最小 AWS 权限

本页介绍了如何尽可能减小 Stackdriver 对您的 AWS 帐号的访问权限。

概览

在使用标准说明将 AWS 帐号添加到其中一个工作区时,您便授予 Stackdriver 对所有 AWS 资源的只读权限。这是通过在 AWS IAM 中创建对所有服务都具有只读权限的角色实现的。您会在工作区中存储一个键(角色 ARN),Stackdriver 可通过此键使用该角色。

Stackdriver 的访问级别由您选择的 AWS IAM 角色控制。要尽可能减小访问权限,请创建只对某些 AWS 资源具有只读权限的 AWS IAM 角色,而不创建对所有 AWS 资源均具有只读权限的 AWS IAM 角色。例如,您的角色可能只允许访问 CloudWatch 和 SNS。

用于对 Stackdriver 授权的 AWS 角色只能在一个工作区中使用。每个角色都包含特定于一个工作区的外部 ID

最小权限

以下 AWS 权限政策是 Stackdriver 所需的最小集合。您的 AWS 角色必须至少包含以下权限:

AmazonDynamoDBReadOnlyAccess
AmazonEC2ReadOnlyAccess
AmazonElastiCacheReadOnlyAccess
AmazonESReadOnlyAccess
AmazonKinesisReadOnlyAccess
AmazonRedshiftReadOnlyAccess
AmazonRDSReadOnlyAccess
AmazonS3ReadOnlyAccess
AmazonSESReadOnlyAccess
AmazonSNSReadOnlyAccess
AmazonSQSReadOnlyAccess
AmazonVPCReadOnlyAccess
AutoScalingReadOnlyAccess
AWSLambdaReadOnlyAccess
CloudFrontReadOnlyAccess
CloudWatchReadOnlyAccess
CloudWatchEventsReadOnlyAccess

JSON:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "autoscaling:Describe*",
        "cloudfront:Get*",
        "cloudfront:List*",
        "cloudwatch:Describe*",
        "cloudwatch:Get*",
        "cloudwatch:List*",
        "dynamodb:Describe*",
        "dynamodb:Get*",
        "dynamodb:List*",
        "ec2:Describe*",
        "ec2:Get*",
        "elasticache:Describe*",
        "elasticache:List*",
        "elasticloadbalancing:Describe*",
        "es:Describe*",
        "es:List*",
        "events:Describe*",
        "events:List*",
        "health:Describe*",
        "health:Get*",
        "health:List*",
        "kinesis:Describe*",
        "kinesis:Get*",
        "kinesis:List*",
        "lambda:Get*",
        "lambda:List*",
        "rds:Describe*",
        "rds:List*",
        "redshift:Describe*",
        "redshift:Get*",
        "redshift:View*",
        "s3:Get*",
        "s3:List*",
        "ses:Get*",
        "ses:List*",
        "ses:Describe*",
        "sns:Get*",
        "sns:List*",
        "sqs:Get*",
        "sqs:List*",
        ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

随着新 AWS 服务添加到 Stackdriver,此列表可能会扩展。您可以添加其他权限来平衡 Stackdriver 功能,以满足您保持访问受限的需求。

说明

修改 AWS 角色

如果您已将 AWS 帐号添加到工作区,则可以通过更改正在使用的 AWS 角色中的权限来限制 Stackdriver 访问:

  1. 登录您的 AWS 帐号。
  2. 转到 Services > IAM > Roles,访问 AWS IAM 控制台。
  3. 在页面底部,点击您用于对 Stackdriver 进行授权的角色名称。在 Permissions 标签中,您可以看到该角色的权限列表:

    • 要移除现有权限,请点击权限右侧的 X
    • 要添加其他权限,请点击 Attach policy
      1. 使用过滤器查找所需政策。
      2. 选择以 ReadOnlyAccessReadOnly 结尾的某个政策。
      3. 点击 Attach policy
      4. 重复操作步骤,添加更多政策。

添加访问受限的 AWS 帐号

请参阅添加 AWS 帐号中的标准说明。Stackdriver 用户文档中未包含创建 AWS 角色的说明,但该说明会在添加 AWS 帐号时列在 Monitoring 控制台内。以下是这些说明的屏幕截图。

向 AWS 授权

以下是修改这些说明的方法:

  1. 找到步骤 7,“Select ReadOnlyAccess from the policy list and click Next: Review.”。

  2. 将该步骤替换为以下操作:

    1. 使用过滤器查找要使用的权限政策。选择该政策的 ReadOnly 变体,因为您只需要该变体。
    2. 根据需要重复该步骤,选择更多权限。
    3. 完成后,点击 Next: Review。您会看到如下内容:

    审核角色

  3. 继续按照标准说明操作。

此页内容是否有用?请给出您的反馈和评价:

发送以下问题的反馈:

此网页
Stackdriver Monitoring
需要帮助?请访问我们的支持页面