Autorisations AWS minimales

Cette page explique comment limiter l'accès de Cloud Monitoring à votre compte AWS.

Aperçu

Lorsque vous ajoutez un compte AWS à l'un de vos espaces de travail en suivant les instructions standards, vous accordez à Monitoring un accès en lecture seule à l'ensemble de vos ressources AWS. Vous créez ainsi dans AWS IAM un rôle doté d'un accès en lecture seule à tous les services. Vous stockez dans l'espace de travail une clé (l'ARN de rôle) qui permet à Monitoring d'utiliser ce rôle.

Le niveau d'accès de Monitoring est contrôlé par le rôle AWS IAM que vous choisissez. Pour limiter l'accès, créez un rôle AWS IAM qui n'est doté d'un accès en lecture seule que pour certaines des ressources AWS, plutôt que pour l'ensemble d'entre elles. Par exemple, le rôle peut n'autoriser l'accès qu'à CloudWatch et SNS.

Un rôle AWS utilisé pour autoriser Monitoring ne peut servir que dans un seul espace de travail. Chaque rôle contient un ID externe propre à un seul espace de travail.

Autorisations minimales

Les stratégies d'autorisation AWS suivantes constituent l'ensemble minimal requis par Monitoring. Le rôle AWS doit au moins contenir les autorisations suivantes :

AmazonDynamoDBReadOnlyAccess
AmazonEC2ReadOnlyAccess
AmazonElastiCacheReadOnlyAccess
AmazonESReadOnlyAccess
AmazonKinesisReadOnlyAccess
AmazonRedshiftReadOnlyAccess
AmazonRDSReadOnlyAccess
AmazonS3ReadOnlyAccess
AmazonSESReadOnlyAccess
AmazonSNSReadOnlyAccess
AmazonSQSReadOnlyAccess
AmazonVPCReadOnlyAccess
AutoScalingReadOnlyAccess
AWSLambdaReadOnlyAccess
CloudFrontReadOnlyAccess
CloudWatchReadOnlyAccess
CloudWatchEventsReadOnlyAccess

Cette liste est susceptible de s'allonger à mesure que de nouveaux services AWS sont ajoutés à Monitoring. Vous pouvez ajouter des autorisations supplémentaires afin de trouver le bon compromis entre les fonctionnalités de Monitoring et votre volonté de conserver un accès limité.

Modifier un rôle AWS

Si vous avez déjà ajouté votre compte AWS à un espace de travail, vous pouvez limiter l'accès de Monitoring en modifiant les autorisations dans le rôle AWS que vous utilisez déjà :

  1. Connectez-vous à votre compte AWS.
  2. Sélectionnez Services > IAM > Roles (Services > IAM > Rôles) pour accéder à la console AWS IAM.
  3. Au bas de la page, cliquez sur le nom du rôle que vous utilisez pour autoriser Stackdriver. L'onglet Autorisations contient la liste des autorisations pour ce rôle :

    • Pour supprimer une autorisation existante, cliquez sur la croix (X) située à droite de l'autorisation.
    • Pour ajouter des autorisations supplémentaires, cliquez sur Attach Policy (Attacher la stratégie) :
      1. Servez-vous du filtre pour trouver la stratégie souhaitée.
      2. Sélectionnez l'une des stratégies finissant par ReadOnlyAccess (Accès en lecture seule) ou ReadOnly (Lecture seule).
      3. Cliquez sur Attach Policy (Attacher la stratégie).
      4. Répétez l'opération pour ajouter d'autres stratégies.

Ajouter un compte AWS doté d'un accès limité

Reportez-vous aux instructions standards de la section Ajouter un projet ou un compte à un espace de travail. Les instructions de création de votre rôle AWS ne figurent pas dans la documentation utilisateur de Stackdriver, mais sur la page Cloud Monitoring de Google Cloud Console lorsque vous ajoutez un compte AWS. Voici une capture d'écran de ces instructions :

Boîte de dialogue

Voici comment modifier ces instructions :

  1. Recherchez l'étape 7, "Select ReadOnlyAccess from the policy list and click Next: Review" (Sélectionnez ReadOnlyAccess dans la liste des stratégies, puis cliquez sur Suivant : Vérification).

  2. À la place de cette étape, procédez comme suit :

    1. À l'aide du filtre, localisez la stratégie d'autorisation que vous souhaitez utiliser. Sélectionnez une variante ReadOnly de la stratégie, car c'est tout ce dont vous avez besoin.
    2. Répétez l'opération autant de fois que nécessaire pour sélectionner d'autres autorisations.
    3. Lorsque vous avez terminé, cliquez sur Next: Review (Suivant : Vérification). Un panneau de ce type s'affiche :

    Vérifier le rôle

  3. Poursuivez avec les instructions standards.