Izin AWS minimal

Halaman ini menjelaskan cara meminimalkan akses Cloud Monitoring ke akun AWS Anda.

Ringkasan

Jika Anda menggunakan petunjuk standar untuk menambahkan akun AWS sebagai project yang dipantau ke cakupan metrik, Anda memberikan akses hanya baca ke Monitoring ke semua resource AWS Anda. Hal ini dilakukan dengan membuat peran di IAM AWS dengan akses hanya baca ke semua layanan. Google Cloud menyimpan kunci (Role ARN) yang memungkinkan Monitoring menggunakan peran tersebut.

Tingkat akses Monitoring dikontrol oleh peran IAM AWS yang Anda pilih. Untuk meminimalkan akses, buat peran IAM AWS dengan akses hanya baca ke sebagian resource AWS Anda saja, bukan ke semuanya. Misalnya, peran Anda mungkin mengizinkan akses hanya ke CloudWatch dan SNS.

Setiap peran berisi ID Eksternal yang spesifik untuk satu project Google Cloud.

Izin minimal

Kebijakan izin AWS berikut adalah kebijakan minimum yang diperlukan oleh Monitoring. Peran AWS Anda harus berisi setidaknya izin berikut:

AmazonDynamoDBReadOnlyAccess
AmazonEC2ReadOnlyAccess
AmazonElastiCacheReadOnlyAccess
AmazonESReadOnlyAccess
AmazonKinesisReadOnlyAccess
AmazonRedshiftReadOnlyAccess
AmazonRDSReadOnlyAccess
AmazonS3ReadOnlyAccess
AmazonSESReadOnlyAccess
AmazonSNSReadOnlyAccess
AmazonSQSReadOnlyAccess
AmazonVPCReadOnlyAccess
AutoScalingReadOnlyAccess
AWSLambdaReadOnlyAccess
CloudFrontReadOnlyAccess
CloudWatchReadOnlyAccess
CloudWatchEventsReadOnlyAccess

Daftar ini dapat bertambah seiring dengan penambahan layanan AWS baru ke Monitoring. Anda dapat menambahkan izin tambahan untuk menyeimbangkan fungsi Monitoring dengan keinginan Anda untuk terus membatasi akses.

Memodifikasi peran AWS

Jika telah menambahkan akun AWS sebagai project yang dipantau, Anda dapat membatasi akses Monitoring dengan mengubah izin dalam peran AWS yang sudah digunakan:

  1. Login ke akun AWS Anda.
  2. Buka Layanan > IAM > Peran untuk mengakses konsol IAM AWS.

  3. Di bagian bawah halaman, klik nama peran yang Anda gunakan untuk memberikan otorisasi kepada Stackdriver. Di tab Izin, Anda akan melihat daftar izin untuk peran tersebut:

    • Untuk menghapus izin yang ada, klik tanda X di sebelah kanan izin.
    • Untuk menambahkan izin tambahan, klik Lampirkan kebijakan:
      1. Gunakan filter untuk menemukan kebijakan yang Anda inginkan.
      2. Pilih salah satu kebijakan yang berakhiran ReadOnlyAccess atau ReadOnly.
      3. Klik Lampirkan Kebijakan.
      4. Ulangi untuk menambahkan kebijakan lainnya.

Menambahkan akun AWS dengan akses terbatas

Untuk menambahkan akun AWS dengan akses terbatas, ikuti petunjuk standar, kecuali untuk langkah yang menentukan bahwa Anda memilih peran ReadOnlyAccess.

Ganti langkah tersebut dengan kode berikut:

  1. Gunakan filter untuk menemukan kebijakan izin yang ingin Anda gunakan. Pilih varian ReadOnly kebijakan karena Anda hanya memerlukan varian tersebut.
  2. Ulangi seperlunya untuk memilih izin lainnya.
  3. Setelah selesai, klik Berikutnya: Tinjau.
  4. Lanjutkan dengan petunjuk standar.