最低 AWS 權限

本頁面說明如何將 Stackdriver 對於 AWS 帳戶的存取減到最少。

總覽

當您使用標準操作說明將 AWS 帳戶新增至您的其中一個工作區時,您會授予 Stackdriver 對所有 AWS 資源的唯讀權限。這可以透過在 AWS 身分與存取權管理中建立對所有服務具有唯讀權限的角色來達成。您會在工作區中儲存一個金鑰 (角色 ARN),讓 Stackdriver 使用該角色。

Stackdriver 的存取層級受您選擇的 AWS 身分與存取權管理角色控制。 如要減少存取,請建立只對某些 AWS 資源 (而非所有 AWS 資源) 具有唯讀權限的 AWS 身分與存取權管理角色。例如,您的角色可能只允許存取 CloudWatch 與 SNS。

用來授權 Stackdriver 的 AWS 角色只能在一個工作區中使用。 每個角色都包含單一工作區專屬的外部 ID

最低權限

以下 AWS 權限政策是 Stackdriver 需要的最低一組權限政策。您的 AWS 角色必須至少包含以下這些權限:

AmazonDynamoDBReadOnlyAccess
AmazonEC2ReadOnlyAccess
AmazonElastiCacheReadOnlyAccess
AmazonESReadOnlyAccess
AmazonKinesisReadOnlyAccess
AmazonRedshiftReadOnlyAccess
AmazonRDSReadOnlyAccess
AmazonS3ReadOnlyAccess
AmazonSESReadOnlyAccess
AmazonSNSReadOnlyAccess
AmazonSQSReadOnlyAccess
AmazonVPCReadOnlyAccess
AutoScalingReadOnlyAccess
AWSLambdaReadOnlyAccess
CloudFrontReadOnlyAccess
CloudWatchReadOnlyAccess
CloudWatchEventsReadOnlyAccess

JSON:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "autoscaling:Describe*",
        "cloudfront:Get*",
        "cloudfront:List*",
        "cloudwatch:Describe*",
        "cloudwatch:Get*",
        "cloudwatch:List*",
        "dynamodb:Describe*",
        "dynamodb:Get*",
        "dynamodb:List*",
        "ec2:Describe*",
        "ec2:Get*",
        "elasticache:Describe*",
        "elasticache:List*",
        "elasticloadbalancing:Describe*",
        "es:Describe*",
        "es:List*",
        "events:Describe*",
        "events:List*",
        "health:Describe*",
        "health:Get*",
        "health:List*",
        "kinesis:Describe*",
        "kinesis:Get*",
        "kinesis:List*",
        "lambda:Get*",
        "lambda:List*",
        "rds:Describe*",
        "rds:List*",
        "redshift:Describe*",
        "redshift:Get*",
        "redshift:View*",
        "s3:Get*",
        "s3:List*",
        "ses:Get*",
        "ses:List*",
        "ses:Describe*",
        "sns:Get*",
        "sns:List*",
        "sqs:Get*",
        "sqs:List*",
        ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

此清單會隨著新 AWS 服務新增到 Stackdriver 中而變大。 如果您想要保持存取權受到限制,可以新增其他權限來平衡 Stackdriver 的功能性。

操作說明

修改 AWS 角色

如果您已將 AWS 帳戶新增至工作區,可以變更您已在使用的 AWS 角色中的權限來限制 Stackdriver 存取:

  1. 登入您的 AWS 帳戶。
  2. 前往「Services」(服務) >「IAM」(身分與存取權管理) >「Roles」(角色),進入 AWS 身分與存取權管理主控台。
  3. 在頁面底部,按一下您目前用來授權 Stackdriver 的角色名稱。您會在「Permissions」(權限) 分頁中看見該角色的權限清單:

    • 如要移除現有權限,請按一下權限右側的 [X]
    • 如要新增其他權限,請按一下 [Attach policy] (附加政策)
      1. 使用篩選器來尋找您要的政策。
      2. 選取以 ReadOnlyAccessReadOnly 結尾的其中一個政策。
      3. 按一下 [Attach Policy] (附加政策)
      4. 重複以上動作,新增更多政策。

新增存取權受限的 AWS 帳戶

請參閱新增 AWS 帳戶的標準操作說明。建立 AWS 角色的操作說明不在 Stackdriver 使用者說明文件中,而是在您新增 AWS 時列在 Monitoring 主控台內。以下是這些操作說明的螢幕擷取畫面。

授權 AWS

以下是修改這些操作說明的方式:

  1. 尋找步驟 7「Select ReadOnlyAccess from the policy list and click Next: Review.」(從政策清單中選取 [ReadOnlyAccess],並按一下 [Next: Review] (下一步:審核))。

  2. 將該步驟取代為以下步驟:

    1. 使用篩選器尋找您要使用的權限政策。選取政策的 ReadOnly 變因,因為您就只需要該變因。
    2. 視需要重複,以選取更多權限。
    3. 完成時,按一下 [Next: Review] (下一步:審核)。您會看到類似以下的畫面:

    審核角色

  3. 參考標準操作說明繼續進行。

本頁內容對您是否有任何幫助?請提供意見:

傳送您對下列選項的寶貴意見...

這個網頁
Stackdriver Monitoring
需要協助嗎?請前往我們的支援網頁