本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS 適用於 Prometheus 的 Amazon 受管服務的受管政策
受 AWS 管理的策略是由建立和管理的獨立策略 AWS。 AWS 受管理的策略旨在為許多常見使用案例提供權限,以便您可以開始將權限指派給使用者、群組和角色。
請記住, AWS 受管理的政策可能不會為您的特定使用案例授與最低權限權限,因為這些權限可供所有 AWS 客戶使用。我們建議您定義使用案例專屬的客戶管理政策,以便進一步減少許可。
您無法變更受 AWS 管理策略中定義的權限。如果 AWS 更新 AWS 受管理原則中定義的權限,則此更新會影響附加原則的所有主體識別 (使用者、群組和角色)。 AWS 當新的啟動或新 AWS 服務 的 API 操作可用於現有服務時,最有可能更新 AWS 受管理策略。
如需詳細資訊,請參閱《IAM 使用者指南》中的 AWS 受管政策。
AmazonPrometheusFullAccess
您可將 AmazonPrometheusFullAccess
政策連接到 IAM 身分。
許可詳細資訊
此政策包含以下許可。
-
aps
:允許完全存取 Amazon Managed Service for Prometheus -
eks
:讓 Amazon Managed Service for Prometheus 服務讀取有關 Amazon EKS 叢集的資訊。若要允許在叢集中建立受管湊集器並探索指標,則這會相當必要。 -
ec2
:允許 Amazon Managed Service for Prometheus 服務讀取有關您的 Amazon EC2 網路的資訊。若要使用 Amazon EKS 指標的存取權建立受管湊集器,則這會相當必要。 -
iam
:允許主體為受管理的指標湊集器建立服務連結角色。
的內容AmazonPrometheusFullAccess如下:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllPrometheusActions", "Effect": "Allow", "Action": [ "aps:*" ], "Resource": "*" }, { "Sid": "DescribeCluster", "Effect": "Allow", "Action": [ "eks:DescribeCluster", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups" ], "Condition": { "ForAnyValue:StringEquals": { "aws:CalledVia": [ "aps.amazonaws.com" ] } }, "Resource": "*" }, { "Sid": "CreateServiceLinkedRole", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/scraper.aps.amazonaws.com/AWSServiceRoleForAmazonPrometheusScraper*", "Condition": { "StringEquals": { "iam:AWSServiceName": "scraper.aps.amazonaws.com" } } } ] }
AmazonPrometheusConsoleFullAccess
您可將 AmazonPrometheusConsoleFullAccess
政策連接到 IAM 身分。
許可詳細資訊
此政策包含以下許可。
-
aps
:允許完全存取 Amazon Managed Service for Prometheus -
tag
:允許主體在 Amazon Managed Service for Prometheus 主控台中查看標籤建議。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "TagSuggestions", "Effect": "Allow", "Action": [ "tag:GetTagValues", "tag:GetTagKeys" ], "Resource": "*" }, { "Sid": "PrometheusConsoleActions", "Effect": "Allow", "Action": [ "aps:CreateWorkspace", "aps:DescribeWorkspace", "aps:UpdateWorkspaceAlias", "aps:DeleteWorkspace", "aps:ListWorkspaces", "aps:DescribeAlertManagerDefinition", "aps:DescribeRuleGroupsNamespace", "aps:CreateAlertManagerDefinition", "aps:CreateRuleGroupsNamespace", "aps:DeleteAlertManagerDefinition", "aps:DeleteRuleGroupsNamespace", "aps:ListRuleGroupsNamespaces", "aps:PutAlertManagerDefinition", "aps:PutRuleGroupsNamespace", "aps:TagResource", "aps:UntagResource", "aps:CreateLoggingConfiguration", "aps:UpdateLoggingConfiguration", "aps:DeleteLoggingConfiguration", "aps:DescribeLoggingConfiguration" ], "Resource": "*" } ] }
AmazonPrometheusRemoteWriteAccess
的內容AmazonPrometheusRemoteWriteAccess如下:
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "aps:RemoteWrite" ], "Effect": "Allow", "Resource": "*" } ] }
AmazonPrometheusQueryAccess
的內容AmazonPrometheusQueryAccess如下:
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "aps:GetLabels", "aps:GetMetricMetadata", "aps:GetSeries", "aps:QueryMetrics" ], "Effect": "Allow", "Resource": "*" } ] }
AWS 受管理的策略: AmazonPrometheusScraperServiceRolePolicy
您無法附加 AmazonPrometheusScraperServiceRolePolicy 到 IAM 實體。此政策會附加至服務連結角色,可讓 Amazon Managed Service for Prometheus 代表您執行動作。如需詳細資訊,請參閱 使用角色從 EKS 湊集指標。
此政策授予參與者許可,允許從 Amazon EKS 叢集讀取並寫入 Amazon Managed Service for Prometheus 工作區。
注意
此使用者指南先前錯誤地稱為此政策 AmazonPrometheusScraperServiceLinkedRolePolicy
許可詳細資訊
此政策包含以下許可。
-
aps
:讓服務主體將指標寫入 Amazon Managed Service for Prometheus 工作區。 -
ec2
:讓服務主體讀取和修改網路組態,以連接到包含 Amazon EKS 叢集的網路。 -
eks
:讓服務主體存取您的 Amazon EKS 叢集。此為必要項目,以讓其可自動湊集指標。還允許主體在刪除刮板時清理 Amazon EKS 資源。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DeleteSLR", "Effect": "Allow", "Action": [ "iam:DeleteRole" ], "Resource": "arn:aws:iam::*:role/aws-service-role/scraper.aps.amazonaws.com/AWSServiceRoleForAmazonPrometheusScraper*" }, { "Sid": "NetworkDiscovery", "Effect": "Allow", "Action": [ "ec2:DescribeNetworkInterfaces", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups" ], "Resource": "*" }, { "Sid": "ENIManagement", "Effect": "Allow", "Action": "ec2:CreateNetworkInterface", "Resource": "*", "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": [ "AMPAgentlessScraper" ] } } }, { "Sid": "TagManagement", "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*:*:network-interface/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateNetworkInterface" }, "Null": { "aws:RequestTag/AMPAgentlessScraper": "false" } } }, { "Sid": "ENIUpdating", "Effect": "Allow", "Action": [ "ec2:DeleteNetworkInterface", "ec2:ModifyNetworkInterfaceAttribute" ], "Resource": "*", "Condition": { "Null": { "ec2:ResourceTag/AMPAgentlessScraper": "false" } } }, { "Sid": "EKSAccess", "Effect": "Allow", "Action": "eks:DescribeCluster", "Resource": "arn:aws:eks:*:*:cluster/*" }, { "Sid": "DeleteEKSAccessEntry", "Effect": "Allow", "Action": "eks:DeleteAccessEntry", "Resource": "arn:aws:eks:*:*:access-entry/*/role/*", "Condition": { "StringEquals": { "aws:PrincipalAccount": "${aws:ResourceAccount}" }, "ArnLike": { "eks:principalArn": "arn:aws:iam::*:role/aws-service-role/scraper.aps.amazonaws.com/AWSServiceRoleForAmazonPrometheusScraper*" } } }, { "Sid": "APSWriting", "Effect": "Allow", "Action": "aps:RemoteWrite", "Resource": "arn:aws:aps:*:*:workspace/*", "Condition": { "StringEquals": { "aws:PrincipalAccount": "${aws:ResourceAccount}" } } } ] }
適用於 Prometheus 的 Amazon 受管服務更新受管政策 AWS
檢視此服務開始追蹤這些變更後,適用於 Prometheus 的 Amazon 受管服務的受管政策更新詳細資訊。 AWS 如需有關此頁面變更的自動提示,請訂閱 Amazon Managed Service for Prometheus 文件歷史記錄頁面上的 RSS 摘要。
變更 | 描述 | 日期 |
---|---|---|
適用於 Prometheus 的 Amazon 受管服務增加了新的許可,以AmazonPrometheusScraperServiceRolePolicy支持使用 Amazon EKS 中的訪問條目。 包括管理 Amazon EKS 存取項目的許可,以便在刪除抓取工具時清理資源。 注意使用者指南先前錯誤地稱為此政策 |
2024年5月2日 | |
AmazonPrometheusFullAccess – 更新現有政策 |
Amazon Managed Service for Prometheus 已新增 AmazonPrometheusFullAccess 許可,以支援在 Amazon EKS 叢集中為指標建立受管湊集器。 包含連線至 Amazon EKS 叢集、讀取 Amazon EC2 網路以及為湊集器建立服務連結角色的許可。 |
2023 年 11 月 26 日 |
Amazon Managed Service for Prometheus 已新增服務連結角色政策,以自 Amazon EKS 容器讀取來允許自動湊集指標。 包括連線至 Amazon EKS 叢集、讀取 Amazon EC2 網路、建立和刪除標記為 |
2023 年 11 月 26 日 | |
AmazonPrometheusConsoleFullAccess – 更新現有政策 |
適用於 Prometheus 的 Amazon 受管服務新增許可,以支援日誌中AmazonPrometheusConsoleFullAccess的記錄警示管理員和統治者事件。 CloudWatch 已新增 |
2022 年 10 月 24 日 |
AmazonPrometheusConsoleFullAccess – 更新現有政策 |
Amazon Managed Service for Prometheus 已新增 AmazonPrometheusConsoleFullAccess 許可,以支援全新 Amazon Managed Service for Prometheus 功能,以便使用此政策的使用者可在將標籤套用至 Amazon Managed Service for Prometheus 資源時,看到標籤建議清單。 已新增 |
2021 年 9 月 29 日 |
Amazon Managed Service for Prometheus 已開始追蹤變更 |
適用於 Prometheus 的 Amazon 受管服務開始追蹤其 AWS 受管政策的變更。 |
2021 年 9 月 15 日 |