Permisos mínimos de AWS

En esta página, se explica cómo minimizar el acceso de Cloud Monitoring a tu cuenta de AWS.

Descripción general

Cuando usas las instrucciones estándar para agregar una cuenta de AWS como un proyecto supervisado a un permiso de métricas, otorgas a Monitoring acceso de solo lectura a todos tus recursos de AWS. Esto se hace mediante la creación de una función en IAM de AWS con acceso de solo lectura a todos los servicios. Google Cloud almacena la clave (el ARN de función) que permite que Monitoring use esa función.

El nivel de acceso de Stackdriver está controlado por la función de IAM de AWS que eliges. Para minimizar el acceso, crea una función en IAM de AWS con acceso de solo lectura a algunos de tus recursos de AWS, en lugar de a todos ellos. Por ejemplo, tu función podría permitir el acceso solo a CloudWatch y SNS.

Cada función contiene un ID externo que es específico a un único proyecto de Google Cloud.

Permisos mínimos

Las siguientes políticas de permisos de AWS son el conjunto mínimo que requiere Stackdriver. Tu función de AWS debe contener al menos estos permisos:

AmazonDynamoDBReadOnlyAccess
AmazonEC2ReadOnlyAccess
AmazonElastiCacheReadOnlyAccess
AmazonESReadOnlyAccess
AmazonKinesisReadOnlyAccess
AmazonRedshiftReadOnlyAccess
AmazonRDSReadOnlyAccess
AmazonS3ReadOnlyAccess
AmazonSESReadOnlyAccess
AmazonSNSReadOnlyAccess
AmazonSQSReadOnlyAccess
AmazonVPCReadOnlyAccess
AutoScalingReadOnlyAccess
AWSLambdaReadOnlyAccess
CloudFrontReadOnlyAccess
CloudWatchReadOnlyAccess
CloudWatchEventsReadOnlyAccess

Esta lista podría crecer a medida que se agreguen nuevos servicios de AWS a Stackdriver. Puedes agregar permisos adicionales para que Stackdriver mantenga el acceso limitado, si así lo deseas.

Cómo modificar una función de AWS

Si ya agregaste tu cuenta de AWS como un proyecto supervisado, puedes limitar el acceso a Monitoring. Para hacerlo, cambia los permisos en la función de AWS que ya utilizas:

  1. Accede a tu cuenta de AWS.
  2. Ve a Servicios > IAM > Funciones para acceder a la consola de IAM de AWS.
  3. En la parte inferior de la página, haz clic en el nombre de la función que utilizas para autorizar a Stackdriver. En la pestaña Permisos, verás la lista de permisos para esa función:

    • Para quitar un permiso existente, haz clic en la X a la derecha del permiso.
    • Para agregar permisos adicionales, haz clic en Adjuntar política:
      1. Usa el filtro para encontrar la política que quieres.
      2. Selecciona una de las políticas que terminan en ReadOnlyAccess o en ReadOnly.
      3. Haz clic en Adjuntar política.
      4. Repite el proceso para agregar más políticas.

Agrega una cuenta de AWS con acceso limitado

Para agregar una cuenta de AWS con acceso limitado, sigue las instrucciones estándar, excepto el paso que especifica que seleccionas la función Acceso de solo lectura.

Reemplaza ese paso con lo siguiente:

  1. Usa el filtro para ubicar la política de permisos que quieres usar. Selecciona la variante ReadOnly de la política porque esto es todo lo que necesitas.
  2. Repite el proceso según sea necesario para seleccionar más permisos.
  3. Cuando hayas terminado, haz clic en Next: Review (Siguiente: Revisar).
  4. Continúa con las instrucciones estándar.