Permissões mínimas da AWS

Nesta página, explicamos como minimizar o acesso do Stackdriver à sua conta do AWS.

Visão geral

Ao usar as instruções padrão para adicionar uma conta da AWS a um dos espaços de trabalho, você concede acesso somente de leitura do Stackdriver a todos os recursos da AWS. Isso é feito por meio da criação de um papel de IAM da AWS com acesso somente de leitura a todos os serviços. Você armazena na sua conta do Stackdriver uma chave (o ARN do papel) que permite ao Stackdriver usar esse papel.

O nível de acesso do Stackdriver é controlado pelo papel de IAM da AWS selecionado. Para minimizar o acesso, crie um papel de IAM do AWS com acesso somente leitura a apenas alguns dos seus recursos do AWS, e não a todos eles. Por exemplo, seu papel pode permitir acesso apenas ao CloudWatch e ao SNS.

Um papel da AWS usado para autorizar o Stackdriver pode ser utilizado em apenas um espaço de trabalho. Cada papel contém um código externo específico para um único espaço de trabalho.

Permissões mínimas

As seguintes políticas de permissão do AWS são o conjunto mínimo exigido pelo Stackdriver. Seu papel do AWS precisa conter pelo menos estas permissões:

AmazonDynamoDBReadOnlyAccess
AmazonEC2ReadOnlyAccess
AmazonElastiCacheReadOnlyAccess
AmazonESReadOnlyAccess
AmazonKinesisReadOnlyAccess
AmazonRedshiftReadOnlyAccess
AmazonRDSReadOnlyAccess
AmazonS3ReadOnlyAccess
AmazonSESReadOnlyAccess
AmazonSNSReadOnlyAccess
AmazonSQSReadOnlyAccess
AmazonVPCReadOnlyAccess
AutoScalingReadOnlyAccess
AWSLambdaReadOnlyAccess
CloudFrontReadOnlyAccess
CloudWatchReadOnlyAccess
CloudWatchEventsReadOnlyAccess

JSON:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "autoscaling:Describe*",
        "cloudfront:Get*",
        "cloudfront:List*",
        "cloudwatch:Describe*",
        "cloudwatch:Get*",
        "cloudwatch:List*",
        "dynamodb:Describe*",
        "dynamodb:Get*",
        "dynamodb:List*",
        "ec2:Describe*",
        "ec2:Get*",
        "elasticache:Describe*",
        "elasticache:List*",
        "elasticloadbalancing:Describe*",
        "es:Describe*",
        "es:List*",
        "events:Describe*",
        "events:List*",
        "health:Describe*",
        "health:Get*",
        "health:List*",
        "kinesis:Describe*",
        "kinesis:Get*",
        "kinesis:List*",
        "lambda:Get*",
        "lambda:List*",
        "rds:Describe*",
        "rds:List*",
        "redshift:Describe*",
        "redshift:Get*",
        "redshift:View*",
        "s3:Get*",
        "s3:List*",
        "ses:Get*",
        "ses:List*",
        "ses:Describe*",
        "sns:Get*",
        "sns:List*",
        "sqs:Get*",
        "sqs:List*",
        ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

Essa lista pode aumentar à medida que novos serviços do AWS são adicionados ao Stackdriver. Você pode adicionar outras permissões para equilibrar a funcionalidade do Stackdriver com sua decisão de manter o acesso limitado.

Instruções

Como modificar um papel da AWS

Se você já adicionou sua conta da AWS a um espaço de trabalho, limite o acesso ao Stackdriver alterando as permissões no papel da AWS em uso:

  1. Faça login na sua conta da AWS.
  2. Acesse Serviços > IAM > Papéis para acessar o Console do IAM do AWS.
  3. Na parte inferior da página, clique no nome do papel que você está usando para autorizar o Stackdriver. Na guia Permissões, a lista de permissões desse papel é exibida:

    • Para remover uma permissão atual, clique no X à direita da permissão.
    • Para adicionar permissões, clique em Anexar política:
      1. Use o filtro para encontrar a política desejada.
      2. Selecione uma das políticas que terminam em ReadOnlyAccess ou ReadOnly.
      3. Clique em Anexar política.
      4. Repita para adicionar mais políticas.

Como adicionar uma conta do AWS com acesso limitado

Consulte as instruções padrão em Como adicionar uma conta do AWS. As instruções para criar seu papel do AWS não estão na documentação do usuário do Stackdriver, mas aparecem listadas no console do Monitoring quando você adiciona uma conta do AWS. Veja a seguir uma captura de tela com essas instruções.

Autorizar AWS

Veja como modificar essas instruções:

  1. Encontre a etapa 7, "Selecione ReadOnlyAccess na lista de políticas e clique em Próximo: revisar".

  2. Substitua essa etapa pelas instruções a seguir:

    1. Use o filtro para localizar uma política de permissões que você quer usar. Selecione uma variante ReadOnly da política, porque ela é tudo o que você precisa.
    2. Repita a ação conforme necessário para selecionar mais permissões.
    3. Quando terminar, clique em Próximo: revisar. Você verá algo semelhante à imagem abaixo:

    Revisar papel

  3. Continue com as instruções padrão.

Esta página foi útil? Conte sua opinião sobre:

Enviar comentários sobre…

Stackdriver Monitoring
Precisa de ajuda? Acesse nossa página de suporte.