Autorizzazioni AWS minime

Questa pagina spiega come ridurre al minimo l'accesso a Cloud Monitoring al tuo account AWS.

Panoramica

Quando utilizzi le istruzioni standard per aggiungere un account AWS come progetto monitorato a un ambito delle metriche, concedi a Monitoring l'accesso di sola lettura a tutte le tue risorse AWS. Per farlo, crea un ruolo in AWS IAM con accesso di sola lettura a tutti i servizi. Google Cloud archivia la chiave (il Ruolo ARN) che consente a Monitoring di utilizzare questo ruolo.

Il livello di accesso di Monitoring è controllato dal ruolo AWS IAM che scegli. Per ridurre al minimo l'accesso, crea un ruolo AWS IAM con accesso di sola lettura solo ad alcune delle tue risorse AWS, anziché a tutte. Ad esempio, il tuo ruolo potrebbe consentire l'accesso solo a CloudWatch e SNS.

Ogni ruolo contiene un ID esterno specifico per un singolo progetto Google Cloud.

Autorizzazioni minime

I seguenti criteri di autorizzazione AWS sono l'insieme minimo richiesto da Monitoring. Il tuo ruolo AWS deve contenere almeno queste autorizzazioni:

AmazonDynamoDBReadOnlyAccess
AmazonEC2ReadOnlyAccess
AmazonElastiCacheReadOnlyAccess
AmazonESReadOnlyAccess
AmazonKinesisReadOnlyAccess
AmazonRedshiftReadOnlyAccess
AmazonRDSReadOnlyAccess
AmazonS3ReadOnlyAccess
AmazonSESReadOnlyAccess
AmazonSNSReadOnlyAccess
AmazonSQSReadOnlyAccess
AmazonVPCReadOnlyAccess
AutoScalingReadOnlyAccess
AWSLambdaReadOnlyAccess
CloudFrontReadOnlyAccess
CloudWatchReadOnlyAccess
CloudWatchEventsReadOnlyAccess

Questo elenco potrebbe allungarsi man mano che nuovi servizi AWS verranno aggiunti a Monitoring. Puoi aggiungere ulteriori autorizzazioni per bilanciare le funzionalità di Monitoring con il tuo interesse a mantenere l'accesso limitato.

Modifica di un ruolo AWS

Se hai già aggiunto il tuo account AWS come progetto monitorato, puoi limitare l'accesso a Monitoring modificando le autorizzazioni nel ruolo AWS che stai già utilizzando:

  1. Accedi al tuo account AWS.
  2. Vai a Servizi > IAM > Ruoli per accedere alla console AWS IAM.

  3. In fondo alla pagina, fai clic sul nome del ruolo che stai utilizzando per autorizzare Stackdriver. Nella scheda Autorizzazioni viene visualizzato l'elenco delle autorizzazioni per tale ruolo:

    • Per rimuovere un'autorizzazione esistente, fai clic sulla X a destra dell'autorizzazione.
    • Per aggiungere altre autorizzazioni, fai clic su Collega criterio:
      1. Usa il filtro per trovare il criterio che ti interessa.
      2. Seleziona uno dei criteri che terminano con ReadOnlyAccess o ReadOnly.
      3. Fai clic su Allega criterio.
      4. Ripeti la procedura per aggiungere altri criteri.

Aggiunta di un account AWS con accesso limitato

Per aggiungere un account AWS con accesso limitato, segui le istruzioni standard, tranne per il passaggio che specifica di selezionare il ruolo ReadOnlyAccess.

Sostituisci questo passaggio con il seguente:

  1. Utilizza il filtro per individuare il criterio di autorizzazione che vuoi utilizzare. Seleziona una variante ReadOnly del criterio perché è tutto ciò di cui hai bisogno.
  2. Ripeti queste operazioni in base alle necessità per selezionare altre autorizzazioni.
  3. Al termine, fai clic su Avanti: esamina.
  4. Continua con le istruzioni standard.