CloudWatch निगरानी स्क्रिप्ट के साथ IAM भूमिका के लिए कौन सी अनुमतियाँ / नीतियाँ


13

CloudWatch मॉनिटरिंग स्क्रिप्ट (mon-put-instance-data.pl) के साथ AWS क्रेडेंशियल (--aws-iam-role = VALUE) प्रदान करने के लिए IAM भूमिका नाम निर्दिष्ट करना संभव है।

मैं इस उद्देश्य के लिए IAM भूमिका बना रहा हूं (AWS उदाहरण पर mon-put-instance-data.pl चलाने के लिए), लेकिन मुझे इस भूमिका के लिए कौन सी अनुमति / नीतियां देनी चाहिए ??

आपके सहयोग के लिए धन्यवाद

जवाबों:


20

अमेज़न CloudWatch लिनक्स के लिए निगरानी स्क्रिप्ट दो पर्ल स्क्रिप्ट शामिल हैं, दोनों एक पर्ल मॉड्यूल का उपयोग कर - स्रोत में एक छोटी झांकना का पता चलता है निम्नलिखित एडब्ल्यूएस एपीआई कार्यों इस्तेमाल किया जा रहा:

इस जानकारी के साथ आप अपनी IAM पॉलिसी को इकट्ठा कर सकते हैं , जैसे AWS पॉलिसी जनरेटर के माध्यम से - एक सभी शामिल पॉलिसी होगी:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "cloudwatch:GetMetricStatistics",
        "cloudwatch:ListMetrics",
        "cloudwatch:PutMetricData",
        "ec2:DescribeTags"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

बेशक आप cloudwatch:GetMetricStatistics cloudwatch:ListMetricsबस का उपयोग करते समय छोड़ सकते हैं mon-put-instance-data.pl- कृपया ध्यान दें कि मैंने वास्तव में कोड का परीक्षण नहीं किया है।


ये कार्य दस्तावेज़ों में सूचीबद्ध कार्यों को docs.aws.amazon.com/AWSEC2/latest/UserGuide/…
htaccess

2

उपरोक्त नीति संस्करण के लिए पूछने में त्रुटि देती है।

निम्नलिखित काम करना चाहिए:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Stmt1426849513000",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:GetMetricStatistics",
                "cloudwatch:ListMetrics",
                "cloudwatch:PutMetricAlarm",
                "cloudwatch:PutMetricData",
                "cloudwatch:SetAlarmState"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

2

CloudWatch के लिए एक Amazon प्रदान की IAM नीति है। अपने स्वयं के निर्माण की आवश्यकता नहीं है। CloudWatchFullAccess


2
आपके उत्तर के लिए धन्यवाद। मैं CloudWatch के लिए पूर्ण पहुँच देना नहीं चाहता था, हालांकि ... मैं उदाहरण के लिए DeleteAlarms अनुमति नहीं देना चाहता।
सेलाइन औसॉरड

राजवंश सेवा के लिए यह एकदम सही है!
होम्स

IMHO, लगभग किसी भी 'निगरानी' के उपयोग के मामले के लिए, यह बहुत अधिक है। आपकी निगरानी स्क्रिप्ट को मेट्रिक्स या डैशबोर्ड बनाने या हटाने की आवश्यकता नहीं है। नीति कुछ बहुत ही सुरक्षित दिखने वाले गैर-क्लाउडवॉच अनुमतियों को जोड़ती है, लेकिन फिर इन सभी को भी जोड़ती है: docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/… । मोटे अनुमान में, CloudWatchReadOnlyAccessएक सुरक्षित 'पहला प्रयास' होगा, लेकिन यहां तक ​​कि अत्यधिक उदार भी हो सकता है।
राल्फ बोल्टन
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.