Minimale AWS-Berechtigungen

Auf dieser Seite wird erläutert, wie Sie den Zugriff von Stackdriver auf Ihr AWS-Konto auf ein Minimum reduzieren.

Übersicht

Wenn Sie der Standardanleitung zum Hinzufügen eines AWS-Kontos zu einem Ihrer Arbeitsbereiche folgen, gewähren Sie Stackdriver Lesezugriff auf alle Ihre AWS-Ressourcen. Hierfür erstellen Sie eine Rolle in AWS IAM mit Lesezugriff auf alle Dienste. Außerdem speichern Sie in Ihrem Arbeitsbereich einen Schlüssel (den Rollen-ARN), der es Stackdriver erlaubt, diese Rolle zu verwenden.

Die Zugriffsebene von Stackdriver wird von der AWS IAM-Rolle gesteuert, die Sie auswählen. Wenn Sie nur minimalen Zugriff gewähren möchten, erstellen Sie eine AWS IAM-Rolle, die nur auf einige Ihrer AWS-Ressourcen Lesezugriff hat und nicht auf alle. Beispielsweise könnte Ihre Rolle nur Zugriff auf CloudWatch und SNS gewähren.

Eine AWS-Rolle zum Autorisieren von Stackdriver kann nur in einem einzigen Arbeitsbereich verwendet werden. Jede Rolle enthält eine externe ID, die nur für genau einen Arbeitsbereich gilt.

Minimale Berechtigungen

Die folgenden AWS-Berechtigungsrichtlinien bilden den Mindestsatz, der von Stackdriver benötigt wird. Ihre AWS-Rolle muss mindestens diese Berechtigungen enthalten:

AmazonDynamoDBReadOnlyAccess
    AmazonEC2ReadOnlyAccess
    AmazonElastiCacheReadOnlyAccess
    AmazonESReadOnlyAccess
    AmazonKinesisReadOnlyAccess
    AmazonRedshiftReadOnlyAccess
    AmazonRDSReadOnlyAccess
    AmazonS3ReadOnlyAccess
    AmazonSESReadOnlyAccess
    AmazonSNSReadOnlyAccess
    AmazonSQSReadOnlyAccess
    AmazonVPCReadOnlyAccess
    AutoScalingReadOnlyAccess
    AWSLambdaReadOnlyAccess
    CloudFrontReadOnlyAccess
    CloudWatchReadOnlyAccess
    CloudWatchEventsReadOnlyAccess
    

JSON:

{
      "Version": "2012-10-17",
      "Statement": [
        {
          "Action": [
            "autoscaling:Describe*",
            "cloudfront:Get*",
            "cloudfront:List*",
            "cloudwatch:Describe*",
            "cloudwatch:Get*",
            "cloudwatch:List*",
            "dynamodb:Describe*",
            "dynamodb:Get*",
            "dynamodb:List*",
            "ec2:Describe*",
            "ec2:Get*",
            "elasticache:Describe*",
            "elasticache:List*",
            "elasticloadbalancing:Describe*",
            "es:Describe*",
            "es:List*",
            "events:Describe*",
            "events:List*",
            "health:Describe*",
            "health:Get*",
            "health:List*",
            "kinesis:Describe*",
            "kinesis:Get*",
            "kinesis:List*",
            "lambda:Get*",
            "lambda:List*",
            "rds:Describe*",
            "rds:List*",
            "redshift:Describe*",
            "redshift:Get*",
            "redshift:View*",
            "s3:Get*",
            "s3:List*",
            "ses:Get*",
            "ses:List*",
            "ses:Describe*",
            "sns:Get*",
            "sns:List*",
            "sqs:Get*",
            "sqs:List*",
            ],
          "Effect": "Allow",
          "Resource": "*"
        }
      ]
    }
    

Wenn Stackdriver um neue AWS-Dienste erweitert wird, kann diese Liste länger werden. Sie können zusätzliche Berechtigungen hinzufügen, um die richtige Balance zwischen Stackdriver-Funktionalität und dem von Ihnen gewünschten Grad von Zugriffsbeschränkung zu finden.

Anleitung

AWS-Rolle ändern

Wenn Sie Ihr AWS-Konto bereits einem Arbeitsbereich hinzugefügt haben, können Sie den Stackdriver-Zugriff einschränken, indem Sie die Berechtigungen in der bereits verwendeten AWS-Rolle ändern:

  1. Melden Sie sich bei Ihrem AWS-Konto an.
  2. Rufen Sie Services > IAM > Roles (Dienste > IAM > Rollen) auf, um zur AWS IAM-Konsole zu gelangen.
  3. Klicken Sie unten auf der Seite auf den Rollennamen, den Sie zum Autorisieren von Stackdriver verwenden. Auf dem Tab Permissions (Berechtigungen) sehen Sie die Liste der Berechtigungen für diese Rolle:

    • Klicken Sie zum Entfernen einer vorhandenen Berechtigung auf das X rechts neben der Berechtigung.
    • Klicken Sie zum Hinzufügen zusätzlicher Berechtigungen auf Attach policy (Richtlinie anfügen):
      1. Suchen Sie mithilfe des Filters nach der gewünschten Richtlinie.
      2. Wählen Sie eine der Richtlinien aus, die mit ReadOnlyAccess oder ReadOnly enden.
      3. Klicken Sie auf Attach Policy (Richtlinie anfügen).
      4. Wiederholen Sie den Vorgang, um weitere Richtlinien hinzuzufügen.

AWS-Konto mit eingeschränktem Zugriff hinzufügen

Folgen Sie der Standardanleitung unter AWS-Konto hinzufügen. Die Anleitung zum Erstellen Ihrer AWS-Rolle ist nicht in der Stackdriver-Nutzerdokumentation enthalten, wird aber in der Monitoring-Konsole angezeigt, wenn Sie ein AWS-Konto hinzufügen. Im Folgenden finden Sie einen Screenshot dieser Anleitung.

AWS autorisieren

So ändern Sie diese Anleitung:

  1. Gehen Sie zu Schritt 7, "Select ReadOnlyAccess from the policy list and click Next: Review" (Wählen Sie "ReadOnlyAccess" aus der Richtlinienliste aus und klicken Sie auf "Weiter: Überprüfen").

  2. Ersetzen Sie diesen Schritt durch Folgendes:

    1. Suchen Sie mithilfe des Filters nach einer Berechtigungsrichtlinie, die Sie verwenden möchten. Wählen Sie eine ReadOnly-Variante der Richtlinie aus, da sie keine weiteren Berechtigungen benötigen.
    2. Wiederholen Sie den Schritt gegebenenfalls, um weitere Berechtigungen auszuwählen.
    3. Wenn Sie fertig sind, klicken Sie auf Next: Review (Weiter: Überprüfen). Die Ansicht sieht etwa so aus:

    Rolle überprüfen

  3. Fahren Sie mit der Standardanleitung fort.