AWS kebijakan terkelola untuk Grafana Terkelola Amazon - Amazon Managed Grafana
AWSGrafanaAccountAdministratorAWSGrafanaWorkspacePermissionManagement (usang)AWSGrafanaWorkspacePermissionManagementV2AWSGrafanaConsoleReadOnlyAccess AmazonGrafanaRedshiftAccess AmazonGrafanaAthenaAccess AmazonGrafanaCloudWatchAccessPembaruan kebijakan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS kebijakan terkelola untuk Grafana Terkelola Amazon

Kebijakan AWS terkelola adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. AWS Kebijakan terkelola dirancang untuk memberikan izin bagi banyak kasus penggunaan umum sehingga Anda dapat mulai menetapkan izin kepada pengguna, grup, dan peran.

Perlu diingat bahwa kebijakan AWS terkelola mungkin tidak memberikan izin hak istimewa paling sedikit untuk kasus penggunaan spesifik Anda karena tersedia untuk digunakan semua pelanggan. AWS Kami menyarankan Anda untuk mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelola pelanggan yang khusus untuk kasus penggunaan Anda.

Anda tidak dapat mengubah izin yang ditentukan dalam kebijakan AWS terkelola. Jika AWS memperbarui izin yang ditentukan dalam kebijakan AWS terkelola, pembaruan akan memengaruhi semua identitas utama (pengguna, grup, dan peran) yang dilampirkan kebijakan tersebut. AWS kemungkinan besar akan memperbarui kebijakan AWS terkelola saat baru Layanan AWS diluncurkan atau operasi API baru tersedia untuk layanan yang ada.

Untuk informasi selengkapnya, lihat Kebijakan terkelola AWS dalam Panduan Pengguna IAM.

AWS kebijakan terkelola: AWSGrafana AccountAdministrator

AWSGrafanaAccountAdministrator kebijakan menyediakan akses dalam Grafana Terkelola Amazon untuk membuat dan mengelola akun dan ruang kerja untuk seluruh organisasi.

Anda dapat melampirkan AWSGrafana AccountAdministrator ke entitas IAM Anda.

Detail izin

Kebijakan ini mencakup izin berikut.

  • iam— Memungkinkan kepala sekolah untuk membuat daftar dan mendapatkan peran IAM sehingga administrator dapat mengaitkan peran dengan ruang kerja serta meneruskan peran ke layanan Grafana Terkelola Amazon.

  • Amazon Managed Grafana— Memungkinkan kepala sekolah membaca dan menulis akses ke semua Grafana yang Dikelola Amazon. APIs

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSGrafanaOrganizationAdmin",
            "Effect": "Allow",
            "Action": [
                "iam:ListRoles"
            ],
            "Resource": "*"
        },
        {
            "Sid": "GrafanaIAMGetRolePermission",
            "Effect": "Allow",
            "Action": "iam:GetRole",
            "Resource": "arn:aws:iam::*:role/*"
        },
        {
            "Sid": "AWSGrafanaPermissions",
            "Effect": "Allow",
            "Action": [
                "grafana:*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "GrafanaIAMPassRolePermission",
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::*:role/*",
            "Condition": {
                "StringLike": {
                    "iam:PassedToService": "grafana.amazonaws.com"
                }
            }
        }
    ]
}

AWS kebijakan terkelola: AWSGrafana WorkspacePermissionManagement (usang)

Kebijakan ini sudah usang. Kebijakan ini tidak boleh dilampirkan pada pengguna, grup, atau peran baru.

Grafana yang Dikelola Amazon menambahkan kebijakan baru, AWSGrafanaWorkspacePermissionManagementV2 untuk mengganti kebijakan ini. Kebijakan terkelola baru ini meningkatkan keamanan untuk ruang kerja Anda dengan menyediakan serangkaian izin yang lebih ketat.

AWS kebijakan terkelola: AWSGrafana WorkspacePermissionManagement V2

AWSGrafanaWorkspacePermissionManagementKebijakan V2 hanya menyediakan kemampuan untuk memperbarui izin pengguna dan grup untuk ruang kerja Grafana Terkelola Amazon.

Anda dapat melampirkan AWSGrafana WorkspacePermissionManagement V2 ke entitas IAM Anda.

Detail izin

Kebijakan ini mencakup izin berikut.

  • Amazon Managed Grafana— Memungkinkan kepala sekolah membaca dan memperbarui izin pengguna dan grup untuk ruang kerja Grafana yang Dikelola Amazon.

  • IAM Identity Center— Memungkinkan kepala sekolah untuk membaca entitas Pusat Identitas IAM. Ini adalah bagian penting dari mengaitkan prinsipal dengan aplikasi Grafana yang Dikelola Amazon, tetapi itu juga memerlukan langkah tambahan, yang dijelaskan setelah daftar kebijakan berikut.

{
    "Version": "2012-10-17",
    "Statement": [{
            "Sid": "AWSGrafanaPermissions",
            "Effect": "Allow",
            "Action": [
                "grafana:DescribeWorkspace",
                "grafana:DescribeWorkspaceAuthentication",
                "grafana:UpdatePermissions",
                "grafana:ListPermissions",
                "grafana:ListWorkspaces"
            ],
            "Resource": "arn:aws:grafana:*:*:/workspaces*"
        },
        {
            "Sid": "IAMIdentityCenterPermissions",
            "Effect": "Allow",
            "Action": [
                "sso:DescribeRegisteredRegions",
                "sso:GetSharedSsoConfiguration",
                "sso:ListDirectoryAssociations",
                "sso:GetManagedApplicationInstance",
                "sso:ListProfiles",
                "sso:GetProfile",
                "sso:ListProfileAssociations",
                "sso-directory:DescribeUser",
                "sso-directory:DescribeGroup"
            ],
            "Resource": "*"
        }
    ]
}

Kebijakan tambahan diperlukan

Untuk sepenuhnya mengizinkan pengguna menetapkan izin, selain AWSGrafanaWorkspacePermissionManagementV2 kebijakan, Anda juga harus menetapkan kebijakan untuk menyediakan akses ke penetapan Aplikasi di Pusat Identitas IAM.

Untuk membuat kebijakan ini, Anda harus terlebih dahulu mengumpulkan ARN aplikasi Grafana untuk ruang kerja Anda

  1. Buka konsol Pusat Identitas IAM.

  2. Pilih Aplikasi dari menu sebelah kiri.

  3. Di bawah tab AWS terkelola, temukan aplikasi bernama Amazon Grafana- workspace-name, di mana workspace-name nama ruang kerja Anda. Pilih nama aplikasi.

  4. Aplikasi IAM Identity Center yang dikelola oleh Amazon Managed Grafana untuk ruang kerja ditampilkan. ARN aplikasi ini ditampilkan di halaman detail. Itu akan dalam bentuk:arn:aws:sso::owner-account-id:application/ssoins-unique-id/apl-unique-id.

Kebijakan yang Anda buat akan terlihat seperti berikut ini. Ganti grafana-application-arn dengan ARN yang Anda temukan di langkah sebelumnya:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sso:CreateApplicationAssignment",
                "sso:DeleteApplicationAssignment"
            ],
            "Resource": [
                "grafana-application-arn"
            ]
        }
    ]
}

Untuk informasi tentang cara membuat dan menerapkan kebijakan ke peran atau pengguna Anda, lihat Menambahkan dan menghapus izin identitas IAM di AWS Identity and Access Management Panduan Pengguna.

AWS kebijakan terkelola: AWSGrafana ConsoleReadOnlyAccess

AWSGrafanaConsoleReadOnlyAccess kebijakan memberikan akses ke operasi hanya-baca di Grafana Terkelola Amazon.

Anda dapat melampirkan AWSGrafana ConsoleReadOnlyAccess ke entitas IAM Anda.

Detail izin

Kebijakan ini mencakup izin berikut.

  • Amazon Managed Grafana— Mengizinkan akses hanya-baca kepala sekolah ke Grafana yang Dikelola Amazon APIs

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AWSGrafanaConsoleReadOnlyAccess",
      "Effect": "Allow",
      "Action": ["grafana:Describe*", "grafana:List*"],
      "Resource": "*"
    }
  ]
}

AWS kebijakan terkelola: AmazonGrafanaRedshiftAccess

Kebijakan ini memberikan akses terbatas ke Amazon Redshift dan dependensi yang diperlukan untuk menggunakan plugin Amazon Redshift di Amazon Managed Grafana. AmazonGrafanaRedshiftAccess kebijakan memungkinkan pengguna atau peran IAM untuk menggunakan plugin sumber data Amazon Redshift di Grafana. Kredensi sementara untuk database Amazon Redshift dicakup oleh pengguna database dan redshift_data_api_user kredensional dari Secrets Manager dapat diambil jika rahasia ditandai dengan kunci. RedshiftQueryOwner Kebijakan ini memungkinkan akses ke klaster Amazon Redshift yang ditandai dengan tag. GrafanaDataSource Saat membuat kebijakan yang dikelola pelanggan, otentikasi berbasis tag bersifat opsional.

Anda dapat melampirkan AmazonGrafanaRedshiftAccess ke entitas IAM Anda. Grafana yang Dikelola Amazon juga melampirkan kebijakan ini ke peran layanan yang memungkinkan Grafana Terkelola Amazon melakukan tindakan atas nama Anda.

Detail izin

Kebijakan ini mencakup izin berikut.

  • Amazon Redshift— Memungkinkan prinsipal untuk mendeskripsikan cluster dan mendapatkan kredensi sementara untuk pengguna database bernama. redshift_data_api_user

  • Amazon Redshift–data— Memungkinkan prinsipal untuk mengeksekusi kueri pada cluster yang ditandai sebagai. GrafanaDataSource

  • Secrets Manager— Memungkinkan kepala sekolah untuk membuat daftar rahasia dan membaca nilai rahasia untuk rahasia yang ditandai sebagai. RedshiftQueryOwner

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "redshift:DescribeClusters",
        "redshift-data:GetStatementResult",
        "redshift-data:DescribeStatement",
        "secretsmanager:ListSecrets"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "redshift-data:DescribeTable",
        "redshift-data:ExecuteStatement",
        "redshift-data:ListTables",
        "redshift-data:ListSchemas"
      ],
      "Resource": "*",
      "Condition": {
        "Null": {
          "aws:ResourceTag/GrafanaDataSource": "false"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": "redshift:GetClusterCredentials",
      "Resource": [
        "arn:aws:redshift:*:*:dbname:*/*",
        "arn:aws:redshift:*:*:dbuser:*/redshift_data_api_user"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "secretsmanager:GetSecretValue"
      ],
      "Resource": "*",
      "Condition": {
        "Null": {
          "secretsmanager:ResourceTag/RedshiftQueryOwner": "false"
        }
      }
    }
  ]
}

AWS kebijakan terkelola: AmazonGrafanaAthenaAccess

Kebijakan ini memberikan akses ke Athena dan dependensi yang diperlukan untuk mengaktifkan kueri dan penulisan hasil ke Amazon S3 dari plugin Athena di Grafana Terkelola Amazon. AmazonGrafanaAthenaAccesskebijakan memungkinkan pengguna atau peran IAM untuk menggunakan plugin sumber data Athena di Grafana. Kelompok kerja Athena harus ditandai agar dapat diakses. GrafanaDataSource Kebijakan ini berisi izin untuk menulis hasil kueri di bucket Amazon S3 dengan nama yang diawali dengan. grafana-athena-query-results- Izin Amazon S3 untuk mengakses sumber data dasar kueri Athena tidak disertakan dalam kebijakan ini.

Anda dapat melampirkan AWSGrafana AthenaAccess kebijakan ke entitas IAM Anda. Grafana yang Dikelola Amazon juga melampirkan kebijakan ini ke peran layanan yang memungkinkan Grafana Terkelola Amazon melakukan tindakan atas nama Anda.

Detail izin

Kebijakan ini mencakup izin berikut.

  • Athena— Memungkinkan kepala sekolah untuk menjalankan kueri pada sumber daya Athena dalam kelompok kerja yang ditandai sebagai. GrafanaDataSource

  • Amazon S3— Memungkinkan kepala sekolah untuk membaca dan menulis hasil kueri ke bucket yang diawali dengan. grafana-athena-query-results-

  • AWS Glue— Memungkinkan akses kepala sekolah ke database AWS Glue, tabel, dan partisi. Ini diperlukan agar kepala sekolah dapat menggunakan Katalog Data AWS Glue dengan Athena.

{
	"Version": "2012-10-17",
	"Statement": [
	    {
	        "Effect": "Allow",
	        "Action": [
	            "athena:GetDatabase",
	            "athena:GetDataCatalog",
	            "athena:GetTableMetadata",
	            "athena:ListDatabases",
	            "athena:ListDataCatalogs",
	            "athena:ListTableMetadata",
	            "athena:ListWorkGroups"
	        ],
	        "Resource": [
	            "*"
	        ]
	    },
	    {
	        "Effect": "Allow",
	        "Action": [
	            "athena:GetQueryExecution",
	            "athena:GetQueryResults",
	            "athena:GetWorkGroup",
	            "athena:StartQueryExecution",
	            "athena:StopQueryExecution"
	        ],
	        "Resource": [
	            "*"
	        ],
	        "Condition": {
	            "Null": {
	                "aws:ResourceTag/GrafanaDataSource": "false"
	            }
	        }
	    },
	    {
	        "Effect": "Allow",
	        "Action": [
	            "glue:GetDatabase",
	            "glue:GetDatabases",	            
	            "glue:GetTable",
	            "glue:GetTables",
	            "glue:GetPartition",
	            "glue:GetPartitions",
	            "glue:BatchGetPartition"
	        ],
	        "Resource": [
	            "*"
	        ]
	    },
	    {
	        "Effect": "Allow",
	        "Action": [
	            "s3:GetBucketLocation",
	            "s3:GetObject",
	            "s3:ListBucket",
	            "s3:ListBucketMultipartUploads",
	            "s3:ListMultipartUploadParts",
	            "s3:AbortMultipartUpload",
	            "s3:CreateBucket",
	            "s3:PutObject",
	            "s3:PutBucketPublicAccessBlock"
	        ],
	        "Resource": [
	            "arn:aws:s3:::grafana-athena-query-results-*"
	        ]
	    }
	]
}

AWS kebijakan terkelola: AmazonGrafanaCloudWatchAccess

Kebijakan ini memberikan akses ke Amazon CloudWatch dan dependensi yang diperlukan untuk digunakan CloudWatch sebagai sumber data dalam Grafana Terkelola Amazon.

Anda dapat melampirkan AWSGrafana CloudWatchAccess kebijakan ke entitas IAM Anda. Grafana yang Dikelola Amazon juga melampirkan kebijakan ini ke peran layanan yang memungkinkan Grafana Terkelola Amazon melakukan tindakan atas nama Anda.

Detail izin

Kebijakan ini mencakup izin berikut.

  • CloudWatch— Memungkinkan kepala sekolah untuk membuat daftar dan mendapatkan data metrik dan log dari Amazon. CloudWatch Ini juga memungkinkan melihat data yang dibagikan dari akun sumber dalam CloudWatch observabilitas lintas akun.

  • Amazon EC2— Memungkinkan kepala sekolah untuk mendapatkan rincian mengenai sumber daya yang sedang dipantau.

  • Tags— Memungkinkan prinsipal untuk mengakses tag pada sumber daya, untuk memungkinkan pemfilteran kueri metrik. CloudWatch 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloudwatch:DescribeAlarmsForMetric",
        "cloudwatch:DescribeAlarmHistory",
        "cloudwatch:DescribeAlarms",
        "cloudwatch:ListMetrics",
        "cloudwatch:GetMetricStatistics",
        "cloudwatch:GetMetricData",
        "cloudwatch:GetInsightRuleReport"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "logs:DescribeLogGroups",
        "logs:GetLogGroupFields",
        "logs:StartQuery",
        "logs:StopQuery",
        "logs:GetQueryResults",
        "logs:GetLogEvents"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeTags",
        "ec2:DescribeInstances",
        "ec2:DescribeRegions"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": "tag:GetResources",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "oam:ListSinks",
        "oam:ListAttachedLinks"
      ],
      "Resource": "*"
    }
  ]
}

Grafana yang Dikelola Amazon memperbarui kebijakan terkelola AWS

Lihat detail tentang pembaruan kebijakan AWS terkelola untuk Grafana Terkelola Amazon sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan umpan RSS di halaman riwayat dokumen Grafana yang Dikelola Amazon.

Perubahan Deskripsi Tanggal

AWSGrafanaWorkspacePermissionManagement— usang

Kebijakan ini telah digantikan oleh AWSGrafanaWorkspacePermissionManagementV2.

Kebijakan ini dianggap usang, dan tidak akan diperbarui lagi. Kebijakan baru ini meningkatkan keamanan untuk ruang kerja Anda dengan menyediakan serangkaian izin yang lebih ketat.

 Januari 5, 2024

AWSGrafanaWorkspacePermissionManagementV2 - Kebijakan baru

Grafana yang Dikelola Amazon menambahkan kebijakan baru, AWSGrafanaWorkspacePermissionManagementV2untuk mengganti yang usang AWSGrafanaWorkspacePermissionManagementkebijakan. Kebijakan terkelola baru ini meningkatkan keamanan untuk ruang kerja Anda dengan menyediakan serangkaian izin yang lebih ketat.

 Januari 5, 2024

AmazonGrafanaCloudWatchAccess – Kebijakan baru

Grafana yang Dikelola Amazon menambahkan kebijakan baru AmazonGrafanaCloudWatchAccess.

 24 Maret 2023

AWSGrafanaWorkspacePermissionManagement – Pembaruan ke kebijakan yang ada

Grafana Terkelola Amazon menambahkan izin baru ke AWSGrafanaWorkspacePermissionManagementsehingga pengguna dan grup IAM Identity Center di Active Directory dapat dikaitkan dengan ruang kerja Grafana.

Izin berikut ditambahkan:sso-directory:DescribeUser, dan sso-directory:DescribeGroup

 14 Maret 2023

AWSGrafanaWorkspacePermissionManagement – Pembaruan ke kebijakan yang ada

Grafana Terkelola Amazon menambahkan izin baru ke AWSGrafanaWorkspacePermissionManagementsehingga pengguna dan grup IAM Identity Center dapat dikaitkan dengan ruang kerja Grafana.

Izin berikut ditambahkan:sso:DescribeRegisteredRegions,,,sso:GetSharedSsoConfiguration,sso:ListDirectoryAssociations,sso:GetManagedApplicationInstance,sso:ListProfiles,sso:AssociateProfile, sso:DisassociateProfilesso:GetProfile, dansso:ListProfileAssociations.

 Desember 20, 2022

AmazonGrafanaServiceLinkedRolePolicy— Kebijakan SLR baru

Grafana yang Dikelola Amazon menambahkan kebijakan baru untuk peran terkait layanan Grafana, AmazonGrafanaServiceLinkedRolePolicy.

 18 November 2022

AWSGrafanaAccountAdministrator, AWSGrafanaConsoleReadOnlyAccess

 Izinkan akses ke semua sumber daya Grafana yang Dikelola Amazon Februari 17, 2022

AmazonGrafanaRedshiftAccess – Kebijakan baru

Grafana yang Dikelola Amazon menambahkan kebijakan baru AmazonGrafanaRedshiftAccess.

 26 November 2021

AmazonGrafanaAthenaAccess – Kebijakan baru

Grafana yang Dikelola Amazon menambahkan kebijakan baru AmazonGrafanaAthenaAccess.

 22 November 2021

AWSGrafanaAccountAdministrator – Pembaruan ke kebijakan yang ada

Grafana Terkelola Amazon menghapus izin dari AWSGrafanaAccountAdministrator.

iam:CreateServiceLinkedRoleIzin yang tercakup pada sso.amazonaws.com layanan telah dihapus, dan sebagai gantinya kami menyarankan Anda melampirkan AWSSSOMasterAccountAdministratorkebijakan untuk memberikan izin ini kepada pengguna.

13 Oktober 2021

AWSGrafanaWorkspacePermissionManagement – Pembaruan ke kebijakan yang ada

Grafana Terkelola Amazon menambahkan izin baru ke AWSGrafanaWorkspacePermissionManagementsehingga pengguna dengan kebijakan ini dapat melihat metode otentikasi yang terkait dengan ruang kerja.

grafana:DescribeWorkspaceAuthenticationIzin ditambahkan.

September 21, 2021

AWSGrafanaConsoleReadOnlyAccess – Pembaruan ke kebijakan yang ada

Grafana Terkelola Amazon menambahkan izin baru ke AWSGrafanaConsoleReadOnlyAccesssehingga pengguna dengan kebijakan ini dapat melihat metode otentikasi yang terkait dengan ruang kerja.

grafana:List*Izin grafana:Describe* dan telah ditambahkan ke kebijakan, dan mereka menggantikan izin yang lebih sempit sebelumnyagrafana:DescribeWorkspace,, grafana:ListPermissions dan. grafana:ListWorkspaces

 September 21, 2021

Grafana yang Dikelola Amazon mulai melacak perubahan

Grafana yang Dikelola Amazon mulai melacak perubahan untuk kebijakan yang AWS dikelola.

 9 September 2021