Permissões mínimas da AWS

Nesta página, explicamos como minimizar o acesso do Cloud Monitoring à sua conta da AWS.

Visão geral

Ao usar as instruções padrão para adicionar uma conta da AWS como projeto monitorado a um escopo de métricas, você concede ao Monitoring acesso somente leitura a todos os recursos da AWS. Isso é feito por meio da criação de um papel de IAM da AWS com acesso somente leitura a todos os serviços. O Google Cloud armazena a chave (o ARN do papel) que permite ao Monitoring usar esse papel.

O nível de acesso do Monitoring é controlado pelo papel de IAM da AWS escolhido. Para minimizar o acesso, crie um papel de IAM do AWS com acesso somente leitura a apenas alguns dos seus recursos do AWS, e não a todos eles. Por exemplo, seu papel pode permitir acesso apenas ao CloudWatch e ao SNS.

Cada papel contém um ID externo específico para um único projeto do Google Cloud.

Permissões mínimas

As seguintes políticas de permissão da AWS são o conjunto mínimo exigido pelo Monitoring. Seu papel da AWS precisa conter pelo menos estas permissões:

AmazonDynamoDBReadOnlyAccess
AmazonEC2ReadOnlyAccess
AmazonElastiCacheReadOnlyAccess
AmazonESReadOnlyAccess
AmazonKinesisReadOnlyAccess
AmazonRedshiftReadOnlyAccess
AmazonRDSReadOnlyAccess
AmazonS3ReadOnlyAccess
AmazonSESReadOnlyAccess
AmazonSNSReadOnlyAccess
AmazonSQSReadOnlyAccess
AmazonVPCReadOnlyAccess
AutoScalingReadOnlyAccess
AWSLambdaReadOnlyAccess
CloudFrontReadOnlyAccess
CloudWatchReadOnlyAccess
CloudWatchEventsReadOnlyAccess

Essa lista pode aumentar à medida que novos serviços da AWS são adicionados ao Monitoring. É possível incluir outras permissões para equilibrar a funcionalidade do Monitoring com sua decisão de manter o acesso limitado.

Como modificar um papel da AWS

Se você já adicionou sua conta da AWS como um projeto monitorado, é possível limitar o acesso do Monitoring alterando as permissões no papel da AWS que já está usando:

  1. Faça login na sua conta da AWS.
  2. Acesse Serviços > IAM > Papéis para acessar o Console do IAM do AWS.
  3. Na parte inferior da página, clique no nome do papel que você está usando para autorizar o Stackdriver. Na guia Permissões, a lista de permissões desse papel é exibida:

    • Para remover uma permissão existente, clique no X à direita da permissão.
    • Para adicionar permissões, clique em Anexar política:
      1. Use o filtro para encontrar a política desejada.
      2. Selecione uma das políticas que terminam em ReadOnlyAccess ou ReadOnly.
      3. Clique em Anexar política.
      4. Repita para adicionar mais políticas.

Como adicionar uma conta da AWS com acesso limitado

Para adicionar uma conta da AWS com acesso limitado, siga as instruções padrão, exceto a etapa que especifica que você selecionou o papel ReadOnlyAccess.

Substitua essa etapa pelas instruções a seguir:

  1. Use o filtro para localizar uma política de permissões que você quer usar. Selecione uma variante ReadOnly da política, porque ela é tudo o que você precisa.
  2. Repita a ação conforme necessário para selecionar mais permissões.
  3. Quando terminar, clique em Próximo: revisar.
  4. Continue com as instruções padrão.