Minimale AWS-Berechtigungen

Auf dieser Seite wird erläutert, wie Sie den Cloud Monitoring-Zugriff auf Ihr AWS-Konto minimieren.

Überblick

Wenn Sie der Standardanleitung zum Hinzufügen eines AWS-Kontos als überwachtes Projekt zu einem Messwertbereich hinzufügen, gewähren Sie Monitoring Lesezugriff auf alle Ihre AWS-Ressourcen. Hierfür erstellen Sie eine Rolle in AWS IAM mit Lesezugriff auf alle Dienste. Google Cloud speichert den Schlüssel (den Rollen-ARN), der es Monitoring erlaubt, diese Rolle zu verwenden.

Die Zugriffsebene von Monitoring wird von der AWS IAM-Rolle gesteuert, die Sie auswählen. Wenn Sie nur minimalen Zugriff gewähren möchten, erstellen Sie eine AWS IAM-Rolle, die nur auf einige Ihrer AWS-Ressourcen Lesezugriff hat und nicht auf alle. Beispielsweise könnte Ihre Rolle nur Zugriff auf CloudWatch und SNS gewähren.

Jede Rolle enthält eine externe ID, die für ein einzelnes Google Cloud-Projekt gilt.

Minimale Berechtigungen

Die folgenden AWS-Berechtigungsrichtlinien bilden den Mindestsatz, der von Monitoring benötigt wird. Ihre AWS-Rolle muss mindestens folgende Berechtigungen enthalten:

AmazonDynamoDBReadOnlyAccess
AmazonEC2ReadOnlyAccess
AmazonElastiCacheReadOnlyAccess
AmazonESReadOnlyAccess
AmazonKinesisReadOnlyAccess
AmazonRedshiftReadOnlyAccess
AmazonRDSReadOnlyAccess
AmazonS3ReadOnlyAccess
AmazonSESReadOnlyAccess
AmazonSNSReadOnlyAccess
AmazonSQSReadOnlyAccess
AmazonVPCReadOnlyAccess
AutoScalingReadOnlyAccess
AWSLambdaReadOnlyAccess
CloudFrontReadOnlyAccess
CloudWatchReadOnlyAccess
CloudWatchEventsReadOnlyAccess

Wenn Monitoring um neue AWS-Dienste erweitert wird, kann diese Liste länger werden. Sie können zusätzliche Berechtigungen hinzufügen, um die richtige Balance zwischen Monitoring-Funktionalität und dem von Ihnen gewünschten Grad von Zugriffsbeschränkung zu finden.

AWS-Rolle ändern

Wenn Sie Ihr AWS-Konto bereits als überwachtes Projekt hinzugefügt haben, können Sie den Monitoring-Zugriff einschränken, indem Sie die Berechtigungen in der bereits verwendeten AWS-Rolle ändern:

  1. Melden Sie sich bei Ihrem AWS-Konto an.
  2. Rufen Sie Services > IAM > Roles (Dienste > IAM > Rollen) auf, um zur AWS IAM-Konsole zu gelangen.

  3. Klicken Sie unten auf der Seite auf den Rollennamen, den Sie zum Autorisieren von Stackdriver verwenden. Auf dem Tab Permissions (Berechtigungen) sehen Sie die Liste der Berechtigungen für diese Rolle:

    • Klicken Sie zum Entfernen einer vorhandenen Berechtigung auf das X rechts neben der Berechtigung.
    • Klicken Sie zum Hinzufügen weiterer Berechtigungen auf Attach policy (Richtlinie anhängen), um weitere Berechtigungen hinzuzufügen:
      1. Suchen Sie mithilfe des Filters nach der gewünschten Richtlinie.
      2. Wählen Sie eine der Richtlinien aus, die mit ReadOnlyAccess oder ReadOnly enden.
      3. Klicken Sie auf Attach Policy (Richtlinie anfügen).
      4. Wiederholen Sie den Vorgang, um weitere Richtlinien hinzuzufügen.

AWS-Konto mit eingeschränktem Zugriff hinzufügen

Folgen Sie der Standardanleitung, um ein AWS-Konto mit eingeschränktem Zugriff hinzuzufügen, mit Ausnahme des Schritts, laut dem Sie die Rolle ReadOnlyAccess auswählen.

Ersetzen Sie diesen Schritt hiermit:

  1. Suchen Sie mithilfe des Filters nach einer Berechtigungsrichtlinie, die Sie verwenden möchten. Wählen Sie eine ReadOnly-Variante der Richtlinie aus, da sie keine weiteren Berechtigungen benötigen.
  2. Wiederholen Sie den Schritt gegebenenfalls, um weitere Berechtigungen auszuwählen.
  3. Wenn Sie fertig sind, klicken Sie auf Next: Review (Weiter: Überprüfen).
  4. Fahren Sie mit der Standardanleitung fort.