Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
AWS políticas gestionadas para Amazon Managed Grafana
Una política AWS gestionada es una política independiente creada y administrada por. AWS AWS Las políticas administradas están diseñadas para proporcionar permisos para muchos casos de uso comunes, de modo que pueda empezar a asignar permisos a usuarios, grupos y funciones.
Ten en cuenta que es posible que las políticas AWS administradas no otorguen permisos con privilegios mínimos para tus casos de uso específicos, ya que están disponibles para que los usen todos los AWS clientes. Se recomienda definir políticas administradas por el cliente específicas para sus casos de uso a fin de reducir aún más los permisos.
No puedes cambiar los permisos definidos en AWS las políticas administradas. Si AWS actualiza los permisos definidos en una política AWS administrada, la actualización afecta a todas las identidades principales (usuarios, grupos y roles) a las que está asociada la política. AWS es más probable que actualice una política AWS administrada cuando Servicio de AWS se lance una nueva o cuando estén disponibles nuevas operaciones de API para los servicios existentes.
Para obtener más información, consulte Políticas administradas de AWS en la Guía del usuario de IAM.
AWS política gestionada: AWSGrafana AccountAdministrator
AWSGrafanaAccountAdministrator La política proporciona acceso dentro de Amazon Managed Grafana para crear y administrar cuentas y espacios de trabajo para toda la organización.
Puede adjuntarlas AWSGrafana AccountAdministrator a sus entidades de IAM.
Detalles de los permisos
Esta política incluye los siguientes permisos.
-
iam
: permite a las entidades principales enumerar y obtener roles de IAM para que el administrador pueda asociar un rol a un espacio de trabajo y transferir roles al servicio Amazon Managed Grafana. -
Amazon Managed Grafana
— Permite a los directores acceder de lectura y escritura a todos los Grafana APIs gestionados por Amazon.
AWS política gestionada: AWSGrafana WorkspacePermissionManagement (obsoleta)
Esta política está obsoleta. Esta política no debe asociarse a usuarios, grupos o roles nuevos.
Grafana gestionada por Amazon ha añadido una nueva política, la AWSGrafanaWorkspacePermissionManagementV2, para sustituirla. Esta nueva política administrada mejora la seguridad de su espacio de trabajo al proporcionar un conjunto de permisos más restrictivo.
AWS política gestionada: V2 AWSGrafana WorkspacePermissionManagement
AWSGrafanaWorkspacePermissionManagementLa política V2 solo permite actualizar los permisos de usuario y grupo para los espacios de trabajo de Grafana gestionados por Amazon.
Puede adjuntar AWSGrafana WorkspacePermissionManagement V2 a sus entidades de IAM.
Detalles de los permisos
Esta política incluye los siguientes permisos.
-
Amazon Managed Grafana
: permite a las entidades principales leer y actualizar los permisos de usuario y de grupo de los espacios de trabajo de Amazon Managed Grafana. -
IAM Identity Center
: permite a las entidades principales leer las entidades de IAM Identity Center. Esta es una parte necesaria de la asociación de las entidades principales con las aplicaciones de Amazon Managed Grafana, pero también requiere un paso adicional, que se describe después de la siguiente lista de políticas.
Política adicional necesaria
Para permitir que un usuario asigne permisos por completo, además de la política AWSGrafanaWorkspacePermissionManagementV2
, también debe asignar una política que permita el acceso a la asignación de aplicaciones en IAM Identity Center.
Para crear esta política, primero debe recopilar el ARN de la aplicación de Grafana para su espacio de trabajo
-
Abra la consola de IAM Identity Center
. -
En el menú de la izquierda, seleccione Aplicaciones.
-
En la pestaña Administrado por AWS , busque la aplicación llamada Amazon Grafana-workspace-name, donde
workspace-name
es el nombre de su espacio de trabajo. Seleccione el nombre de la aplicación. -
Se muestra la aplicación IAM Identity Center administrada por Amazon Managed Grafana para el espacio de trabajo. El ARN de esta aplicación se muestra en la página de detalles. Estará en formato
arn:aws:sso::
.owner-account-id
:application/ssoins-unique-id
/apl-unique-id
La política que cree debe ser igual al siguiente ejemplo. grafana-application-arn
Sustitúyalo por el ARN que encontró en el paso anterior:
Para obtener más información sobre cómo crear y aplicar una política a sus roles, consulte Adición y eliminación de permisos de identidad de IAM en la Guía del usuario de AWS Identity and Access Management .
AWS política gestionada: AWSGrafana ConsoleReadOnlyAccess
AWSGrafanaConsoleReadOnlyAccess la política otorga acceso a operaciones de solo lectura en Amazon Managed Grafana.
Puede adjuntarlo AWSGrafana ConsoleReadOnlyAccess a sus entidades de IAM.
Detalles de los permisos
Esta política incluye el siguiente permiso.
-
Amazon Managed Grafana
— Permite a los directores acceder de solo lectura a Grafana gestionada por Amazon APIs
AWS política gestionada: AmazonGrafanaRedshiftAccess
Esta política otorga acceso limitado a Amazon Redshift y a las dependencias necesarias para usar el complemento Amazon Redshift en Amazon Managed Grafana. AmazonGrafanaRedshiftAccess esta política permite a un usuario o a un rol de IAM utilizar el complemento de fuente de datos Amazon Redshift en Grafana. Las credenciales temporales de las bases de datos de Amazon Redshift dependen del usuario de la base de datos redshift_data_api_user
y las credenciales de Secrets Manager se pueden recuperar si el secreto está etiquetado con la clave RedshiftQueryOwner
. Esta política permite el acceso a los clústeres de Amazon Redshift etiquetados con GrafanaDataSource
. Al crear una política administrada por el cliente, la autenticación basada en etiquetas es opcional.
Puede adjuntarlos AmazonGrafanaRedshiftAccess a sus entidades de IAM. Amazon Managed Grafana también asocia esta política a un rol de servicio que permite a Amazon Managed Grafana llevar a cabo acciones en su nombre.
Detalles de los permisos
Esta política incluye el siguiente permiso.
-
Amazon Redshift
: permite a las entidades principales describir los clústeres y obtener credenciales temporales para un usuario de base de datos con el nombreredshift_data_api_user
. -
Amazon Redshift–data
: permite a las entidades principales ejecutar consultas en clústeres etiquetados comoGrafanaDataSource
. -
Secrets Manager
: permite a las entidades principales enumerar los secretos y leer los valores secretos de los secretos etiquetados comoRedshiftQueryOwner
.
AWS política gestionada: AmazonGrafanaAthenaAccess
Esta política otorga acceso a Athena y a las dependencias necesarias para poder consultar y escribir los resultados en Amazon S3 desde el complemento Athena de Amazon Managed Grafana. AmazonGrafanaAthenaAccessLa política permite a un usuario o a un rol de IAM utilizar el complemento de fuente de datos Athena en Grafana. Los grupos de trabajo de Athena deben estar etiquetados con GrafanaDataSource
para que sean accesibles. Esta política contiene permisos para escribir los resultados de consultas en un bucket de Amazon S3 con un nombre como prefijo con grafana-athena-query-results-
. Los permisos de Amazon S3 para acceder al origen de datos subyacente de una consulta de Athena no se incluyen en esta política.
Puede adjuntar una AWSGrafana AthenaAccess política a sus entidades de IAM. Amazon Managed Grafana también asocia esta política a un rol de servicio que permite a Amazon Managed Grafana llevar a cabo acciones en su nombre.
Detalles de los permisos
Esta política incluye el siguiente permiso.
-
Athena
: permite a las entidades principales ejecutar consultas sobre los recursos de Athena en grupos de trabajo etiquetados comoGrafanaDataSource
. -
Amazon S3
: permite a las entidades principales leer y escribir los resultados de las consultas en un bucket con el prefijografana-athena-query-results-
. -
AWS Glue
— Permite a los directores acceder a las bases de datos, tablas y particiones de AWS Glue. Esto es necesario para que la entidad principal pueda utilizar el catálogo de datos de AWS Glue con Athena.
AWS política gestionada: AmazonGrafanaCloudWatchAccess
Esta política otorga acceso a Amazon CloudWatch y a las dependencias necesarias para su uso CloudWatch como fuente de datos en Amazon Managed Grafana.
Puede adjuntar la AWSGrafana CloudWatchAccess política a sus entidades de IAM. Amazon Managed Grafana también asocia esta política a un rol de servicio que permite a Amazon Managed Grafana llevar a cabo acciones en su nombre.
Detalles de los permisos
Esta política incluye los siguientes permisos.
-
CloudWatch
— Permite a los directores enumerar y obtener datos métricos y registros de Amazon CloudWatch. También permite ver los datos compartidos desde las cuentas de origen de forma observable CloudWatch entre cuentas. -
Amazon EC2
: permite a las entidades principales obtener detalles sobre los recursos que se están supervisando. -
Tags
— Permite a los directores acceder a las etiquetas de los recursos, lo que permite filtrar las CloudWatch consultas de métricas.
Amazon Managed Grafana actualiza las políticas gestionadas AWS
Consulta los detalles sobre las actualizaciones de las políticas AWS gestionadas de Amazon Managed Grafana desde que este servicio comenzó a realizar el seguimiento de estos cambios. Para obtener alertas automáticas sobre cambios en esta página, suscríbase a la fuente RSS en la página Amazon Managed Grafana document history.
Cambio | Descripción | Fecha |
---|---|---|
AWSGrafanaWorkspacePermissionManagement— obsoleto |
Esta política ha sido reemplazada por AWSGrafanaWorkspacePermissionManagementV2. Esta política se considera obsoleta y se dejará de actualizar. Esta nueva política mejora la seguridad de su espacio de trabajo al proporcionar un conjunto de permisos más restrictivo. |
5 de enero de 2024 |
AWSGrafanaWorkspacePermissionManagementV2 — Nueva política |
Amazon Managed Grafana agregó una nueva política (AWSGrafanaWorkspacePermissionManagementV2) para sustituir a la política obsoleta AWSGrafanaWorkspacePermissionManagement. Esta nueva política administrada mejora la seguridad de su espacio de trabajo al proporcionar un conjunto de permisos más restrictivo. |
5 de enero de 2024 |
AmazonGrafanaCloudWatchAccess: política nueva |
Amazon Managed Grafana agregó una nueva política (AmazonGrafanaCloudWatchAccess). |
24 de marzo de 2023 |
AWSGrafanaWorkspacePermissionManagement: actualización de una política actual |
Amazon Managed Grafana agregó nuevos permisos para AWSGrafanaWorkspacePermissionManagement a fin de que los usuarios y grupos de IAM Identity Center puedan asociarse a los espacios de trabajo de Grafana. Se agregaron los siguientes permisos: |
14 de marzo de 2023 |
AWSGrafanaWorkspacePermissionManagement: actualización de una política actual |
Amazon Managed Grafana agregó nuevos permisos para AWSGrafanaWorkspacePermissionManagement con el fin de que los usuarios y grupos de IAM Identity Center puedan asociarse a los espacios de trabajo de Grafana. Se agregaron los siguientes permisos: |
20 de diciembre de 2022 |
AmazonGrafanaServiceLinkedRolePolicy— Nueva política de SLR |
Amazon Managed Grafana agregó una nueva política para el rol vinculado al servicio de Grafana (AmazonGrafanaServiceLinkedRolePolicy). |
18 de noviembre de 2022 |
AWSGrafanaAccountAdministrator, AWSGrafanaConsoleReadOnlyAccess |
Permita el acceso a todos los recursos de Amazon Managed Grafana. | 17 de febrero de 2022 |
AmazonGrafanaRedshiftAccess: política nueva |
Amazon Managed Grafana agregó una nueva política (AmazonGrafanaRedshiftAccess). |
26 de noviembre de 2021 |
AmazonGrafanaAthenaAccess: política nueva |
Amazon Managed Grafana agregó una nueva política (AmazonGrafanaAthenaAccess). |
22 de noviembre de 2021 |
AWSGrafanaAccountAdministrator: actualización de una política actual |
Amazon Managed Grafana eliminó los permisos de AWSGrafanaAccountAdministrator. Se eliminó el |
13 de octubre de 2021 |
AWSGrafanaWorkspacePermissionManagement: actualización de una política actual |
Amazon Managed Grafana agregó nuevos permisos a AWSGrafanaWorkspacePermissionManagement para que los usuarios con esta política puedan ver los métodos de autenticación asociados a los espacios de trabajo. Se agregó el permiso |
21 de septiembre de 2021 |
AWSGrafanaConsoleReadOnlyAccess: actualización de una política actual |
Amazon Managed Grafana agregó nuevos permisos a AWSGrafanaConsoleReadOnlyAccess para que los usuarios con esta política puedan ver los métodos de autenticación asociados a los espacios de trabajo. Los permisos |
21 de septiembre de 2021 |
Amazon Managed Grafana comenzó a hacer un seguimiento de los cambios |
Amazon Managed Grafana comenzó a realizar un seguimiento de los cambios en sus políticas AWS gestionadas. |
9 de septiembre de 2021 |