grafana für die Erkennung von Datenquellen verwendet. Sie sind nicht erforderlich, damit das Plugin funktioniert. Der Inhalt der Richtlinie lautet wie folgt:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "aps:ListWorkspaces",
                "aps:DescribeWorkspace",
                "aps:QueryMetrics",
                "aps:GetLabels",
                "aps:GetSeries",
                "aps:GetMetricMetadata"
            ],
            "Resource": "*"
        }
    ]
}
Amazon SNS

Amazon Managed Grafana erstellt eine vom Kunden verwaltete Richtlinie mit dem Namen AmazonGrafanasnsPolicy-random-id. Die Richtlinie beschränkt Sie darauf, in Ihrem Konto nur SNS-Themen zu verwenden, die mit der Zeichenfolge beginnen. grafana Dies ist nicht erforderlich, wenn Sie Ihre eigene Richtlinie erstellen. Der Inhalt der Richtlinie lautet wie folgt:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sns:Publish"
            ],
            "Resource": [
                "arn:aws:sns:*:accountId:grafana*"
            ]
        }
    ]
}
Timestream

Amazon Managed Grafana fügt die AWS verwaltete Richtlinie hinzu. AmazonTimestreamReadOnlyAccess

X-Ray

Amazon Managed Grafana fügt die AWS verwaltete Richtlinie hinzu. AWSXrayReadOnlyAccess

Vom Service verwaltete Berechtigungen für eine Organisation

Dieser Modus wird nur für Arbeitsbereiche unterstützt, die in Verwaltungskonten oder delegierten Administratorkonten in einer Organisation erstellt wurden. Delegierte Administratorkonten können Stacksets für die Organisation erstellen und verwalten. Weitere Informationen zu delegierten Administratorkonten finden Sie unter Registrieren eines delegierten Administrators.

Anmerkung

Das Erstellen von Ressourcen wie Amazon Managed Grafana-Workspaces im Verwaltungskonto einer Organisation verstößt gegen bewährte AWS Sicherheitsmethoden.

In diesem Modus erstellt Amazon Managed Grafana alle IAM-Rollen, die für den Zugriff auf AWS Ressourcen in anderen Konten in Ihrer AWS Organisation erforderlich sind. In jedem Konto in den Organisationseinheiten, die Sie auswählen, erstellt Amazon Managed Grafana eine Rolle namens AmazonGrafanaOrgMemberRole- random-id. Diese Rollenerstellung erfolgt durch eine Integration mit. AWS CloudFormation StackSets

Dieser Rolle ist eine Richtlinie für jede AWS Datenquelle zugeordnet, die Sie für die Verwendung im Workspace auswählen. Den Inhalt dieser Datenrichtlinien finden Sie unterVom Service verwaltete Berechtigungen für ein einzelnes Konto .

Amazon Managed Grafana erstellt auch eine Rolle namens AmazonGrafanaOrgAdminRoleRandom-ID im Verwaltungskonto der Organisation. Diese Rolle gewährt dem Amazon Managed Grafana-Workspace die Berechtigung, auf andere Konten in der Organisation zuzugreifen. AWS Dieser Rolle werden auch die Kanalrichtlinien für Servicebenachrichtigungen zugeordnet. Verwende das AWS Datenquellenmenü in deinem Workspace, um schnell Datenquellen für jedes Konto bereitzustellen, auf das dein Workspace zugreifen kann

Um diesen Modus verwenden zu können, musst du AWS CloudFormation Stacksets als vertrauenswürdigen Dienst in deiner AWS Organisation aktivieren. Weitere Informationen finden Sie unter Vertrauenswürdigen Zugriff aktivieren mit. AWS Organizations

Hier ist der Inhalt des AmazonGrafanaStackSetStack-Sets - random-id:

Parameters:
  IncludePrometheusPolicy:
    Description: Whether to include Amazon Prometheus access in the role
    Type: String
    AllowedValues:
      - true
      - false
    Default: false
  IncludeAESPolicy:
    Description: Whether to include Amazon Elasticsearch access in the role
    Type: String
    AllowedValues:
      - true
      - false
    Default: false
  IncludeCloudWatchPolicy:
    Description: Whether to include CloudWatch access in the role
    Type: String
    AllowedValues:
      - true
      - false
    Default: false
  IncludeTimestreamPolicy:
    Description: Whether to include Amazon Timestream access in the role
    Type: String
    AllowedValues:
      - true
      - false
    Default: false
  IncludeXrayPolicy:
    Description: Whether to include AWS X-Ray access in the role
    Type: String
    AllowedValues:
      - true
      - false
    Default: false
  IncludeSitewisePolicy:
    Description: Whether to include AWS IoT SiteWise access in the role
    Type: String
    AllowedValues:
      - true
      - false
    Default: false
  IncludeRedshiftPolicy:
    Description: Whether to include Amazon Redshift access in the role
    Type: String
    AllowedValues:
      - true
      - false
    Default: false
  IncludeAthenaPolicy:
    Description: Whether to include Amazon Athena access in the role
    Type: String
    AllowedValues:
      - true
      - false
    Default: false
  RoleName:
    Description: Name of the role to create
    Type: String
  AdminAccountId:
    Description: Account ID of the Amazon Grafana org admin
    Type: String
Conditions:
  addPrometheus: !Equals [!Ref IncludePrometheusPolicy, true]
  addAES: !Equals [!Ref IncludeAESPolicy, true]
  addCloudWatch: !Equals [!Ref IncludeCloudWatchPolicy, true]
  addTimestream: !Equals [!Ref IncludeTimestreamPolicy, true]
  addXray: !Equals [!Ref IncludeXrayPolicy, true]
  addSitewise: !Equals [!Ref IncludeSitewisePolicy, true]
  addRedshift: !Equals [!Ref IncludeRedshiftPolicy, true]
  addAthena: !Equals [!Ref IncludeAthenaPolicy, true]

Resources:
  PrometheusPolicy:
    Type: AWS::IAM::Policy
    Condition: addPrometheus
    Properties:
      Roles: 
       - !Ref GrafanaMemberServiceRole
      PolicyName: AmazonGrafanaPrometheusPolicy
      PolicyDocument:
        Version: '2012-10-17'
        Statement:
          - Effect: Allow
            Action:
              - aps:QueryMetrics
              - aps:GetLabels
              - aps:GetSeries
              - aps:GetMetricMetadata
              - aps:ListWorkspaces
              - aps:DescribeWorkspace
            Resource: '*'

  AESPolicy:
    Type: AWS::IAM::Policy
    Condition: addAES
    Properties:
      Roles: 
       - !Ref GrafanaMemberServiceRole
      PolicyName: AmazonGrafanaElasticsearchPolicy
      PolicyDocument:
        Version: '2012-10-17'
        Statement:
          - Sid: AllowReadingESDomains
            Effect: Allow
            Action:
              - es:ESHttpGet
              - es:ESHttpPost
              - es:ListDomainNames
              - es:DescribeElasticsearchDomains
            Resource: '*'

  CloudWatchPolicy:
    Type: AWS::IAM::Policy
    Condition: addCloudWatch
    Properties:
      Roles: 
       - !Ref GrafanaMemberServiceRole
      PolicyName: AmazonGrafanaCloudWatchPolicy
      PolicyDocument:
        Version: '2012-10-17'
        Statement:
          - Sid: AllowReadingMetricsFromCloudWatch
            Effect: Allow
            Action:
              - cloudwatch:DescribeAlarmsForMetric
              - cloudwatch:DescribeAlarmHistory
              - cloudwatch:DescribeAlarms
              - cloudwatch:ListMetrics
              - cloudwatch:GetMetricStatistics
              - cloudwatch:GetMetricData
              - cloudwatch:GetInsightRuleReport
            Resource: "*"
          - Sid: AllowReadingLogsFromCloudWatch
            Effect: Allow
            Action:
              - logs:DescribeLogGroups
              - logs:GetLogGroupFields
              - logs:StartQuery
              - logs:StopQuery
              - logs:GetQueryResults
              - logs:GetLogEvents
            Resource: "*"
          - Sid: AllowReadingTagsInstancesRegionsFromEC2
            Effect: Allow
            Action:
              - ec2:DescribeTags
              - ec2:DescribeInstances
              - ec2:DescribeRegions
            Resource: "*"
          - Sid: AllowReadingResourcesForTags
            Effect: Allow
            Action:
              - tag:GetResources
            Resource: "*"
  GrafanaMemberServiceRole:
    Type: 'AWS::IAM::Role'
    Properties:
      RoleName: !Ref RoleName
      AssumeRolePolicyDocument:
        Version: '2012-10-17'
        Statement:
          - Effect: Allow
            Principal:
              AWS: !Sub arn:aws:iam::${AdminAccountId}:root
            Action:
              - 'sts:AssumeRole'
      Path: /service-role/
      ManagedPolicyArns:
        - !If [addTimestream, arn:aws:iam::aws:policy/AmazonTimestreamReadOnlyAccess, !Ref AWS::NoValue]
        - !If [addXray, arn:aws:iam::aws:policy/AWSXrayReadOnlyAccess, !Ref AWS::NoValue]
        - !If [addSitewise, arn:aws:iam::aws:policy/AWSIoTSiteWiseReadOnlyAccess, !Ref AWS::NoValue]
        - !If [addRedshift, arn:aws:iam::aws:policy/service-role/AmazonGrafanaRedshiftAccess, !Ref AWS::NoValue]
        - !If [addAthena, arn:aws:iam::aws:policy/service-role/AmazonGrafanaAthenaAccess, !Ref AWS::NoValue]

Hier ist der Inhalt von AmazonGrafanaOrgAdminPolicy- random-id.

{ 
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "organizations:ListAccountsForParent", 
            "organizations:ListOrganizationalUnitsForParent"
        ],
        "Resource": "*",
        "Condition": {
            "StringEquals": {
                "aws:PrincipalOrgID": "o-organizationId"
            }
        }
    },
    {
        "Effect": "Allow",
        "Action": [
            "sts:AssumeRole"
        ],
        "Resource": "arn:aws:iam::*:role/service-role/AmazonGrafanaOrgMemberRole-random-Id" 
    }]
}

Vom Kunden verwaltete Berechtigungen

Wenn Sie sich dafür entscheiden, vom Kunden verwaltete Berechtigungen zu verwenden, geben Sie eine bestehende IAM-Rolle in Ihrem Konto an, wenn Sie einen Amazon Managed Grafana-Workspace erstellen. Für die Rolle muss eine Vertrauensrichtlinie gelten, die Vertrauen gewährleistet. grafana.amazonaws.com

Im Folgenden finden Sie ein Beispiel für eine solche Richtlinie:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "grafana.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Damit diese Rolle auf AWS Datenquellen oder Benachrichtigungskanäle in diesem Konto zugreifen kann, muss sie über die Berechtigungen verfügen, die in den zuvor in diesem Abschnitt aufgeführten Richtlinien festgelegt sind. Um die CloudWatch Datenquelle verwenden zu können, muss sie beispielsweise über die in der CloudWatch Richtlinie aufgeführten Berechtigungen verfügenVom Service verwaltete Berechtigungen für ein einzelnes Konto .

Die List in den Richtlinien für Amazon OpenSearch Service und Amazon Managed Service for Prometheus aufgeführten Describe Berechtigungen Vom Service verwaltete Berechtigungen für ein einzelnes Konto sind nur erforderlich, damit die Datenquellenerkennung und -bereitstellung ordnungsgemäß funktionieren. Sie sind nicht erforderlich, wenn Sie diese Datenquellen nur manuell einrichten möchten.

Kontenübergreifender Zugriff

Wenn ein Workspace im Konto 111111111111 erstellt wird, muss eine Rolle im Konto 1111111111111 angegeben werden. Rufen Sie WorkspaceRolefür dieses Beispiel diese Rolle auf. Um auf Daten im Konto 999999999999 zuzugreifen, müssen Sie eine Rolle im Konto 9999999999 erstellen. DataSourceRoleNenn das. Sie müssen dann eine Vertrauensbeziehung zwischen WorkspaceRoleund aufbauen DataSourceRole. Weitere Informationen zum Aufbau einer Vertrauensstellung zwischen zwei Rollen finden Sie unter IAM-Tutorial: Delegieren Sie den AWS kontenübergreifenden Zugriff mithilfe von IAM-Rollen.

DataSourceRolemuss für jede Datenquelle, die Sie verwenden möchten, die weiter oben in diesem Abschnitt aufgeführten Richtlinienerklärungen enthalten. Nachdem die Vertrauensstellung eingerichtet wurde, können Sie den ARN von DataSourceRole(arn:aws:iam: :999999999999:role:DataSourceRole) im Feld Rolle annehmen auf der Datenquellenkonfigurationsseite einer beliebigen Datenquelle in Ihrem Workspace angeben. AWS Die Datenquelle greift dann mit den in definierten Berechtigungen auf das Konto 999999999999 zu. DataSourceRole