Autorisations AWS minimales

Cette page explique comment limiter l'accès de Cloud Monitoring à votre compte AWS.

Présentation

Lorsque vous ajoutez un compte AWS en tant que projet surveillé à un champ d'application de métriques en suivant les instructions standards, vous accordez à Monitoring un accès en lecture seule à l'ensemble de vos ressources AWS. Vous créez ainsi dans AWS IAM un rôle doté d'un accès en lecture seule à tous les services. Google Cloud stocke la clé (l'ARN de rôle) qui permet à Monitoring d'utiliser ce rôle.

Le niveau d'accès de Monitoring est contrôlé par le rôle AWS IAM que vous choisissez. Pour limiter l'accès, créez un rôle AWS IAM qui n'est doté d'un accès en lecture seule que pour certaines des ressources AWS, plutôt que pour l'ensemble d'entre elles. Par exemple, le rôle peut n'autoriser l'accès qu'à CloudWatch et SNS.

Chaque rôle contient un ID externe propre à un seul projet Google Cloud.

Autorisations minimales

Les stratégies d'autorisation AWS suivantes constituent l'ensemble minimal requis par Monitoring. Le rôle AWS doit au moins contenir les autorisations suivantes :

AmazonDynamoDBReadOnlyAccess
AmazonEC2ReadOnlyAccess
AmazonElastiCacheReadOnlyAccess
AmazonESReadOnlyAccess
AmazonKinesisReadOnlyAccess
AmazonRedshiftReadOnlyAccess
AmazonRDSReadOnlyAccess
AmazonS3ReadOnlyAccess
AmazonSESReadOnlyAccess
AmazonSNSReadOnlyAccess
AmazonSQSReadOnlyAccess
AmazonVPCReadOnlyAccess
AutoScalingReadOnlyAccess
AWSLambdaReadOnlyAccess
CloudFrontReadOnlyAccess
CloudWatchReadOnlyAccess
CloudWatchEventsReadOnlyAccess

Cette liste est susceptible de s'allonger à mesure que de nouveaux services AWS sont ajoutés à Monitoring. Vous pouvez ajouter des autorisations supplémentaires afin de trouver le bon compromis entre les fonctionnalités de Monitoring et votre volonté de conserver un accès limité.

Modifier un rôle AWS

Si vous avez déjà ajouté votre compte AWS à un projet surveillé, vous pouvez limiter l'accès de Monitoring en modifiant les autorisations dans le rôle AWS que vous utilisez déjà :

  1. Connectez-vous à votre compte AWS.
  2. Sélectionnez Services > IAM > Roles (Services > IAM > Rôles) pour accéder à la console AWS IAM.

  3. Au bas de la page, cliquez sur le nom du rôle que vous utilisez pour autoriser Stackdriver. L'onglet Autorisations contient la liste des autorisations pour ce rôle :

    • Pour supprimer une autorisation existante, cliquez sur la croix (X) située à droite de l'autorisation.
    • Pour ajouter des autorisations supplémentaires, cliquez sur Attach policy (Associer une règle) :
      1. Servez-vous du filtre pour trouver la stratégie souhaitée.
      2. Sélectionnez l'une des stratégies finissant par ReadOnlyAccess (Accès en lecture seule) ou ReadOnly (Lecture seule).
      3. Cliquez sur Attach Policy (Attacher la stratégie).
      4. Répétez l'opération pour ajouter d'autres stratégies.

Ajouter un compte AWS doté d'un accès limité

Pour ajouter un compte AWS doté d'un accès limité, suivez les instructions standards, à l'exception de l'étape qui spécifie que vous sélectionnez le rôle ReadOnlyAccess.

À la place de cette étape, procédez comme suit :

  1. À l'aide du filtre, localisez la stratégie d'autorisation que vous souhaitez utiliser. Sélectionnez une variante ReadOnly de la stratégie, car c'est tout ce dont vous avez besoin.
  2. Répétez l'opération autant de fois que nécessaire pour sélectionner d'autres autorisations.
  3. Lorsque vous avez terminé, cliquez sur Next: Review (Suivant : Vérification).
  4. Poursuivez avec les instructions standards.