Nesta página, explicamos como minimizar o acesso do Cloud Monitoring à sua conta da AWS.
Informações gerais
Ao usar as instruções padrão para adicionar uma conta da AWS como projeto monitorado a um escopo de métricas, você concede ao Monitoring acesso somente leitura a todos os recursos da AWS. Isso é feito por meio da criação de um papel de IAM da AWS com acesso somente leitura a todos os serviços. O Google Cloud armazena a chave (o ARN do papel) que permite ao Monitoring usar esse papel.
O nível de acesso do Monitoring é controlado pelo papel de IAM da AWS escolhido. Para minimizar o acesso, crie um papel de IAM do AWS com acesso somente leitura a apenas alguns dos seus recursos do AWS, e não a todos eles. Por exemplo, seu papel pode permitir acesso apenas ao CloudWatch e ao SNS.
Cada papel contém um ID externo específico para um único projeto do Google Cloud.
Permissões mínimas
As seguintes políticas de permissão da AWS são o conjunto mínimo exigido pelo Monitoring. Seu papel da AWS precisa conter pelo menos estas permissões:
AmazonDynamoDBReadOnlyAccess
AmazonEC2ReadOnlyAccess
AmazonElastiCacheReadOnlyAccess
AmazonESReadOnlyAccess
AmazonKinesisReadOnlyAccess
AmazonRedshiftReadOnlyAccess
AmazonRDSReadOnlyAccess
AmazonS3ReadOnlyAccess
AmazonSESReadOnlyAccess
AmazonSNSReadOnlyAccess
AmazonSQSReadOnlyAccess
AmazonVPCReadOnlyAccess
AutoScalingReadOnlyAccess
AWSLambdaReadOnlyAccess
CloudFrontReadOnlyAccess
CloudWatchReadOnlyAccess
CloudWatchEventsReadOnlyAccess
Essa lista pode aumentar à medida que novos serviços da AWS são adicionados ao Monitoring. É possível incluir outras permissões para equilibrar a funcionalidade do Monitoring com sua decisão de manter o acesso limitado.
Como modificar um papel da AWS
Se você já adicionou sua conta da AWS como um projeto monitorado, é possível limitar o acesso do Monitoring alterando as permissões no papel da AWS que já está usando:
- Faça login na sua conta da AWS.
- Acesse Serviços > IAM > Papéis para acessar o Console do IAM do AWS.
Na parte inferior da página, clique no nome do papel que você está usando para autorizar o Stackdriver. Na guia Permissões, a lista de permissões desse papel é exibida:
- Para remover uma permissão existente, clique no X à direita da permissão.
- Para adicionar outras permissões, clique em Anexar política:
- Use o filtro para encontrar a política desejada.
- Selecione uma das políticas que terminam em ReadOnlyAccess ou ReadOnly.
- Clique em Anexar política.
- Repita para adicionar mais políticas.
Como adicionar uma conta da AWS com acesso limitado
Para adicionar uma conta da AWS com acesso limitado, siga as instruções padrão, exceto a etapa que especifica que você selecionou o papel ReadOnlyAccess.
Substitua essa etapa pelas instruções a seguir:
- Use o filtro para localizar uma política de permissões que você quer usar. Selecione uma variante ReadOnly da política, porque ela é tudo o que você precisa.
- Repita a ação conforme necessário para selecionar mais permissões.
- Quando terminar, clique em Próximo: revisar.
- Continue com as instruções padrão.