最小 AWS 权限

本页介绍了如何最大程度减小 Cloud Monitoring 对 AWS 帐号的访问权限。

概览

使用标准说明将 AWS 帐号添加到某个工作区时,您需向 Monitoring 授予对所有 AWS 的只读权限资源。这是通过在 AWS IAM 中创建对所有服务都具有只读权限的角色实现的。您会在工作区中存储一个键(角色 ARN),Monitoring 可通过此键使用该角色。

Monitoring 的访问级别由您选择的 AWS IAM 角色控制。要尽可能减小访问权限,请创建只对某些 AWS 资源具有只读权限的 AWS IAM 角色,而不创建对所有 AWS 资源均具有只读权限的 AWS IAM 角色。例如,您的角色可能只允许访问 CloudWatch 和 SNS。

用于授权 Monitoring 的 AWS 角色只能在一个工作区中使用。每个角色都包含特定于一个工作区的外部 ID

最小权限

以下 AWS 权限政策是 Monitoring 所需的最小集合。您的 AWS 角色必须至少包含以下权限:

AmazonDynamoDBReadOnlyAccess
AmazonEC2ReadOnlyAccess
AmazonElastiCacheReadOnlyAccess
AmazonESReadOnlyAccess
AmazonKinesisReadOnlyAccess
AmazonRedshiftReadOnlyAccess
AmazonRDSReadOnlyAccess
AmazonS3ReadOnlyAccess
AmazonSESReadOnlyAccess
AmazonSNSReadOnlyAccess
AmazonSQSReadOnlyAccess
AmazonVPCReadOnlyAccess
AutoScalingReadOnlyAccess
AWSLambdaReadOnlyAccess
CloudFrontReadOnlyAccess
CloudWatchReadOnlyAccess
CloudWatchEventsReadOnlyAccess

随着新 AWS 服务添加到 Monitoring,此列表可能会扩展。您可以添加其他权限以平衡 Monitoring 与限制访问权限的需求。

修改 AWS 角色

如果您已将 AWS 帐号添加到工作区,则可以通过更改已在使用的 AWS 角色中的权限来限制 Monitoring 访问:

  1. 登录您的 AWS 帐号。
  2. 转到 Services > IAM > Roles,访问 AWS IAM 控制台。
  3. 在页面底部,点击您用于对 Stackdriver 进行授权的角色名称。在 Permissions 标签中,您可以看到该角色的权限列表:

    • 要删除现有权限,请点击权限右侧的 X
    • 要添加其他权限,请点击 Attach policy
      1. 使用过滤器查找所需政策。
      2. 选择以 ReadOnlyAccessReadOnly 结尾的某个政策。
      3. 点击 Attach policy
      4. 重复操作步骤,添加更多政策。

添加访问受限的 AWS 帐号

如需查看标准说明,请参阅将项目或帐号添加到工作区。Stackdriver 用户文档中未提供创建 AWS 角色的说明,但当您添加 AWS 帐号时,Google Cloud Console 中的 Cloud Monitoring 页面内列出了这些说明。以下是这些说明的屏幕截图。

添加要求提供角色 ARN 和帐号说明的 AWS 帐号对话框。

以下是修改这些说明的方法:

  1. 找到步骤 7,“Select ReadOnlyAccess from the policy list and click Next: Review.”。

  2. 将该步骤替换为以下操作:

    1. 使用过滤器查找要使用的权限政策。选择该政策的 ReadOnly 变体,因为您只需要该变体。
    2. 根据需要重复该步骤,选择更多权限。
    3. 完成后,点击 Next: Review。您会看到如下内容:

    审核角色

  3. 继续按照标准说明操作。