Autorizzazioni AWS minime

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Questa pagina spiega come ridurre al minimo l'accesso di Cloud Monitoring al tuo account AWS.

Panoramica

Quando utilizzi le istruzioni standard per aggiungere un account AWS come progetto monitorato a un ambito delle metriche, concedi a Monitoring l'accesso in sola lettura a tutte le tue risorse AWS. A tal fine, crea un ruolo in AWS IAM con accesso in sola lettura a tutti i servizi. Google Cloud archivia la chiave (l'ARN del ruolo) che consente a Monitoring di utilizzare tale ruolo.

Il livello di accesso di Monitoring è controllato dal ruolo AWS IAM che scegli. Per ridurre al minimo l'accesso, crea un ruolo AWS IAM con accesso in sola lettura solo ad alcune risorse AWS, anziché a tutte. Ad esempio, il tuo ruolo potrebbe consentire l'accesso solo a CloudWatch e SNS.

Ogni ruolo contiene un ID esterno specifico per un singolo progetto Google Cloud.

Autorizzazioni minime

I seguenti criteri di autorizzazione AWS sono l'insieme minimo richiesto da Monitoring. Il ruolo AWS deve contenere almeno queste autorizzazioni:

AmazonDynamoDBReadOnlyAccess
AmazonEC2ReadOnlyAccess
AmazonElastiCacheReadOnlyAccess
AmazonESReadOnlyAccess
AmazonKinesisReadOnlyAccess
AmazonRedshiftReadOnlyAccess
AmazonRDSReadOnlyAccess
AmazonS3ReadOnlyAccess
AmazonSESReadOnlyAccess
AmazonSNSReadOnlyAccess
AmazonSQSReadOnlyAccess
AmazonVPCReadOnlyAccess
AutoScalingReadOnlyAccess
AWSLambdaReadOnlyAccess
CloudFrontReadOnlyAccess
CloudWatchReadOnlyAccess
CloudWatchEventsReadOnlyAccess

Questo elenco potrebbe crescere quando vengono aggiunti nuovi servizi AWS a Monitoring. Puoi aggiungere altre autorizzazioni per bilanciare le funzionalità di Monitoring con il tuo desiderio di mantenere l'accesso limitato.

Modifica di un ruolo AWS

Se hai già aggiunto il tuo account AWS come progetto monitorato, puoi limitare l'accesso a Monitoring modificando le autorizzazioni nel ruolo AWS già in uso:

  1. Accedi al tuo account AWS.
  2. Vai a Servizi > IAM > Ruoli per accedere alla console AWS IAM.
  3. Nella parte inferiore della pagina, fai clic sul nome del ruolo che utilizzi per autorizzare Stackdriver. Nella scheda Autorizzazioni viene visualizzato l'elenco delle autorizzazioni per il ruolo:

    • Per rimuovere un'autorizzazione esistente, fai clic sulla X a destra dell'autorizzazione.
    • Per aggiungere altre autorizzazioni, fai clic su Allega criterio:
      1. Utilizza il filtro per trovare il criterio che ti interessa.
      2. Seleziona uno dei criteri che terminano con ReadOnlyAccess o ReadOnly.
      3. Fai clic su Allega criterio.
      4. Ripeti la procedura per aggiungere altri criteri.

Aggiunta di un account AWS con accesso limitato

Per aggiungere un account AWS con accesso limitato, segui le istruzioni standard tranne il passaggio che specifica la selezione del ruolo ReadOnlyAccess.

Sostituisci questo passaggio con il seguente:

  1. Utilizza il filtro per individuare un criterio di autorizzazioni che vuoi utilizzare. Seleziona una variante sola lettura del criterio perché è tutto ciò che ti serve.
  2. Ripeti l'operazione in base alle esigenze per selezionare altre autorizzazioni.
  3. Al termine, fai clic su Successivo: esamina.
  4. Continua con le istruzioni standard.