AWSpolíticas gerenciadas para Amazon Managed Grafana - Amazon Managed Grafana
AWSGrafanaAccountAdministratorAWSGrafanaWorkspacePermissionManagement AWSGrafanaConsoleReadOnlyAccess AmazonGrafanaRedshiftAccess AmazonGrafanaAthenaAccess AmazonGrafanaCloudWatchAccessAtualizações da política

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWSpolíticas gerenciadas para Amazon Managed Grafana

Para adicionar permissões a usuários, grupos e funções, é mais fácil usar políticas gerenciadas pela AWS do que gravar políticas por conta própria. É necessário tempo e experiência para criar políticas gerenciadas pelo cliente do IAM que fornecem à sua equipe apenas as permissões de que precisam. Para começar rapidamente, você pode usar nossas políticas gerenciadas pela AWS. Essas políticas abrangem casos de uso comuns e estão disponíveis na sua Conta da AWS. Para obter mais informações sobre as políticas gerenciadas da AWS, consulte Políticas gerenciadas da AWS no Guia do usuário do IAM.

Os serviços da AWS mantêm e atualizam políticas gerenciadas pela AWS. Não é possível alterar as permissões em políticas gerenciadas pela AWS. Os serviços ocasionalmente acrescentam permissões adicionais a uma política gerenciada pela AWS para oferecer suporte a novos recursos. Esse tipo de atualização afeta todas as identidades (usuários, grupos e funções) em que a política está anexada. É mais provável que os serviços atualizem uma política gerenciada pela AWS quando um novo recurso for iniciado ou novas operações se tornarem disponíveis. Os serviços não removem permissões de uma política gerenciada pela AWS, portanto, as atualizações de políticas não suspendem suas permissões existentes.

Além disso, a AWS oferece suporte a políticas gerenciadas para funções de trabalho que abrangem vários serviços. Por exemplo, oReadOnlyAccess AWSa política gerenciada fornece acesso somente de leitura a todosAWSserviços e recursos. Quando um serviço executa um novo recurso, a AWS adiciona permissões somente leitura para novas operações e recursos. Para obter uma lista e descrições das políticas de funções de trabalho, consulte Políticas gerenciadas pela AWS para funções de trabalho no Guia do usuário do IAM.

Política gerenciada da AWS: AWSGrafanaAccountAdministrator

AWSGrafanaAccountAdministratorA política fornece acesso ao Amazon Managed Grafana para criar e gerenciar contas e espaços de trabalho para toda a organização.

Você pode anexar AWSGrafanaAccountAdministrator às entidades do IAM.

Detalhes da permissão

Esta política inclui as seguintes permissões.

  • iam— Permite que os diretores listem e obtenham funções do IAM para que o administrador possa associar uma função a um espaço de trabalho, bem como passar funções para o serviço Amazon Managed Grafana.

  • Amazon Managed Grafana— Permite que os diretores tenham acesso de leitura e gravação a todas as APIs do Amazon Managed Grafana.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSGrafanaOrganizationAdmin",
            "Effect": "Allow",
            "Action": [
                "iam:ListRoles"
            ],
            "Resource": "*"
        },
        {
            "Sid": "GrafanaIAMGetRolePermission",
            "Effect": "Allow",
            "Action": "iam:GetRole",
            "Resource": "arn:aws:iam::*:role/*"
        },
        {
            "Sid": "AWSGrafanaPermissions",
            "Effect": "Allow",
            "Action": [
                "grafana:*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "GrafanaIAMPassRolePermission",
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::*:role/*",
            "Condition": {
                "StringLike": {
                    "iam:PassedToService": "grafana.amazonaws.com"
                }
            }
        }
    ]
}

Política gerenciada da AWS: AWSGrafanaWorkspacePermissionManagement

AWSGrafanaWorkspacePermissionManagement A política fornece somente a capacidade de atualizar as permissões de usuários e grupos para espaços de trabalho Amazon Managed Grafana.

Você pode anexar AWSGrafanaWorkspacePermissionManagement às entidades do IAM.

Detalhes da permissão

Esta política inclui as seguintes permissões.

  • Amazon Managed Grafana— Permite que os diretores leiam e atualizem as permissões de usuários e grupos para espaços de trabalho Amazon Managed Grafana.

  • IAM Identity Center— Permite que os diretores leiam entidades do IAM Identity Center e as associem aos espaços de trabalho do Grafana.

{
    "Version": "2012-10-17",
    "Statement": [{
            "Sid": "AWSGrafanaPermissions",
            "Effect": "Allow",
            "Action": [
                "grafana:DescribeWorkspace",
                "grafana:DescribeWorkspaceAuthentication",
                "grafana:UpdatePermissions",
                "grafana:ListPermissions",
                "grafana:ListWorkspaces"
            ],
            "Resource": "arn:aws:grafana:*:*:/workspaces*"
        },
        {
            "Sid": "IAMIdentityCenterPermissions",
            "Effect": "Allow",
            "Action": [
                "sso:DescribeRegisteredRegions",
                "sso:GetSharedSsoConfiguration",
                "sso:ListDirectoryAssociations",
                "sso:GetManagedApplicationInstance",
                "sso:ListProfiles",
                "sso:AssociateProfile",
                "sso:DisassociateProfile",
                "sso:GetProfile",
                "sso:ListProfileAssociations",
                "sso-directory:DescribeUser",
                "sso-directory:DescribeGroup"
            ],
            "Resource": "*"
        }
    ]
}

Política gerenciada da AWS: AWSGrafanaConsoleReadOnlyAccess

AWSGrafanaConsoleReadOnlyAccessA política concede acesso a operações somente de leitura no Amazon Managed Grafana.

Você pode anexar AWSGrafanaConsoleReadOnlyAccess às entidades do IAM.

Detalhes da permissão

Essa política inclui a seguinte permissão.

  • Amazon Managed Grafana— Permite que os diretores acessem somente leitura às APIs do Amazon Managed Grafana

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AWSGrafanaConsoleReadOnlyAccess",
      "Effect": "Allow",
      "Action": ["grafana:Describe*", "grafana:List*"],
      "Resource": "*"
    }
  ]
}

Política gerenciada da AWS: AmazonGrafanaRedshiftAccess

Essa política concede acesso limitado ao Amazon Redshift e às dependências necessárias para usar o plug-in Amazon Redshift no Amazon Managed Grafana. AmazonGrafanaRedshiftAccessA política permite que um usuário ou uma função do IAM use o plug-in de fonte de dados Amazon Redshift no Grafana. As credenciais temporárias dos bancos de dados do Amazon Redshift têm como escopo o usuário do banco de dadosredshift_data_api_usere as credenciais do Secrets Manager podem ser recuperadas se o segredo estiver marcado com a chaveRedshiftQueryOwner. Essa política permite o acesso aos clusters do Amazon Redshift marcados comGrafanaDataSource: true. Ao criar uma política gerenciada pelo cliente, a autenticação baseada em tags é opcional.

Você pode anexar AmazonGrafanaRedshiftAccess às entidades do IAM. O Amazon Managed Grafana também vincula essa política a uma função de serviço que permite que o Amazon Managed Grafana realize ações em seu nome.

Detalhes da permissão

Essa política inclui a seguinte permissão.

  • Amazon Redshift— Permite que os diretores descrevam clusters e obtenham credenciais temporárias para um usuário do banco de dados chamadoredshift_data_api_user.

  • Amazon Redshift–data— Permite que os diretores executem consultas em clusters marcados comoGrafanaDataSource.

  • Secrets Manager— Permite que os diretores listem segredos e leiam valores secretos para segredos marcados comoRedshiftQueryOwner.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "redshift:DescribeClusters",
        "redshift-data:GetStatementResult",
        "redshift-data:DescribeStatement",
        "secretsmanager:ListSecrets"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "redshift-data:DescribeTable",
        "redshift-data:ExecuteStatement",
        "redshift-data:ListTables",
        "redshift-data:ListSchemas"
      ],
      "Resource": "*",
      "Condition": {
        "Null": {
          "aws:ResourceTag/GrafanaDataSource": "false"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": "redshift:GetClusterCredentials",
      "Resource": [
        "arn:aws:redshift:*:*:dbname:*/*",
        "arn:aws:redshift:*:*:dbuser:*/redshift_data_api_user"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "secretsmanager:GetSecretValue"
      ],
      "Resource": "*",
      "Condition": {
        "Null": {
          "secretsmanager:ResourceTag/RedshiftQueryOwner": "false"
        }
      }
    }
  ]
}

Política gerenciada da AWS: AmazonGrafanaAthenaAccess

Essa política concede acesso ao Athena e às dependências necessárias para permitir a consulta e a gravação de resultados no Amazon S3 a partir do plug-in Athena no Amazon Managed Grafana. AmazonGrafanaAthenaAccessA política permite que um usuário ou uma função do IAM use o plug-in de fonte de dados Athena no Grafana. Os grupos de trabalho do Athena devem ser marcados comGrafanaDataSource: trueser acessível. Essa política contém permissões para escrever resultados de consulta em um bucket do Amazon S3 com um nome prefixado comgrafana-athena-query-results-. As permissões do Amazon S3 para acessar a fonte de dados subjacente de uma consulta do Athena não estão incluídas nesta política.

Você pode anexarAWSGrafanaAthenaAccesspolítica para suas entidades do IAM. O Amazon Managed Grafana também vincula essa política a uma função de serviço que permite que o Amazon Managed Grafana realize ações em seu nome.

Detalhes da permissão

Essa política inclui a seguinte permissão.

  • Athena— Permite que os diretores executem consultas sobre os recursos do Athena em grupos de trabalho marcados comoGrafanaDataSource.

  • Amazon S3— Permite que os diretores leiam e gravem os resultados da consulta em um bucket prefixado comgrafana-athena-query-results-.

  • AWS Glue— Permite que os diretores tenham acesso aAWSCole bancos de dados, tabelas e partições. Isso é necessário para que o diretor possa usar oAWSCole o catálogo de dados com Athena.

{
	"Version": "2012-10-17",
	"Statement": [
	    {
	        "Effect": "Allow",
	        "Action": [
	            "athena:GetDatabase",
	            "athena:GetDataCatalog",
	            "athena:GetTableMetadata",
	            "athena:ListDatabases",
	            "athena:ListDataCatalogs",
	            "athena:ListTableMetadata",
	            "athena:ListWorkGroups"
	        ],
	        "Resource": [
	            "*"
	        ]
	    },
	    {
	        "Effect": "Allow",
	        "Action": [
	            "athena:GetQueryExecution",
	            "athena:GetQueryResults",
	            "athena:GetWorkGroup",
	            "athena:StartQueryExecution",
	            "athena:StopQueryExecution"
	        ],
	        "Resource": [
	            "*"
	        ],
	        "Condition": {
	            "Null": {
	                "aws:ResourceTag/GrafanaDataSource": "false"
	            }
	        }
	    },
	    {
	        "Effect": "Allow",
	        "Action": [
	            "glue:GetDatabase",
	            "glue:GetDatabases",	            
	            "glue:GetTable",
	            "glue:GetTables",
	            "glue:GetPartition",
	            "glue:GetPartitions",
	            "glue:BatchGetPartition"
	        ],
	        "Resource": [
	            "*"
	        ]
	    },
	    {
	        "Effect": "Allow",
	        "Action": [
	            "s3:GetBucketLocation",
	            "s3:GetObject",
	            "s3:ListBucket",
	            "s3:ListBucketMultipartUploads",
	            "s3:ListMultipartUploadParts",
	            "s3:AbortMultipartUpload",
	            "s3:CreateBucket",
	            "s3:PutObject",
	            "s3:PutBucketPublicAccessBlock"
	        ],
	        "Resource": [
	            "arn:aws:s3:::grafana-athena-query-results-*"
	        ]
	    }
	]
}

Política gerenciada da AWS: AmazonGrafanaCloudWatchAccess

Esta política concede acesso à AmazonCloudWatche as dependências necessárias para usarCloudWatchcomo uma fonte de dados no Amazon Managed Grafana.

Você pode anexarAWSGrafanaCloudWatchAccesspolítica para suas entidades do IAM. O Amazon Managed Grafana também vincula essa política a uma função de serviço que permite que o Amazon Managed Grafana realize ações em seu nome.

Detalhes da permissão

Esta política inclui as seguintes permissões.

  • CloudWatch— Permite que os diretores listem e obtenham dados métricos e registros da AmazonCloudWatch. Também permite a visualização de dados compartilhados das contas de origem noCloudWatchobservabilidade entre contas.

  • Amazon EC2— Permite que os diretores obtenham detalhes sobre os recursos que estão sendo monitorados.

  • Tags— Permite que os diretores acessem tags nos recursos, para permitir a filtragem doCloudWatchconsultas métricas.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloudwatch:DescribeAlarmsForMetric",
        "cloudwatch:DescribeAlarmHistory",
        "cloudwatch:DescribeAlarms",
        "cloudwatch:ListMetrics",
        "cloudwatch:GetMetricStatistics",
        "cloudwatch:GetMetricData",
        "cloudwatch:GetInsightRuleReport"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "logs:DescribeLogGroups",
        "logs:GetLogGroupFields",
        "logs:StartQuery",
        "logs:StopQuery",
        "logs:GetQueryResults",
        "logs:GetLogEvents"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeTags",
        "ec2:DescribeInstances",
        "ec2:DescribeRegions"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": "tag:GetResources",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "oam:ListSinks",
        "oam:ListAttachedLinks"
      ],
      "Resource": "*"
    }
  ]
}

Atualizações do Amazon Managed Grafana paraAWSpolíticas gerenciadas

Exibir detalhes sobre as atualizações doAWSpolíticas gerenciadas para o Amazon Managed Grafana desde que esse serviço começou a rastrear essas mudanças. Para receber alertas automáticos sobre alterações nesta página, assine o feed RSS noHistórico de documentos do Amazon Managed Grafanapágina.

Alteração Descrição Data

AmazonGrafanaCloudWatchAccess: nova política

Amazon Managed Grafana adicionou uma nova políticaAmazonGrafanaCloudWatchAccess.

 24 de março de 2023

AWSGrafanaWorkspacePermissionManagement: atualizar para uma política existente

O Amazon Managed Grafana adicionou novas permissões aoAWSGrafanaWorkspacePermissionManagementpara que usuários e grupos do IAM Identity Center no Active Directory possam ser associados aos espaços de trabalho do Grafana.

As seguintes permissões foram adicionadas:sso-directory:DescribeUser, esso-directory:DescribeGroup

 14 de março de 2023

AWSGrafanaWorkspacePermissionManagement: atualizar para uma política existente

O Amazon Managed Grafana adicionou novas permissões aoAWSGrafanaWorkspacePermissionManagementpara que usuários e grupos do IAM Identity Center possam ser associados aos espaços de trabalho do Grafana.

As seguintes permissões foram adicionadas:sso:DescribeRegisteredRegions,sso:GetSharedSsoConfiguration,sso:ListDirectoryAssociations,sso:GetManagedApplicationInstance,sso:ListProfiles,sso:AssociateProfile,sso:DisassociateProfile,sso:GetProfile, esso:ListProfileAssociations.

 20 de dezembro de 2022

AmazonGrafanaServiceLinkedRolePolicy— Nova política de SLR

A Amazon Managed Grafana adicionou uma nova política para a função vinculada ao serviço Grafana,AmazonGrafanaServiceLinkedRolePolicy.

 18 de novembro de 2022

AWSGrafanaAccountAdministrator, AWSGrafanaConsoleReadOnlyAccess

 Permitir acesso a todos os recursos do Amazon Managed Grafana 17 de fevereiro de 2022

AmazonGrafanaRedshiftAccess: nova política

Amazon Managed Grafana adicionou uma nova políticaAmazonGrafanaRedshiftAccess.

 26 de novembro de 2021

AmazonGrafanaAthenaAccess: nova política

Amazon Managed Grafana adicionou uma nova políticaAmazonGrafanaAthenaAccess.

 22 de novembro de 2021

AWSGrafanaAccountAdministrator: atualizar para uma política existente

O Amazon Managed Grafana removeu as permissões doAWSGrafanaAccountAdministrator.

Oiam:CreateServiceLinkedRolepermissão com escopo para osso.amazonaws.como serviço foi removido e, em vez disso, recomendamos que você anexe oAWSSSOMasterAccountAdministratorpolítica para conceder essa permissão a um usuário.

13 de outubro de 2021

AWSGrafanaWorkspacePermissionManagement: atualizar para uma política existente

O Amazon Managed Grafana adicionou novas permissões aoAWSGrafanaWorkspacePermissionManagementpara que os usuários com essa política possam ver os métodos de autenticação associados aos espaços de trabalho.

Ografana:DescribeWorkspaceAuthenticationa permissão foi adicionada.

21 de setembro de 2021

AWSGrafanaConsoleReadOnlyAccess: atualizar para uma política existente

O Amazon Managed Grafana adicionou novas permissões aoAWSGrafanaConsoleReadOnlyAccesspara que os usuários com essa política possam ver os métodos de autenticação associados aos espaços de trabalho.

Ografana:Describe*egrafana:List*as permissões foram adicionadas à política e substituem as permissões mais restritas anterioresgrafana:DescribeWorkspace,grafana:ListPermissions, egrafana:ListWorkspaces.

 21 de setembro de 2021

O Amazon Managed Grafana começou a monitorar as mudanças

A Amazon Managed Grafana começou a rastrear as mudanças em seuAWSpolíticas gerenciadas.

 9 de setembro de 2021