Amazon Monitron 是如何与之合作的 IAM - Amazon Monitron
Amazon Monitron 基于身份的策略Amazon Monitron 基于资源的策略基于 Amazon Monitron 标签的授权亚马逊 Monitron 角色 IAM基于身份的策略示例故障排除

从2024年10月31日起,亚马逊Monitron将不再向新客户开放。如果您想使用该服务,请在该日期之前注册。现有客户可以继续照常使用该服务。如需了解与 Amazon Monitron 类似的功能,请参阅我们的博客文章

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Monitron 是如何与之合作的 IAM

在使用IAM管理对 Amazon Monitron 的访问权限之前,您应该了解亚马逊 Monitron 有哪些IAM功能可供使用。要全面了解 Amazon Monitron 和其他 AWS 服务的使用方式IAM,请参阅IAM用户指南IAM中的可使用的AWS 服务

Amazon Monitron 基于身份的策略

要指定允许或拒绝的操作和资源以及允许或拒绝操作的条件,请使用IAM基于身份的策略。Amazon Monitron 支持特定的操作、资源和条件键。要了解您在JSON策略中使用的所有元素,请参阅IAM用户指南中的IAMJSON策略元素参考

操作

管理员可以使用 AWS JSON策略来指定谁有权访问什么。也就是说,哪个主体 可以对什么资源执行操作,以及在什么条件下执行。

JSON策略Action元素描述了可用于在策略中允许或拒绝访问的操作。策略操作通常与关联的 AWS API操作同名。也有一些例外,例如没有匹配API操作的仅限权限的操作。还有一些操作需要在策略中执行多个操作。这些附加操作称为相关操作

在策略中包含操作以授予执行关联操作的权限。

在 Amazon Monitron 中,策略操作会在操作前使用以下前缀:monitron:。例如,要授予某人使用 Amazon Monitron CreateProject API 操作创建 VPC 的权限,您应在其策略中包含 monitron:CreateProject 操作。策略语句必须包含 ActionNotAction 元素。Amazon Monitron 定义了一组自己的操作,用于描述您可以使用该服务执行的任务。

注意

deleteProject执行此操作,您必须具有 AWS IAM Identity Center (SSO) 权限才能删除。如果没有这些权限,删除项目功能仍将移除相关项目。但是,它不会从中删除资源,您最终可能会看到悬SSO而未决的SSO引用。

要在单个语句中指定多项操作,请使用逗号将它们隔开,如下所示:

"Action": [
      "monitron:action1",
      "monitron:action2"
]

您也可以使用通配符 (*) 指定多个操作。例如,要指定以单词 List 开头的所有操作,包括以下操作:

"Action": "monitron:List*"

资源

Amazon Monitron 不支持在策略ARNs中指定资源。

条件键

管理员可以使用 AWS JSON策略来指定谁有权访问什么。也就是说,哪个主体可以对什么资源执行操作,以及在什么条件下执行。

Condition 元素(或 Condition )中,可以指定语句生效的条件。Condition 元素是可选的。您可以创建使用条件运算符(例如,等于或小于)的条件表达式,以使策略中的条件与请求中的值相匹配。

如果您在一个语句中指定多个 Condition 元素,或在单个 Condition 元素中指定多个键,则 AWS 使用逻辑 AND 运算评估它们。如果您为单个条件键指定多个值,则使用逻辑OR运算来 AWS 评估条件。在授予语句的权限之前必须满足所有的条件。

在指定条件时,您也可以使用占位符变量。例如,只有在资源上标有IAM用户的用户名时,您才能向IAM用户授予访问该资源的权限。有关更多信息,请参阅《IAM用户指南》中的IAM策略元素:变量和标签

AWS 支持全局条件密钥和特定于服务的条件密钥。要查看所有 AWS 全局条件键,请参阅《IAM用户指南》中的AWS 全局条件上下文密钥

Amazon Monitron 定义了自己的一组条件键,还支持使用一些全局条件键。有关所有 AWS 全局条件键的列表,请参阅IAM用户指南中的AWS 全局条件上下文密钥

要查看 Amazon Monitron 条件键列表,请参阅《用户指南》中的 IAM Amazon Monitron 定义的操作要了解您可以对哪些操作和资源使用条件键,请参阅 Amazon Monitron 的条件键

示例

要查看 Amazon Monitron 基于身份的策略的示例,请参阅 Amazon Monitron 基于身份的策略示例

Amazon Monitron 基于资源的策略

Amazon Monitron 不支持基于资源的策略。

基于 Amazon Monitron 标签的授权

您可以将标签与某些类型的 Amazon Monitron 资源关联,以获得授权。要基于标签控制访问,您需要使用 Amazon Monitron:TagResource/${TagKey}aws:RequestTag/${TagKey}aws:TagKeys 条件键在策略的条件元素中提供标签信息。

亚马逊 Monitron 角色 IAM

IAM角色是您的 AWS 账户中具有特定权限的实体。

将临时凭证用于 Amazon Monitron

您可以使用临时证书通过联合身份登录、代入IAM角色或代入跨账户角色。您可以通过调用AssumeRole或之类的 AWS STS API操作来获取临时安全证书GetFederationToken

Amazon Monitron 支持使用临时凭证。

服务相关角色

服务相关角色允许 AWS 服务访问其他服务中的资源以代表您完成操作。服务相关角色显示在您的IAM账户中,并归服务所有。IAM管理员可以查看但不能编辑服务相关角色的权限。

Amazon Monitron 支持服务相关角色。

服务角色

此功能允许服务代表您担任服务角色。此角色允许服务访问其他服务中的资源以代表您完成操作。服务角色显示在您的IAM账户中,并归该账户所有。这意味着IAM管理员可以更改此角色的权限。但是,这样做可能会中断服务的功能。

Amazon Monitron 支持服务角色。

Amazon Monitron 基于身份的策略示例

默认情况下,IAM用户和角色无权创建或修改 Amazon Monitron 资源。他们也无法使用执行任务 AWS Management Console。IAM管理员必须向需要权限的IAM用户、组或角色授予权限。得到授权后,这些用户、组或角色就可以对所需的指定资源执行特定操作。然后,管理员必须将这些策略附加到需要这些权限的IAM用户或群组。

要了解如何使用这些示例策略文档创建IAM基于身份的JSON策略,请参阅IAM用户指南中的在JSON选项卡上创建策略

策略最佳实践

基于身份的策略确定某个人是否可以创建、访问或删除您账户中的 Amazon Monitron 资源。这些操作可能会使 AWS 账户产生成本。创建或编辑基于身份的策略时,请遵循以下指南和建议:

  • 开始使用 AWS 托管策略并转向最低权限权限 — 要开始向用户和工作负载授予权限,请使用为许多常见用例授予权限的AWS 托管策略。它们在你的版本中可用 AWS 账户。我们建议您通过定义针对您的用例的 AWS 客户托管策略来进一步减少权限。有关更多信息,请参阅《IAM用户指南》中的AWS 托AWS 管策略或工作职能托管策略。

  • 应用最低权限权限-使用IAM策略设置权限时,仅授予执行任务所需的权限。为此,您可以定义在特定条件下可以对特定资源执行的操作,也称为最低权限许可。有关使用应用权限IAM的更多信息,请参阅IAM用户指南IAM中的策略和权限

  • 使用IAM策略中的条件进一步限制访问权限-您可以在策略中添加条件以限制对操作和资源的访问权限。例如,您可以编写一个策略条件来指定所有请求都必须使用发送SSL。如果服务操作是通过特定的方式使用的,则也可以使用条件来授予对服务操作的访问权限 AWS 服务,例如 AWS CloudFormation。有关更多信息,请参阅《IAM用户指南》中的IAMJSON策略元素:条件

  • 使用 A IAM ccess Analyzer 验证您的IAM策略以确保权限的安全性和功能性 — A IAM ccess Analyzer 会验证新的和现有的策略,以便策略符合IAM策略语言 (JSON) 和IAM最佳实践。IAMAccess Analyzer 提供了 100 多项策略检查和可行的建议,可帮助您制定安全和实用的策略。有关更多信息,请参阅《IAM用户指南》中的使用 A IAM ccess Analyzer 验证策略

  • 需要多重身份验证 (MFA)-如果您的场景需要IAM用户或 root 用户 AWS 账户,请打开MFA以提高安全性。要要求MFA何时调用API操作,请在策略中添加MFA条件。有关更多信息,请参阅《IAM用户指南》MFA中的使用进行安全API访问

有关中最佳做法的更多信息IAM,请参阅《IAM用户指南》IAM中的安全最佳实践

使用 Amazon Monitron 控制台

要使用控制台设置 Amazon Monitron,请使用高权限用户(例如附加了 AdministratorAccess 托管式策略的用户)完成初始设置过程。

要在初始设置后访问 Amazon Monitron 控制台进行 day-to-day操作,您必须拥有一组最低权限。这些权限必须允许您列出和查看有关您 AWS 账户中的 Amazon Monitron 资源的详细信息,并包含一组与 Id IAM entity Center 相关的权限。如果您创建的基于身份的策略比这些最低要求权限更严格,则控制台将无法按预期运行,适用于使用该策略的实体(IAM用户或角色)。要使用基本的 Amazon Monitron 控制台功能,您需要附加 AmazonMonitronFullAccess 托管式策略。视情况而定,您可能还需要对 Organizations 和SSO服务拥有额外的权限。如果您需要更多信息,请联系 AWS 支持人员。

示例:列出所有 Amazon Monitron 项目

此示例策略授予您 AWS 账户中的IAM用户列出您账户中所有项目的权限。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "monitron:ListProject"
            "Resource": "*"
        }
    ]
}

示例:根据标签列出所有 Amazon Monitron 项目

您可以在基于身份的策略中使用条件,以便基于标签控制对 Amazon Monitron 资源的访问权限。此示例展示了如何创建允许列出项目的策略。但是,仅当项目标签 location 的值为 Seattle 时,才会授予权限。此策略还授予在控制台上完成此操作的必要权限。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ListProjectsInConsole",
            "Effect": "Allow",
            "Action": "monitron:ListProjects",
            "Resource": "*"
       
            "Condition": {
                "StringEquals": {
                     "aws:ResourceTag/location": "Seattle"
                }
            }
        }
    ]
}

有关更多信息,请参阅《IAM用户指南》中的 “IAMJSON策略元素:条件”。

Amazon Monitron 身份和访问故障排除

使用以下信息来帮助您诊断和修复在使用 Amazon Monitron 时可能遇到的常见问题,以及。IAM

我无权在 Amazon Monitron 中执行操作

如果您收到错误提示,表明您无权执行某个操作,则您必须更新策略以允许执行该操作。

mateojacksonIAM用户尝试使用控制台查看虚构my-example-widget资源的详细信息但没有虚构权限时,就会出现以下示例错误。monitron:GetWidget

User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: monitron:GetWidget on resource: my-example-widget

在此情况下,必须更新 mateojackson 用户的策略,以允许使用 monitron:GetWidget 操作访问 my-example-widget 资源。

如果您需要帮助,请联系您的 AWS 管理员。您的管理员是提供登录凭证的人。

我想允许 AWS 账户之外的人访问我的 Amazon Monitron 资源

您可以创建一个角色,以便其他账户中的用户或您组织外的人员可以使用该角色来访问您的资源。您可以指定谁值得信赖,可以担任角色。对于支持基于资源的策略或访问控制列表 (ACLs) 的服务,您可以使用这些策略向人们授予访问您的资源的权限。

要了解更多信息,请参阅以下内容: