翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Amazon Managed Grafana の マネージドポリシー
AWS 管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーです AWS。 AWS 管理ポリシーは、多くの一般的なユースケースにアクセス許可を付与するように設計されているため、ユーザー、グループ、ロールにアクセス許可の割り当てを開始できます。
AWS 管理ポリシーは、すべての AWS お客様が使用できるため、特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることに注意してください。ユースケース別にカスタマーマネージドポリシーを定義して、マネージドポリシーを絞り込むことをお勧めします。
AWS 管理ポリシーで定義されているアクセス許可は変更できません。が AWS 管理ポリシーで定義されたアクセス許可 AWS を更新すると、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) が更新されます。 は、新しい AWS サービス が起動されたとき、または既存のサービスで新しい API AWS オペレーションが使用可能になったときに、 AWS 管理ポリシーを更新する可能性が最も高くなります。
詳細については、「IAM ユーザーガイド」の「AWS マネージドポリシー」を参照してください。
AWS マネージドポリシー: AWSGrafanaAccountAdministrator
AWSGrafanaAccountAdministrator ポリシーは、Amazon Managed Grafana 内でアクセスを提供し、組織全体のアカウントとワークスペースを作成および管理します。
IAM エンティティ AWSGrafanaAccountAdministrator に をアタッチできます。
アクセス許可の詳細
このポリシーには、以下のアクセス許可が含まれています。
-
iam— プリンシパルが IAM ロールを一覧表示して取得できるようにします。これにより、管理者はロールをワークスペースに関連付けたり、ロールを Amazon Managed Grafana サービスに渡すことができます。 -
Amazon Managed Grafana– プリンシパルにすべての Amazon Managed Grafana APIs。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSGrafanaOrganizationAdmin", "Effect": "Allow", "Action": [ "iam:ListRoles" ], "Resource": "*" }, { "Sid": "GrafanaIAMGetRolePermission", "Effect": "Allow", "Action": "iam:GetRole", "Resource": "arn:aws:iam::*:role/*" }, { "Sid": "AWSGrafanaPermissions", "Effect": "Allow", "Action": [ "grafana:*" ], "Resource": "*" }, { "Sid": "GrafanaIAMPassRolePermission", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringLike": { "iam:PassedToService": "grafana.amazonaws.com" } } } ] }
AWS 管理ポリシー: AWSGrafanaWorkspacePermissionManagement (廃止)
このポリシーは廃止されています。このポリシーは、新しいユーザー、グループ、またはロールにアタッチしないでください。
Amazon Managed Grafana は、このポリシーを置き換える新しいポリシー AWSGrafanaWorkspacePermissionManagementV2 を追加しました。この新しい管理ポリシーは、より制限の厳しいアクセス許可セットを提供することで、ワークスペースのセキュリティを向上させます。
AWS 管理ポリシー: AWSGrafanaWorkspacePermissionManagementV2
AWSGrafanaWorkspacePermissionManagementV2 ポリシーは、Amazon Managed Grafana ワークスペースのユーザーおよびグループのアクセス許可を更新する機能のみを提供します。
IAM エンティティに AWSGrafanaWorkspacePermissionManagementV2 をアタッチできます。
アクセス許可の詳細
このポリシーには、以下のアクセス許可が含まれています。
-
Amazon Managed Grafana— プリンシパルが Amazon Managed Grafana ワークスペースのユーザーおよびグループのアクセス許可を読み取って更新できるようにします。 -
IAM Identity Center— プリンシパルが IAM Identity Center エンティティを読み取ることを許可します。これは、プリンシパルを Amazon Managed Grafana アプリケーションに関連付けるために必要な部分ですが、以下のポリシーリストの後に説明されている追加のステップも必要です。
{ "Version": "2012-10-17", "Statement": [{ "Sid": "AWSGrafanaPermissions", "Effect": "Allow", "Action": [ "grafana:DescribeWorkspace", "grafana:DescribeWorkspaceAuthentication", "grafana:UpdatePermissions", "grafana:ListPermissions", "grafana:ListWorkspaces" ], "Resource": "arn:aws:grafana:*:*:/workspaces*" }, { "Sid": "IAMIdentityCenterPermissions", "Effect": "Allow", "Action": [ "sso:DescribeRegisteredRegions", "sso:GetSharedSsoConfiguration", "sso:ListDirectoryAssociations", "sso:GetManagedApplicationInstance", "sso:ListProfiles", "sso:GetProfile", "sso:ListProfileAssociations", "sso-directory:DescribeUser", "sso-directory:DescribeGroup" ], "Resource": "*" } ] }
追加のポリシーが必要
ユーザーに許可の割り当てを完全に許可するには、AWSGrafanaWorkspacePermissionManagementV2ポリシーに加えて、IAM Identity Center のアプリケーション割り当てへのアクセスを提供するポリシーも割り当てる必要があります。
このポリシーを作成するには、まずワークスペースの Grafana アプリケーション ARN を収集する必要があります。
-
左側のメニューからアプリケーションを選択します。
-
AWS マネージドタブで、Amazon Grafana-workspace-name というアプリケーションを見つけます。ここで、
workspace-nameはワークスペースの名前です。アプリケーション名を選択します。 -
Amazon Managed Grafana が管理するワークスペース用の IAM Identity Center アプリケーションが表示されます。このアプリケーションの ARN は詳細ページに表示されます。これは の形式になります
arn:aws:sso::。owner-account-id:application/ssoins-unique-id/apl-unique-id
作成するポリシーは次のようになります。を、前のステップで確認した ARN grafana-application-arnに置き換えます。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sso:CreateApplicationAssignment", "sso:DeleteApplicationAssignment" ], "Resource": [ "grafana-application-arn" ] } ] }
ロールまたはユーザーにポリシーを作成して適用する方法については、 ユーザーガイドの「IAM ID アクセス許可の追加と削除AWS Identity and Access Management 」を参照してください。
AWS 管理ポリシー: AWSGrafanaConsoleReadOnlyAccess
AWSGrafanaConsoleReadOnlyAccess ポリシーは、Amazon Managed Grafana の読み取り専用オペレーションへのアクセスを許可します。
IAM エンティティ AWSGrafanaConsoleReadOnlyAccess に をアタッチできます。
許可の詳細
このポリシーには、次のアクセス許可が含まれます。
-
Amazon Managed Grafana— Amazon Managed Grafana APIs
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSGrafanaConsoleReadOnlyAccess", "Effect": "Allow", "Action": ["grafana:Describe*", "grafana:List*"], "Resource": "*" } ] }
AWS マネージドポリシー: AmazonGrafanaRedshiftAccess
このポリシーは、Amazon Redshift へのスコープ付きアクセスを許可し、Amazon Managed Grafana. AmazonGrafanaRedshiftAccess policy で Amazon Redshift プラグインを使用するために必要な依存関係により、ユーザーまたは IAM ロールが Grafana で Amazon Redshift データソースプラグインを使用できるようにします。Amazon Redshift データベースの一時的な認証情報はデータベースユーザーに限定redshift_data_api_userされ、シークレットがキー でタグ付けされている場合、Secrets Manager の認証情報を取得できますRedshiftQueryOwner。このポリシーは、 でタグ付けされた Amazon Redshift クラスターへのアクセスを許可しますGrafanaDataSource。カスタマー管理ポリシーを作成する場合、タグベースの認証はオプションです。
IAM エンティティ AmazonGrafanaRedshiftAccess に をアタッチできます。Amazon Managed Grafana は、Amazon Managed Grafana がユーザーに代わってアクションを実行できるようにするサービスロールにもこのポリシーをアタッチします。
許可の詳細
このポリシーには、次のアクセス許可が含まれます。
-
Amazon Redshift— プリンシパルがクラスターを記述し、 という名前のデータベースユーザーの一時的な認証情報を取得できるようにしますredshift_data_api_user。 -
Amazon Redshift–data— プリンシパルが としてタグ付けされたクラスターでクエリを実行できるようにしますGrafanaDataSource。 -
Secrets Manager– プリンシパルがシークレットを一覧表示し、 としてタグ付けされたシークレットのシークレット値を読み取ることを許可しますRedshiftQueryOwner。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "redshift:DescribeClusters", "redshift-data:GetStatementResult", "redshift-data:DescribeStatement", "secretsmanager:ListSecrets" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "redshift-data:DescribeTable", "redshift-data:ExecuteStatement", "redshift-data:ListTables", "redshift-data:ListSchemas" ], "Resource": "*", "Condition": { "Null": { "aws:ResourceTag/GrafanaDataSource": "false" } } }, { "Effect": "Allow", "Action": "redshift:GetClusterCredentials", "Resource": [ "arn:aws:redshift:*:*:dbname:*/*", "arn:aws:redshift:*:*:dbuser:*/redshift_data_api_user" ] }, { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": "*", "Condition": { "Null": { "secretsmanager:ResourceTag/RedshiftQueryOwner": "false" } } } ] }
AWS マネージドポリシー: AmazonGrafanaAthenaAccess
このポリシーは、Amazon Managed Grafana の Athena プラグインから Amazon S3 へのクエリと結果の書き込みを有効にするために必要な依存関係と Athena へのアクセスを許可します。 AmazonGrafanaAthenaAccess ポリシーは、ユーザーまたは IAM ロールが Grafana の Athena データソースプラグインを使用することを許可します。Athena ワークグループGrafanaDataSourceにアクセスするには、 でタグ付けする必要があります。このポリシーには、 というプレフィックスが付いた名前の Amazon S3 バケットにクエリ結果を書き込むためのアクセス許可が含まれていますgrafana-athena-query-results-。Athena クエリの基盤となるデータソースにアクセスするための Amazon S3 アクセス許可は、このポリシーに含まれません。
IAM エンティティに AWSGrafanaAthenaAccess ポリシーをアタッチできます。Amazon Managed Grafana は、Amazon Managed Grafana がユーザーに代わってアクションを実行できるようにするサービスロールにもこのポリシーをアタッチします。
許可の詳細
このポリシーには、次のアクセス許可が含まれます。
-
Athena— プリンシパルが としてタグ付けされたワークグループ内の Athena リソースに対してクエリを実行できるようにしますGrafanaDataSource。 -
Amazon S3– プリンシパルが、プレフィックスが のバケットに対してクエリ結果の読み取りと書き込みを行うことができますgrafana-athena-query-results-。 -
AWS Glue– プリンシパルに AWS Glue データベース、テーブル、パーティションへのアクセスを許可します。これは、プリンシパルが Athena で Glue データカタログを使用 AWS できるようにするために必要です。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "athena:GetDatabase", "athena:GetDataCatalog", "athena:GetTableMetadata", "athena:ListDatabases", "athena:ListDataCatalogs", "athena:ListTableMetadata", "athena:ListWorkGroups" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "athena:GetQueryExecution", "athena:GetQueryResults", "athena:GetWorkGroup", "athena:StartQueryExecution", "athena:StopQueryExecution" ], "Resource": [ "*" ], "Condition": { "Null": { "aws:ResourceTag/GrafanaDataSource": "false" } } }, { "Effect": "Allow", "Action": [ "glue:GetDatabase", "glue:GetDatabases", "glue:GetTable", "glue:GetTables", "glue:GetPartition", "glue:GetPartitions", "glue:BatchGetPartition" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket", "s3:ListBucketMultipartUploads", "s3:ListMultipartUploadParts", "s3:AbortMultipartUpload", "s3:CreateBucket", "s3:PutObject", "s3:PutBucketPublicAccessBlock" ], "Resource": [ "arn:aws:s3:::grafana-athena-query-results-*" ] } ] }
AWS マネージドポリシー: AmazonGrafanaCloudWatchAccess
このポリシーは、Amazon へのアクセス CloudWatch と、Amazon Managed Grafana 内のデータソース CloudWatch として を使用するために必要な依存関係を付与します。
IAM エンティティに AWSGrafanaCloudWatchAccess ポリシーをアタッチできます。Amazon Managed Grafana は、Amazon Managed Grafana がユーザーに代わってアクションを実行できるようにするサービスロールにもこのポリシーをアタッチします。
アクセス許可の詳細
このポリシーには、以下のアクセス許可が含まれています。
-
CloudWatch— プリンシパルが Amazon からメトリクスデータとログを一覧表示して取得できるようにします CloudWatch。また、ソースアカウントから共有されたデータを CloudWatch クロスアカウントオブザーバビリティで表示することもできます。 -
Amazon EC2— プリンシパルがモニタリング対象のリソースに関する詳細を取得できるようにします。 -
Tags– プリンシパルがリソースのタグにアクセスして、 CloudWatch メトリクスクエリをフィルタリングできるようにします。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarmsForMetric", "cloudwatch:DescribeAlarmHistory", "cloudwatch:DescribeAlarms", "cloudwatch:ListMetrics", "cloudwatch:GetMetricStatistics", "cloudwatch:GetMetricData", "cloudwatch:GetInsightRuleReport" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "logs:DescribeLogGroups", "logs:GetLogGroupFields", "logs:StartQuery", "logs:StopQuery", "logs:GetQueryResults", "logs:GetLogEvents" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:DescribeTags", "ec2:DescribeInstances", "ec2:DescribeRegions" ], "Resource": "*" }, { "Effect": "Allow", "Action": "tag:GetResources", "Resource": "*" }, { "Effect": "Allow", "Action": [ "oam:ListSinks", "oam:ListAttachedLinks" ], "Resource": "*" } ] }
マネージド AWS ポリシーに対する Amazon Managed Grafana の更新
Amazon Managed Grafana の AWS マネージドポリシーの更新に関する詳細を、このサービスがこれらの変更の追跡を開始した以降の分について表示します。このページの変更に関する自動アラートを受け取るには、Amazon Managed Grafana ドキュメント履歴ページの RSS フィードにサブスクライブしてください。
| 変更 | 説明 | 日付 |
|---|---|---|
|
このポリシーは AWSGrafanaWorkspacePermissionManagementV2 に置き換えられました。 このポリシーは古いと見なされ、更新されなくなります。新しいポリシーでは、より制限の厳しいアクセス許可セットを提供することで、ワークスペースのセキュリティが向上します。 |
2024 年 1 月 5 日 | |
|
Amazon Managed Grafana は、古いポリシーを置き換えAWSGrafanaWorkspacePermissionManagementV2る新しいAWSGrafanaWorkspacePermissionManagementポリシーを追加しました。この新しい管理ポリシーは、より制限の厳しいアクセス許可セットを提供することで、ワークスペースのセキュリティを向上させます。 |
2024 年 1 月 5 日 | |
|
AmazonGrafanaCloudWatchAccess - 新しいポリシー |
Amazon Managed Grafana に新しいポリシー が追加されましたAmazonGrafanaCloudWatchAccess。 |
2023 年 3 月 24 日 |
|
AWSGrafanaWorkspacePermissionManagement – 既存ポリシーへの更新 |
Amazon Managed Grafana は、Active Directory の IAM Identity Center ユーザーとグループAWSGrafanaWorkspacePermissionManagementを Grafana ワークスペースに関連付けることができるように、新しいアクセス許可を に追加しました。 次のアクセス許可が追加されました: |
2023 年 3 月 14 日 |
AWSGrafanaWorkspacePermissionManagement – 既存ポリシーへの更新 |
Amazon Managed Grafana は、IAM Identity Center のユーザーとグループAWSGrafanaWorkspacePermissionManagementを Grafana ワークスペースに関連付けることができるように、新しいアクセス許可を に追加しました。 次のアクセス許可が追加されました: |
2022 年 12 月 20 日 |
|
AmazonGrafanaServiceLinkedRolePolicy – 新しい SLR ポリシー |
Amazon Managed Grafana は、Grafana サービスにリンクされたロール の新しいポリシーを追加しましたAmazonGrafanaServiceLinkedRolePolicy。 |
2022 年 11 月 18 日 |
|
AWSGrafanaAccountAdministrator, AWSGrafanaConsoleReadOnlyAccess |
すべての Amazon Managed Grafana リソースへのアクセスを許可する | 2022 年 2 月 17 日 |
|
AmazonGrafanaRedshiftAccess - 新しいポリシー |
Amazon Managed Grafana に新しいポリシー が追加されましたAmazonGrafanaRedshiftAccess。 |
2021 年 11 月 26 日 |
|
AmazonGrafanaAthenaAccess - 新しいポリシー |
Amazon Managed Grafana に新しいポリシー が追加されましたAmazonGrafanaAthenaAccess。 |
2021 年 11 月 22 日 |
|
AWSGrafanaAccountAdministrator - 既存ポリシーへの更新。 |
Amazon Managed Grafana が からアクセス許可を削除しましたAWSGrafanaAccountAdministrator。
|
2021 年 10 月 13 日 |
|
AWSGrafanaWorkspacePermissionManagement – 既存ポリシーへの更新 |
Amazon Managed Grafana は、このポリシーを持つユーザーがワークスペースに関連付けられた認証方法を表示AWSGrafanaWorkspacePermissionManagementできるように、新しいアクセス許可を に追加しました。 アクセス |
2021 年 9 月 21 日 |
|
AWSGrafanaConsoleReadOnlyAccess – 既存ポリシーへの更新 |
Amazon Managed Grafana は、このポリシーを持つユーザーがワークスペースに関連付けられた認証方法を表示AWSGrafanaConsoleReadOnlyAccessできるように、新しいアクセス許可を に追加しました。
|
2021 年 9 月 21 日 |
|
Amazon Managed Grafana が変更の追跡を開始 |
Amazon Managed Grafana が AWS マネージドポリシーの変更の追跡を開始しました。 |
2021 年 9 月 9 日 |
