本页介绍了如何最大程度减小 Cloud Monitoring 对 AWS 账号的访问权限。
概览
在使用标准说明将 AWS 账号作为监控项目添加到指标范围时,您需要授予 Monitoring 对所有 AWS 资源的只读权限。这是通过在 AWS IAM 中创建对所有服务都具有只读权限的角色实现的。Google Cloud 存储允许 Monitoring 使用该角色的密钥(角色 ARN)。
Monitoring 的访问级别由您选择的 AWS IAM 角色控制。要尽可能减小访问权限,请创建只对某些 AWS 资源具有只读权限的 AWS IAM 角色,而不创建对所有 AWS 资源均具有只读权限的 AWS IAM 角色。例如,您的角色可能只允许访问 CloudWatch 和 SNS。
每个角色都包含 Google Cloud 项目特定的外部 ID。
最小权限
以下 AWS 权限政策是 Monitoring 所需的最小集合。您的 AWS 角色必须至少包含以下权限:
AmazonDynamoDBReadOnlyAccess
AmazonEC2ReadOnlyAccess
AmazonElastiCacheReadOnlyAccess
AmazonESReadOnlyAccess
AmazonKinesisReadOnlyAccess
AmazonRedshiftReadOnlyAccess
AmazonRDSReadOnlyAccess
AmazonS3ReadOnlyAccess
AmazonSESReadOnlyAccess
AmazonSNSReadOnlyAccess
AmazonSQSReadOnlyAccess
AmazonVPCReadOnlyAccess
AutoScalingReadOnlyAccess
AWSLambdaReadOnlyAccess
CloudFrontReadOnlyAccess
CloudWatchReadOnlyAccess
CloudWatchEventsReadOnlyAccess
随着新 AWS 服务添加到 Monitoring,此列表可能会扩展。您可以添加其他权限以平衡 Monitoring 与限制访问权限的需求。
修改 AWS 角色
如果您已将 AWS 账号添加为受监控的项目,则可以通过更改已在使用的 AWS 角色中的权限来限制 Monitoring 访问权限:
- 登录您的 AWS 账号。
- 转到 Services > IAM > Roles,访问 AWS IAM 控制台。
在页面底部,点击您用于对 Stackdriver 进行授权的角色名称。在 Permissions 标签中,您可以看到该角色的权限列表:
- 要删除现有权限,请点击权限右侧的 X。
- 要添加其他权限,请点击 Attach policy:
- 使用过滤器查找所需政策。
- 选择以 ReadOnlyAccess 或 ReadOnly 结尾的某个政策。
- 点击 Attach policy。
- 重复操作步骤,添加更多政策。
添加访问受限的 AWS 账号
如需添加访问受限的 AWS 账号,请按照标准说明执行操作(指定 ReadOnlyAccess 角色的步骤除外)。
将该步骤替换为以下操作:
- 使用过滤器查找要使用的权限政策。选择该政策的 ReadOnly 变体,因为您只需要该变体。
- 根据需要重复该步骤,选择更多权限。
- 完成后,点击 Next: Review。
- 继续按照标准说明操作。