Permisos mínimos de AWS

En esta página, se explica cómo minimizar el acceso de Stackdriver a tu cuenta de AWS:

Descripción general

Cuando utilizas las instrucciones estándar para agregar una cuenta de AWS a uno de tus lugares de trabajo, concedes acceso de solo lectura a Stackdriver a todos tus recursos de AWS. Esto se hace mediante la creación de una función en IAM de AWS con acceso de solo lectura a todos los servicios. Almacenas en tu lugar de trabajo una clave (Role ARN) que permite a Stackdriver usar esa función.

El nivel de acceso de Stackdriver está controlado por la función de IAM de AWS que eliges. Para minimizar el acceso, crea una función en IAM de AWS con acceso de solo lectura a algunos de tus recursos de AWS, en lugar de a todos ellos. Por ejemplo, tu función podría permitir el acceso solo a CloudWatch y SNS.

Una función de AWS utilizada para autorizar a Stackdriver solo se puede usar en un lugar de trabajo. Cada función contiene un ID externo que es específico de un único lugar de trabajo.

Permisos mínimos

Las siguientes políticas de permisos de AWS son el conjunto mínimo que requiere Stackdriver. Tu función de AWS debe contener al menos estos permisos:

AmazonDynamoDBReadOnlyAccess
AmazonEC2ReadOnlyAccess
AmazonElastiCacheReadOnlyAccess
AmazonESReadOnlyAccess
AmazonKinesisReadOnlyAccess
AmazonRedshiftReadOnlyAccess
AmazonRDSReadOnlyAccess
AmazonS3ReadOnlyAccess
AmazonSESReadOnlyAccess
AmazonSNSReadOnlyAccess
AmazonSQSReadOnlyAccess
AmazonVPCReadOnlyAccess
AutoScalingReadOnlyAccess
AWSLambdaReadOnlyAccess
CloudFrontReadOnlyAccess
CloudWatchReadOnlyAccess
CloudWatchEventsReadOnlyAccess

JSON:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "autoscaling:Describe*",
        "cloudfront:Get*",
        "cloudfront:List*",
        "cloudwatch:Describe*",
        "cloudwatch:Get*",
        "cloudwatch:List*",
        "dynamodb:Describe*",
        "dynamodb:Get*",
        "dynamodb:List*",
        "ec2:Describe*",
        "ec2:Get*",
        "elasticache:Describe*",
        "elasticache:List*",
        "elasticloadbalancing:Describe*",
        "es:Describe*",
        "es:List*",
        "events:Describe*",
        "events:List*",
        "health:Describe*",
        "health:Get*",
        "health:List*",
        "kinesis:Describe*",
        "kinesis:Get*",
        "kinesis:List*",
        "lambda:Get*",
        "lambda:List*",
        "rds:Describe*",
        "rds:List*",
        "redshift:Describe*",
        "redshift:Get*",
        "redshift:View*",
        "s3:Get*",
        "s3:List*",
        "ses:Get*",
        "ses:List*",
        "ses:Describe*",
        "sns:Get*",
        "sns:List*",
        "sqs:Get*",
        "sqs:List*",
        ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

Esta lista podría crecer a medida que se agreguen nuevos servicios de AWS a Stackdriver. Puedes agregar permisos adicionales para equilibrar la funcionalidad de Stackdriver si quieres mantener el acceso limitado.

Instrucciones

Cómo modificar una función de AWS

Si ya has agregado tu cuenta de AWS a un lugar de trabajo, entonces puedes limitar el acceso a Stackdriver; para hacerlo, cambia los permisos en la función de AWS que ya utilizas:

  1. Accede a tu cuenta de AWS.
  2. Ve a Servicios > IAM > Funciones para acceder a la consola de IAM de AWS.
  3. En la parte inferior de la página, haz clic en el nombre de la función que utilizas para autorizar a Stackdriver. En la pestaña Permisos, verás la lista de permisos para esa función:

    • Para quitar un permiso existente, haz clic en la X a la derecha del permiso.
    • Para agregar permisos adicionales, haz clic en Adjuntar política:
      1. Utiliza el filtro para encontrar la política que quieres.
      2. Selecciona una de las políticas que terminan en ReadOnlyAccess o en ReadOnly.
      3. Haz clic en Adjuntar política.
      4. Repite el proceso para agregar más políticas.

Agrega una cuenta de AWS con acceso limitado

Consulta las instrucciones estándar en Cómo agregar una cuenta de AWS. Las instrucciones para crear tu función de AWS no se encuentran en la documentación del usuario de Stackdriver, sino que se enumeran dentro de la consola de Monitoring cuando agregas una cuenta de AWS. A continuación, se incluye una captura de pantalla de esas instrucciones.

Autorizar AWS

Y aquí se muestra cómo modificar esas instrucciones:

  1. Busca el paso 7, "Select ReadOnlyAccess from the policy list and click Next: Review." (Selecciona ReadOnlyAccess de la lista de políticas y haz clic en Siguiente: Revisar).

  2. Reemplaza ese paso con lo siguiente:

    1. Usa el filtro para ubicar la política de permisos que quieres usar. Selecciona la variante ReadOnly de la política porque esto es todo lo que necesitas.
    2. Repite el proceso según sea necesario para seleccionar más permisos.
    3. Cuando hayas terminado, haz clic en Next: Review (Siguiente: Revisar). Verás un resultado similar al que se detalla a continuación:

    Función Revisar

  3. Continúa con las instrucciones estándar.

¿Te sirvió esta página? Envíanos tu opinión:

Enviar comentarios sobre…

Stackdriver Monitoring
¿Necesitas ayuda? Visita nuestra página de asistencia.