Permissões de perfil vinculado ao serviço para o Amazon Monitron - Amazon Monitron

O Amazon Monitron não estará mais aberto a novos clientes a partir de 31 de outubro de 2024. Se você quiser usar o serviço, inscreva-se antes dessa data. Os clientes existentes podem continuar usando o serviço normalmente. Para recursos semelhantes ao Amazon Monitron, consulte nossa postagem no blog.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Permissões de perfil vinculado ao serviço para o Amazon Monitron

O Amazon Monitron usa a função vinculada ao serviço chamada AWSServiceRoleForMonitron[_ {SUFFIX}] — O Amazon Monitron usa AWSServiceRoleForMonitron para acessar outros AWS serviços, incluindo Cloudwatch Logs, Kinesis Data Streams, chaves e. KMS SSO Para obter mais informações sobre a política, consulte o Guia AWSServiceRoleForMonitronPolicyde referência de políticas AWS gerenciadas

A função vinculada ao serviço AWSServiceRoleForMonitron [_ {SUFFIX}] confia nos seguintes serviços para assumir a função:

  • monitron.amazonaws.com ou core.monitron.amazonaws.com

A política de permissões de função nomeada MonitronServiceRolePolicy permite que o Amazon Monitron conclua as seguintes ações nos recursos especificados:

  • Ação: Amazon CloudWatch Logs logs:CreateLogGroup logs:CreateLogStream e logs:PutLogEvents no grupo de CloudWatch registros, no fluxo de registros e no caminho under /aws/monitron /* de eventos de log

A política de permissões de função chamada MonitronServiceDataExport - KinesisDataStreamAccess permite que o Amazon Monitron conclua as seguintes ações nos recursos especificados:

  • Ação: Amazon Kinesis kinesis:PutRecord, kinesis:PutRecords e kinesis:DescribeStream no fluxo de dados do Kinesis especificado para exportação de dados ao vivo.

  • Ação: Amazon AWS KMS kms:GenerateDataKey para a AWS KMS chave usada pelo stream de dados Kinesis especificado para exportação de dados ao vivo

  • Ação: IAM iam:DeleteRole a Amazon excluirá a própria função vinculada ao serviço quando não for usada

A política de permissões de função nomeada AWSServiceRoleForMonitronPolicy permite que o Amazon Monitron conclua as seguintes ações nos recursos especificados:

  • Ação: IAM Identity Centersso:GetManagedApplicationInstance,sso:GetProfile,sso:ListProfiles,sso:AssociateProfile,sso:ListDirectoryAssociations,sso:ListProfileAssociations,sso-directory:DescribeUsers, sso-directory:SearchUserssso:CreateApplicationAssignment, e sso:ListApplicationAssignments para acessar os usuários do IAM Identity Center associados ao projeto

nota

Adicione sso:ListProfileAssociations para permitir que o Amazon Monitron liste associações com a instância do aplicativo subjacente ao projeto do Amazon Monitron.

Você deve configurar permissões para permitir que uma IAM entidade (como usuário, grupo ou função) crie, edite ou exclua uma função vinculada ao serviço. Para obter mais informações, consulte Permissões de funções vinculadas ao serviço no Guia do IAMusuário.