Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
AWS politiques gérées pour Amazon Managed Grafana
Une politique AWS gérée est une politique autonome créée et administrée par AWS. AWS les politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.
N'oubliez pas que les politiques AWS gérées peuvent ne pas accorder d'autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles sont accessibles à tous les AWS clients. Nous vous recommandons de réduire encore les autorisations en définissant des politiques gérées par le client qui sont propres à vos cas d’utilisation.
Vous ne pouvez pas modifier les autorisations définies dans les politiques AWS gérées. Si les autorisations définies dans une politique AWS gérée sont AWS mises à jour, la mise à jour affecte toutes les identités principales (utilisateurs, groupes et rôles) auxquelles la politique est attachée. AWS est le plus susceptible de mettre à jour une politique AWS gérée lorsqu'une nouvelle politique Service AWS est lancée ou lorsque de nouvelles opérations d'API sont disponibles pour les services existants.
Pour plus d’informations, consultez la section Politiques gérées par AWS dans le Guide de l’utilisateur IAM.
AWS politique gérée : AWSGrafanaAccountAdministrator
AWSGrafanaAccountAdministrator La politique fournit un accès au sein d'Amazon Managed Grafana pour créer et gérer des comptes et des espaces de travail pour l'ensemble de l'organisation.
Vous pouvez les associer AWSGrafanaAccountAdministrator à vos entités IAM.
Détails de l’autorisation
Cette politique inclut les autorisations suivantes.
-
iam
— Permet aux principaux de répertorier et d'obtenir des rôles IAM afin que l'administrateur puisse associer un rôle à un espace de travail et transmettre des rôles au service Amazon Managed Grafana. -
Amazon Managed Grafana
— Permet aux principaux d'accéder en lecture et en écriture à toutes les API Amazon Managed Grafana.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSGrafanaOrganizationAdmin", "Effect": "Allow", "Action": [ "iam:ListRoles" ], "Resource": "*" }, { "Sid": "GrafanaIAMGetRolePermission", "Effect": "Allow", "Action": "iam:GetRole", "Resource": "arn:aws:iam::*:role/*" }, { "Sid": "AWSGrafanaPermissions", "Effect": "Allow", "Action": [ "grafana:*" ], "Resource": "*" }, { "Sid": "GrafanaIAMPassRolePermission", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringLike": { "iam:PassedToService": "grafana.amazonaws.com" } } } ] }
AWS politique gérée : AWSGrafanaWorkspacePermissionManagement (obsolète)
Cette politique est obsolète. Cette politique ne doit pas être associée à de nouveaux utilisateurs, groupes ou rôles.
Amazon Managed Grafana a ajouté une nouvelle politique, AWSGrafanaWorkspacePermissionManagementV2 pour remplacer cette politique. Cette nouvelle politique gérée améliore la sécurité de votre espace de travail en fournissant un ensemble d'autorisations plus restrictif.
AWS politique gérée : AWSGrafanaWorkspacePermissionManagementV2
AWSGrafanaWorkspacePermissionManagementVLa politique 2 permet uniquement de mettre à jour les autorisations des utilisateurs et des groupes pour les espaces de travail Amazon Managed Grafana.
Vous pouvez en associer AWSGrafanaWorkspacePermissionManagementV2 à vos entités IAM.
Détails de l’autorisation
Cette politique inclut les autorisations suivantes.
-
Amazon Managed Grafana
— Permet aux directeurs de lire et de mettre à jour les autorisations des utilisateurs et des groupes pour les espaces de travail Amazon Managed Grafana. -
IAM Identity Center
— Permet aux principaux de lire les entités du centre d'identité IAM. C'est une étape nécessaire pour associer les principaux aux applications Amazon Managed Grafana, mais cela nécessite également une étape supplémentaire, décrite après la liste des politiques qui suit.
{ "Version": "2012-10-17", "Statement": [{ "Sid": "AWSGrafanaPermissions", "Effect": "Allow", "Action": [ "grafana:DescribeWorkspace", "grafana:DescribeWorkspaceAuthentication", "grafana:UpdatePermissions", "grafana:ListPermissions", "grafana:ListWorkspaces" ], "Resource": "arn:aws:grafana:*:*:/workspaces*" }, { "Sid": "IAMIdentityCenterPermissions", "Effect": "Allow", "Action": [ "sso:DescribeRegisteredRegions", "sso:GetSharedSsoConfiguration", "sso:ListDirectoryAssociations", "sso:GetManagedApplicationInstance", "sso:ListProfiles", "sso:GetProfile", "sso:ListProfileAssociations", "sso-directory:DescribeUser", "sso-directory:DescribeGroup" ], "Resource": "*" } ] }
Une politique supplémentaire est nécessaire
Pour permettre pleinement à un utilisateur d'attribuer des autorisations, outre la AWSGrafanaWorkspacePermissionManagementV2
politique, vous devez également attribuer une politique pour fournir un accès à l'attribution des applications dans IAM Identity Center.
Pour créer cette politique, vous devez d'abord collecter l'ARN de l'application Grafana pour votre espace de travail
-
Ouvrez la console IAM Identity Center.
-
Choisissez Applications dans le menu de gauche.
-
Dans l'onglet AWS géré, recherchez l'application Amazon Grafana- workspace-name, où se
workspace-name
trouve le nom de votre espace de travail. Sélectionnez le nom de l'application. -
L'application IAM Identity Center gérée par Amazon Managed Grafana pour l'espace de travail est affichée. L'ARN de cette application est affiché sur la page de détails. Ce sera sous la forme :
arn:aws:sso::
.owner-account-id
:application/ssoins-unique-id
/apl-unique-id
La politique que vous créez doit ressembler à ce qui suit. grafana-application-arn
Remplacez-le par l'ARN que vous avez trouvé à l'étape précédente :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sso:CreateApplicationAssignment", "sso:DeleteApplicationAssignment" ], "Resource": [ "
grafana-application-arn
" ] } ] }
Pour plus d'informations sur la façon de créer et d'appliquer une politique à vos rôles ou à vos utilisateurs, consultez la section Ajouter et supprimer des autorisations d'identité IAM dans le guide de l'AWS Identity and Access Management utilisateur.
AWS politique gérée : AWSGrafanaConsoleReadOnlyAccess
AWSGrafanaConsoleReadOnlyAccess cette politique accorde l'accès aux opérations en lecture seule dans Amazon Managed Grafana.
Vous pouvez les associer AWSGrafanaConsoleReadOnlyAccess à vos entités IAM.
Détails de l’autorisation
Cette politique inclut les autorisations suivantes.
-
Amazon Managed Grafana
— Permet aux principaux d'accéder en lecture seule aux API Amazon Managed Grafana
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSGrafanaConsoleReadOnlyAccess", "Effect": "Allow", "Action": ["grafana:Describe*", "grafana:List*"], "Resource": "*" } ] }
AWS politique gérée : AmazonGrafanaRedshiftAccess
Cette politique accorde un accès limité à Amazon Redshift et aux dépendances nécessaires pour utiliser le plug-in Amazon Redshift dans Amazon Managed Grafana. AmazonGrafanaRedshiftAccess cette politique permet à un utilisateur ou à un rôle IAM d'utiliser le plug-in de source de données Amazon Redshift dans Grafana. Les informations d'identification temporaires pour les bases de données Amazon Redshift sont limitées à l'utilisateur de la base de données redshift_data_api_user
et les informations d'identification provenant de Secrets Manager peuvent être récupérées si le secret est marqué avec la clé. RedshiftQueryOwner
Cette politique autorise l'accès aux clusters Amazon Redshift étiquetés avec. GrafanaDataSource
Lors de la création d'une politique gérée par le client, l'authentification basée sur les balises est facultative.
Vous pouvez les associer AmazonGrafanaRedshiftAccess à vos entités IAM. Amazon Managed Grafana associe également cette politique à un rôle de service qui permet à Amazon Managed Grafana d'effectuer des actions en votre nom.
Détails de l’autorisation
Cette politique inclut les autorisations suivantes.
-
Amazon Redshift
— Permet aux principaux de décrire les clusters et d'obtenir des informations d'identification temporaires pour un utilisateur de base de données nomméredshift_data_api_user
. -
Amazon Redshift–data
— Permet aux principaux d'exécuter des requêtes sur des clusters marqués commeGrafanaDataSource
. -
Secrets Manager
— Permet aux principaux de répertorier les secrets et de lire les valeurs secrètes des secrets étiquetés commeRedshiftQueryOwner
.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "redshift:DescribeClusters", "redshift-data:GetStatementResult", "redshift-data:DescribeStatement", "secretsmanager:ListSecrets" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "redshift-data:DescribeTable", "redshift-data:ExecuteStatement", "redshift-data:ListTables", "redshift-data:ListSchemas" ], "Resource": "*", "Condition": { "Null": { "aws:ResourceTag/GrafanaDataSource": "false" } } }, { "Effect": "Allow", "Action": "redshift:GetClusterCredentials", "Resource": [ "arn:aws:redshift:*:*:dbname:*/*", "arn:aws:redshift:*:*:dbuser:*/redshift_data_api_user" ] }, { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": "*", "Condition": { "Null": { "secretsmanager:ResourceTag/RedshiftQueryOwner": "false" } } } ] }
AWS politique gérée : AmazonGrafanaAthenaAccess
Cette politique accorde l'accès à Athena et aux dépendances nécessaires pour permettre d'interroger et d'écrire des résultats sur Amazon S3 à partir du plugin Athena dans Amazon Managed Grafana. AmazonGrafanaAthenaAccesscette politique permet à un utilisateur ou à un rôle IAM d'utiliser le plugin de source de données Athena dans Grafana. Les groupes de travail Athena doivent être marqués avec un tag GrafanaDataSource
pour être accessibles. Cette politique contient des autorisations pour écrire les résultats des requêtes dans un compartiment Amazon S3 dont le nom est préfixé pargrafana-athena-query-results-
. Les autorisations Amazon S3 permettant d'accéder à la source de données sous-jacente d'une requête Athena ne sont pas incluses dans cette politique.
Vous pouvez associer une AWSGrafanaAthenaAccess politique à vos entités IAM. Amazon Managed Grafana associe également cette politique à un rôle de service qui permet à Amazon Managed Grafana d'effectuer des actions en votre nom.
Détails de l’autorisation
Cette politique inclut les autorisations suivantes.
-
Athena
— Permet aux directeurs d'exécuter des requêtes sur les ressources Athena dans les groupes de travail étiquetés comme.GrafanaDataSource
-
Amazon S3
— Permet aux principaux de lire et d'écrire les résultats des requêtes dans un compartiment préfixé par.grafana-athena-query-results-
-
AWS Glue
— Permet aux principaux d'accéder aux bases de données, aux tables et aux partitions de AWS Glue. Cela est nécessaire pour que le principal puisse utiliser le catalogue de données AWS Glue avec Athena.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "athena:GetDatabase", "athena:GetDataCatalog", "athena:GetTableMetadata", "athena:ListDatabases", "athena:ListDataCatalogs", "athena:ListTableMetadata", "athena:ListWorkGroups" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "athena:GetQueryExecution", "athena:GetQueryResults", "athena:GetWorkGroup", "athena:StartQueryExecution", "athena:StopQueryExecution" ], "Resource": [ "*" ], "Condition": { "Null": { "aws:ResourceTag/GrafanaDataSource": "false" } } }, { "Effect": "Allow", "Action": [ "glue:GetDatabase", "glue:GetDatabases", "glue:GetTable", "glue:GetTables", "glue:GetPartition", "glue:GetPartitions", "glue:BatchGetPartition" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket", "s3:ListBucketMultipartUploads", "s3:ListMultipartUploadParts", "s3:AbortMultipartUpload", "s3:CreateBucket", "s3:PutObject", "s3:PutBucketPublicAccessBlock" ], "Resource": [ "arn:aws:s3:::grafana-athena-query-results-*" ] } ] }
AWS politique gérée : AmazonGrafanaCloudWatchAccess
Cette politique accorde l'accès à Amazon CloudWatch et aux dépendances nécessaires à l'utilisation en CloudWatch tant que source de données dans Amazon Managed Grafana.
Vous pouvez associer une AWSGrafanaCloudWatchAccess politique à vos entités IAM. Amazon Managed Grafana associe également cette politique à un rôle de service qui permet à Amazon Managed Grafana d'effectuer des actions en votre nom.
Détails de l’autorisation
Cette politique inclut les autorisations suivantes.
-
CloudWatch
— Permet aux principaux de répertorier et d'obtenir des données métriques et des journaux auprès d'Amazon CloudWatch. Il permet également de visualiser les données partagées à partir de comptes sources dans le cadre d'une CloudWatch observabilité entre comptes. -
Amazon EC2
— Permet aux directeurs d'obtenir des informations sur les ressources surveillées. -
Tags
— Permet aux principaux d'accéder aux balises des ressources, afin de filtrer les requêtes CloudWatch métriques.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarmsForMetric", "cloudwatch:DescribeAlarmHistory", "cloudwatch:DescribeAlarms", "cloudwatch:ListMetrics", "cloudwatch:GetMetricStatistics", "cloudwatch:GetMetricData", "cloudwatch:GetInsightRuleReport" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "logs:DescribeLogGroups", "logs:GetLogGroupFields", "logs:StartQuery", "logs:StopQuery", "logs:GetQueryResults", "logs:GetLogEvents" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:DescribeTags", "ec2:DescribeInstances", "ec2:DescribeRegions" ], "Resource": "*" }, { "Effect": "Allow", "Action": "tag:GetResources", "Resource": "*" }, { "Effect": "Allow", "Action": [ "oam:ListSinks", "oam:ListAttachedLinks" ], "Resource": "*" } ] }
Amazon Managed Grafana met à jour les AWS politiques gérées
Consultez les informations relatives aux mises à jour des politiques AWS gérées pour Amazon Managed Grafana depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS sur la page d'historique des documents Amazon Managed Grafana.
Modification | Description | Date |
---|---|---|
AWSGrafanaWorkspacePermissionManagement— obsolète |
Cette stratégie a été remplacée par AWSGrafanaWorkspacePermissionManagementV2. Cette politique est considérée comme obsolète et ne sera plus mise à jour. La nouvelle politique améliore la sécurité de votre espace de travail en fournissant un ensemble d'autorisations plus restrictif. |
5 janvier 2024 |
AWSGrafanaWorkspacePermissionManagementV2 — Nouvelle politique |
Amazon Managed Grafana a ajouté une nouvelle politique AWSGrafanaWorkspacePermissionManagementV2pour remplacer la politique obsolète AWSGrafanaWorkspacePermissionManagement. Cette nouvelle politique gérée améliore la sécurité de votre espace de travail en fournissant un ensemble d'autorisations plus restrictif. |
5 janvier 2024 |
AmazonGrafanaCloudWatchAccess : nouvelle politique |
Amazon Managed Grafana a ajouté une nouvelle politique. AmazonGrafanaCloudWatchAccess |
24 mars 2023 |
AWSGrafanaWorkspacePermissionManagement – Mise à jour d’une politique existante |
Amazon Managed Grafana a ajouté de nouvelles autorisations AWSGrafanaWorkspacePermissionManagementafin que les utilisateurs et les groupes d'IAM Identity Center dans Active Directory puissent être associés aux espaces de travail Grafana. Les autorisations suivantes ont été ajoutées : |
14 mars 2023 |
AWSGrafanaWorkspacePermissionManagement – Mise à jour d’une politique existante |
Amazon Managed Grafana a ajouté de nouvelles autorisations AWSGrafanaWorkspacePermissionManagementafin que les utilisateurs et les groupes d'IAM Identity Center puissent être associés aux espaces de travail Grafana. Les autorisations suivantes ont été ajoutées : |
20 décembre 2022 |
AmazonGrafanaServiceLinkedRolePolicy— Nouvelle politique SLR |
Amazon Managed Grafana a ajouté une nouvelle politique pour le rôle lié au service Grafana,. AmazonGrafanaServiceLinkedRolePolicy |
18 novembre 2022 |
AWSGrafanaAccountAdministrator, AWSGrafanaConsoleReadOnlyAccess |
Autoriser l'accès à toutes les ressources Amazon Managed Grafana | 17 février 2022 |
AmazonGrafanaRedshiftAccess : nouvelle politique |
Amazon Managed Grafana a ajouté une nouvelle politique. AmazonGrafanaRedshiftAccess |
26 novembre 2021 |
AmazonGrafanaAthenaAccess : nouvelle politique |
Amazon Managed Grafana a ajouté une nouvelle politique. AmazonGrafanaAthenaAccess |
22 novembre 2021 |
AWSGrafanaAccountAdministrator – Mise à jour d’une politique existante |
Amazon Managed Grafana a supprimé les autorisations de. AWSGrafanaAccountAdministrator L' |
13 octobre 2021 |
AWSGrafanaWorkspacePermissionManagement – Mise à jour d’une politique existante |
Amazon Managed Grafana a ajouté de nouvelles autorisations AWSGrafanaWorkspacePermissionManagementafin que les utilisateurs soumis à cette politique puissent voir les méthodes d'authentification associées aux espaces de travail. L' |
21 septembre 2021 |
AWSGrafanaConsoleReadOnlyAccess – Mise à jour d’une politique existante |
Amazon Managed Grafana a ajouté de nouvelles autorisations AWSGrafanaConsoleReadOnlyAccessafin que les utilisateurs soumis à cette politique puissent voir les méthodes d'authentification associées aux espaces de travail. Les |
21 septembre 2021 |
Amazon Managed Grafana a commencé à suivre les modifications |
Amazon Managed Grafana a commencé à suivre les modifications apportées à ses politiques AWS gérées. |
9 septembre 2021 |