AWS verwaltete Richtlinien für Amazon Managed Grafana

Eine AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von erstellt und verwaltet AWS wird. AWS Verwaltete Richtlinien sind so konzipiert, dass sie Berechtigungen für viele gängige Anwendungsfälle bereitstellen, sodass Sie damit beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.

Beachten Sie, dass AWS verwaltete Richtlinien für Ihre speziellen Anwendungsfälle möglicherweise keine Berechtigungen mit den geringsten Rechten gewähren, da sie allen AWS Kunden zur Verfügung stehen. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie kundenverwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.

Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen nicht ändern. Wenn die in einer AWS verwalteten Richtlinie definierten Berechtigungen AWS aktualisiert werden, wirkt sich das Update auf alle Prinzidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. AWS aktualisiert eine AWS verwaltete Richtlinie höchstwahrscheinlich, wenn eine neue Richtlinie eingeführt AWS -Service wird oder neue API-Operationen für bestehende Dienste verfügbar werden.

Weitere Informationen finden Sie unter Von AWS verwaltete Richtlinien im IAM-Benutzerhandbuch.

AWS verwaltete Richtlinie: AWSGrafanaAccountAdministrator

AWSGrafanaAccountAdministrator Die Richtlinie ermöglicht den Zugriff innerhalb von Amazon Managed Grafana, um Konten und Arbeitsbereiche für das gesamte Unternehmen zu erstellen und zu verwalten.

Sie können sie an Ihre AWSGrafanaAccountAdministrator IAM-Entitäten anhängen.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

• iam— Ermöglicht Prinzipalen das Auflisten und Abrufen von IAM-Rollen, sodass der Administrator eine Rolle einem Workspace zuordnen und Rollen an den Amazon Managed Grafana-Service übergeben kann.

• Amazon Managed Grafana— Ermöglicht Prinzipalen Lese- und Schreibzugriff auf alle Amazon Managed Grafana-APIs.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSGrafanaOrganizationAdmin",
            "Effect": "Allow",
            "Action": [
                "iam:ListRoles"
            ],
            "Resource": "*"
        },
        {
            "Sid": "GrafanaIAMGetRolePermission",
            "Effect": "Allow",
            "Action": "iam:GetRole",
            "Resource": "arn:aws:iam::*:role/*"
        },
        {
            "Sid": "AWSGrafanaPermissions",
            "Effect": "Allow",
            "Action": [
                "grafana:*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "GrafanaIAMPassRolePermission",
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::*:role/*",
            "Condition": {
                "StringLike": {
                    "iam:PassedToService": "grafana.amazonaws.com"
                }
            }
        }
    ]
}

AWS verwaltete Richtlinie: AWSGrafanaWorkspacePermissionManagement (veraltet)

Diese Richtlinie ist veraltet. Diese Richtlinie sollte keinen neuen Benutzern, Gruppen oder Rollen zugewiesen werden.

Amazon Managed Grafana hat eine neue Richtlinie hinzugefügt, AWSGrafanaWorkspacePermissionManagementV2, um diese Richtlinie zu ersetzen. Diese neue verwaltete Richtlinie verbessert die Sicherheit Ihres Workspace, indem sie restriktivere Berechtigungen bietet.

AWS verwaltete Richtlinie: AWSGrafanaWorkspacePermissionManagementV2

AWSGrafanaWorkspacePermissionManagementVDie 2-Richtlinie bietet nur die Möglichkeit, Benutzer- und Gruppenberechtigungen für Amazon Managed Grafana-Arbeitsbereiche zu aktualisieren.

Sie können AWSGrafanaWorkspacePermissionManagementV2 an Ihre IAM-Entitäten anhängen.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

• Amazon Managed Grafana— Ermöglicht Prinzipalen das Lesen und Aktualisieren von Benutzer- und Gruppenberechtigungen für Amazon Managed Grafana-Arbeitsbereiche.

• IAM Identity Center— Ermöglicht Prinzipalen das Lesen von IAM Identity Center-Entitäten. Dies ist ein notwendiger Teil der Verknüpfung von Principals mit Amazon Managed Grafana-Anwendungen, erfordert jedoch auch einen zusätzlichen Schritt, der nach der folgenden Richtlinienliste beschrieben wird.

{
    "Version": "2012-10-17",
    "Statement": [{
            "Sid": "AWSGrafanaPermissions",
            "Effect": "Allow",
            "Action": [
                "grafana:DescribeWorkspace",
                "grafana:DescribeWorkspaceAuthentication",
                "grafana:UpdatePermissions",
                "grafana:ListPermissions",
                "grafana:ListWorkspaces"
            ],
            "Resource": "arn:aws:grafana:*:*:/workspaces*"
        },
        {
            "Sid": "IAMIdentityCenterPermissions",
            "Effect": "Allow",
            "Action": [
                "sso:DescribeRegisteredRegions",
                "sso:GetSharedSsoConfiguration",
                "sso:ListDirectoryAssociations",
                "sso:GetManagedApplicationInstance",
                "sso:ListProfiles",
                "sso:GetProfile",
                "sso:ListProfileAssociations",
                "sso-directory:DescribeUser",
                "sso-directory:DescribeGroup"
            ],
            "Resource": "*"
        }
    ]
}

Zusätzliche Richtlinie erforderlich

Um einem Benutzer die vollständige Zuweisung von Berechtigungen zu ermöglichen, müssen Sie zusätzlich zur AWSGrafanaWorkspacePermissionManagementV2 Richtlinie auch eine Richtlinie zuweisen, um Zugriff auf die Anwendungszuweisung in IAM Identity Center zu gewähren.

Um diese Richtlinie zu erstellen, müssen Sie zuerst den ARN der Grafana-Anwendung für Ihren Workspace sammeln

1. Öffnen Sie die IAM Identity Center-Konsole.

2. Wählen Sie im linken Menü Anwendungen aus.

3. Suchen Sie auf der Registerkarte AWS Verwaltet nach der Anwendung Amazon Grafana-Workspace-Name, wo sich der Name Ihres Workspace workspace-name befindet. Wählen Sie den Namen der Anwendung aus.

4. Die von Amazon Managed Grafana für den Workspace verwaltete IAM Identity Center-Anwendung wird angezeigt. Der ARN dieser Anwendung wird auf der Detailseite angezeigt. Es wird in der Form sein:arn:aws:sso::owner-account-id:application/ssoins-unique-id/apl-unique-id.

Die Richtlinie, die Sie erstellen, sollte wie folgt aussehen. grafana-application-arnErsetzen Sie durch den ARN, den Sie im vorherigen Schritt gefunden haben:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sso:CreateApplicationAssignment",
                "sso:DeleteApplicationAssignment"
            ],
            "Resource": [
                "grafana-application-arn"
            ]
        }
    ]
}

Informationen zum Erstellen und Anwenden von Richtlinien für Ihre Rollen oder Benutzer finden Sie im AWS Identity and Access Management Benutzerhandbuch unter Hinzufügen und Entfernen von IAM-Identitätsberechtigungen.

AWS verwaltete Richtlinie: AWSGrafanaConsoleReadOnlyAccess

AWSGrafanaConsoleReadOnlyAccess Die Richtlinie gewährt Zugriff auf schreibgeschützte Operationen in Amazon Managed Grafana.

Sie können sie an Ihre AWSGrafanaConsoleReadOnlyAccess IAM-Entitäten anhängen.

Details zu Berechtigungen

Diese Richtlinie beinhaltet die folgende Genehmigung.

• Amazon Managed Grafana— Ermöglicht Prinzipalen schreibgeschützten Zugriff auf Amazon Managed Grafana-APIs

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AWSGrafanaConsoleReadOnlyAccess",
      "Effect": "Allow",
      "Action": ["grafana:Describe*", "grafana:List*"],
      "Resource": "*"
    }
  ]
}

AWS verwaltete Richtlinie: AmazonGrafanaRedshiftAccess

Diese Richtlinie gewährt begrenzten Zugriff auf Amazon Redshift und die Abhängigkeiten, die für die Verwendung des Amazon Redshift Redshift-Plug-ins in Amazon Managed Grafana erforderlich sind. AmazonGrafanaRedshiftAccess Die Richtlinie ermöglicht es einem Benutzer oder einer IAM-Rolle, das Amazon Redshift Redshift-Datenquellen-Plugin in Grafana zu verwenden. Temporäre Anmeldeinformationen für Amazon Redshift Redshift-Datenbanken sind auf den Datenbankbenutzer beschränkt, redshift_data_api_user und Anmeldeinformationen von Secrets Manager können abgerufen werden, wenn das Geheimnis mit dem Schlüssel gekennzeichnet ist. RedshiftQueryOwner Diese Richtlinie ermöglicht den Zugriff auf Amazon Redshift Redshift-Cluster, die mit GrafanaDataSource gekennzeichnet sind. Bei der Erstellung einer vom Kunden verwalteten Richtlinie ist die tagbasierte Authentifizierung optional.

Sie können eine Verbindung AmazonGrafanaRedshiftAccess zu Ihren IAM-Entitäten herstellen. Amazon Managed Grafana verknüpft diese Richtlinie auch mit einer Servicerolle, die es Amazon Managed Grafana ermöglicht, Aktionen in Ihrem Namen durchzuführen.

Details zu Berechtigungen

Diese Richtlinie beinhaltet die folgende Genehmigung.

• Amazon Redshift— Ermöglicht Prinzipalen, Cluster zu beschreiben und temporäre Anmeldeinformationen für einen Datenbankbenutzer mit dem Namen redshift_data_api_user zu erhalten.

• Amazon Redshift–data— Ermöglicht Prinzipalen die Ausführung von Abfragen auf Clustern, die als gekennzeichnet sind. GrafanaDataSource

• Secrets Manager— Ermöglicht Prinzipalen, Geheimnisse aufzulisten und geheime Werte für Geheimnisse zu lesen, die als markiert sind. RedshiftQueryOwner

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "redshift:DescribeClusters",
        "redshift-data:GetStatementResult",
        "redshift-data:DescribeStatement",
        "secretsmanager:ListSecrets"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "redshift-data:DescribeTable",
        "redshift-data:ExecuteStatement",
        "redshift-data:ListTables",
        "redshift-data:ListSchemas"
      ],
      "Resource": "*",
      "Condition": {
        "Null": {
          "aws:ResourceTag/GrafanaDataSource": "false"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": "redshift:GetClusterCredentials",
      "Resource": [
        "arn:aws:redshift:*:*:dbname:*/*",
        "arn:aws:redshift:*:*:dbuser:*/redshift_data_api_user"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "secretsmanager:GetSecretValue"
      ],
      "Resource": "*",
      "Condition": {
        "Null": {
          "secretsmanager:ResourceTag/RedshiftQueryOwner": "false"
        }
      }
    }
  ]
}

AWS verwaltete Richtlinie: AmazonGrafanaAthenaAccess

Diese Richtlinie gewährt Zugriff auf Athena und die Abhängigkeiten, die erforderlich sind, um das Abfragen und Schreiben von Ergebnissen in Amazon S3 über das Athena-Plug-In in Amazon Managed Grafana zu ermöglichen. AmazonGrafanaAthenaAccessDie Richtlinie ermöglicht es einem Benutzer oder einer IAM-Rolle, das Athena-Datenquellen-Plugin in Grafana zu verwenden. Athena-Arbeitsgruppen müssen mit markiert sein, GrafanaDataSource um zugänglich zu sein. Diese Richtlinie enthält Berechtigungen zum Schreiben von Abfrageergebnissen in einen Amazon S3 S3-Bucket mit einem Namen als Präfix. grafana-athena-query-results- Amazon S3 S3-Berechtigungen für den Zugriff auf die zugrunde liegende Datenquelle einer Athena-Abfrage sind in dieser Richtlinie nicht enthalten.

Sie können AWSGrafanaAthenaAccess Richtlinien an Ihre IAM-Entitäten anhängen. Amazon Managed Grafana verknüpft diese Richtlinie auch mit einer Servicerolle, die es Amazon Managed Grafana ermöglicht, Aktionen in Ihrem Namen durchzuführen.

Details zu Berechtigungen

Diese Richtlinie beinhaltet die folgende Genehmigung.

• Athena— Ermöglicht Prinzipalen das Ausführen von Abfragen auf Athena-Ressourcen in Arbeitsgruppen, die als markiert sind. GrafanaDataSource

• Amazon S3— Ermöglicht Prinzipalen das Lesen und Schreiben von Abfrageergebnissen in einen Bucket mit dem Präfix. grafana-athena-query-results-

• AWS Glue— Ermöglicht Prinzipalen den Zugriff auf AWS Glue-Datenbanken, -Tabellen und -Partitionen. Dies ist erforderlich, damit der Principal den AWS Glue-Datenkatalog mit Athena verwenden kann.

{
	"Version": "2012-10-17",
	"Statement": [
	    {
	        "Effect": "Allow",
	        "Action": [
	            "athena:GetDatabase",
	            "athena:GetDataCatalog",
	            "athena:GetTableMetadata",
	            "athena:ListDatabases",
	            "athena:ListDataCatalogs",
	            "athena:ListTableMetadata",
	            "athena:ListWorkGroups"
	        ],
	        "Resource": [
	            "*"
	        ]
	    },
	    {
	        "Effect": "Allow",
	        "Action": [
	            "athena:GetQueryExecution",
	            "athena:GetQueryResults",
	            "athena:GetWorkGroup",
	            "athena:StartQueryExecution",
	            "athena:StopQueryExecution"
	        ],
	        "Resource": [
	            "*"
	        ],
	        "Condition": {
	            "Null": {
	                "aws:ResourceTag/GrafanaDataSource": "false"
	            }
	        }
	    },
	    {
	        "Effect": "Allow",
	        "Action": [
	            "glue:GetDatabase",
	            "glue:GetDatabases",	            
	            "glue:GetTable",
	            "glue:GetTables",
	            "glue:GetPartition",
	            "glue:GetPartitions",
	            "glue:BatchGetPartition"
	        ],
	        "Resource": [
	            "*"
	        ]
	    },
	    {
	        "Effect": "Allow",
	        "Action": [
	            "s3:GetBucketLocation",
	            "s3:GetObject",
	            "s3:ListBucket",
	            "s3:ListBucketMultipartUploads",
	            "s3:ListMultipartUploadParts",
	            "s3:AbortMultipartUpload",
	            "s3:CreateBucket",
	            "s3:PutObject",
	            "s3:PutBucketPublicAccessBlock"
	        ],
	        "Resource": [
	            "arn:aws:s3:::grafana-athena-query-results-*"
	        ]
	    }
	]
}

AWS verwaltete Richtlinie: AmazonGrafanaCloudWatchAccess

Diese Richtlinie gewährt Zugriff auf Amazon CloudWatch und die Abhängigkeiten, die für die Verwendung CloudWatch als Datenquelle in Amazon Managed Grafana erforderlich sind.

Sie können AWSGrafanaCloudWatchAccess Richtlinien an Ihre IAM-Entitäten anhängen. Amazon Managed Grafana verknüpft diese Richtlinie auch mit einer Servicerolle, die es Amazon Managed Grafana ermöglicht, Aktionen in Ihrem Namen durchzuführen.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen.

• CloudWatch— Ermöglicht es Prinzipalen, metrische Daten und Protokolle von Amazon CloudWatch aufzulisten und abzurufen. Es ermöglicht auch die CloudWatch kontenübergreifende Anzeige von Daten, die von Quellkonten gemeinsam genutzt wurden.

• Amazon EC2— Ermöglicht es Schulleitern, Details zu den Ressourcen abzurufen, die überwacht werden.

• Tags— Ermöglicht Prinzipalen den Zugriff auf Tags auf Ressourcen, um das Filtern der CloudWatch Metrikabfragen zu ermöglichen.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloudwatch:DescribeAlarmsForMetric",
        "cloudwatch:DescribeAlarmHistory",
        "cloudwatch:DescribeAlarms",
        "cloudwatch:ListMetrics",
        "cloudwatch:GetMetricStatistics",
        "cloudwatch:GetMetricData",
        "cloudwatch:GetInsightRuleReport"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "logs:DescribeLogGroups",
        "logs:GetLogGroupFields",
        "logs:StartQuery",
        "logs:StopQuery",
        "logs:GetQueryResults",
        "logs:GetLogEvents"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeTags",
        "ec2:DescribeInstances",
        "ec2:DescribeRegions"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": "tag:GetResources",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "oam:ListSinks",
        "oam:ListAttachedLinks"
      ],
      "Resource": "*"
    }
  ]
}

Amazon Managed Grafana-Aktualisierungen der AWS verwalteten Richtlinien

Sehen Sie sich Details zu Aktualisierungen der AWS verwalteten Richtlinien für Amazon Managed Grafana an, seit dieser Service begonnen hat, diese Änderungen zu verfolgen. Abonnieren Sie den RSS-Feed auf der Amazon Managed Grafana-Dokumentverlaufsseite, um automatische Benachrichtigungen über Änderungen an dieser Seite zu erhalten.

Änderung	Beschreibung	Datum
AWSGrafanaWorkspacePermissionManagement— veraltet	Diese Richtlinie wurde ersetzt durch AWSGrafanaWorkspacePermissionManagementV2. Diese Richtlinie gilt als veraltet und wird nicht mehr aktualisiert. Die neue Richtlinie verbessert die Sicherheit für deinen Arbeitsplatz, indem sie restriktivere Berechtigungen bietet.	5. Januar 2024
AWSGrafanaWorkspacePermissionManagementV2 — Neue Richtlinie	Amazon Managed Grafana hat eine neue Richtlinie hinzugefügt, AWSGrafanaWorkspacePermissionManagementV2um die veraltete AWSGrafanaWorkspacePermissionManagementRichtlinie zu ersetzen. Diese neue verwaltete Richtlinie verbessert die Sicherheit für Ihren Arbeitsbereich, indem sie restriktivere Berechtigungen bietet.	5. Januar 2024
AmazonGrafanaCloudWatchAccess – Neue Richtlinie.	Amazon Managed Grafana hat eine neue Richtlinie AmazonGrafanaCloudWatchAccesshinzugefügt.	24. März 2023
AWSGrafanaWorkspacePermissionManagement – Aktualisierung auf eine bestehende Richtlinie	Amazon Managed Grafana hat neue Berechtigungen hinzugefügt, AWSGrafanaWorkspacePermissionManagementsodass IAM Identity Center-Benutzer und -Gruppen in Active Directory Grafana-Workspaces zugeordnet werden können. Die folgenden Berechtigungen wurden hinzugefügt:, und sso-directory:DescribeUser sso-directory:DescribeGroup	14. März 2023
AWSGrafanaWorkspacePermissionManagement – Aktualisierung auf eine bestehende Richtlinie	Amazon Managed Grafana hat neue Berechtigungen hinzugefügt, AWSGrafanaWorkspacePermissionManagementsodass IAM Identity Center-Benutzer und -Gruppen Grafana-Workspaces zugeordnet werden können. Die folgenden Berechtigungen wurden hinzugefügt:sso:DescribeRegisteredRegions,,sso:GetSharedSsoConfiguration,sso:ListDirectoryAssociations,, sso:GetManagedApplicationInstance sso:ListProfilessso:AssociateProfile, sso:DisassociateProfile und. sso:GetProfile sso:ListProfileAssociations	20. Dezember 2022
AmazonGrafanaServiceLinkedRolePolicy— Neue SLR-Richtlinie	Amazon Managed Grafana hat eine neue Richtlinie für die serviceverknüpfte Grafana-Rolle hinzugefügt,. AmazonGrafanaServiceLinkedRolePolicy	18. November 2022
AWSGrafanaAccountAdministrator, AWSGrafanaConsoleReadOnlyAccess	Erlauben Sie den Zugriff auf alle Amazon Managed Grafana-Ressourcen	17. Februar 2022
AmazonGrafanaRedshiftAccess – Neue Richtlinie.	Amazon Managed Grafana hat eine neue Richtlinie AmazonGrafanaRedshiftAccesshinzugefügt.	26. November 2021
AmazonGrafanaAthenaAccess – Neue Richtlinie.	Amazon Managed Grafana hat eine neue Richtlinie AmazonGrafanaAthenaAccesshinzugefügt.	22. November 2021
AWSGrafanaAccountAdministrator – Aktualisierung auf eine bestehende Richtlinie	Amazon Managed Grafana hat Berechtigungen von AWSGrafanaAccountAdministratorentfernt. Die für den sso.amazonaws.com Service geltende iam:CreateServiceLinkedRole Berechtigung wurde entfernt. Stattdessen empfehlen wir Ihnen, die AWSSSOMasterAccountAdministratorRichtlinie beizufügen, mit der Sie einem Benutzer diese Berechtigung gewähren können.	13. Oktober 2021
AWSGrafanaWorkspacePermissionManagement – Aktualisierung auf eine bestehende Richtlinie	Amazon Managed Grafana hat neue Berechtigungen hinzugefügt, AWSGrafanaWorkspacePermissionManagementsodass Benutzer mit dieser Richtlinie die mit Workspaces verknüpften Authentifizierungsmethoden sehen können. Die grafana:DescribeWorkspaceAuthentication Erlaubnis wurde hinzugefügt.	21. September 2021
AWSGrafanaConsoleReadOnlyAccess – Aktualisierung auf eine bestehende Richtlinie	Amazon Managed Grafana hat neue Berechtigungen hinzugefügt, AWSGrafanaConsoleReadOnlyAccesssodass Benutzer mit dieser Richtlinie die mit Workspaces verknüpften Authentifizierungsmethoden sehen können. Die grafana:List* Berechtigungen grafana:Describe* und wurden der Richtlinie hinzugefügt und ersetzen die vorherigen, engeren Berechtigungengrafana:DescribeWorkspace, grafana:ListPermissions und. grafana:ListWorkspaces	21. September 2021
Amazon Managed Grafana hat begonnen, Änderungen zu verfolgen	Amazon Managed Grafana hat damit begonnen, Änderungen an seinen AWS verwalteten Richtlinien nachzuverfolgen.	9. September 2021