AWSGrafanaAccountAdministrator AWSGrafanaWorkspacePermissionManagement (obsoleto)AWSGrafanaWorkspacePermissionManagementV2 AWSGrafanaConsoleReadOnlyAccess AmazonGrafanaRedshiftAccess AmazonGrafanaAthenaAccess AmazonGrafanaCloudWatchAccess Aggiornamenti alle policy

AWS politiche gestite per Amazon Managed Grafana

Una politica AWS gestita è una politica autonoma creata e amministrata da. AWS AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.

Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Consigliamo pertanto di ridurre ulteriormente le autorizzazioni definendo policy gestite dal cliente specifiche per i tuoi casi d'uso.

Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti.

Per ulteriori informazioni, consultare Policy gestite da AWSnella Guida per l'utente di IAM.

AWS politica gestita: AWSGrafanaAccountAdministrator

AWSGrafanaAccountAdministrator questa policy fornisce l'accesso all'interno di Amazon Managed Grafana per creare e gestire account e aree di lavoro per l'intera organizzazione.

Puoi collegarti AWSGrafanaAccountAdministrator alle tue entità IAM.

Dettagli dell'autorizzazione

Questa policy include le seguenti autorizzazioni:

iam— Consente ai responsabili di elencare e ottenere i ruoli IAM in modo che l'amministratore possa associare un ruolo a uno spazio di lavoro e passare i ruoli al servizio Amazon Managed Grafana.
Amazon Managed Grafana— Consente ai principali di accedere in lettura e scrittura a tutte le API Amazon Managed Grafana.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSGrafanaOrganizationAdmin",
            "Effect": "Allow",
            "Action": [
                "iam:ListRoles"
            ],
            "Resource": "*"
        },
        {
            "Sid": "GrafanaIAMGetRolePermission",
            "Effect": "Allow",
            "Action": "iam:GetRole",
            "Resource": "arn:aws:iam::*:role/*"
        },
        {
            "Sid": "AWSGrafanaPermissions",
            "Effect": "Allow",
            "Action": [
                "grafana:*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "GrafanaIAMPassRolePermission",
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::*:role/*",
            "Condition": {
                "StringLike": {
                    "iam:PassedToService": "grafana.amazonaws.com"
                }
            }
        }
    ]
}

AWS politica gestita: AWSGrafanaWorkspacePermissionManagement (obsoleta)

Questa politica è obsoleta. Questa politica non deve essere associata a nuovi utenti, gruppi o ruoli.

Amazon Managed Grafana ha aggiunto una nuova policy, AWSGrafanaWorkspacePermissionManagementV2 per sostituire questa politica. Questa nuova policy gestita migliora la sicurezza del tuo spazio di lavoro fornendo un set di autorizzazioni più restrittivo.

AWS politica gestita: AWSGrafanaWorkspacePermissionManagementV2

AWSGrafanaWorkspacePermissionManagementVLa policy 2 offre solo la possibilità di aggiornare le autorizzazioni di utenti e gruppi per le aree di lavoro Amazon Managed Grafana.

Puoi collegarne AWSGrafanaWorkspacePermissionManagementV2 alle tue entità IAM.

Dettagli dell'autorizzazione

Questa policy include le seguenti autorizzazioni:

Amazon Managed Grafana— Consente ai responsabili di leggere e aggiornare le autorizzazioni di utenti e gruppi per le aree di lavoro Amazon Managed Grafana.
IAM Identity Center— Consente ai responsabili di leggere le entità IAM Identity Center. Questa è una parte necessaria dell'associazione dei principali alle applicazioni Amazon Managed Grafana, ma richiede anche un passaggio aggiuntivo, descritto dopo l'elenco delle politiche che segue.


{
    "Version": "2012-10-17",
    "Statement": [{
            "Sid": "AWSGrafanaPermissions",
            "Effect": "Allow",
            "Action": [
                "grafana:DescribeWorkspace",
                "grafana:DescribeWorkspaceAuthentication",
                "grafana:UpdatePermissions",
                "grafana:ListPermissions",
                "grafana:ListWorkspaces"
            ],
            "Resource": "arn:aws:grafana:*:*:/workspaces*"
        },
        {
            "Sid": "IAMIdentityCenterPermissions",
            "Effect": "Allow",
            "Action": [
                "sso:DescribeRegisteredRegions",
                "sso:GetSharedSsoConfiguration",
                "sso:ListDirectoryAssociations",
                "sso:GetManagedApplicationInstance",
                "sso:ListProfiles",
                "sso:GetProfile",
                "sso:ListProfileAssociations",
                "sso-directory:DescribeUser",
                "sso-directory:DescribeGroup"
            ],
            "Resource": "*"
        }
    ]
}

È necessaria una politica aggiuntiva

Per consentire completamente a un utente di assegnare le autorizzazioni, oltre alla AWSGrafanaWorkspacePermissionManagementV2 policy, è necessario assegnare anche una policy per fornire l'accesso all'assegnazione delle applicazioni in IAM Identity Center.

Per creare questa politica, devi prima raccogliere l'ARN dell'applicazione Grafana per il tuo spazio di lavoro

Apri la console IAM Identity Center.
Scegli Applicazioni dal menu a sinistra.
Nella scheda AWS gestita, trova l'applicazione chiamata Amazon Grafana- workspace-name, dove workspace-name è il nome del tuo spazio di lavoro. Seleziona il nome dell'applicazione.
Viene mostrata l'applicazione IAM Identity Center gestita da Amazon Managed Grafana per l'area di lavoro. L'ARN di questa applicazione è mostrato nella pagina dei dettagli. Sarà nella forma:arn:aws:sso::owner-account-id:application/ssoins-unique-id/apl-unique-id.

La politica che crei dovrebbe essere simile alla seguente. Sostituisci grafana-application-arncon l'ARN che hai trovato nel passaggio precedente:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sso:CreateApplicationAssignment",
                "sso:DeleteApplicationAssignment"
            ],
            "Resource": [
                "grafana-application-arn"
            ]
        }
    ]
}

Per informazioni su come creare e applicare le policy ai ruoli o agli utenti, consulta Aggiungere e rimuovere le autorizzazioni di identità IAM nella Guida per l'AWS Identity and Access Management utente.

AWS politica gestita: AWSGrafanaConsoleReadOnlyAccess

AWSGrafanaConsoleReadOnlyAccess la policy consente l'accesso alle operazioni di sola lettura in Amazon Managed Grafana.

Puoi collegarti alle tue entità AWSGrafanaConsoleReadOnlyAccess IAM.

Dettagli dell'autorizzazione

Questa politica include le seguenti autorizzazioni.

Amazon Managed Grafana— Consente ai principali l'accesso in sola lettura alle API Amazon Managed Grafana


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AWSGrafanaConsoleReadOnlyAccess",
      "Effect": "Allow",
      "Action": ["grafana:Describe*", "grafana:List*"],
      "Resource": "*"
    }
  ]
}

AWS politica gestita: AmazonGrafanaRedshiftAccess

Questa policy garantisce l'accesso mirato ad Amazon Redshift e alle dipendenze necessarie per utilizzare il plug-in Amazon Redshift in Amazon Managed Grafana. AmazonGrafanaRedshiftAccess la policy consente a un utente o a un ruolo IAM di utilizzare il plug-in di origine dati Amazon Redshift in Grafana. Le credenziali temporanee per i database Amazon Redshift sono limitate all'redshift_data_api_userutente del database e le credenziali di Secrets Manager possono essere recuperate se il segreto è etichettato con la chiave. RedshiftQueryOwner Questa policy consente l'accesso ai cluster Amazon Redshift contrassegnati con. GrafanaDataSource Quando si crea una policy gestita dal cliente, l'autenticazione basata su tag è facoltativa.

Puoi collegarti AmazonGrafanaRedshiftAccess alle tue entità IAM. Amazon Managed Grafana attribuisce questa politica anche a un ruolo di servizio che consente ad Amazon Managed Grafana di eseguire azioni per tuo conto.

Dettagli dell'autorizzazione

Questa politica include le seguenti autorizzazioni.

Amazon Redshift— Consente ai responsabili di descrivere i cluster e ottenere credenziali temporanee per un utente del database denominato. redshift_data_api_user
Amazon Redshift–data— Consente ai principali di eseguire interrogazioni sui cluster contrassegnati come. GrafanaDataSource
Secrets Manager— Consente ai presidi di elencare i segreti e di leggere i valori segreti per i segreti etichettati come. RedshiftQueryOwner


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "redshift:DescribeClusters",
        "redshift-data:GetStatementResult",
        "redshift-data:DescribeStatement",
        "secretsmanager:ListSecrets"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "redshift-data:DescribeTable",
        "redshift-data:ExecuteStatement",
        "redshift-data:ListTables",
        "redshift-data:ListSchemas"
      ],
      "Resource": "*",
      "Condition": {
        "Null": {
          "aws:ResourceTag/GrafanaDataSource": "false"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": "redshift:GetClusterCredentials",
      "Resource": [
        "arn:aws:redshift:*:*:dbname:*/*",
        "arn:aws:redshift:*:*:dbuser:*/redshift_data_api_user"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "secretsmanager:GetSecretValue"
      ],
      "Resource": "*",
      "Condition": {
        "Null": {
          "secretsmanager:ResourceTag/RedshiftQueryOwner": "false"
        }
      }
    }
  ]
}

AWS politica gestita: AmazonGrafanaAthenaAccess

Questa policy garantisce l'accesso ad Athena e alle dipendenze necessarie per abilitare l'interrogazione e la scrittura dei risultati su Amazon S3 dal plug-in Athena in Amazon Managed Grafana. AmazonGrafanaAthenaAccessla policy consente a un utente o a un ruolo IAM di utilizzare il plug-in di origine dati Athena in Grafana. I gruppi di lavoro Athena devono essere etichettati con GrafanaDataSource per essere accessibili. Questa policy contiene le autorizzazioni per scrivere i risultati delle query in un bucket Amazon S3 con un nome preceduto da. grafana-athena-query-results- Le autorizzazioni di Amazon S3 per l'accesso all'origine dati sottostante di una query Athena non sono incluse in questa politica.

Puoi allegare AWSGrafanaAthenaAccess policy alle tue entità IAM. Amazon Managed Grafana attribuisce questa politica anche a un ruolo di servizio che consente ad Amazon Managed Grafana di eseguire azioni per tuo conto.

Dettagli dell'autorizzazione

Questa politica include le seguenti autorizzazioni.

Athena— Consente ai responsabili di eseguire interrogazioni sulle risorse Athena nei gruppi di lavoro contrassegnati come. GrafanaDataSource
Amazon S3— Consente ai responsabili di leggere e scrivere i risultati delle query in un bucket con il prefisso. grafana-athena-query-results-
AWS Glue— Consente ai principali l'accesso ai database, alle tabelle e alle partizioni di AWS Glue. Ciò è necessario affinché il preside possa utilizzare il AWS Glue Data Catalog con Athena.


{
	"Version": "2012-10-17",
	"Statement": [
	    {
	        "Effect": "Allow",
	        "Action": [
	            "athena:GetDatabase",
	            "athena:GetDataCatalog",
	            "athena:GetTableMetadata",
	            "athena:ListDatabases",
	            "athena:ListDataCatalogs",
	            "athena:ListTableMetadata",
	            "athena:ListWorkGroups"
	        ],
	        "Resource": [
	            "*"
	        ]
	    },
	    {
	        "Effect": "Allow",
	        "Action": [
	            "athena:GetQueryExecution",
	            "athena:GetQueryResults",
	            "athena:GetWorkGroup",
	            "athena:StartQueryExecution",
	            "athena:StopQueryExecution"
	        ],
	        "Resource": [
	            "*"
	        ],
	        "Condition": {
	            "Null": {
	                "aws:ResourceTag/GrafanaDataSource": "false"
	            }
	        }
	    },
	    {
	        "Effect": "Allow",
	        "Action": [
	            "glue:GetDatabase",
	            "glue:GetDatabases",	            
	            "glue:GetTable",
	            "glue:GetTables",
	            "glue:GetPartition",
	            "glue:GetPartitions",
	            "glue:BatchGetPartition"
	        ],
	        "Resource": [
	            "*"
	        ]
	    },
	    {
	        "Effect": "Allow",
	        "Action": [
	            "s3:GetBucketLocation",
	            "s3:GetObject",
	            "s3:ListBucket",
	            "s3:ListBucketMultipartUploads",
	            "s3:ListMultipartUploadParts",
	            "s3:AbortMultipartUpload",
	            "s3:CreateBucket",
	            "s3:PutObject",
	            "s3:PutBucketPublicAccessBlock"
	        ],
	        "Resource": [
	            "arn:aws:s3:::grafana-athena-query-results-*"
	        ]
	    }
	]
}

AWS politica gestita: AmazonGrafanaCloudWatchAccess

Questa politica garantisce l'accesso ad Amazon CloudWatch e alle dipendenze necessarie per l'uso CloudWatch come origine dati all'interno di Amazon Managed Grafana.

Puoi allegare AWSGrafanaCloudWatchAccess policy alle tue entità IAM. Amazon Managed Grafana attribuisce questa politica anche a un ruolo di servizio che consente ad Amazon Managed Grafana di eseguire azioni per tuo conto.

Dettagli dell'autorizzazione

Questa policy include le seguenti autorizzazioni:

CloudWatch— Consente ai responsabili di elencare e ottenere dati metrici e log da Amazon. CloudWatch Consente inoltre di visualizzare i dati condivisi dagli account di origine in CloudWatch modo osservabile su più account.
Amazon EC2— Consente ai responsabili di ottenere dettagli sulle risorse che vengono monitorate.
Tags— Consente ai responsabili di accedere ai tag sulle risorse, per consentire il filtraggio delle CloudWatch query metriche.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloudwatch:DescribeAlarmsForMetric",
        "cloudwatch:DescribeAlarmHistory",
        "cloudwatch:DescribeAlarms",
        "cloudwatch:ListMetrics",
        "cloudwatch:GetMetricStatistics",
        "cloudwatch:GetMetricData",
        "cloudwatch:GetInsightRuleReport"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "logs:DescribeLogGroups",
        "logs:GetLogGroupFields",
        "logs:StartQuery",
        "logs:StopQuery",
        "logs:GetQueryResults",
        "logs:GetLogEvents"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeTags",
        "ec2:DescribeInstances",
        "ec2:DescribeRegions"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": "tag:GetResources",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "oam:ListSinks",
        "oam:ListAttachedLinks"
      ],
      "Resource": "*"
    }
  ]
}

Amazon Managed Grafana si aggiorna alle AWS policy gestite

Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite per Amazon Managed Grafana da quando questo servizio ha iniziato a tracciare queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al feed RSS nella pagina della cronologia dei documenti di Amazon Managed Grafana.

Modifica	Descrizione	Data
AWSGrafanaWorkspacePermissionManagement— obsoleto	Questa policy è stata sostituita da AWSGrafanaWorkspacePermissionManagementV2. Questa politica è considerata obsoleta e non verrà più aggiornata. La nuova politica migliora la sicurezza dell'area di lavoro fornendo un set di autorizzazioni più restrittivo.	5 gennaio 2024
AWSGrafanaWorkspacePermissionManagementV2 — Nuova politica	Amazon Managed Grafana ha aggiunto una nuova politica, AWSGrafanaWorkspacePermissionManagementV2per sostituire la politica obsoleta AWSGrafanaWorkspacePermissionManagement. Questa nuova policy gestita migliora la sicurezza del tuo spazio di lavoro fornendo un set di autorizzazioni più restrittivo.	5 gennaio 2024
AmazonGrafanaCloudWatchAccess: nuova policy	Amazon Managed Grafana ha aggiunto una nuova policy. AmazonGrafanaCloudWatchAccess	24 marzo 2023
AWSGrafanaWorkspacePermissionManagement: aggiornamento a una policy esistente	Amazon Managed Grafana ha aggiunto nuove autorizzazioni in AWSGrafanaWorkspacePermissionManagementmodo che gli utenti e i gruppi di IAM Identity Center in Active Directory possano essere associati agli spazi di lavoro Grafana. Sono state aggiunte le seguenti autorizzazioni: e `sso-directory:DescribeUser` `sso-directory:DescribeGroup`	14 marzo 2023
AWSGrafanaWorkspacePermissionManagement: aggiornamento a una policy esistente	Amazon Managed Grafana ha aggiunto nuove autorizzazioni per consentire agli utenti e ai AWSGrafanaWorkspacePermissionManagementgruppi di IAM Identity Center di essere associati agli spazi di lavoro Grafana. Sono state aggiunte le seguenti autorizzazioni:`sso:DescribeRegisteredRegions`,,,`sso:GetSharedSsoConfiguration`,`sso:ListDirectoryAssociations`, `sso:GetManagedApplicationInstancesso:ListProfiles`, `sso:AssociateProfile` e. `sso:DisassociateProfile` `sso:GetProfile` `sso:ListProfileAssociations`	20 dicembre 2022
AmazonGrafanaServiceLinkedRolePolicy— Nuova politica SLR	Amazon Managed Grafana ha aggiunto una nuova policy per il ruolo collegato ai servizi Grafana,. AmazonGrafanaServiceLinkedRolePolicy	18 novembre 2022
AWSGrafanaAccountAdministrator, AWSGrafanaConsoleReadOnlyAccess	Consenti l'accesso a tutte le risorse Amazon Managed Grafana	17 febbraio 2022
AmazonGrafanaRedshiftAccess: nuova policy	Amazon Managed Grafana ha aggiunto una nuova policy. AmazonGrafanaRedshiftAccess	26 novembre 2021
AmazonGrafanaAthenaAccess: nuova policy	Amazon Managed Grafana ha aggiunto una nuova policy. AmazonGrafanaAthenaAccess	22 novembre 2021
AWSGrafanaAccountAdministrator: aggiornamento a una policy esistente	Amazon Managed Grafana ha rimosso le autorizzazioni da. AWSGrafanaAccountAdministrator L'ambito di `iam:CreateServiceLinkedRole` autorizzazione del `sso.amazonaws.com` servizio è stato rimosso. Ti consigliamo invece di allegare la AWSSSOMasterAccountAdministratorpolicy per concedere questa autorizzazione a un utente.	13 ottobre 2021
AWSGrafanaWorkspacePermissionManagement: aggiornamento a una policy esistente	Amazon Managed Grafana ha aggiunto nuove autorizzazioni in AWSGrafanaWorkspacePermissionManagementmodo che gli utenti con questa policy possano vedere i metodi di autenticazione associati alle aree di lavoro. L'`grafana:DescribeWorkspaceAuthentication`autorizzazione è stata aggiunta.	21 settembre 2021
AWSGrafanaConsoleReadOnlyAccess: aggiornamento a una policy esistente	Amazon Managed Grafana ha aggiunto nuove autorizzazioni in AWSGrafanaConsoleReadOnlyAccessmodo che gli utenti con questa policy possano vedere i metodi di autenticazione associati alle aree di lavoro. Le `grafana:List` autorizzazioni `grafana:Describe` e sono state aggiunte alla policy e sostituiscono le precedenti autorizzazioni più ristrette e. `grafana:DescribeWorkspace` `grafana:ListPermissions` `grafana:ListWorkspaces`	21 settembre 2021
Amazon Managed Grafana ha iniziato a tracciare le modifiche	Amazon Managed Grafana ha iniziato a tracciare le modifiche alle sue policy AWS gestite.	9 settembre 2021

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Esempi di policy basate su identità

Risoluzione dei problemi