从2024年10月31日起,亚马逊Monitron将不再向新客户开放。如果您想使用该服务,请在该日期之前注册。现有客户可以继续照常使用该服务。如需了解与 Amazon Monitron 类似的功能,请参阅我们的博客文章
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Monitron 的服务相关角色权限
Amazon Monitron 使用名为 AWSServiceRoleForMonitron[_ {SUFFIX}] 的服务相关角色——亚马逊监控用于 AWSServiceRoleForMonitron 访问其他AWS服务,包括 Cloudwatch 日志、Kinesis Data Streams、密钥和。KMS SSO有关该策略的更多信息,请参阅AWSServiceRoleForMonitronPolicy《AWS 托管策略参考指南》
AWSServiceRoleForMonitron[_ {SUFFIX}] 服务相关角色信任以下服务来代入该角色:
-
monitron.amazonaws.com或core.monitron.amazonaws.com
名为的角色权限策略 MonitronServiceRolePolicy 允许 Amazon Monitron 对指定资源完成以下操作:
-
操作:Amazon Log CloudWatch s
logs:CreateLogGroup,logs:CreateLogStream在 CloudWatch 日志组logs:PutLogEvents上,日志流和日志事件 under /aws/monitron /* 路径
名为 MonitronServiceDataExport-的角色权限策略KinesisDataStreamAccess 允许 Amazon Monitron 对指定资源完成以下操作:
-
操作:在指定用于实时数据导出的 Kinesis 数据流上执行 Amazon Kinesis的
kinesis:PutRecord、kinesis:PutRecords和kinesis:DescribeStream操作。 -
操作:Amazon AWS KMS
kms:GenerateDataKey用于指定的 Kinesis 数据流用于实时数据导出的 AWS KMS 密钥 -
操作:Amazon IAM
iam:DeleteRole将在不使用服务相关角色时将其删除
名为的角色权限策略 AWSServiceRoleForMonitronPolicy 允许 Amazon Monitron 对指定资源完成以下操作:
-
操作:IAM身份中心
sso:GetManagedApplicationInstance、sso:GetProfile、sso:ListProfiles、sso:AssociateProfile、sso:ListDirectoryAssociations、sso:ListProfileAssociations、sso-directory:DescribeUsers、sso-directory:SearchUsers、sso:CreateApplicationAssignment、、以及sso:ListApplicationAssignments访问与项目关联的IAM身份中心用户
注意
添加 sso:ListProfileAssociations,允许 Amazon Monitron 列出与 Amazon Monitron 项目底层应用程序实例的关联。
必须配置权限以允许实IAM体(例如用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅《IAM用户指南》中的服务相关角色权限。
