AWS políticas gestionadas para Amazon Managed Grafana

Una política AWS gestionada es una política independiente creada y administrada por. AWS AWS Las políticas administradas están diseñadas para proporcionar permisos para muchos casos de uso comunes, de modo que pueda empezar a asignar permisos a usuarios, grupos y funciones.

Ten en cuenta que es posible que las políticas AWS administradas no otorguen permisos con privilegios mínimos para tus casos de uso específicos, ya que están disponibles para que los usen todos los AWS clientes. Se recomienda definir políticas administradas por el cliente específicas para sus casos de uso a fin de reducir aún más los permisos.

No puedes cambiar los permisos definidos en AWS las políticas administradas. Si AWS actualiza los permisos definidos en una política AWS administrada, la actualización afecta a todas las identidades principales (usuarios, grupos y roles) a las que está asociada la política. AWS es más probable que actualice una política AWS administrada cuando Servicio de AWS se lance una nueva o cuando estén disponibles nuevas operaciones de API para los servicios existentes.

Para obtener más información, consulte Políticas administradas de AWS en la Guía del usuario de IAM.

AWS política gestionada: AWSGrafanaAccountAdministrator

AWSGrafanaAccountAdministrator La política proporciona acceso dentro de Amazon Managed Grafana para crear y administrar cuentas y espacios de trabajo para toda la organización.

Puede adjuntarlas AWSGrafanaAccountAdministrator a sus entidades de IAM.

Detalles de los permisos

Esta política incluye los siguientes permisos.

• iam— Permite a los directores enumerar y obtener funciones de IAM para que el administrador pueda asociar una función a un espacio de trabajo y transferir funciones al servicio Grafana gestionado por Amazon.

• Amazon Managed Grafana— Permite a los directores el acceso de lectura y escritura a todas las API de Grafana gestionadas por Amazon.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSGrafanaOrganizationAdmin",
            "Effect": "Allow",
            "Action": [
                "iam:ListRoles"
            ],
            "Resource": "*"
        },
        {
            "Sid": "GrafanaIAMGetRolePermission",
            "Effect": "Allow",
            "Action": "iam:GetRole",
            "Resource": "arn:aws:iam::*:role/*"
        },
        {
            "Sid": "AWSGrafanaPermissions",
            "Effect": "Allow",
            "Action": [
                "grafana:*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "GrafanaIAMPassRolePermission",
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::*:role/*",
            "Condition": {
                "StringLike": {
                    "iam:PassedToService": "grafana.amazonaws.com"
                }
            }
        }
    ]
}

AWS política gestionada: AWSGrafanaWorkspacePermissionManagement (obsoleta)

Esta política está obsoleta. Esta política no debe adjuntarse a ningún usuario, grupo o función nuevos.

Grafana gestionada por Amazon agregó una nueva política, AWSGrafanaWorkspacePermissionManagementV2 para reemplazar esta política. Esta nueva política gestionada mejora la seguridad de tu espacio de trabajo al proporcionar un conjunto de permisos más restrictivo.

AWS política gestionada: AWSGrafanaWorkspacePermissionManagementV2

AWSGrafanaWorkspacePermissionManagementVLa política 2 solo permite actualizar los permisos de usuario y grupo para los espacios de trabajo de Grafana gestionados por Amazon.

Puede adjuntar AWSGrafanaWorkspacePermissionManagementV2 a sus entidades de IAM.

Detalles de los permisos

Esta política incluye los siguientes permisos.

• Amazon Managed Grafana— Permite a los directores leer y actualizar los permisos de usuario y grupo para los espacios de trabajo de Grafana gestionados por Amazon.

• IAM Identity Center— Permite a los directores leer las entidades del IAM Identity Center. Esta es una parte necesaria de la asociación de los directores con las aplicaciones de Grafana gestionadas por Amazon, pero también requiere un paso adicional, que se describe después de la siguiente lista de políticas.

{
    "Version": "2012-10-17",
    "Statement": [{
            "Sid": "AWSGrafanaPermissions",
            "Effect": "Allow",
            "Action": [
                "grafana:DescribeWorkspace",
                "grafana:DescribeWorkspaceAuthentication",
                "grafana:UpdatePermissions",
                "grafana:ListPermissions",
                "grafana:ListWorkspaces"
            ],
            "Resource": "arn:aws:grafana:*:*:/workspaces*"
        },
        {
            "Sid": "IAMIdentityCenterPermissions",
            "Effect": "Allow",
            "Action": [
                "sso:DescribeRegisteredRegions",
                "sso:GetSharedSsoConfiguration",
                "sso:ListDirectoryAssociations",
                "sso:GetManagedApplicationInstance",
                "sso:ListProfiles",
                "sso:GetProfile",
                "sso:ListProfileAssociations",
                "sso-directory:DescribeUser",
                "sso-directory:DescribeGroup"
            ],
            "Resource": "*"
        }
    ]
}

Se necesita una política adicional

Para permitir que un usuario asigne permisos por completo, además de la AWSGrafanaWorkspacePermissionManagementV2 política, también debe asignar una política que permita el acceso a la asignación de aplicaciones en el Centro de identidades de IAM.

Para crear esta política, primero debes recopilar el ARN de la aplicación Grafana para tu espacio de trabajo

1. Abra la consola de IAM Identity Center

2. Seleccione Aplicaciones en el menú de la izquierda.

3. En la pestaña AWS gestionado, busca la aplicación llamada Amazon Grafana- workspace-name, donde workspace-name aparece el nombre de tu espacio de trabajo. Seleccione el nombre de la aplicación.

4. Se muestra la aplicación IAM Identity Center gestionada por Amazon Managed Grafana para el espacio de trabajo. El ARN de esta aplicación se muestra en la página de detalles. Estará en la forma:arn:aws:sso::owner-account-id:application/ssoins-unique-id/apl-unique-id.

La política que cree debería tener el siguiente aspecto. grafana-application-arnSustitúyalo por el ARN que encontró en el paso anterior:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sso:CreateApplicationAssignment",
                "sso:DeleteApplicationAssignment"
            ],
            "Resource": [
                "grafana-application-arn"
            ]
        }
    ]
}

Para obtener información sobre cómo crear y aplicar una política a sus funciones o usuarios, consulte Añadir y eliminar permisos de identidad de IAM en la Guía del AWS Identity and Access Management usuario.

AWS política gestionada: AWSGrafanaConsoleReadOnlyAccess

AWSGrafanaConsoleReadOnlyAccess la política otorga acceso a operaciones de solo lectura en Amazon Managed Grafana.

Puede adjuntarlo AWSGrafanaConsoleReadOnlyAccess a sus entidades de IAM.

Detalles de los permisos

Esta política incluye el siguiente permiso.

• Amazon Managed Grafana— Permite a los directores acceder de solo lectura a las API de Grafana gestionadas por Amazon

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AWSGrafanaConsoleReadOnlyAccess",
      "Effect": "Allow",
      "Action": ["grafana:Describe*", "grafana:List*"],
      "Resource": "*"
    }
  ]
}

AWS política gestionada: AmazonGrafanaRedshiftAccess

Esta política otorga acceso limitado a Amazon Redshift y a las dependencias necesarias para usar el complemento Amazon Redshift en Amazon Managed Grafana. AmazonGrafanaRedshiftAccess esta política permite a un usuario o a un rol de IAM utilizar el complemento de fuente de datos Amazon Redshift en Grafana. Las credenciales temporales de las bases de datos de Amazon Redshift dependen del usuario de la base de datos redshift_data_api_user y las credenciales de Secrets Manager se pueden recuperar si el secreto está etiquetado con la clave. RedshiftQueryOwner Esta política permite el acceso a los clústeres de Amazon Redshift etiquetados con. GrafanaDataSource Al crear una política administrada por el cliente, la autenticación basada en etiquetas es opcional.

Puede adjuntarla AmazonGrafanaRedshiftAccess a sus entidades de IAM. Amazon Managed Grafana también vincula esta política a un rol de servicio que permite a Amazon Managed Grafana realizar acciones en tu nombre.

Detalles de los permisos

Esta política incluye el siguiente permiso.

• Amazon Redshift— Permite a los directores describir los clústeres y obtener credenciales temporales para el nombre redshift_data_api_user de un usuario de base de datos.

• Amazon Redshift–data— Permite a los directores ejecutar consultas en clústeres etiquetados como. GrafanaDataSource

• Secrets Manager— Permite a los directores enumerar los secretos y leer los valores secretos de los secretos etiquetados como. RedshiftQueryOwner

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "redshift:DescribeClusters",
        "redshift-data:GetStatementResult",
        "redshift-data:DescribeStatement",
        "secretsmanager:ListSecrets"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "redshift-data:DescribeTable",
        "redshift-data:ExecuteStatement",
        "redshift-data:ListTables",
        "redshift-data:ListSchemas"
      ],
      "Resource": "*",
      "Condition": {
        "Null": {
          "aws:ResourceTag/GrafanaDataSource": "false"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": "redshift:GetClusterCredentials",
      "Resource": [
        "arn:aws:redshift:*:*:dbname:*/*",
        "arn:aws:redshift:*:*:dbuser:*/redshift_data_api_user"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "secretsmanager:GetSecretValue"
      ],
      "Resource": "*",
      "Condition": {
        "Null": {
          "secretsmanager:ResourceTag/RedshiftQueryOwner": "false"
        }
      }
    }
  ]
}

AWS política gestionada: AmazonGrafanaAthenaAccess

Esta política otorga acceso a Athena y a las dependencias necesarias para poder consultar y escribir los resultados en Amazon S3 desde el complemento Athena de Amazon Managed Grafana. AmazonGrafanaAthenaAccessLa política permite a un usuario o a un rol de IAM utilizar el complemento de fuente de datos Athena en Grafana. Los grupos de trabajo de Athena deben estar etiquetados GrafanaDataSource para que sean accesibles. Esta política contiene permisos para escribir los resultados de consultas en un bucket de Amazon S3 con un nombre como prefijo. grafana-athena-query-results- Los permisos de Amazon S3 para acceder a la fuente de datos subyacente de una consulta de Athena no se incluyen en esta política.

Puede adjuntar la AWSGrafanaAthenaAccess política a sus entidades de IAM. Amazon Managed Grafana también vincula esta política a un rol de servicio que permite a Amazon Managed Grafana realizar acciones en tu nombre.

Detalles de los permisos

Esta política incluye el siguiente permiso.

• Athena— Permite a los directores ejecutar consultas sobre los recursos de Athena en grupos de trabajo etiquetados como. GrafanaDataSource

• Amazon S3— Permite a los directores leer y escribir los resultados de las consultas en un segmento con el prefijo. grafana-athena-query-results-

• AWS Glue— Permite a los directores acceder a las bases de datos, tablas y particiones de AWS Glue. Esto es necesario para que el director pueda utilizar el catálogo de datos de AWS Glue con Athena.

{
	"Version": "2012-10-17",
	"Statement": [
	    {
	        "Effect": "Allow",
	        "Action": [
	            "athena:GetDatabase",
	            "athena:GetDataCatalog",
	            "athena:GetTableMetadata",
	            "athena:ListDatabases",
	            "athena:ListDataCatalogs",
	            "athena:ListTableMetadata",
	            "athena:ListWorkGroups"
	        ],
	        "Resource": [
	            "*"
	        ]
	    },
	    {
	        "Effect": "Allow",
	        "Action": [
	            "athena:GetQueryExecution",
	            "athena:GetQueryResults",
	            "athena:GetWorkGroup",
	            "athena:StartQueryExecution",
	            "athena:StopQueryExecution"
	        ],
	        "Resource": [
	            "*"
	        ],
	        "Condition": {
	            "Null": {
	                "aws:ResourceTag/GrafanaDataSource": "false"
	            }
	        }
	    },
	    {
	        "Effect": "Allow",
	        "Action": [
	            "glue:GetDatabase",
	            "glue:GetDatabases",	            
	            "glue:GetTable",
	            "glue:GetTables",
	            "glue:GetPartition",
	            "glue:GetPartitions",
	            "glue:BatchGetPartition"
	        ],
	        "Resource": [
	            "*"
	        ]
	    },
	    {
	        "Effect": "Allow",
	        "Action": [
	            "s3:GetBucketLocation",
	            "s3:GetObject",
	            "s3:ListBucket",
	            "s3:ListBucketMultipartUploads",
	            "s3:ListMultipartUploadParts",
	            "s3:AbortMultipartUpload",
	            "s3:CreateBucket",
	            "s3:PutObject",
	            "s3:PutBucketPublicAccessBlock"
	        ],
	        "Resource": [
	            "arn:aws:s3:::grafana-athena-query-results-*"
	        ]
	    }
	]
}

AWS política gestionada: AmazonGrafanaCloudWatchAccess

Esta política otorga acceso a Amazon CloudWatch y a las dependencias necesarias para su uso CloudWatch como fuente de datos en Amazon Managed Grafana.

Puede adjuntar la AWSGrafanaCloudWatchAccess política a sus entidades de IAM. Amazon Managed Grafana también vincula esta política a un rol de servicio que permite a Amazon Managed Grafana realizar acciones en tu nombre.

Detalles de los permisos

Esta política incluye los siguientes permisos.

• CloudWatch— Permite a los directores enumerar y obtener datos métricos y registros de Amazon CloudWatch. También permite ver los datos compartidos desde las cuentas de origen de forma observable CloudWatch entre cuentas.

• Amazon EC2— Permite a los directores obtener detalles sobre los recursos que se están monitoreando.

• Tags— Permite a los directores acceder a las etiquetas de los recursos, lo que permite filtrar las consultas de CloudWatch métricas.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloudwatch:DescribeAlarmsForMetric",
        "cloudwatch:DescribeAlarmHistory",
        "cloudwatch:DescribeAlarms",
        "cloudwatch:ListMetrics",
        "cloudwatch:GetMetricStatistics",
        "cloudwatch:GetMetricData",
        "cloudwatch:GetInsightRuleReport"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "logs:DescribeLogGroups",
        "logs:GetLogGroupFields",
        "logs:StartQuery",
        "logs:StopQuery",
        "logs:GetQueryResults",
        "logs:GetLogEvents"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeTags",
        "ec2:DescribeInstances",
        "ec2:DescribeRegions"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": "tag:GetResources",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "oam:ListSinks",
        "oam:ListAttachedLinks"
      ],
      "Resource": "*"
    }
  ]
}

Amazon Managed Grafana actualiza las políticas gestionadas AWS

Consulta los detalles sobre las actualizaciones de las políticas AWS gestionadas de Amazon Managed Grafana desde que este servicio comenzó a realizar el seguimiento de estos cambios. Para recibir alertas automáticas sobre los cambios en esta página, suscríbase a la fuente RSS de la página del historial de documentos de Grafana gestionada por Amazon.

Cambio	Descripción	Fecha
AWSGrafanaWorkspacePermissionManagement— obsoleto	Esta política ha sido reemplazada por AWSGrafanaWorkspacePermissionManagementV2. Esta política se considera obsoleta y ya no se actualizará. La nueva política mejora la seguridad de tu espacio de trabajo al proporcionar un conjunto de permisos más restrictivo.	5 de enero de 2024
AWSGrafanaWorkspacePermissionManagementV2 — Nueva política	Amazon Managed Grafana agregó una nueva política AWSGrafanaWorkspacePermissionManagementV2para reemplazar la política obsoleta AWSGrafanaWorkspacePermissionManagement. Esta nueva política gestionada mejora la seguridad de tu espacio de trabajo al proporcionar un conjunto de permisos más restrictivo.	5 de enero de 2024
AmazonGrafanaCloudWatchAccess: política nueva	Amazon Managed Grafana ha añadido una nueva política. AmazonGrafanaCloudWatchAccess	24 de marzo de 2023
AWSGrafanaWorkspacePermissionManagement: actualización de una política actual	Amazon Managed Grafana agregó nuevos permisos para AWSGrafanaWorkspacePermissionManagementque los usuarios y grupos del Centro de Identidad de IAM en Active Directory puedan asociarse a los espacios de trabajo de Grafana. Se agregaron los siguientes permisos:, y sso-directory:DescribeUser sso-directory:DescribeGroup	14 de marzo de 2023
AWSGrafanaWorkspacePermissionManagement: actualización de una política actual	Amazon Managed Grafana agregó nuevos permisos para AWSGrafanaWorkspacePermissionManagementque los usuarios y grupos del Centro de Identidad de IAM puedan asociarse a los espacios de trabajo de Grafana. Se agregaron los siguientes permisos:sso:DescribeRegisteredRegions,,sso:GetSharedSsoConfiguration,sso:ListDirectoryAssociations,sso:GetManagedApplicationInstance, sso:ListProfilessso:AssociateProfile, sso:DisassociateProfile y. sso:GetProfile sso:ListProfileAssociations	20 de diciembre de 2022
AmazonGrafanaServiceLinkedRolePolicy— Nueva política de SLR	Amazon Managed Grafana agregó una nueva política para el rol vinculado al servicio de Grafana,. AmazonGrafanaServiceLinkedRolePolicy	18 de noviembre de 2022
AWSGrafanaAccountAdministrator, AWSGrafanaConsoleReadOnlyAccess	Permita el acceso a todos los recursos de Grafana gestionados por Amazon	17 de febrero de 2022
AmazonGrafanaRedshiftAccess: política nueva	Amazon Managed Grafana ha añadido una nueva política. AmazonGrafanaRedshiftAccess	26 de noviembre de 2021
AmazonGrafanaAthenaAccess: política nueva	Amazon Managed Grafana ha añadido una nueva política. AmazonGrafanaAthenaAccess	22 de noviembre de 2021
AWSGrafanaAccountAdministrator: actualización de una política actual	Grafana gestionada por Amazon eliminó los permisos de. AWSGrafanaAccountAdministrator Se eliminó el iam:CreateServiceLinkedRole permiso asignado al sso.amazonaws.com servicio y, en su lugar, le recomendamos que adjunte la AWSSSOMasterAccountAdministratorpolítica para conceder este permiso a un usuario.	13 de octubre de 2021
AWSGrafanaWorkspacePermissionManagement: actualización de una política actual	Amazon Managed Grafana agregó nuevos permisos para AWSGrafanaWorkspacePermissionManagementque los usuarios con esta política puedan ver los métodos de autenticación asociados a los espacios de trabajo. grafana:DescribeWorkspaceAuthenticationSe agregó el permiso.	21 de septiembre de 2021
AWSGrafanaConsoleReadOnlyAccess: actualización de una política actual	Amazon Managed Grafana agregó nuevos permisos para AWSGrafanaConsoleReadOnlyAccessque los usuarios con esta política puedan ver los métodos de autenticación asociados a los espacios de trabajo. Los grafana:List* permisos grafana:Describe* y se agregaron a la política y sustituyen a los permisos anteriores, más restringidosgrafana:DescribeWorkspace, grafana:ListPermissions y. grafana:ListWorkspaces	21 de septiembre de 2021
Grafana gestionada por Amazon comenzó a rastrear los cambios	Amazon Managed Grafana comenzó a realizar un seguimiento de los cambios en sus políticas AWS gestionadas.	9 de septiembre de 2021