AWS X-Ray exemplos de políticas baseadas em identidade - AWS X-Ray
Melhores práticas de políticaUsar o consolePermitir que usuários visualizem suas próprias permissõesGerenciar o acesso a grupos e regras de amostragem do X-Ray com base em tagsIAMpolíticas gerenciadas para X-RayAtualizações do X-Ray para políticas AWS gerenciadasEspecificando um recurso em uma política IAM

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS X-Ray exemplos de políticas baseadas em identidade

Por padrão, usuários e funções não têm permissão para criar ou modificar recursos do X-Ray. Eles também não podem realizar tarefas usando o AWS Management Console, AWS CLI, ou AWS API. Um administrador deve criar IAM políticas que concedam aos usuários e funções permissão para realizar API operações específicas nos recursos especificados de que precisam. O administrador deve anexar essas políticas aos usuários ou grupos que exigem essas permissões.

Para saber como criar uma política IAM baseada em identidade usando esses exemplos de documentos JSON de política, consulte Criação de políticas na JSON guia do IAMusuário.

Melhores práticas de política

As políticas baseadas em identidade determinam se alguém pode criar, acessar ou excluir recursos do X-Ray em sua conta. Essas ações podem incorrer em custos para seus Conta da AWS. Ao criar ou editar políticas baseadas em identidade, siga estas diretrizes e recomendações:

  • Comece com as políticas AWS gerenciadas e avance para as permissões de privilégios mínimos — Para começar a conceder permissões aos seus usuários e cargas de trabalho, use as políticas AWS gerenciadas que concedem permissões para muitos casos de uso comuns. Eles estão disponíveis no seu Conta da AWS. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo AWS cliente que sejam específicas para seus casos de uso. Para obter mais informações, consulte políticas AWS gerenciadas ou políticas AWS gerenciadas para funções de trabalho no Guia IAM do usuário.

  • Aplique permissões com privilégios mínimos — Ao definir permissões com IAM políticas, conceda somente as permissões necessárias para realizar uma tarefa. Você faz isso definindo as ações que podem ser executadas em atributos específicos sob condições específicas, também conhecidas como permissões de privilégio mínimo. Para obter mais informações sobre IAM como usar para aplicar permissões, consulte Políticas e permissões IAM no Guia IAM do usuário.

  • Use condições nas IAM políticas para restringir ainda mais o acesso — Você pode adicionar uma condição às suas políticas para limitar o acesso a ações e recursos. Por exemplo, você pode escrever uma condição de política para especificar que todas as solicitações devem ser enviadas usandoSSL. Você também pode usar condições para conceder acesso às ações de serviço se elas forem usadas por meio de uma ação específica AWS service, como AWS CloudFormation. Para obter mais informações, consulte Elementos IAM JSON da política: Condição no Guia IAM do usuário.

  • Use o IAM Access Analyzer para validar suas IAM políticas e garantir permissões seguras e funcionais — o IAM Access Analyzer valida políticas novas e existentes para que as políticas sigam a linguagem da IAM política (JSON) e as melhores práticas. IAM IAMO Access Analyzer fornece mais de 100 verificações de políticas e recomendações práticas para ajudá-lo a criar políticas seguras e funcionais. Para obter mais informações, consulte Validação da política do IAM Access Analyzer no Guia do IAM Usuário.

  • Exigir autenticação multifatorial (MFA) — Se você tiver um cenário que exija IAM usuários ou um usuário root Conta da AWS, ative MFA para obter segurança adicional. Para exigir MFA quando API as operações são chamadas, adicione MFA condições às suas políticas. Para obter mais informações, consulte Configurando o API acesso MFA protegido no Guia do IAMusuário.

Para obter mais informações sobre as melhores práticas emIAM, consulte as melhores práticas de segurança IAM no Guia IAM do usuário.

Usar o console do X-Ray

Para acessar o AWS X-Ray console, você deve ter um conjunto mínimo de permissões. Essas permissões devem permitir que você liste e visualize detalhes sobre os recursos do X-Ray em seu Conta da AWS. Se você criar uma política baseada em identidade que seja mais restritiva do que as permissões mínimas necessárias, o console não funcionará como pretendido para entidades (usuários ou perfis) com essa política.

Para garantir que essas entidades ainda possam usar o console X-Ray, anexe a política AWSXRayReadOnlyAccess AWS gerenciada às entidades. Essa política é descrita com mais detalhes em políticas IAM gerenciadas para X-Ray. Para obter mais informações, consulte Adicionar permissões a um usuário no Guia do IAM usuário.

Você não precisa permitir permissões mínimas do console para usuários que estão fazendo chamadas somente para AWS CLI o. ou AWS API o. Em vez disso, permita o acesso somente às ações que correspondam à API operação que você está tentando realizar.

Permitir que usuários visualizem suas próprias permissões

Este exemplo mostra como você pode criar uma política que permita IAM aos usuários visualizar as políticas embutidas e gerenciadas que estão anexadas à identidade do usuário. Essa política inclui permissões para concluir essa ação no console ou programaticamente usando o AWS CLI ou. AWS API

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}

Gerenciar o acesso a grupos e regras de amostragem do X-Ray com base em tags

Você pode usar condições em sua política baseada em identidade para controlar o acesso a grupos e regras de amostragem do X-Ray baseadas em tags. O exemplo de política a seguir pode ser usado para negar a um perfil de usuário as permissões para criar, excluir ou atualizar grupos com as tags stage:prod ou stage:preprod. Para obter mais informações sobre a marcação de regras de amostragem e grupos do X-Ray, consulte Marcar grupos e regras de amostragem do X-Ray.

Para negar a um usuário o acesso para criar, atualizar ou excluir um grupo com uma tag stage:prod ou stage:preprod, atribua ao usuário um perfil com uma política semelhante à apresentada abaixo.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAllXRay",
            "Effect": "Allow",
            "Action": "xray:*",
            "Resource": "*"
        },
        {
            "Sid": "DenyCreateGroupWithStage",
            "Effect": "Deny",
            "Action": [
                "xray:CreateGroup"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/stage": [
                        "preprod",
                        "prod"
                    ]
                }
            }
        },
        {
            "Sid": "DenyUpdateGroupWithStage",
            "Effect": "Deny",
            "Action": [
                "xray:UpdateGroup",
                "xray:DeleteGroup"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/stage": [
                        "preprod",
                        "prod"
                    ]
                }
            }
        }
    ]
}

Para negar a criação de uma regra de amostragem, use aws:RequestTag para indicar tags que não podem ser passadas como parte de uma solicitação de criação. Para negar a atualização ou exclusão de uma regra de amostragem, use aws:ResourceTag para negar ações com base nas tags desses recursos.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAllXRay",
            "Effect": "Allow",
            "Action": "xray:*",
            "Resource": "*"
        },
        {
            "Sid": "DenyCreateSamplingRuleWithStage",
            "Effect": "Deny",
            "Action": "xray:CreateSamplingRule",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/stage": [
                        "preprod",
                        "prod"
                    ]
                }
            }
        },
        {
            "Sid": "DenyUpdateSamplingRuleWithStage",
            "Effect": "Deny",
            "Action": [
                "xray:UpdateSamplingRule",
                "xray:DeleteSamplingRule"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/stage": [
                        "preprod",
                        "prod"
                    ]
                }
            }
        }
    ]
}

Você pode anexar essas políticas (ou combiná-las em uma única política e, em seguida, anexar a política) aos usuários da sua conta. Para que o usuário faça alterações em um grupo ou regra de amostragem, ambos não devem ser marcados com stage=prepod ou stage=prod. A chave da tag de condição Stage corresponde a Stage e a stage porque os nomes das chaves de condição não fazem distinção entre maiúsculas e minúsculas. Para obter mais informações sobre o bloco condicional, consulte Elementos de IAM JSON política: condição no Guia IAM do usuário.

Um usuário com um perfil que tenha a política anexada a seguir não pode adicionar a tag role:admin aos recursos e não pode remover tags de um recurso role:admin associado a ela.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAllXRay",
            "Effect": "Allow",
            "Action": "xray:*",
            "Resource": "*"
        },
        {
            "Sid": "DenyRequestTagAdmin",
            "Effect": "Deny",
            "Action": "xray:TagResource",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/role": "admin"
                }
            }
        },
        {
            "Sid": "DenyResourceTagAdmin",
            "Effect": "Deny",
            "Action": "xray:UntagResource",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/role": "admin"
                }
            }
        }
    ]
}

IAMpolíticas gerenciadas para X-Ray

Para facilitar a concessão de permissões, IAM oferece suporte a políticas gerenciadas para cada serviço. Um serviço pode atualizar essas políticas gerenciadas com novas permissões quando lança novasAPIs. AWS X-Ray fornece políticas gerenciadas para casos de uso somente para leitura, somente gravação e administrador.

  • AWSXrayReadOnlyAccess— Leia as permissões para usar o console X-Ray ou AWS SDK para obter dados de rastreamento, mapas de rastreamento, insights e configuração do X-Ray do X-RayAPI. AWS CLI Inclui o Observability Access Manager (OAM) oam:ListSinks e oam:ListAttachedSinks permissões para permitir que o console visualize rastreamentos compartilhados das contas de origem como parte da observabilidade CloudWatch entre contas. As GetDistinctTraceGraphs API ações BatchGetTraceSummaryById e não devem ser chamadas pelo seu código e não estão incluídas no AWS CLI AWS SDKs e.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "xray:GetSamplingRules",
                "xray:GetSamplingTargets",
                "xray:GetSamplingStatisticSummaries",
                "xray:BatchGetTraces",
                "xray:BatchGetTraceSummaryById",
                "xray:GetDistinctTraceGraphs",
                "xray:GetServiceGraph",
                "xray:GetTraceGraph",
                "xray:GetTraceSummaries",
                "xray:GetGroups",
                "xray:GetGroup",
                "xray:ListTagsForResource",
                "xray:ListResourcePolicies",
                "xray:GetTimeSeriesServiceStatistics",
                "xray:GetInsightSummaries",
                "xray:GetInsight",
                "xray:GetInsightEvents",
                "xray:GetInsightImpactGraph",
                "oam:ListSinks"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "oam:ListAttachedLinks"
            ],
            "Resource": "arn:aws:oam:*:*:sink/*"
        }

}

  • AWSXRayDaemonWriteAccess— Permissões de gravação para usar o daemon X-Ray ou AWS SDK para carregar documentos de segmentos e telemetria para o X-Ray. AWS CLI API Inclui permissões de leitura para obter regras de amostragem e relatar resultados de amostragem.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "xray:PutTraceSegments",
                "xray:PutTelemetryRecords",
                "xray:GetSamplingRules",
                "xray:GetSamplingTargets",
                "xray:GetSamplingStatisticSummaries"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

  • AWSXrayCrossAccountSharingConfiguration: concede permissões para criar, gerenciar e visualizar links do Observability Access Manager e compartilhar recursos do X-Ray entre contas. Usado para permitir a observabilidade CloudWatch entre contas entre contas de origem e de monitoramento.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "xray:Link",
                "oam:ListLinks"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "oam:DeleteLink",
                "oam:GetLink",
                "oam:TagResource"
            ],
            "Resource": "arn:aws:oam:*:*:link/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "oam:CreateLink",
                "oam:UpdateLink"
            ],
            "Resource": [
                "arn:aws:oam:*:*:link/*",
                "arn:aws:oam:*:*:sink/*"
            ]
        }
    ]

}

  • AWSXrayFullAccess— Permissão para usar todo o X-RayAPIs, incluindo permissões de leitura, permissões de gravação e permissão para definir configurações de chave de criptografia e regras de amostragem. Inclui o Observability Access Manager (OAM) oam:ListSinks e oam:ListAttachedSinks permissões para permitir que o console visualize rastreamentos compartilhados das contas de origem como parte da observabilidade CloudWatch entre contas.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "xray:*",
                "oam:ListSinks"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "oam:ListAttachedLinks"
            ],
            "Resource": "arn:aws:oam:*:*:sink/*"
        }
    ]
}
Para adicionar uma política gerenciada a um IAM usuário, grupo ou função

  1. Abra o console de IAM.

  2. Abra a função associada ao perfil da instância, a um IAM usuário ou a um IAM grupo.

  3. Em Permissions (Permissões), anexe a política gerenciada.

Atualizações do X-Ray para políticas AWS gerenciadas

Veja detalhes sobre as atualizações das políticas AWS gerenciadas do X-Ray desde que esse serviço começou a rastrear essas alterações. Para receber alertas automáticos sobre alterações nessa página, assine o RSS feed na página de histórico do X-Ray Document.

Alteração Descrição Data

IAMpolíticas gerenciadas para X-RayAWSXrayFullAccess políticas novas AWSXrayCrossAccountSharingConfiguration AWSXrayReadOnlyAccess e atualizadas foram adicionadas.

O X-Ray adicionou permissões do Observability Access Manager (OAM) oam:ListSinks e oam:ListAttachedSinks a essas políticas para permitir que o console visualize traços compartilhados das contas de origem como parte da observabilidade CloudWatch entre contas.

27 de novembro de 2022

IAMpolíticas gerenciadas para X-Ray — Atualização AWSXrayReadOnlyAccess da política.

X-Ray adicionou uma API ação,ListResourcePolicies.

15 de novembro de 2022

Usar o console do X-Ray: atualização da política AWSXrayReadOnlyAccess

X-Ray adicionou duas novas API ações, BatchGetTraceSummaryById GetDistinctTraceGraphs e.

Essas ações não devem ser chamadas pelo código. Portanto, essas API ações não estão incluídas no AWS CLI AWS SDKs e.

 11 de novembro de 2022

Especificando um recurso em uma política IAM

Você pode controlar o acesso aos recursos usando uma IAM política. Para ações que oferecem suporte a permissões em nível de recurso, você usa um Amazon Resource Name (ARN) para identificar o recurso ao qual a política se aplica.

Todas as ações do X-Ray podem ser usadas em uma IAM política para conceder ou negar aos usuários permissão para usar essa ação. Contudo, nem todas as ações do X-Ray aceitam permissões em nível de recurso, que possibilitam especificar os recursos nos quais uma ação pode ser realizada.

Para ações que não aceitam permissões em nível de recurso, você deve usar “*” como o recurso.

As seguintes ações do X-Ray não aceitam permissões em nível de recurso:

  • CreateGroup

  • GetGroup

  • UpdateGroup

  • DeleteGroup

  • CreateSamplingRule

  • UpdateSamplingRule

  • DeleteSamplingRule

A seguir, veja um exemplo de uma política de permissões baseada em identidade para uma ação do CreateGroup. O exemplo mostra o uso de um nome ARN relacionado ao grupo local-users com o ID exclusivo como curinga. Como o ID exclusivo é gerado quando o grupo é criado, não é possível prevê-lo na política com antecedência. Ao usarGetGroup,UpdateGroup, ouDeleteGroup, você pode definir isso como um curinga ou o exatoARN, incluindo ID.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "xray:CreateGroup"
            ],
            "Resource": [
                "arn:aws:xray:eu-west-1:123456789012:group/local-users/*"
            ]
        }
    ]
}

A seguir, veja um exemplo de uma política de permissões baseada em identidade para uma ação do CreateSamplingRule. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "xray:CreateSamplingRule"
            ],
            "Resource": [
                "arn:aws:xray:eu-west-1:123456789012:sampling-rule/base-scorekeep"
            ]
        }
    ]
}
nota

A ARN de uma regra de amostragem é definida por seu nome. Diferentemente do grupoARNs, as regras de amostragem não têm um ID gerado exclusivamente.