Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Sicherheit in Amazon Managed Grafana
Cloud-Sicherheit hat AWS höchste Priorität. Als AWS Kunde profitieren Sie von Rechenzentren und Netzwerkarchitekturen, die darauf ausgelegt sind, die Anforderungen der sicherheitssensibelsten Unternehmen zu erfüllen.
Sicherheit ist eine gemeinsame AWS Verantwortung von Ihnen und Ihnen. Das [Modell der geteilten Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) beschreibt dies als Sicherheit *der* Cloud und Sicherheit *in* der Cloud:
+ **Sicherheit der Cloud** — AWS ist verantwortlich für den Schutz der Infrastruktur, die AWS Dienste in der AWS Cloud ausführt. AWS bietet Ihnen auch Dienste, die Sie sicher nutzen können. Externe Prüfer testen und verifizieren regelmäßig die Wirksamkeit unserer Sicherheitsmaßnahmen im Rahmen der [AWS](https://aws.amazon.com/compliance/programs/) . Weitere Informationen zu den Compliance-Programmen, die für Amazon Managed Grafana gelten, finden Sie unter [AWS Services im Bereich nach Compliance-Programm AWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Sicherheit in der Cloud** — Ihre Verantwortung richtet sich nach dem AWS Service, den Sie nutzen. Sie sind auch für andere Faktoren verantwortlich, etwa für die Vertraulichkeit Ihrer Daten, für die Anforderungen Ihres Unternehmens und für die geltenden Gesetze und Vorschriften.
Diese Dokumentation hilft Ihnen zu verstehen, wie Sie das Modell der gemeinsamen Verantwortung bei der Verwendung von Amazon Managed Grafana anwenden können. In den folgenden Themen erfahren Sie, wie Sie Amazon Managed Grafana konfigurieren, um Ihre Sicherheits- und Compliance-Ziele zu erreichen. Sie erfahren auch, wie Sie andere AWS Dienste nutzen können, mit denen Sie Ihre Amazon Managed Grafana-Ressourcen überwachen und sichern können.
**Topics**
+ [Datenschutz in AWS](data-protection.md)
+ [Identity and Access Management für Amazon Managed Grafana](security-iam.md)
+ [Amazon Managed Grafana-Berechtigungen und Richtlinien für AWS Datenquellen](AMG-manage-permissions.md)
+ [IAM-Berechtigungen](AMG-and-IAM.md)
+ [Konformitätsvalidierung für Amazon Managed Grafana](AMG-compliance.md)
+ [Resilienz in Amazon Managed Grafana](disaster-recovery-resiliency.md)
+ [Infrastruktursicherheit in Amazon Managed Grafana](infrastructure-security.md)
+ [Protokollieren von Amazon Managed Grafana-API-Aufrufen mit AWS CloudTrail](logging-using-cloudtrail.md)
+ [Bewährte Methoden für die Gewährleistung der Sicherheit](AMG-Security-Best-Practices.md)
+ [Schnittstellen-VPC-Endpunkte](VPC-endpoints.md)
# Datenschutz in AWS
Das AWS [Modell](https://aws.amazon.com/compliance/shared-responsibility-model/) der gilt für den Datenschutz in Amazon Managed Grafana. Wie in diesem Modell beschrieben, AWS ist es verantwortlich für den Schutz der globalen Infrastruktur, auf der AWS Cloud alle Systeme laufen. Sie sind dafür verantwortlich, die Kontrolle über Ihre in dieser Infrastruktur gehosteten Inhalte zu behalten. Sie sind auch für die Sicherheitskonfiguration und die Verwaltungsaufgaben für die von Ihnen verwendeten AWS-Services verantwortlich. Weitere Informationen zum Datenschutz finden Sie unter [Häufig gestellte Fragen zum Datenschutz](https://aws.amazon.com/compliance/data-privacy-faq/). Informationen zum Datenschutz in Europa finden Sie im Blog-Beitrag [AWS -Modell der geteilten Verantwortung und in der DSGVO](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) im *AWS -Sicherheitsblog*.
Aus Datenschutzgründen empfehlen wir, dass Sie AWS-Konto Anmeldeinformationen schützen und einzelne Benutzer mit AWS IAM Identity Center oder AWS Identity and Access Management (IAM) einrichten. So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind. Außerdem empfehlen wir, die Daten mit folgenden Methoden schützen:
+ Verwenden Sie für jedes Konto die Multi-Faktor-Authentifizierung (MFA).
+ Wird verwendet SSL/TLS , um mit AWS Ressourcen zu kommunizieren. Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Richten Sie die API und die Protokollierung von Benutzeraktivitäten mit ein AWS CloudTrail. Informationen zur Verwendung von CloudTrail Pfaden zur Erfassung von AWS Aktivitäten finden Sie unter [Arbeiten mit CloudTrail Pfaden](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) im *AWS CloudTrail Benutzerhandbuch*.
+ Verwenden Sie AWS Verschlüsselungslösungen zusammen mit allen darin enthaltenen Standardsicherheitskontrollen AWS-Services.
+ Verwenden Sie erweiterte verwaltete Sicherheitsservices wie Amazon Macie, die dabei helfen, in Amazon S3 gespeicherte persönliche Daten zu erkennen und zu schützen.
+ Wenn Sie für den Zugriff AWS über eine Befehlszeilenschnittstelle oder eine API FIPS 140-3-validierte kryptografische Module benötigen, verwenden Sie einen FIPS-Endpunkt. Weitere Informationen über verfügbare FIPS-Endpunkte finden Sie unter [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Wir empfehlen dringend, in Freitextfeldern, z. B. im Feld **Name**, keine vertraulichen oder sensiblen Informationen wie die E-Mail-Adressen Ihrer Kunden einzugeben. Dies gilt auch, wenn Sie mit Amazon Managed Grafana oder anderen AWS-Services über die Konsole AWS CLI, API oder AWS SDKs arbeiten. Alle Daten, die Sie in Tags oder Freitextfelder eingeben, die für Namen verwendet werden, können für Abrechnungs- oder Diagnoseprotokolle verwendet werden. Wenn Sie eine URL für einen externen Server bereitstellen, empfehlen wir dringend, keine Anmeldeinformationen zur Validierung Ihrer Anforderung an den betreffenden Server in die URL einzuschließen.
## Datenschutz in Amazon Managed Grafana
Amazon Managed Grafana sammelt und speichert die folgenden Arten von Daten:
+ Vom Kunden bereitgestellte Dashboard- und Warnkonfigurationen für Grafana-Arbeitsbereiche.
+ Grafana-Dashboard-Schnappschüsse, die Sie in Ihrem Workspace gespeichert haben.
+ Eine Liste der AWS IAM Identity Center Benutzer, denen Zugriff auf den Grafana-Workspace gewährt wurde, einschließlich der Benutzernamen und E-Mail-Adressen der Benutzer.
Die Daten, die Amazon Managed Grafana speichert, sind verschlüsselt. AWS Key Management ServiceÜbertragene Daten werden automatisch mit Secure Sockets Layer (SSL) verschlüsselt.
# Identity and Access Management für Amazon Managed Grafana
AWS Identity and Access Management (IAM) hilft einem Administrator AWS-Service , den Zugriff auf Ressourcen sicher zu kontrollieren. AWS IAM-Administratoren kontrollieren, wer *authentifiziert* (angemeldet) und *autorisiert* werden kann (über Berechtigungen verfügt), um Amazon Managed Grafana-Ressourcen zu verwenden. IAM ist ein Programm AWS-Service , das Sie ohne zusätzliche Kosten nutzen können.
**Topics**
+ [Zielgruppe](#security_iam_audience)
+ [Authentifizierung mit Identitäten](#security_iam_authentication)
+ [Verwalten des Zugriffs mit Richtlinien](#security_iam_access-manage)
+ [So funktioniert Amazon Managed Grafana mit IAM](security_iam_service-with-iam.md)
+ [Beispiele für identitätsbasierte Richtlinien für Amazon Managed Grafana](security_iam_id-based-policy-examples.md)
+ [AWS verwaltete Richtlinien für Amazon Managed Grafana](security-iam-awsmanpol.md)
+ [Fehlerbehebung bei Amazon Managed Grafana-Identität und Zugriff](security_iam_troubleshoot.md)
+ [Serviceübergreifende Confused-Deputy-Prävention](cross-service-confused-deputy-prevention.md)
+ [Verwenden von serviceverknüpften Rollen für Amazon Managed Grafana](using-service-linked-roles.md)
## Zielgruppe
Wie Sie AWS Identity and Access Management (IAM) verwenden, hängt von Ihrer Rolle ab:
+ **Servicebenutzer** – Fordern Sie von Ihrem Administrator Berechtigungen an, wenn Sie nicht auf Features zugreifen können (siehe [Fehlerbehebung bei Amazon Managed Grafana-Identität und Zugriff](security_iam_troubleshoot.md)).
+ **Serviceadministrator** – Bestimmen Sie den Benutzerzugriff und stellen Sie Berechtigungsanfragen (siehe [So funktioniert Amazon Managed Grafana mit IAM](security_iam_service-with-iam.md)).
+ **IAM-Administrator** – Schreiben Sie Richtlinien zur Zugriffsverwaltung (siehe [Beispiele für identitätsbasierte Richtlinien für Amazon Managed Grafana](security_iam_id-based-policy-examples.md)).
## Authentifizierung mit Identitäten
Authentifizierung ist die Art und Weise, wie Sie sich AWS mit Ihren Identitätsdaten anmelden. Sie müssen sich als IAM-Benutzer authentifizieren oder eine IAM-Rolle annehmen. Root-Benutzer des AWS-Kontos
Sie können sich als föderierte Identität anmelden, indem Sie Anmeldeinformationen aus einer Identitätsquelle wie AWS IAM Identity Center (IAM Identity Center), Single Sign-On-Authentifizierung oder Anmeldeinformationen verwenden. Google/Facebook Weitere Informationen zum Anmelden finden Sie unter [So melden Sie sich bei Ihrem AWS-Konto an](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *Benutzerhandbuch für AWS-Anmeldung *.
AWS Bietet für den programmatischen Zugriff ein SDK und eine CLI zum kryptografischen Signieren von Anfragen. Weitere Informationen finden Sie unter [AWS Signature Version 4 for API requests](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) im *IAM-Benutzerhandbuch*.
### AWS-Konto Root-Benutzer
Wenn Sie einen erstellen AWS-Konto, beginnen Sie mit einer Anmeldeidentität, dem sogenannten AWS-Konto *Root-Benutzer*, der vollständigen Zugriff auf alle AWS-Services Ressourcen hat. Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden. Eine Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter [Tasks that require root user credentials](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) im *IAM-Benutzerhandbuch*.
### Verbundidentität
Es hat sich bewährt, dass menschliche Benutzer für den Zugriff AWS-Services mithilfe temporärer Anmeldeinformationen einen Verbund mit einem Identitätsanbieter verwenden müssen.
Eine *föderierte Identität* ist ein Benutzer aus Ihrem Unternehmensverzeichnis, Ihrem Directory Service Web-Identitätsanbieter oder der AWS-Services mithilfe von Anmeldeinformationen aus einer Identitätsquelle zugreift. Verbundene Identitäten übernehmen Rollen, die temporäre Anmeldeinformationen bereitstellen.
Für die zentrale Zugriffsverwaltung empfehlen wir AWS IAM Identity Center. Weitere Informationen finden Sie unter [Was ist IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) im *AWS IAM Identity Center -Benutzerhandbuch*.
### IAM-Benutzer und -Gruppen
Ein *[IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* ist eine Identität mit bestimmten Berechtigungen für eine einzelne Person oder Anwendung. Wir empfehlen die Verwendung temporärer Anmeldeinformationen anstelle von IAM-Benutzern mit langfristigen Anmeldeinformationen. Weitere Informationen finden Sie im *IAM-Benutzerhandbuch* unter [Erfordern, dass menschliche Benutzer den Verbund mit einem Identitätsanbieter verwenden müssen, um AWS mithilfe temporärer Anmeldeinformationen darauf zugreifen zu](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) können.
Eine [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spezifiziert eine Sammlung von IAM-Benutzern und erleichtert die Verwaltung von Berechtigungen für große Gruppen von Benutzern. Weitere Informationen finden Sie unter [Anwendungsfälle für IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) im *IAM-Benutzerhandbuch*.
### IAM-Rollen
Eine *[IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* ist eine Identität mit spezifischen Berechtigungen, die temporäre Anmeldeinformationen bereitstellt. Sie können eine Rolle übernehmen, indem Sie [von einer Benutzer- zu einer IAM-Rolle (Konsole) wechseln](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) AWS CLI oder einen AWS API-Vorgang aufrufen. Weitere Informationen finden Sie unter [Methoden, um eine Rolle zu übernehmen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) im *IAM-Benutzerhandbuch*.
IAM-Rollen sind nützlich für den Verbundbenutzer-Zugriff, temporäre IAM-Benutzerberechtigungen, kontoübergreifenden Zugriff, serviceübergreifenden Zugriff und Anwendungen, die auf Amazon EC2 laufen. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
## Verwalten des Zugriffs mit Richtlinien
Sie kontrollieren den Zugriff, AWS indem Sie Richtlinien erstellen und diese an AWS Identitäten oder Ressourcen anhängen. Eine Richtlinie definiert Berechtigungen, wenn sie mit einer Identität oder Ressource verknüpft sind. AWS bewertet diese Richtlinien, wenn ein Principal eine Anfrage stellt. Die meisten Richtlinien werden AWS als JSON-Dokumente gespeichert. Weitere Informationen zu JSON-Richtliniendokumenten finden Sie unter [Übersicht über JSON-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) im *IAM-Benutzerhandbuch*.
Mit Hilfe von Richtlinien legen Administratoren fest, wer Zugriff auf was hat, indem sie definieren, welches **Prinzipal** welche **Aktionen** auf welchen **Ressourcen**und unter welchen **Bedingungen**durchführen darf.
Standardmäßig haben Benutzer, Gruppen und Rollen keine Berechtigungen. Ein IAM-Administrator erstellt IAM-Richtlinien und fügt sie zu Rollen hinzu, die die Benutzer dann übernehmen können. IAM-Richtlinien definieren Berechtigungen unabhängig von der Methode, die zur Ausführung der Operation verwendet wird.
### Identitätsbasierte Richtlinien
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität (Benutzer, Gruppe oder Rolle) anfügen können. Diese Richtlinien steuern, welche Aktionen Identitäten für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Identitätsbasierte Richtlinien können *Inline-Richtlinien* (direkt in eine einzelne Identität eingebettet) oder *verwaltete Richtlinien* (eigenständige Richtlinien, die mit mehreren Identitäten verbunden sind) sein. Informationen dazu, wie Sie zwischen verwalteten und Inline-Richtlinien wählen, finden Sie unter [Choose between managed policies and inline policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) im *IAM-Benutzerhandbuch*.
### Ressourcenbasierte Richtlinien
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele hierfür sind *Vertrauensrichtlinien für IAM-Rollen* und Amazon S3*-Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Ressourcenbasierte Richtlinien sind Richtlinien innerhalb dieses Diensts. Sie können AWS verwaltete Richtlinien von IAM nicht in einer ressourcenbasierten Richtlinie verwenden.
### Weitere Richtlinientypen
AWS unterstützt zusätzliche Richtlinientypen, mit denen die maximalen Berechtigungen festgelegt werden können, die durch gängigere Richtlinientypen gewährt werden:
+ **Berechtigungsgrenzen** – Eine Berechtigungsgrenze legt die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einer IAM-Entität erteilen kann. Weitere Informationen finden Sie unter [Berechtigungsgrenzen für IAM-Entitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) im *-IAM-Benutzerhandbuch*.
+ **Richtlinien zur Dienstkontrolle (SCPs)** — Geben Sie die maximalen Berechtigungen für eine Organisation oder Organisationseinheit in an AWS Organizations. Weitere Informationen finden Sie unter [Service-Kontrollrichtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) im *AWS Organizations -Benutzerhandbuch*.
+ **Richtlinien zur Ressourcenkontrolle (RCPs)** — Legen Sie die maximal verfügbaren Berechtigungen für Ressourcen in Ihren Konten fest. Weitere Informationen finden Sie im *AWS Organizations Benutzerhandbuch* unter [Richtlinien zur Ressourcenkontrolle (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html).
+ **Sitzungsrichtlinien** – Sitzungsrichtlinien sind erweiterte Richtlinien, die als Parameter übergeben werden, wenn Sie eine temporäre Sitzung für eine Rolle oder einen Verbundbenutzer erstellen. Weitere Informationen finden Sie unter [Sitzungsrichtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) im *IAM-Benutzerhandbuch*.
### Mehrere Richtlinientypen
Wenn für eine Anfrage mehrere Arten von Richtlinien gelten, sind die daraus resultierenden Berechtigungen schwieriger zu verstehen. Informationen darüber, wie AWS bestimmt wird, ob eine Anfrage zulässig ist, wenn mehrere Richtlinientypen betroffen sind, finden Sie unter [Bewertungslogik für Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) im *IAM-Benutzerhandbuch*.
# So funktioniert Amazon Managed Grafana mit IAM
Bevor Sie IAM verwenden, um den Zugriff auf Amazon Managed Grafana zu verwalten, sollten Sie sich darüber informieren, welche IAM-Funktionen für Amazon Managed Grafana verfügbar sind.
**IAM-Funktionen, die Sie mit Amazon Managed Grafana verwenden können**
| IAM-Feature | Unterstützung für Amazon Managed Grafana |
| --- | --- |
| [Identitätsbasierte Richtlinien](#security_iam_service-with-iam-id-based-policies) | Ja |
| [Ressourcenbasierte Richtlinien](#security_iam_service-with-iam-resource-based-policies) | Nein |
| [Richtlinienaktionen](#security_iam_service-with-iam-id-based-policies-actions) | Ja |
| [Richtlinienressourcen](#security_iam_service-with-iam-id-based-policies-resources) | Ja |
| [Bedingungsschlüssel für die Richtlinie](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Nein |
| [ACLs](#security_iam_service-with-iam-acls) | Nein |
| [ABAC (Tags in Richtlinien)](#security_iam_service-with-iam-tags) | Ja |
| [Temporäre Anmeldeinformationen](#security_iam_service-with-iam-roles-tempcreds) | Ja |
| [Forward Access Sessions (FAS)](#security_iam_service-with-iam-principal-permissions) | Ja |
| [Servicerollen](#security_iam_service-with-iam-roles-service) | Ja |
| [Service-verknüpfte Rollen](#security_iam_service-with-iam-roles-service-linked) | Ja |
*Einen allgemeinen Überblick darüber, wie Amazon Managed Grafana und andere AWS Services mit den meisten IAM-Funktionen funktionieren, finden Sie im [AWS IAM-Benutzerhandbuch unter Services, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).*
## Identitätsbasierte Richtlinien für Amazon Managed Grafana
**Unterstützt Richtlinien auf Identitätsbasis:** Ja
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität anfügen können, wie z. B. IAM-Benutzern, -Benutzergruppen oder -Rollen. Diese Richtlinien steuern, welche Aktionen die Benutzer und Rollen für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Mit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen zugelassen oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der [IAM-Referenz für JSON-Richtlinienelemente](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) im *IAM-Benutzerhandbuch*.
### Beispiele für identitätsbasierte Richtlinien für Amazon Managed Grafana
Beispiele für identitätsbasierte Amazon Managed Grafana-Richtlinien finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für Amazon Managed Grafana](security_iam_id-based-policy-examples.md)
## Ressourcenbasierte Richtlinien innerhalb von Amazon Managed Grafana
**Unterstützt ressourcenbasierte Richtlinien:** Nein
Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele für ressourcenbasierte Richtlinien sind IAM-*Rollen-Vertrauensrichtlinien* und Amazon-S3-*Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Für die Ressource, an welche die Richtlinie angehängt ist, legt die Richtlinie fest, welche Aktionen ein bestimmter Prinzipal unter welchen Bedingungen für diese Ressource ausführen kann. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). Zu den Prinzipalen können Konten, Benutzer, Rollen, Verbundbenutzer oder gehören. AWS-Services
Um kontoübergreifenden Zugriff zu ermöglichen, können Sie ein gesamtes Konto oder IAM-Entitäten in einem anderen Konto als Prinzipal in einer ressourcenbasierten Richtlinie angeben. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
## Richtlinienmaßnahmen für Amazon Managed Grafana
**Unterstützt Richtlinienaktionen:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Action` einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Nehmen Sie Aktionen in eine Richtlinie auf, um Berechtigungen zur Ausführung des zugehörigen Vorgangs zu erteilen.
Eine Liste der Amazon Managed Grafana-Aktionen finden Sie unter [Von Amazon Managed Grafana definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmanagedgrafana.html#amazonmanagedgrafana-actions-as-permissions) in der *Service Authorization* Reference.
Richtlinienaktionen in Amazon Managed Grafana verwenden das folgende Präfix vor der Aktion:
```
grafana
```
Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie mit Kommata:
```
"Action": [
"grafana:action1",
"grafana:action2"
]
```
Beispiele für identitätsbasierte Amazon Managed Grafana-Richtlinien finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für Amazon Managed Grafana](security_iam_id-based-policy-examples.md)
## Richtlinienressourcen für Amazon Managed Grafana
**Unterstützt Richtlinienressourcen:** Ja
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das JSON-Richtlinienelement `Resource` gibt die Objekte an, auf welche die Aktion angewendet wird. Als Best Practice geben Sie eine Ressource mit dem zugehörigen [Amazon-Ressourcennamen (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) an. Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, einen Platzhalter (\$1), um anzugeben, dass die Anweisung für alle Ressourcen gilt.
```
"Resource": "*"
```
Eine Liste der Amazon Managed Grafana-Ressourcentypen und ihrer ARNs [Ressourcen finden Sie unter Von Amazon Managed Grafana definierte Ressourcen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmanagedgrafana.html#amazonmanagedgrafana-resources-for-iam-policies) in der *Service Authorization Reference*. Informationen darüber, mit welchen Aktionen Sie den ARN jeder Ressource angeben können, finden Sie unter [Von Amazon Managed Grafana definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmanagedgrafana.html#amazonmanagedgrafana-actions-as-permissions).
Beispiele für identitätsbasierte Amazon Managed Grafana-Richtlinien finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für Amazon Managed Grafana](security_iam_id-based-policy-examples.md)
## Schlüssel zu den Richtlinienbedingungen für Amazon Managed Grafana
**Unterstützt servicespezifische Richtlinienbedingungsschlüssel:** Nein
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Condition` gibt an, wann Anweisungen auf der Grundlage definierter Kriterien ausgeführt werden. Sie können bedingte Ausdrücke erstellen, die [Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [Kontextschlüssel für AWS globale Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.
## Zugriffskontrolllisten (ACLs) in Amazon Managed Grafana
**Unterstützt ACLs: Nein**
Zugriffskontrolllisten (ACLs) steuern, welche Principals (Kontomitglieder, Benutzer oder Rollen) über Zugriffsberechtigungen für eine Ressource verfügen. ACLs ähneln ressourcenbasierten Richtlinien, verwenden jedoch nicht das JSON-Richtliniendokumentformat.
## Attributbasierte Zugriffskontrolle (ABAC) mit Amazon Managed Grafana
**Unterstützt ABAC (Tags in Richtlinien):** Ja
Amazon Managed Grafana unterstützt ressourcen- und identitätsbasiertes Tagging.
Weitere Informationen zum Taggen von Amazon Managed Grafana-Ressourcen finden Sie unter. [Schlagwort: Amazon Managed Grafana-Arbeitsbereiche](Tagging_workspaces.md)
Ein Beispiel für eine identitätsbasierte Richtlinie zur Einschränkung des Zugriffs auf eine Ressource auf der Grundlage der Markierungen dieser Ressource finden Sie unter [AWS verwaltete Richtlinien für Amazon Managed Grafana](security-iam-awsmanpol.md).
Die attributbasierte Zugriffskontrolle (ABAC) ist eine Autorisierungsstrategie, bei der Berechtigungen basierend auf Attributen, auch als Tags bezeichnet, definiert werden. Sie können Tags an IAM-Entitäten und AWS -Ressourcen anhängen und dann ABAC-Richtlinien entwerfen, um Operationen zu ermöglichen, wenn das Tag des Prinzipals mit dem Tag auf der Ressource übereinstimmt.
Um den Zugriff auf der Grundlage von Tags zu steuern, geben Sie im Bedingungselement einer[ Richtlinie Tag-Informationen ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)an, indem Sie die Schlüssel `aws:ResourceTag/key-name`, `aws:RequestTag/key-name`, oder Bedingung `aws:TagKeys` verwenden.
Wenn ein Service alle drei Bedingungsschlüssel für jeden Ressourcentyp unterstützt, lautet der Wert für den Service **Ja**. Wenn ein Service alle drei Bedingungsschlüssel für nur einige Ressourcentypen unterstützt, lautet der Wert **Teilweise**.
*Weitere Informationen zu ABAC finden Sie unter [Definieren von Berechtigungen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im IAM-Benutzerhandbuch*. Um ein Tutorial mit Schritten zur Einstellung von ABAC anzuzeigen, siehe [Attributbasierte Zugriffskontrolle (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) verwenden im *IAM-Benutzerhandbuch*.
## Temporäre Anmeldeinformationen mit Amazon Managed Grafana verwenden
**Unterstützt temporäre Anmeldeinformationen:** Ja
Temporäre Anmeldeinformationen ermöglichen kurzfristigen Zugriff auf AWS Ressourcen und werden automatisch erstellt, wenn Sie den Verbund verwenden oder die Rollen wechseln. AWS empfiehlt, temporäre Anmeldeinformationen dynamisch zu generieren, anstatt langfristige Zugriffsschlüssel zu verwenden. Weitere Informationen finden Sie unter [Temporäre Anmeldeinformationen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) und [AWS-Services , die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) im *IAM-Benutzerhandbuch*.
## Zugriffssitzungen für Amazon Managed Grafana weiterleiten
**Unterstützt Forward Access Sessions (FAS):** Ja
Forward Access Sessions (FAS) verwenden die Berechtigungen des Principals, der einen aufruft AWS-Service, kombiniert mit der Anfrage, Anfragen an nachgelagerte Dienste AWS-Service zu stellen. Einzelheiten zu den Richtlinien für FAS-Anforderungen finden Sie unter [Zugriffssitzungen weiterleiten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Servicerollen für Amazon Managed Grafana
**Unterstützt Servicerollen:** Ja
Eine Servicerolle ist eine [IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html), die ein Service annimmt, um Aktionen in Ihrem Namen auszuführen. Ein IAM-Administrator kann eine Servicerolle innerhalb von IAM erstellen, ändern und löschen. Weitere Informationen finden Sie unter [Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS-Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) im *IAM-Benutzerhandbuch*.
**Warnung**
Das Ändern der Berechtigungen für eine Servicerolle kann die Funktionalität von Amazon Managed Grafana beeinträchtigen. Bearbeiten Sie Servicerollen nur, wenn Amazon Managed Grafana eine Anleitung dazu bietet.
## Servicebezogene Rollen für Amazon Managed Grafana
**Unterstützt serviceverknüpfte Rollen:** Ja
Eine serviceverknüpfte Rolle ist eine Art von Servicerolle, die mit einer verknüpft ist. AWS-Service Der Service kann die Rolle übernehmen, um eine Aktion in Ihrem Namen auszuführen. Dienstbezogene Rollen werden in Ihrem Dienst angezeigt AWS-Konto und gehören dem Dienst. Ein IAM-Administrator kann die Berechtigungen für Service-verknüpfte Rollen anzeigen, aber nicht bearbeiten.
Einzelheiten zum Erstellen oder Verwalten von serviceverknüpften Amazon Managed Grafana-Rollen finden Sie unter. [Verwenden von serviceverknüpften Rollen für Amazon Managed Grafana](using-service-linked-roles.md)
# Beispiele für identitätsbasierte Richtlinien für Amazon Managed Grafana
Standardmäßig sind Benutzer und Rollen nicht berechtigt, Amazon Managed Grafana-Ressourcen zu erstellen oder zu ändern. Ein IAM-Administrator muss IAM-Richtlinien erstellen, die Benutzern die Berechtigung erteilen, Aktionen für die Ressourcen auszuführen, die sie benötigen.
Informationen dazu, wie Sie unter Verwendung dieser beispielhaften JSON-Richtliniendokumente eine identitätsbasierte IAM-Richtlinie erstellen, finden Sie unter [Erstellen von IAM-Richtlinien (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) im *IAM-Benutzerhandbuch*.
Einzelheiten zu den von Amazon Managed Grafana definierten Aktionen und Ressourcentypen, einschließlich des Formats ARNs für die einzelnen Ressourcentypen, finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für Amazon Managed Grafana](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonmanagedgrafana.html) in der *Service Authorization* Reference.
**Topics**
+ [Best Practices für Richtlinien](#security_iam_service-with-iam-policy-best-practices)
+ [Verwenden der Amazon Managed Grafana-Konsole](#security_iam_id-based-policy-examples-console)
+ [Beispielrichtlinien für Amazon Managed Grafana](#security_iam_AMG-id-based-policy-examples)
## Best Practices für Richtlinien
Identitätsbasierte Richtlinien legen fest, ob jemand Amazon Managed Grafana-Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder diese löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Wenn Sie identitätsbasierte Richtlinien erstellen oder bearbeiten, befolgen Sie diese Richtlinien und Empfehlungen:
+ **Erste Schritte mit AWS verwalteten Richtlinien und Umstellung auf Berechtigungen mit den geringsten Rechten** — Verwenden Sie die *AWS verwalteten Richtlinien*, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um damit zu beginnen, Ihren Benutzern und Workloads Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) oder [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Benutzerhandbuch*.
+ **Anwendung von Berechtigungen mit den geringsten Rechten** – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als *die geringsten Berechtigungen*. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter [ Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs** – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese für einen bestimmten Zweck verwendet werden AWS-Service, z. CloudFormation B. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten** – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter [Richtlinienvalidierung mit IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) im *IAM-Benutzerhandbuch*.
+ **Multi-Faktor-Authentifizierung (MFA) erforderlich** — Wenn Sie ein Szenario haben, das IAM-Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter [Sicherer API-Zugriff mit MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) im *IAM-Benutzerhandbuch*.
Weitere Informationen zu bewährten Methoden in IAM finden Sie unter [Best Practices für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.
## Verwenden der Amazon Managed Grafana-Konsole
Um auf die -Konsole zuzugreifen, müssen Sie über einen Mindestsatz von Berechtigungen verfügen. Diese Berechtigungen müssen es Ihnen ermöglichen, Details zu den Ressourcen in Ihrem AWS-Konto aufzulisten und anzuzeigen. Wenn Sie eine identitätsbasierte Richtlinie erstellen, die strenger ist als die mindestens erforderlichen Berechtigungen, funktioniert die Konsole nicht wie vorgesehen für Entitäten (Benutzer oder Rollen) mit dieser Richtlinie.
## Beispielrichtlinien für Amazon Managed Grafana
Dieser Abschnitt enthält identitätsbasierte Richtlinien, die für verschiedene Amazon Managed Grafana-Szenarien nützlich sind.
### Grafana-Administrator mit SAML
Wenn Sie SAML für Ihre Benutzerauthentifizierung verwenden, benötigt der Administrator, der Amazon Managed Grafana erstellt und verwaltet, die folgenden Richtlinien:
+ **AWSGrafanaAccountAdministrator**oder die entsprechenden Berechtigungen zum Erstellen und Verwalten von Amazon Managed Grafana-Arbeitsbereichen.
+ Die **AWSMarketplaceManageSubscriptions**Richtlinie oder gleichwertige Berechtigungen, wenn Sie einen Amazon Managed Grafana-Workspace auf Grafana Enterprise aktualisieren möchten.
#### Grafana-Administrator in einem Verwaltungskonto mit IAM Identity Center
Um Berechtigungen zur Erstellung und Verwaltung von Amazon Managed Grafana-Workspaces in einer gesamten Organisation zu gewähren und Abhängigkeiten wie IAM Identity Center zu aktivieren, weisen Sie einem Benutzer die **AWSGrafanaAccountAdministrator**Richtlinien **AWSSSOMasterAccountAdministrator**und die **AWSSSODirectoryAdministratorrichtlinien** zu. Um einen Amazon Managed Grafana-Workspace auf Grafana Enterprise zu aktualisieren, muss ein Benutzer außerdem über die **AWSMarketplaceManageSubscriptions**IAM-Richtlinie oder die entsprechenden Berechtigungen verfügen.
Wenn Sie beim Erstellen eines Amazon Managed Grafana-Workspace service-verwaltete Berechtigungen verwenden möchten, muss der Benutzer, der den Workspace erstellt, auch über die Berechtigungen `iam:CreateRole``iam:CreatePolicy`, und `iam:AttachRolePolicy` verfügen. Diese sind erforderlich, CloudFormation StackSets um Richtlinien bereitzustellen, die es Ihnen ermöglichen, Datenquellen in den Konten der Organisation zu lesen.
**Wichtig**
Wenn Sie einem Benutzer die Berechtigungen `iam:CreateRole`, `iam:CreatePolicy` und `iam:AttachRolePolicy` gewähren, erhält dieser Benutzer vollen Administratorzugriff auf Ihr AWS -Konto. Beispielsweise kann ein Benutzer mit diesen Berechtigungen eine Richtlinie erstellen, die über vollständige Berechtigungen für alle Ressourcen verfügt, und diese Richtlinie an eine beliebige Rolle anhängen. Seien Sie sehr vorsichtig, wem Sie diese Berechtigungen erteilen.
Informationen zu den gewährten Berechtigungen finden Sie unter **AWSGrafanaAccountAdministrator**[AWS verwaltete Richtlinie: AWSGrafana AccountAdministrator](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSGrafanaAccountAdministrator)
#### Grafana-Administrator in einem Mitgliedskonto mit IAM Identity Center
Um Berechtigungen zum Erstellen und Verwalten von Amazon Managed Grafana-Workspaces im Mitgliedskonto einer Organisation zu erteilen, weisen Sie einem Benutzer die **AWSGrafanaAccountAdministrator**Richtlinien **AWSSSOMemberAccountAdministrator**und die **AWSSSODirectoryAdministratorrichtlinien** zu. Um einen Amazon Managed Grafana-Workspace auf Grafana Enterprise zu aktualisieren, muss ein Benutzer außerdem über die **AWSMarketplaceManageSubscriptions**IAM-Richtlinie oder die entsprechenden Berechtigungen verfügen.
Wenn Sie beim Erstellen eines Amazon Managed Grafana-Workspace service-verwaltete Berechtigungen verwenden möchten, muss der Benutzer, der den Workspace erstellt, auch über die Berechtigungen `iam:CreateRole``iam:CreatePolicy`, und `iam:AttachRolePolicy` verfügen. Diese sind erforderlich, damit der Benutzer Datenquellen im Konto lesen kann.
**Wichtig**
Wenn Sie einem Benutzer die Berechtigungen `iam:CreateRole`, `iam:CreatePolicy` und `iam:AttachRolePolicy` gewähren, erhält dieser Benutzer vollen Administratorzugriff auf Ihr AWS -Konto. Beispielsweise kann ein Benutzer mit diesen Berechtigungen eine Richtlinie erstellen, die über vollständige Berechtigungen für alle Ressourcen verfügt, und diese Richtlinie an eine beliebige Rolle anhängen. Seien Sie sehr vorsichtig, wem Sie diese Berechtigungen erteilen.
Informationen zu den Berechtigungen, die gewährt wurden **AWSGrafanaAccountAdministrator**, finden Sie unter [AWS verwaltete Richtlinie: AWSGrafana AccountAdministrator](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSGrafanaAccountAdministrator)
#### Erstellen und verwalten Sie Amazon Managed Grafana-Arbeitsbereiche und Benutzer in einem einzigen eigenständigen Konto mithilfe von IAM Identity Center
Ein eigenständiges AWS Konto ist ein Konto, das noch kein Mitglied einer Organisation ist. Weitere Informationen zu Organisationen finden Sie unter [Was ist AWS Organizations?](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)
Um Berechtigungen zum Erstellen und Verwalten von Amazon Managed Grafana-Workspaces und Benutzern in einem eigenständigen Konto zu erteilen, weisen Sie einem Benutzer die Richtlinien **AWSGrafanaAccountAdministrator**AWSSSOMasterAccountAdministrator****, **AWSOrganizationsFullAccess**und **AWSSSODirectoryAdministrator** zu. Um einen Amazon Managed Grafana-Workspace auf Grafana Enterprise zu aktualisieren, muss ein Benutzer außerdem über die **AWSMarketplaceManageSubscriptions**IAM-Richtlinie oder die entsprechenden Berechtigungen verfügen.
**Wichtig**
Wenn Sie einem Benutzer die Berechtigungen `iam:CreateRole`, `iam:CreatePolicy` und `iam:AttachRolePolicy` gewähren, erhält dieser Benutzer vollen Administratorzugriff auf Ihr AWS -Konto. Beispielsweise kann ein Benutzer mit diesen Berechtigungen eine Richtlinie erstellen, die über vollständige Berechtigungen für alle Ressourcen verfügt, und diese Richtlinie an eine beliebige Rolle anhängen. Seien Sie sehr vorsichtig, wem Sie diese Berechtigungen erteilen.
Informationen zu den gewährten Berechtigungen finden Sie unter **AWSGrafanaAccountAdministrator**[AWS verwaltete Richtlinie: AWSGrafana AccountAdministrator](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSGrafanaAccountAdministrator)
#### Benutzerzugriff auf Amazon Managed Grafana zuweisen und die Zuweisung aufheben
Um anderen Benutzern Berechtigungen zur Verwaltung des Zugriffs auf Amazon Managed Grafana-Workspaces im Konto zu gewähren, einschließlich der Gewährung von Grafana-Administratorberechtigungen für diese Workspaces, weisen Sie diesem Benutzer die **AWSGrafanaWorkspacePermissionManagementV2-Richtlinie** zu. **Wenn Sie IAM Identity Center verwenden, um Benutzer in diesem Workspace zu verwalten, benötigt der Benutzer auch die Richtlinien „Nur“ und „Nur“. AWSSSORead **AWSSSODirectoryReadOnly****
Informationen zu den Berechtigungen, die **AWSGrafanaWorkspacePermissionManagementV2** gewährt wurden, finden Sie unter [AWS verwaltete Richtlinie: AWSGrafana WorkspacePermissionManagement V2](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSGrafanaWorkspacePermissionManagementV2)
#### Amazon Managed Grafana-Leseberechtigungen
Um Berechtigungen für Leseaktionen wie das Auflisten und Anzeigen von Workspaces und das Öffnen der Grafana-Workspace-Konsole zu erteilen, weisen Sie einem Benutzer oder einer **AWSGrafanaConsoleReadOnlyAccess**IAM-Rolle die **AWSSSODirectoryReadOnly**Richtlinien „**AWSSSOReadNur**“ und „Nur“ zu.
Informationen zu den erteilten Berechtigungen finden Sie unter. **AWSGrafanaConsoleReadOnlyAccess**[AWS verwaltete Richtlinie: AWSGrafana ConsoleReadOnlyAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSGrafanaConsoleReadOnlyAccess)
# AWS verwaltete Richtlinien für Amazon Managed Grafana
Eine AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von erstellt und verwaltet AWS wird. AWS Verwaltete Richtlinien dienen dazu, Berechtigungen für viele gängige Anwendungsfälle bereitzustellen, sodass Sie damit beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.
Beachten Sie, dass AWS verwaltete Richtlinien für Ihre speziellen Anwendungsfälle möglicherweise keine Berechtigungen mit den geringsten Rechten gewähren, da sie allen AWS Kunden zur Verfügung stehen. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie [vom Kunden verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.
Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen nicht ändern. Wenn die in einer AWS verwalteten Richtlinie definierten Berechtigungen AWS aktualisiert werden, wirkt sich das Update auf alle Prinzidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. AWS aktualisiert eine AWS verwaltete Richtlinie höchstwahrscheinlich, wenn eine neue Richtlinie eingeführt AWS-Service wird oder neue API-Operationen für bestehende Dienste verfügbar werden.
Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *IAM-Benutzerhandbuch*.
## AWS verwaltete Richtlinie: AWSGrafana AccountAdministrator
AWSGrafanaAccountAdministrator Die Richtlinie ermöglicht den Zugriff innerhalb von Amazon Managed Grafana, um Konten und Arbeitsbereiche für das gesamte Unternehmen zu erstellen und zu verwalten.
Sie können sie an Ihre AWSGrafana AccountAdministrator IAM-Entitäten anhängen.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `iam`— Ermöglicht Prinzipalen das Auflisten und Abrufen von IAM-Rollen, sodass der Administrator eine Rolle einem Workspace zuordnen und Rollen an den Amazon Managed Grafana-Service übergeben kann.
+ `Amazon Managed Grafana`— Ermöglicht Prinzipalen Lese- und Schreibzugriff auf alle Amazon Managed APIs Grafana.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSGrafanaOrganizationAdmin",
"Effect": "Allow",
"Action": [
"iam:ListRoles"
],
"Resource": "*"
},
{
"Sid": "GrafanaIAMGetRolePermission",
"Effect": "Allow",
"Action": "iam:GetRole",
"Resource": "arn:aws:iam::*:role/*"
},
{
"Sid": "AWSGrafanaPermissions",
"Effect": "Allow",
"Action": [
"grafana:*"
],
"Resource": "*"
},
{
"Sid": "GrafanaIAMPassRolePermission",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringLike": {
"iam:PassedToService": "grafana.amazonaws.com"
}
}
}
]
}
```
------
## AWS verwaltete Richtlinie: AWSGrafana WorkspacePermissionManagement (veraltet)
Diese Richtlinie ist veraltet. Diese Richtlinie sollte keinen neuen Benutzern, Gruppen oder Rollen zugewiesen werden.
Amazon Managed Grafana hat eine neue Richtlinie, [AWSGrafanaWorkspacePermissionManagementV2](#security-iam-awsmanpol-AWSGrafanaWorkspacePermissionManagementV2), hinzugefügt, um diese Richtlinie zu ersetzen. Diese neue verwaltete Richtlinie verbessert die Sicherheit für Ihren Arbeitsbereich, indem sie restriktivere Berechtigungen bereitstellt.
## AWS verwaltete Richtlinie: AWSGrafana WorkspacePermissionManagement V2
AWSGrafanaWorkspacePermissionManagementDie V2-Richtlinie bietet nur die Möglichkeit, Benutzer- und Gruppenberechtigungen für Amazon Managed Grafana-Arbeitsbereiche zu aktualisieren.
Sie können AWSGrafana WorkspacePermissionManagement V2 an Ihre IAM-Entitäten anhängen.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `Amazon Managed Grafana`— Ermöglicht Prinzipalen das Lesen und Aktualisieren von Benutzer- und Gruppenberechtigungen für Amazon Managed Grafana-Arbeitsbereiche.
+ `IAM Identity Center`— Ermöglicht Prinzipalen das Lesen von IAM Identity Center-Entitäten. Dies ist ein notwendiger Teil der Verknüpfung von Principals mit Amazon Managed Grafana-Anwendungen, erfordert jedoch auch einen zusätzlichen Schritt, der nach der folgenden Richtlinienliste beschrieben wird.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AWSGrafanaPermissions",
"Effect": "Allow",
"Action": [
"grafana:DescribeWorkspace",
"grafana:DescribeWorkspaceAuthentication",
"grafana:UpdatePermissions",
"grafana:ListPermissions",
"grafana:ListWorkspaces"
],
"Resource": "arn:aws:grafana:*:*:/workspaces*"
},
{
"Sid": "IAMIdentityCenterPermissions",
"Effect": "Allow",
"Action": [
"sso:DescribeRegisteredRegions",
"sso:GetSharedSsoConfiguration",
"sso:ListDirectoryAssociations",
"sso:GetManagedApplicationInstance",
"sso:ListProfiles",
"sso:GetProfile",
"sso:ListProfileAssociations",
"sso-directory:DescribeUser",
"sso-directory:DescribeGroup"
],
"Resource": "*"
}
]
}
```
------
**Zusätzliche Richtlinie erforderlich**
Um einem Benutzer die vollständige Zuweisung von Berechtigungen zu ermöglichen, müssen Sie zusätzlich zur `AWSGrafanaWorkspacePermissionManagementV2` Richtlinie auch eine Richtlinie zuweisen, um Zugriff auf die Anwendungszuweisung in IAM Identity Center zu gewähren.
Um diese Richtlinie zu erstellen, müssen Sie zuerst den **ARN der Grafana-Anwendung** für Ihren Workspace sammeln
1. Öffnen Sie die [IAM-Identity-Center-Konsole](https://console.aws.amazon.com/singlesignon).
1. Wählen Sie im linken Menü **Anwendungen** aus.
1. Suchen Sie auf der Registerkarte **AWS Verwaltet** nach der Anwendung **Amazon *Grafana-Workspace-Name, wo sich der Name*** Ihres Workspace `workspace-name` befindet. Wählen Sie den Namen der Anwendung aus.
1. Die von Amazon Managed Grafana für den Workspace verwaltete IAM Identity Center-Anwendung wird angezeigt. Der ARN dieser Anwendung wird auf der Detailseite angezeigt. Es wird in der Form sein:`arn:aws:sso::owner-account-id:application/ssoins-unique-id/apl-unique-id`.
Die Richtlinie, die Sie erstellen, sollte wie folgt aussehen. *grafana-application-arn*Ersetzen Sie durch den ARN, den Sie im vorherigen Schritt gefunden haben:
Informationen zum Erstellen und Anwenden von Richtlinien für Ihre Rollen oder Benutzer finden Sie im *AWS Identity and Access Management Benutzerhandbuch* unter [Hinzufügen und Entfernen von IAM-Identitätsberechtigungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html).
## AWS verwaltete Richtlinie: AWSGrafana ConsoleReadOnlyAccess
AWSGrafanaConsoleReadOnlyAccess Die Richtlinie gewährt Zugriff auf schreibgeschützte Operationen in Amazon Managed Grafana.
Sie können sie an Ihre AWSGrafana ConsoleReadOnlyAccess IAM-Entitäten anhängen.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgende Berechtigung.
+ `Amazon Managed Grafana`— Ermöglicht Prinzipalen nur Lesezugriff auf Amazon Managed Grafana APIs
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSGrafanaConsoleReadOnlyAccess",
"Effect": "Allow",
"Action": ["grafana:Describe*", "grafana:List*"],
"Resource": "*"
}
]
}
```
------
## AWS verwaltete Richtlinie: AmazonGrafanaRedshiftAccess
Diese Richtlinie gewährt begrenzten Zugriff auf Amazon Redshift und die Abhängigkeiten, die für die Verwendung des Amazon Redshift Redshift-Plug-ins in Amazon Managed Grafana erforderlich sind. AmazonGrafanaRedshiftAccess Die Richtlinie ermöglicht es einem Benutzer oder einer IAM-Rolle, das Amazon Redshift Redshift-Datenquellen-Plugin in Grafana zu verwenden. Temporäre Anmeldeinformationen für Amazon Redshift Redshift-Datenbanken sind auf den Datenbankbenutzer beschränkt, `redshift_data_api_user` und Anmeldeinformationen von Secrets Manager können abgerufen werden, wenn das Geheimnis mit dem Schlüssel gekennzeichnet ist. `RedshiftQueryOwner` Diese Richtlinie ermöglicht den Zugriff auf Amazon Redshift Redshift-Cluster, die mit `GrafanaDataSource` gekennzeichnet sind. Bei der Erstellung einer vom Kunden verwalteten Richtlinie ist die tagbasierte Authentifizierung optional.
Sie können eine Verbindung AmazonGrafanaRedshiftAccess zu Ihren IAM-Entitäten herstellen. Amazon Managed Grafana verknüpft diese Richtlinie auch mit einer Servicerolle, die es Amazon Managed Grafana ermöglicht, Aktionen in Ihrem Namen durchzuführen.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgende Berechtigung.
+ `Amazon Redshift`— Ermöglicht Prinzipalen, Cluster zu beschreiben und temporäre Anmeldeinformationen für einen Datenbankbenutzer mit dem Namen zu erhalten. `redshift_data_api_user`
+ `Amazon Redshift–data`— Ermöglicht Prinzipalen die Ausführung von Abfragen auf Clustern, die als gekennzeichnet sind. `GrafanaDataSource`
+ `Secrets Manager`— Ermöglicht Prinzipalen, Geheimnisse aufzulisten und geheime Werte für Geheimnisse zu lesen, die als markiert sind. `RedshiftQueryOwner`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"redshift:DescribeClusters",
"redshift-data:GetStatementResult",
"redshift-data:DescribeStatement",
"secretsmanager:ListSecrets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"redshift-data:DescribeTable",
"redshift-data:ExecuteStatement",
"redshift-data:ListTables",
"redshift-data:ListSchemas"
],
"Resource": "*",
"Condition": {
"Null": {
"aws:ResourceTag/GrafanaDataSource": "false"
}
}
},
{
"Effect": "Allow",
"Action": "redshift:GetClusterCredentials",
"Resource": [
"arn:aws:redshift:*:*:dbname:*/*",
"arn:aws:redshift:*:*:dbuser:*/redshift_data_api_user"
]
},
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": "*",
"Condition": {
"Null": {
"secretsmanager:ResourceTag/RedshiftQueryOwner": "false"
}
}
}
]
}
```
------
## AWS verwaltete Richtlinie: AmazonGrafanaAthenaAccess
Diese Richtlinie gewährt Zugriff auf Athena und die Abhängigkeiten, die erforderlich sind, um das Abfragen und Schreiben von Ergebnissen in Amazon S3 über das Athena-Plug-In in Amazon Managed Grafana zu ermöglichen. AmazonGrafanaAthenaAccessDie Richtlinie ermöglicht es einem Benutzer oder einer IAM-Rolle, das Athena-Datenquellen-Plugin in Grafana zu verwenden. Athena-Arbeitsgruppen müssen mit markiert sein, `GrafanaDataSource` um zugänglich zu sein. Diese Richtlinie enthält Berechtigungen zum Schreiben von Abfrageergebnissen in einen Amazon S3 S3-Bucket mit einem Namen als Präfix. `grafana-athena-query-results-` Amazon S3 S3-Berechtigungen für den Zugriff auf die zugrunde liegende Datenquelle einer Athena-Abfrage sind in dieser Richtlinie nicht enthalten.
Sie können AWSGrafana AthenaAccess Richtlinien an Ihre IAM-Entitäten anhängen. Amazon Managed Grafana verknüpft diese Richtlinie auch mit einer Servicerolle, die es Amazon Managed Grafana ermöglicht, Aktionen in Ihrem Namen durchzuführen.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgende Berechtigung.
+ `Athena`— Ermöglicht Prinzipalen das Ausführen von Abfragen auf Athena-Ressourcen in Arbeitsgruppen, die als markiert sind. `GrafanaDataSource`
+ `Amazon S3`— Ermöglicht Prinzipalen das Lesen und Schreiben von Abfrageergebnissen in einen Bucket mit dem Präfix. `grafana-athena-query-results-`
+ `AWS Glue`— Ermöglicht Prinzipalen den Zugriff auf AWS Glue-Datenbanken, -Tabellen und -Partitionen. Dies ist erforderlich, damit der Principal den AWS Glue-Datenkatalog mit Athena verwenden kann.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"athena:GetDatabase",
"athena:GetDataCatalog",
"athena:GetTableMetadata",
"athena:ListDatabases",
"athena:ListDataCatalogs",
"athena:ListTableMetadata",
"athena:ListWorkGroups"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"athena:GetQueryExecution",
"athena:GetQueryResults",
"athena:GetWorkGroup",
"athena:StartQueryExecution",
"athena:StopQueryExecution"
],
"Resource": [
"*"
],
"Condition": {
"Null": {
"aws:ResourceTag/GrafanaDataSource": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"glue:GetDatabase",
"glue:GetDatabases",
"glue:GetTable",
"glue:GetTables",
"glue:GetPartition",
"glue:GetPartitions",
"glue:BatchGetPartition"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:GetObject",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:ListMultipartUploadParts",
"s3:AbortMultipartUpload",
"s3:CreateBucket",
"s3:PutObject",
"s3:PutBucketPublicAccessBlock"
],
"Resource": [
"arn:aws:s3:::grafana-athena-query-results-*"
]
}
]
}
```
------
## AWS verwaltete Richtlinie: AmazonGrafanaCloudWatchAccess
Diese Richtlinie gewährt Zugriff auf Amazon CloudWatch und die Abhängigkeiten, die für die Verwendung CloudWatch als Datenquelle in Amazon Managed Grafana erforderlich sind.
Sie können AWSGrafana CloudWatchAccess Richtlinien an Ihre IAM-Entitäten anhängen. Amazon Managed Grafana verknüpft diese Richtlinie auch mit einer Servicerolle, die es Amazon Managed Grafana ermöglicht, Aktionen in Ihrem Namen durchzuführen.
**Details zu Berechtigungen**
Diese Richtlinie umfasst die folgenden Berechtigungen.
+ `CloudWatch`— Ermöglicht Prinzipalen das Auflisten und Abrufen von Metrikdaten und Protokollen von Amazon CloudWatch. Es ermöglicht auch die CloudWatch kontenübergreifende Anzeige von Daten, die von Quellkonten gemeinsam genutzt wurden.
+ `Amazon EC2`— Ermöglicht es Schulleitern, Details zu Ressourcen abzurufen, die überwacht werden.
+ `Tags`— Ermöglicht Prinzipalen den Zugriff auf Tags auf Ressourcen, um das Filtern der CloudWatch Metrikabfragen zu ermöglichen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:DescribeAlarmsForMetric",
"cloudwatch:DescribeAlarmHistory",
"cloudwatch:DescribeAlarms",
"cloudwatch:ListMetrics",
"cloudwatch:GetMetricStatistics",
"cloudwatch:GetMetricData",
"cloudwatch:GetInsightRuleReport"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups",
"logs:GetLogGroupFields",
"logs:StartQuery",
"logs:StopQuery",
"logs:GetQueryResults",
"logs:GetLogEvents"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeTags",
"ec2:DescribeInstances",
"ec2:DescribeRegions"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "tag:GetResources",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"oam:ListSinks",
"oam:ListAttachedLinks"
],
"Resource": "*"
}
]
}
```
------
## Amazon Managed Grafana-Aktualisierungen der AWS verwalteten Richtlinien
Sehen Sie sich Details zu Aktualisierungen der AWS verwalteten Richtlinien für Amazon Managed Grafana an, seit dieser Service begonnen hat, diese Änderungen zu verfolgen. Abonnieren Sie den RSS-Feed auf der [Amazon Managed Grafana-Dokumentverlaufsseite](doc-history.md), um automatische Benachrichtigungen über Änderungen an dieser Seite zu erhalten.
| Änderungen | Beschreibung | Date |
| --- | --- | --- |
| [AWSGrafanaWorkspacePermissionManagement](#security-iam-awsmanpol-AWSGrafanaWorkspacePermissionManagement)— veraltet | Diese Richtlinie wurde ersetzt durch **AWSGrafanaWorkspacePermissionManagementV2**. Diese Richtlinie gilt als veraltet und wird nicht mehr aktualisiert. Die neue Richtlinie verbessert die Sicherheit für deinen Arbeitsplatz, indem sie restriktivere Berechtigungen bietet. | 5. Januar 2024 |
| [AWSGrafanaWorkspacePermissionManagementV2](#security-iam-awsmanpol-AWSGrafanaWorkspacePermissionManagementV2) — Neue Richtlinie | Amazon Managed Grafana hat eine neue Richtlinie hinzugefügt, **AWSGrafanaWorkspacePermissionManagementV2**um die veraltete **AWSGrafanaWorkspacePermissionManagement**Richtlinie zu ersetzen. Diese neue verwaltete Richtlinie verbessert die Sicherheit für Ihren Arbeitsbereich, indem sie restriktivere Berechtigungen bietet. | 5. Januar 2024 |
| [AmazonGrafanaCloudWatchAccess](#security-iam-awsmanpol-AmazonGrafanaCloudWatchAccess) – Neue Richtlinie | Amazon Managed Grafana hat eine neue Richtlinie **AmazonGrafanaCloudWatchAccess**hinzugefügt. | 24. März 2023 |
| [AWSGrafanaWorkspacePermissionManagement](#security-iam-awsmanpol-AWSGrafanaWorkspacePermissionManagement) – Aktualisierung auf eine bestehende Richtlinie | Amazon Managed Grafana hat neue Berechtigungen hinzugefügt, **AWSGrafanaWorkspacePermissionManagement**sodass IAM Identity Center-Benutzer und -Gruppen in Active Directory Grafana-Workspaces zugeordnet werden können. Die folgenden Berechtigungen wurden hinzugefügt:, und `sso-directory:DescribeUser` `sso-directory:DescribeGroup` | 14. März 2023 |
| [AWSGrafanaWorkspacePermissionManagement](#security-iam-awsmanpol-AWSGrafanaWorkspacePermissionManagement) – Aktualisierung auf eine bestehende Richtlinie | Amazon Managed Grafana hat neue Berechtigungen hinzugefügt, **AWSGrafanaWorkspacePermissionManagement**sodass IAM Identity Center-Benutzer und -Gruppen Grafana-Workspaces zugeordnet werden können. Die folgenden Berechtigungen wurden hinzugefügt:`sso:DescribeRegisteredRegions`,,`sso:GetSharedSsoConfiguration`,`sso:ListDirectoryAssociations`,, `sso:GetManagedApplicationInstance` `sso:ListProfiles``sso:AssociateProfile`, `sso:DisassociateProfile` und. `sso:GetProfile` `sso:ListProfileAssociations` | 20. Dezember 2022 |
| [AmazonGrafanaServiceLinkedRolePolicy](using-service-linked-roles.md)— Neue SLR-Richtlinie | Amazon Managed Grafana hat eine neue Richtlinie für die serviceverknüpfte Grafana-Rolle hinzugefügt,. **AmazonGrafanaServiceLinkedRolePolicy** | 18. November 2022 |
| [AWSGrafanaAccountAdministrator](#security-iam-awsmanpol-AWSGrafanaAccountAdministrator), [AWSGrafanaConsoleReadOnlyAccess](#security-iam-awsmanpol-AWSGrafanaConsoleReadOnlyAccess) | Erlauben Sie den Zugriff auf alle Amazon Managed Grafana-Ressourcen | 17. Februar 2022 |
| [AmazonGrafanaRedshiftAccess](#security-iam-awsmanpol-AmazonGrafanaRedshiftAccess) – Neue Richtlinie | Amazon Managed Grafana hat eine neue Richtlinie **AmazonGrafanaRedshiftAccess**hinzugefügt. | 26. November 2021 |
| [AmazonGrafanaAthenaAccess](#security-iam-awsmanpol-AmazonGrafanaAthenaAccess) – Neue Richtlinie | Amazon Managed Grafana hat eine neue Richtlinie **AmazonGrafanaAthenaAccess**hinzugefügt. | 22. November 2021 |
| [AWSGrafanaAccountAdministrator](#security-iam-awsmanpol-AWSGrafanaAccountAdministrator) – Aktualisierung auf eine bestehende Richtlinie | Amazon Managed Grafana hat Berechtigungen von **AWSGrafanaAccountAdministrator**entfernt. Die für den `sso.amazonaws.com` Service geltende `iam:CreateServiceLinkedRole` Berechtigung wurde entfernt. Stattdessen empfehlen wir Ihnen, die **AWSSSOMasterAccountAdministrator**Richtlinie beizufügen, um einem Benutzer diese Berechtigung zu erteilen. | 13. Oktober 2021 |
| [AWSGrafanaWorkspacePermissionManagement](#security-iam-awsmanpol-AWSGrafanaWorkspacePermissionManagement) – Aktualisierung auf eine bestehende Richtlinie | Amazon Managed Grafana hat neue Berechtigungen hinzugefügt, **AWSGrafanaWorkspacePermissionManagement**sodass Benutzer mit dieser Richtlinie die mit Workspaces verknüpften Authentifizierungsmethoden sehen können. Die `grafana:DescribeWorkspaceAuthentication` Erlaubnis wurde hinzugefügt. | 21. September 2021 |
| [AWSGrafanaConsoleReadOnlyAccess](#security-iam-awsmanpol-AWSGrafanaConsoleReadOnlyAccess) – Aktualisierung auf eine bestehende Richtlinie | Amazon Managed Grafana hat neue Berechtigungen hinzugefügt, **AWSGrafanaConsoleReadOnlyAccess**sodass Benutzer mit dieser Richtlinie die mit Workspaces verknüpften Authentifizierungsmethoden sehen können. Die `grafana:List*` Berechtigungen `grafana:Describe*` und wurden der Richtlinie hinzugefügt und ersetzen die vorherigen, engeren Berechtigungen`grafana:DescribeWorkspace`, `grafana:ListPermissions` und. `grafana:ListWorkspaces` | 21. September 2021 |
| Amazon Managed Grafana hat begonnen, Änderungen zu verfolgen | Amazon Managed Grafana hat damit begonnen, Änderungen an seinen AWS verwalteten Richtlinien nachzuverfolgen. | 9. September 2021 |
# Fehlerbehebung bei Amazon Managed Grafana-Identität und Zugriff
Verwenden Sie die folgenden Informationen, um häufig auftretende Probleme zu diagnostizieren und zu beheben, die bei der Arbeit mit Amazon Managed Grafana und IAM auftreten können.
**Topics**
+ [Ich bin nicht berechtigt, eine Aktion in Amazon Managed Grafana durchzuführen](#security_iam_troubleshoot-no-permissions)
+ [Ich bin nicht berechtigt, iam auszuführen: PassRole](#security_iam_troubleshoot-passrole)
+ [Ich möchte Personen außerhalb meines AWS Kontos den Zugriff auf meine Amazon Managed Grafana-Ressourcen ermöglichen](#security_iam_troubleshoot-cross-account-access)
## Ich bin nicht berechtigt, eine Aktion in Amazon Managed Grafana durchzuführen
Wenn Sie eine Fehlermeldung erhalten, dass Sie nicht zur Durchführung einer Aktion berechtigt sind, müssen Ihre Richtlinien aktualisiert werden, damit Sie die Aktion durchführen können.
Der folgende Beispielfehler tritt auf, wenn der IAM-Benutzer `mateojackson` versucht, über die Konsole Details zu einer fiktiven `my-example-widget`-Ressource anzuzeigen, jedoch nicht über `grafana:GetWidget`-Berechtigungen verfügt.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: grafana:GetWidget on resource: my-example-widget
```
In diesem Fall muss die Richtlinie für den Benutzer `mateojackson` aktualisiert werden, damit er mit der `grafana:GetWidget`-Aktion auf die `my-example-widget`-Ressource zugreifen kann.
Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.
## Ich bin nicht berechtigt, iam auszuführen: PassRole
Wenn Sie eine Fehlermeldung erhalten, dass Sie nicht berechtigt sind, die `iam:PassRole` Aktion durchzuführen, müssen Ihre Richtlinien aktualisiert werden, damit Sie eine Rolle an Amazon Managed Grafana übergeben können.
Einige AWS-Services ermöglichen es Ihnen, eine bestehende Rolle an diesen Service zu übergeben, anstatt eine neue Servicerolle oder eine dienstbezogene Rolle zu erstellen. Hierzu benötigen Sie Berechtigungen für die Übergabe der Rolle an den Dienst.
Der folgende Beispielfehler tritt auf, wenn ein IAM-Benutzer mit dem Namen `marymajor` versucht, die Konsole zu verwenden, um eine Aktion in Amazon Managed Grafana auszuführen. Die Aktion erfordert jedoch, dass der Service über Berechtigungen verfügt, die durch eine Servicerolle gewährt werden. Mary besitzt keine Berechtigungen für die Übergabe der Rolle an den Dienst.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In diesem Fall müssen die Richtlinien von Mary aktualisiert werden, um die Aktion `iam:PassRole` ausführen zu können.
Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.
## Ich möchte Personen außerhalb meines AWS Kontos den Zugriff auf meine Amazon Managed Grafana-Ressourcen ermöglichen
Sie können eine Rolle erstellen, mit der Benutzer in anderen Konten oder Personen außerhalb Ihrer Organisation auf Ihre Ressourcen zugreifen können. Sie können festlegen, wem die Übernahme der Rolle anvertraut wird. Für Dienste, die ressourcenbasierte Richtlinien oder Zugriffskontrolllisten (ACLs) unterstützen, können Sie diese Richtlinien verwenden, um Personen Zugriff auf Ihre Ressourcen zu gewähren.
Weitere Informationen dazu finden Sie hier:
+ Informationen darüber, ob Amazon Managed Grafana diese Funktionen unterstützt, finden Sie unter[So funktioniert Amazon Managed Grafana mit IAM](security_iam_service-with-iam.md).
+ *Informationen dazu, wie Sie Zugriff auf Ihre Ressourcen gewähren können, AWS-Konten die Ihnen gehören, finden Sie im IAM-Benutzerhandbuch unter [Gewähren des Zugriffs auf einen IAM-Benutzer in einem anderen AWS-Konto , den Sie besitzen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html).*
+ Informationen dazu, wie Sie Dritten Zugriff auf Ihre Ressourcen gewähren können AWS-Konten, finden Sie [AWS-Konten im *IAM-Benutzerhandbuch* unter Gewähren des Zugriffs für Dritte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html).
+ Informationen dazu, wie Sie über einen Identitätsverbund Zugriff gewähren, finden Sie unter [Gewähren von Zugriff für extern authentifizierte Benutzer (Identitätsverbund)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) im *IAM-Benutzerhandbuch*.
+ Informationen zum Unterschied zwischen der Verwendung von Rollen und ressourcenbasierten Richtlinien für den kontoübergreifenden Zugriff finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
# Serviceübergreifende Confused-Deputy-Prävention
Das Confused-Deputy-Problem ist ein Sicherheitsproblem, bei dem eine juristische Stelle, die nicht über die Berechtigung zum Ausführen einer Aktion verfügt, eine privilegiertere juristische Stelle zwingen kann, die Aktion auszuführen. In AWS, dienstübergreifender Identitätswechsel kann zum Problem des verwirrten Stellvertreters führen. Ein dienstübergreifender Identitätswechsel kann auftreten, wenn ein Dienst (der *Anruf-Dienst*) einen anderen Dienst anruft (den *aufgerufenen Dienst*). Der aufrufende Service kann manipuliert werden, um seine Berechtigungen zu verwenden, um Aktionen auf die Ressourcen eines anderen Kunden auszuführen, für die er sonst keine Zugriffsberechtigung haben sollte. Um dies zu verhindern, bietet AWS Tools, mit denen Sie Ihre Daten für alle Services mit Serviceprinzipalen schützen können, die Zugriff auf Ressourcen in Ihrem Konto erhalten haben.
Wir empfehlen, die Kontextschlüssel [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)und die [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)globalen Bedingungsschlüssel in Ressourcenrichtlinien zu verwenden, um die Berechtigungen einzuschränken, die Amazon Managed Grafana einem anderen Service für die Ressource gewährt. Wenn der `aws:SourceArn`-Wert die Konto-ID nicht enthält, z. B. einen Amazon-S3-Bucket-ARN, müssen Sie beide globale Bedingungskontextschlüssel verwenden, um Berechtigungen einzuschränken. Wenn Sie beide globale Bedingungskontextschlüssel verwenden und der `aws:SourceArn`-Wert die Konto-ID enthält, müssen der `aws:SourceAccount`-Wert und das Konto im `aws:SourceArn`-Wert dieselbe Konto-ID verwenden, wenn sie in der gleichen Richtlinienanweisung verwendet wird. Verwenden Sie `aws:SourceArn`, wenn Sie nur eine Ressource mit dem betriebsübergreifenden Zugriff verknüpfen möchten. Verwenden Sie `aws:SourceAccount`, wenn Sie zulassen möchten, dass Ressourcen in diesem Konto mit der betriebsübergreifenden Verwendung verknüpft werden.
Der Wert von `aws:SourceArn` muss der ARN Ihres Amazon Managed Grafana-Workspace sein.
Der effektivste Weg, um sich vor dem Confused-Deputy-Problem zu schützen, ist die Verwendung des globalen Bedingungskontext-Schlüssels `aws:SourceArn` mit dem vollständigen ARN der Ressource. Wenn Sie den vollständigen ARN der Ressource nicht kennen oder wenn Sie mehrere Ressourcen angeben, verwenden Sie den globalen Bedingungskontext-Schlüssel `aws:SourceArn` mit Platzhaltern (`*`) für die unbekannten Teile des ARN. Beispiel, `arn:aws:grafana:*:123456789012:*`.
Das folgende Beispiel zeigt, wie Sie die Kontextschlüssel `aws:SourceArn` und die `aws:SourceAccount` globalen Bedingungsschlüssel in den IAM-Rollenvertrauensrichtlinien von Amazon Managed Grafana Workspace verwenden können, um das Problem des verwirrten Stellvertreters zu verhindern.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "grafana.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "accountId",
"aws:SourceArn": "arn:aws:grafana:region:accountId:/workspaces/workspaceId"
}
}
}
]
}
```
------
# Verwenden von serviceverknüpften Rollen für Amazon Managed Grafana
Amazon Managed Grafana verwendet AWS Identity and Access Management (IAM) [serviceverknüpfte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Rollen. Eine serviceverknüpfte Rolle ist eine einzigartige Art von IAM-Rolle, die direkt mit Amazon Managed Grafana verknüpft ist. Servicebezogene Rollen sind von Amazon Managed Grafana vordefiniert und beinhalten alle Berechtigungen, die der Service benötigt, um andere AWS Services in Ihrem Namen aufzurufen.
Eine serviceverknüpfte Rolle erleichtert die Einrichtung von Amazon Managed Grafana, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. Amazon Managed Grafana definiert die Berechtigungen seiner serviceverknüpften Rollen, und sofern nicht anders definiert, kann nur Amazon Managed Grafana seine Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesen werden.
Sie können eine serviceverknüpfte Rolle erst löschen, nachdem ihre verwandten Ressourcen gelöscht wurden. Dies schützt Ihre Amazon Managed Grafana-Ressourcen, da Sie die Zugriffsberechtigung für die Ressourcen nicht versehentlich entfernen können.
**Informationen zu anderen Diensten, die serviceverknüpfte Rollen unterstützen, finden Sie unter [AWS Services That Work with IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie in der Spalte Service-verknüpfte Rollen nach den Services, für die **Ja** steht.** Wählen Sie über einen Link **Ja** aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.
## Servicebezogene Rollenberechtigungen für Amazon Managed Grafana
Amazon Managed Grafana verwendet die serviceverknüpfte Rolle mit dem Namen **AmazonManagedGrafana**— Amazon Managed Grafana verwendet diese Rolle, um Ressourcen wie Secrets Manager innerhalb von ENIs Kundenkonten zu erstellen und zu konfigurieren. Die AmazonManagedGrafana servicebezogene Rolle vertraut darauf, dass die folgenden Dienste die Rolle übernehmen:
+ `grafana.amazonaws.com`
Die AmazonManagedGrafana dienstbezogene Rolle ist der Richtlinie zugeordnet. `AmazonGrafanaServiceLinkedRolePolicy` Aktualisierungen dieser Richtlinie finden Sie unter [Amazon Managed Grafana-Aktualisierungen der AWS verwalteten Richtlinien](security-iam-awsmanpol.md#iam-awsmanpol-updates).
Die Rollenberechtigungsrichtlinie ermöglicht es Amazon Managed Grafana, die folgenden Aktionen für die angegebenen Ressourcen durchzuführen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "ec2:CreateNetworkInterface",
"Resource": "*",
"Condition": {
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"AmazonGrafanaManaged"
]
}
}
},
{
"Effect": "Allow",
"Action": "ec2:CreateTags",
"Resource": "arn:aws:ec2:*:*:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateNetworkInterface"
},
"Null": {
"aws:RequestTag/AmazonGrafanaManaged": "false"
}
}
},
{
"Effect": "Allow",
"Action": "ec2:DeleteNetworkInterface",
"Resource": "*",
"Condition": {
"Null": {
"ec2:ResourceTag/AmazonGrafanaManaged": "false"
}
}
}
]
}
```
------
Sie müssen Berechtigungen konfigurieren, damit eine juristische Stelle von IAM (z. B. Benutzer, Gruppe oder Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter [Serviceverknüpfte Rollenberechtigung](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*.
## Eine serviceverknüpfte Rolle für Amazon Managed Grafana erstellen
Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie CreateWorkspace mit einer VpcConfiguration in der AWS-Managementkonsole, der oder der AWS API aufrufen AWS CLI, erstellt Amazon Managed Grafana die serviceverknüpfte Rolle für Sie.
**Wichtig**
Diese serviceverknüpfte Rolle kann in Ihrem Konto erscheinen, wenn Sie eine Aktion in einem anderen Service abgeschlossen haben, der die von dieser Rolle unterstützten Features verwendet. Wenn Sie den Amazon Managed Grafana-Service vor dem 30. November 2022 genutzt haben, als er begann, serviceverknüpfte Rollen zu unterstützen, dann hat Amazon Managed Grafana die AmazonManagedGrafana Rolle in Ihrem Konto erstellt. Weitere Informationen finden Sie unter [In meinem IAM-Konto wird eine neue Rolle angezeigt](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie CreateWorkspace mit einem anrufen VpcConfiguration, erstellt Amazon Managed Grafana die serviceverknüpfte Rolle erneut für Sie.
Sie können die IAM-Konsole auch verwenden, um eine serviceverknüpfte Rolle mit dem **Grafana-Anwendungsfall** zu erstellen. Erstellen Sie in der AWS CLI oder der AWS API eine dienstverknüpfte Rolle mit dem Dienstnamen. `grafana.amazonaws.com` Weitere Informationen finden Sie unter [Erstellen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) im *IAM-Benutzerhandbuch*. Wenn Sie diese serviceverknüpfte Rolle löschen, können Sie mit demselben Verfahren die Rolle erneut erstellen.
## Bearbeiten einer serviceverknüpften Rolle für Amazon Managed Grafana
Mit Amazon Managed Grafana können Sie die AmazonManagedGrafana serviceverknüpfte Rolle nicht bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
## Löschen einer serviceverknüpften Rolle für Amazon Managed Grafana
Wenn Sie ein Feature oder einen Dienst, die bzw. der eine serviceverknüpften Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte juristische Stelle, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpften Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.
**Anmerkung**
Wenn der Amazon Managed Grafana-Service die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.
**Um Amazon Managed Grafana-Ressourcen zu löschen, die verwendet werden von AmazonManagedGrafana**
1. Navigieren Sie in der Konsole `Region` zur Ansicht **Alle Arbeitsbereiche**. AWS
1. Löschen Sie alle Arbeitsbereiche in der. `Region` Sie müssen das Optionsfeld für jeden Arbeitsbereich aktivieren und die Schaltfläche **Löschen** oben rechts in der Ansicht **Alle Arbeitsbereiche** auswählen. Wiederholen Sie das Löschen jedes Arbeitsbereichs, bis alle Arbeitsbereiche aus dem gelöscht sind. `Region` Weitere Informationen zum Löschen eines Workspace in Amazon Managed Grafana finden Sie unter [Löschen eines Workspace](https://docs.aws.amazon.com/grafana/latest/userguide/AMG-edit-delete-workspace.html) in diesem Benutzerhandbuch.
**Anmerkung**
Wiederholen Sie den Vorgang für jeden Bereich AWS-Region , in dem Sie Workspaces haben. Sie müssen alle Workspaces *in allen Regionen* löschen, bevor Sie die serviceverknüpfte Rolle löschen können.
**So löschen Sie die serviceverknüpfte Rolle mit IAM**
Verwenden Sie die IAM-Konsole, die oder die AWS API AWS CLI, um die serviceverknüpfte Rolle zu löschen. AmazonManagedGrafana Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Benutzerhandbuch*.
## Unterstützte Regionen für serviceverknüpfte Amazon Managed Grafana-Rollen
Amazon Managed Grafana unterstützt die Verwendung von servicebezogenen Rollen in allen Regionen, in denen der Service verfügbar ist. Weitere Informationen finden Sie unter [AWS -Regionen und -Endpunkte](https://docs.aws.amazon.com/general/latest/gr/grafana-service.html).
# Amazon Managed Grafana-Berechtigungen und Richtlinien für AWS Datenquellen
Amazon Managed Grafana bietet drei Berechtigungsmodi:
+ Vom Service verwaltete Berechtigungen für das Girokonto
+ Vom Service verwaltete Berechtigungen für Organisationen
+ Vom Kunden verwaltete Berechtigungen
Wenn du einen Workspace erstellst, wählst du aus, welcher Berechtigungsmodus verwendet werden soll. Du kannst dies auch später ändern, wenn du möchtest.
In jedem der vom Service verwalteten Berechtigungsmodi erstellt Amazon Managed Grafana Rollen und Richtlinien, die für den Zugriff auf und die Erkennung von AWS Datenquellen in Ihrem Konto oder Ihrer Organisation erforderlich sind. Sie können diese Richtlinien dann in der IAM-Konsole bearbeiten, wenn Sie möchten.
## Vom Service verwaltete Berechtigungen für ein einzelnes Konto
In diesem Modus erstellt Amazon Managed Grafana eine Rolle namens **AmazonGrafanaServiceRole- *random-id***. Amazon Managed Grafana fügt dieser Rolle dann eine Richtlinie für jeden AWS Service hinzu, auf den Sie vom Amazon Managed Grafana-Arbeitsbereich aus zugreifen möchten.
**CloudWatch**
Amazon Managed Grafana fügt die AWS verwaltete Richtlinie hinzu. **AmazonGrafanaCloudWatchAccess**
**Für Workspaces, die CloudWatch vor der Erstellung der **AmazonGrafanaCloudWatchAccess**verwalteten Richtlinie verwendet wurden, hat Amazon Managed Grafana eine vom Kunden verwaltete Richtlinie mit dem Namen - erstellt. AmazonGrafanaCloudWatchPolicy *random-id***
** OpenSearch Amazon-Dienst**
**Amazon Managed Grafana erstellt eine vom Kunden verwaltete Richtlinie mit dem Namen AmazonGrafanaOpenSearchPolicy -. *random-id*** Die Get/Post Berechtigungen werden für den Zugriff auf die Datenquelle benötigt. Die List/Describe Berechtigungen werden von Amazon Managed Grafana für die Datenquellenerkennung verwendet, sind jedoch nicht erforderlich, damit das Datenquellen-Plugin funktioniert. Der Inhalt der Richtlinie lautet wie folgt:
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"es:ESHttpGet",
"es:DescribeElasticsearchDomains",
"es:ListDomainNames"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "es:ESHttpPost",
"Resource": [
"arn:aws:es:*:*:domain/*/_msearch*",
"arn:aws:es:*:*:domain/*/_opendistro/_ppl"
]
}
]
}
```
**AWS IoT SiteWise**
Amazon Managed Grafana fügt die AWS verwaltete Richtlinie hinzu. **AWSIoTSiteWiseReadOnlyAccess**
**Amazon Redshift**
Amazon Managed Grafana fügt die AWS verwaltete Richtlinie hinzu. **AmazonGrafanaRedshiftAccess**
**Amazon Athena**
Amazon Managed Grafana fügt die AWS verwaltete Richtlinie hinzu. **AmazonGrafanaAthenaAccess**
**Amazon Managed Service for Prometheus**
**Amazon Managed Grafana erstellt eine vom Kunden verwaltete Richtlinie mit dem Namen AmazonGrafanaPrometheusPolicy -. *random-id*** Die List/Describe Berechtigungen werden von Amazon Managed Grafana für die Datenquellenerkennung verwendet. Sie sind nicht erforderlich, damit das Plugin funktioniert. Der Inhalt der Richtlinie lautet wie folgt:
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aps:ListWorkspaces",
"aps:DescribeWorkspace",
"aps:QueryMetrics",
"aps:GetLabels",
"aps:GetSeries",
"aps:GetMetricMetadata"
],
"Resource": "*"
}
]
}
```
**Amazon SNS**
**Amazon Managed Grafana erstellt eine vom Kunden verwaltete Richtlinie mit dem Namen AmazonGrafana SNSPolicy -. *random-id*** Die Richtlinie beschränkt Sie darauf, in Ihrem Konto nur SNS-Themen zu verwenden, die mit der Zeichenfolge beginnen. `grafana` Dies ist nicht erforderlich, wenn Sie Ihre eigene Richtlinie erstellen. Der Inhalt der Richtlinie lautet wie folgt:
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sns:Publish"
],
"Resource": [
"arn:aws:sns:*:111122223333:grafana*"
]
}
]
}
```
**Timestream**
Amazon Managed Grafana fügt die AWS verwaltete Richtlinie hinzu. **AmazonTimestreamReadOnlyAccess**
**X-Ray**
Amazon Managed Grafana fügt die AWS verwaltete Richtlinie hinzu. **AWSXrayReadOnlyAccess**
## Vom Service verwaltete Berechtigungen für eine Organisation
Dieser Modus wird nur für Arbeitsbereiche unterstützt, die in Verwaltungskonten oder delegierten Administratorkonten in einer Organisation erstellt wurden. Delegierte Administratorkonten können Stack-Sets für die Organisation erstellen und verwalten. Weitere Informationen zu delegierten Administratorkonten finden Sie unter [Registrieren eines](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-delegated-admin.html) delegierten Administrators.
**Anmerkung**
Das Erstellen von Ressourcen wie Amazon Managed Grafana-Workspaces im Verwaltungskonto einer Organisation verstößt gegen bewährte AWS Sicherheitsmethoden.
In diesem Modus erstellt Amazon Managed Grafana alle IAM-Rollen, die für den Zugriff auf AWS Ressourcen in anderen Konten in Ihrer AWS Organisation erforderlich sind. In jedem Konto in den Organisationseinheiten, die Sie auswählen, erstellt Amazon Managed Grafana eine Rolle mit dem Namen **AmazonGrafanaOrgMemberRole- *random-id***. Diese Rollenerstellung erfolgt durch eine Integration mit AWS CloudFormation StackSets.
Dieser Rolle ist eine Richtlinie für jede AWS Datenquelle zugeordnet, die Sie für die Verwendung im Workspace auswählen. Den Inhalt dieser Datenrichtlinien finden Sie unter[Vom Service verwaltete Berechtigungen für ein einzelnes Konto](#AMG-service-managed-account).
Amazon Managed Grafana erstellt auch eine Rolle namens **AmazonGrafanaOrgAdminRole- *random-id*** im Verwaltungskonto der Organisation. Diese Rolle gewährt dem Amazon Managed Grafana-Workspace die Berechtigung, auf andere Konten in der Organisation zuzugreifen. AWS Dieser Rolle werden auch die Kanalrichtlinien für Servicebenachrichtigungen zugeordnet. Verwende das **AWS Datenquellenmenü** in deinem Workspace, um schnell Datenquellen für jedes Konto bereitzustellen, auf das dein Workspace zugreifen kann
Um diesen Modus verwenden zu können, musst du CloudFormation Stacksets als vertrauenswürdigen Dienst in deiner AWS Organisation aktivieren. Weitere Informationen finden Sie unter [Vertrauenswürdigen Zugriff aktivieren](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-enable-trusted-access.html) mit. AWS Organizations
Hier ist der Inhalt des **AmazonGrafanaStackSet- *random-id*** Stack-Sets:
```
Parameters:
IncludePrometheusPolicy:
Description: Whether to include Amazon Prometheus access in the role
Type: String
AllowedValues:
- true
- false
Default: false
IncludeAESPolicy:
Description: Whether to include Amazon Elasticsearch access in the role
Type: String
AllowedValues:
- true
- false
Default: false
IncludeCloudWatchPolicy:
Description: Whether to include CloudWatch access in the role
Type: String
AllowedValues:
- true
- false
Default: false
IncludeTimestreamPolicy:
Description: Whether to include Amazon Timestream access in the role
Type: String
AllowedValues:
- true
- false
Default: false
IncludeXrayPolicy:
Description: Whether to include AWS X-Ray access in the role
Type: String
AllowedValues:
- true
- false
Default: false
IncludeSitewisePolicy:
Description: Whether to include AWS IoT SiteWise access in the role
Type: String
AllowedValues:
- true
- false
Default: false
IncludeRedshiftPolicy:
Description: Whether to include Amazon Redshift access in the role
Type: String
AllowedValues:
- true
- false
Default: false
IncludeAthenaPolicy:
Description: Whether to include Amazon Athena access in the role
Type: String
AllowedValues:
- true
- false
Default: false
RoleName:
Description: Name of the role to create
Type: String
AdminAccountId:
Description: Account ID of the Amazon Grafana org admin
Type: String
Conditions:
addPrometheus: !Equals [!Ref IncludePrometheusPolicy, true]
addAES: !Equals [!Ref IncludeAESPolicy, true]
addCloudWatch: !Equals [!Ref IncludeCloudWatchPolicy, true]
addTimestream: !Equals [!Ref IncludeTimestreamPolicy, true]
addXray: !Equals [!Ref IncludeXrayPolicy, true]
addSitewise: !Equals [!Ref IncludeSitewisePolicy, true]
addRedshift: !Equals [!Ref IncludeRedshiftPolicy, true]
addAthena: !Equals [!Ref IncludeAthenaPolicy, true]
Resources:
PrometheusPolicy:
Type: AWS::IAM::Policy
Condition: addPrometheus
Properties:
Roles:
- !Ref GrafanaMemberServiceRole
PolicyName: AmazonGrafanaPrometheusPolicy
PolicyDocument:
Version: '2012-10-17'
Statement:
- Effect: Allow
Action:
- aps:QueryMetrics
- aps:GetLabels
- aps:GetSeries
- aps:GetMetricMetadata
- aps:ListWorkspaces
- aps:DescribeWorkspace
Resource: '*'
AESPolicy:
Type: AWS::IAM::Policy
Condition: addAES
Properties:
Roles:
- !Ref GrafanaMemberServiceRole
PolicyName: AmazonGrafanaElasticsearchPolicy
PolicyDocument:
Version: '2012-10-17'
Statement:
- Sid: AllowReadingESDomains
Effect: Allow
Action:
- es:ESHttpGet
- es:ESHttpPost
- es:ListDomainNames
- es:DescribeElasticsearchDomains
Resource: '*'
CloudWatchPolicy:
Type: AWS::IAM::Policy
Condition: addCloudWatch
Properties:
Roles:
- !Ref GrafanaMemberServiceRole
PolicyName: AmazonGrafanaCloudWatchPolicy
PolicyDocument:
Version: '2012-10-17'
Statement:
- Sid: AllowReadingMetricsFromCloudWatch
Effect: Allow
Action:
- cloudwatch:DescribeAlarmsForMetric
- cloudwatch:DescribeAlarmHistory
- cloudwatch:DescribeAlarms
- cloudwatch:ListMetrics
- cloudwatch:GetMetricStatistics
- cloudwatch:GetMetricData
- cloudwatch:GetInsightRuleReport
Resource: "*"
- Sid: AllowReadingLogsFromCloudWatch
Effect: Allow
Action:
- logs:DescribeLogGroups
- logs:GetLogGroupFields
- logs:StartQuery
- logs:StopQuery
- logs:GetQueryResults
- logs:GetLogEvents
Resource: "*"
- Sid: AllowReadingTagsInstancesRegionsFromEC2
Effect: Allow
Action:
- ec2:DescribeTags
- ec2:DescribeInstances
- ec2:DescribeRegions
Resource: "*"
- Sid: AllowReadingResourcesForTags
Effect: Allow
Action:
- tag:GetResources
Resource: "*"
GrafanaMemberServiceRole:
Type: 'AWS::IAM::Role'
Properties:
RoleName: !Ref RoleName
AssumeRolePolicyDocument:
Version: '2012-10-17'
Statement:
- Effect: Allow
Principal:
AWS: !Sub arn:aws:iam::${AdminAccountId}:root
Action:
- 'sts:AssumeRole'
Path: /service-role/
ManagedPolicyArns:
- !If [addTimestream, arn:aws:iam::aws:policy/AmazonTimestreamReadOnlyAccess, !Ref AWS::NoValue]
- !If [addXray, arn:aws:iam::aws:policy/AWSXrayReadOnlyAccess, !Ref AWS::NoValue]
- !If [addSitewise, arn:aws:iam::aws:policy/AWSIoTSiteWiseReadOnlyAccess, !Ref AWS::NoValue]
- !If [addRedshift, arn:aws:iam::aws:policy/service-role/AmazonGrafanaRedshiftAccess, !Ref AWS::NoValue]
- !If [addAthena, arn:aws:iam::aws:policy/service-role/AmazonGrafanaAthenaAccess, !Ref AWS::NoValue]
```
Hier ist der Inhalt von **AmazonGrafanaOrgAdminPolicy- *random-id***.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"organizations:ListAccountsForParent",
"organizations:ListOrganizationalUnitsForParent"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "o-organizationId"
}
}
},
{
"Effect": "Allow",
"Action": [
"sts:AssumeRole"
],
"Resource": "arn:aws:iam::*:role/service-role/AmazonGrafanaOrgMemberRole-random-Id"
}]
}
```
------
## Vom Kunden verwaltete Berechtigungen
Wenn Sie sich dafür entscheiden, vom Kunden verwaltete Berechtigungen zu verwenden, geben Sie eine bestehende IAM-Rolle in Ihrem Konto an, wenn Sie einen Amazon Managed Grafana-Workspace erstellen. Für die Rolle muss eine Vertrauensrichtlinie gelten, die Vertrauen gewährleistet. `grafana.amazonaws.com`
Im Folgenden finden Sie ein Beispiel für eine solche Richtlinie:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "grafana.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Damit diese Rolle auf AWS Datenquellen oder Benachrichtigungskanäle in diesem Konto zugreifen kann, muss sie über die Berechtigungen verfügen, die in den zuvor in diesem Abschnitt aufgeführten Richtlinien festgelegt sind. Um die CloudWatch Datenquelle verwenden zu können, muss sie beispielsweise über die in der CloudWatch Richtlinie aufgeführten Berechtigungen verfügen[Vom Service verwaltete Berechtigungen für ein einzelnes Konto](#AMG-service-managed-account).
Die `List` in den Richtlinien für Amazon OpenSearch Service und Amazon Managed Service for Prometheus aufgeführten `Describe` Berechtigungen [Vom Service verwaltete Berechtigungen für ein einzelnes Konto](#AMG-service-managed-account) sind nur erforderlich, damit die Datenquellenerkennung und -bereitstellung ordnungsgemäß funktionieren. Sie sind nicht erforderlich, wenn Sie diese Datenquellen nur manuell einrichten möchten.
**Kontenübergreifender Zugriff**
Wenn ein Workspace im Konto 111111111111 erstellt wird, muss eine Rolle im Konto 1111111111111 angegeben werden. Rufen Sie *WorkspaceRole*für dieses Beispiel diese Rolle auf. Um auf Daten im Konto 999999999999 zuzugreifen, müssen Sie eine Rolle im Konto 9999999999 erstellen. *DataSourceRole*Nenn das. Sie müssen dann eine Vertrauensbeziehung zwischen *WorkspaceRole*und aufbauen *DataSourceRole*. Weitere Informationen zum Aufbau einer Vertrauensstellung zwischen zwei Rollen finden Sie unter [IAM-Tutorial: Delegieren Sie den AWS kontenübergreifenden Zugriff mithilfe von IAM-Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_cross-account-with-roles.html).
*DataSourceRole*muss die weiter oben in diesem Abschnitt aufgeführten Richtlinienanweisungen für jede Datenquelle enthalten, die Sie verwenden möchten. Nachdem die Vertrauensstellung eingerichtet wurde, können Sie den ARN von *DataSourceRole*(arn:aws:iam: :999999999999:role:DataSourceRole) im Feld **Rolle annehmen auf der Datenquellenkonfigurationsseite einer beliebigen Datenquelle in Ihrem Workspace** angeben. AWS Die Datenquelle greift dann mit den in definierten Berechtigungen auf das Konto 999999999999 zu. *DataSourceRole*
# IAM-Berechtigungen
Für den Zugriff auf Amazon Managed Grafana-Aktionen und -Daten sind Anmeldeinformationen erforderlich. Diese Anmeldeinformationen müssen über Berechtigungen verfügen, um die Aktionen auszuführen und auf die AWS Ressourcen zuzugreifen, z. B. das Abrufen von Amazon Managed Grafana-Daten über Ihre Cloud-Ressourcen. In den folgenden Abschnitten erfahren Sie, wie Sie Amazon Managed Grafana verwenden AWS Identity and Access Management können, um Ihre Ressourcen zu schützen, indem Sie kontrollieren, wer darauf zugreifen kann. Weitere Informationen finden Sie unter [Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html).
## Amazon Managed Grafana-Berechtigungen
Die folgende Tabelle zeigt mögliche Amazon Managed Grafana-Aktionen und die erforderlichen Berechtigungen:
| Action | Erforderliche Berechtigung |
| --- | --- |
| Erstellen Sie einen Amazon Managed Grafana-Arbeitsbereich. Ein Workspace ist ein logisch isolierter Grafana-Server, der zur Erstellung und Visualisierung von Metriken, Protokollen und Traces verwendet wird. | `grafana:CreateWorkspace` |
| Löschen Sie einen Amazon Managed Grafana-Arbeitsbereich. | `grafana:DeleteWorkspace` |
| Rufen Sie detaillierte Informationen zu einem Amazon Managed Grafana-Arbeitsbereich ab. | `grafana:DescribeWorkspace` |
| Rufen Sie die einem Workspace zugeordnete Authentifizierungskonfiguration ab. | `grafana:DescribeWorkspaceAuthentication` |
| Rufen Sie eine Liste der Berechtigungen ab, die Workspace-Benutzern und -Gruppen zugeordnet sind. | `grafana:ListPermissions` |
| Rufen Sie eine Liste der Amazon Managed Grafana-Workspaces ab, die im Konto vorhanden sind. | `grafana:ListWorkspaces` |
| Aktualisieren Sie die Berechtigungen für Workspace-Benutzer und -Gruppen. | `grafana:UpdatePermissions` |
| Aktualisieren Sie die Amazon Managed Grafana-Arbeitsbereiche. | `grafana:UpdateWorkspace` |
| Aktualisieren Sie die einem Workspace zugeordnete Authentifizierungskonfiguration. | `grafana:UpdateWorkspaceAuthentication` |
| Ordnen Sie eine Grafana-Unternehmenslizenz einem Workspace zu. | `grafana:AssociateLicense` |
# Konformitätsvalidierung für Amazon Managed Grafana
Informationen darüber, ob AWS-Service ein [AWS-Services in den Geltungsbereich bestimmter Compliance-Programme fällt, finden Sie unter Umfang nach Compliance-Programm AWS-Services unter](https://aws.amazon.com/compliance/services-in-scope/) . Wählen Sie dort das Compliance-Programm aus, an dem Sie interessiert sind. Allgemeine Informationen finden Sie unter [AWS Compliance-Programme AWS](https://aws.amazon.com/compliance/programs/) .
Sie können Prüfberichte von Drittanbietern unter herunterladen AWS Artifact. Weitere Informationen finden Sie unter [Berichte herunterladen unter ](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).
Ihre Verantwortung für die Einhaltung der Vorschriften bei der Nutzung AWS-Services hängt von der Vertraulichkeit Ihrer Daten, den Compliance-Zielen Ihres Unternehmens und den geltenden Gesetzen und Vorschriften ab. Weitere Informationen zu Ihrer Verantwortung für die Einhaltung der Vorschriften bei der Nutzung AWS-Services finden Sie in der [AWS Sicherheitsdokumentation](https://docs.aws.amazon.com/security/).
# Resilienz in Amazon Managed Grafana
Die AWS globale Infrastruktur basiert auf AWS Regionen und Availability Zones. AWS Regionen bieten mehrere physisch getrennte und isolierte Availability Zones, die über Netzwerke mit niedriger Latenz, hohem Durchsatz und hoher Redundanz miteinander verbunden sind. Mithilfe von Availability Zones können Sie Anwendungen und Datenbanken erstellen und ausführen, die automatisch Failover zwischen Zonen ausführen, ohne dass es zu Unterbrechungen kommt. Availability Zones sind besser verfügbar, fehlertoleranter und skalierbarer als herkömmliche Infrastrukturen mit einem oder mehreren Rechenzentren.
Weitere Informationen zu AWS Regionen und Availability Zones finden Sie unter [AWS Globale](https://aws.amazon.com/about-aws/global-infrastructure/) Infrastruktur.
Zusätzlich zur AWS globalen Infrastruktur bietet Amazon Managed Grafana mehrere Funktionen, um Ihre Datenstabilität und Backup-Anforderungen zu erfüllen.
# Infrastruktursicherheit in Amazon Managed Grafana
Als verwalteter Service ist Amazon Managed Grafana durch AWS globale Netzwerksicherheit geschützt. Informationen zu AWS Sicherheitsdiensten und zum AWS Schutz der Infrastruktur finden Sie unter [AWS Cloud-Sicherheit](https://aws.amazon.com/security/). Informationen zum Entwerfen Ihrer AWS Umgebung unter Verwendung der bewährten Methoden für die Infrastruktursicherheit finden Sie unter [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected Framework*.
Sie verwenden AWS veröffentlichte API-Aufrufe, um über das Netzwerk auf Amazon Managed Grafana zuzugreifen. Kunden müssen Folgendes unterstützen:
+ Transport Layer Security (TLS). Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Verschlüsselungs-Suiten mit Perfect Forward Secrecy (PFS) wie DHE (Ephemeral Diffie-Hellman) oder ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Die meisten modernen Systeme wie Java 7 und höher unterstützen diese Modi.
# Protokollieren von Amazon Managed Grafana-API-Aufrufen mit AWS CloudTrail
Amazon Managed Grafana ist in einen Service integriert [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html), der eine Aufzeichnung der von einem Benutzer, einer Rolle oder einem AWS-Service ausgeführten Aktionen bereitstellt. CloudTrailerfasst alle API-Aufrufe für Amazon Managed Grafana als Ereignisse. Zu den erfassten Aufrufen gehören Aufrufe von der Amazon Managed Grafana-Konsole und Code-Aufrufe an die Amazon Managed Grafana-API-Operationen.
Amazon Managed Grafana erfasst auch einige Anrufe, die APIs Grafana verwenden. Bei den erfassten Aufrufen handelt es sich um Anrufe, die Daten ändern, z. B. Aufrufe, die Ressourcen erstellen, aktualisieren oder löschen. Weitere Informationen zu Grafana APIs , die in Amazon Managed Grafana unterstützt werden, finden Sie unter. [Grafana HTTP verwenden APIs](Using-Grafana-APIs.md)
Anhand der von gesammelten Informationen können Sie die Anfrage CloudTrail, die an Amazon Managed Grafana gestellt wurde, die IP-Adresse, von der aus die Anfrage gestellt wurde, wann sie gestellt wurde, und weitere Details ermitteln.
Jeder Ereignis- oder Protokolleintrag enthält Informationen zu dem Benutzer, der die Anforderung generiert hat. Die Identitätsinformationen unterstützen Sie bei der Ermittlung der folgenden Punkte:
+ Ob die Anforderung mit Anmeldeinformationen des Root-Benutzers oder des Benutzers gestellt wurde.
+ Die Anforderung wurde im Namen eines IAM-Identity-Center-Benutzers erstellt.
+ Gibt an, ob die Anforderung mit temporären Sicherheitsanmeldeinformationen für eine Rolle oder einen Verbundbenutzer gesendet wurde.
+ Ob die Anforderung aus einem anderen AWS-Service gesendet wurde.
CloudTrail ist in Ihrem aktiv AWS-Konto , wenn Sie das Konto erstellen, und Sie haben automatisch Zugriff auf den CloudTrail **Eventverlauf**. Der CloudTrail **Ereignisverlauf** bietet eine einsehbare, durchsuchbare, herunterladbare und unveränderliche Aufzeichnung der aufgezeichneten Verwaltungsereignisse der letzten 90 Tage in einem. AWS-Region Weitere Informationen finden Sie im *AWS CloudTrail Benutzerhandbuch* unter [Arbeiten mit dem CloudTrail Ereignisverlauf](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html). Für die Anzeige des **Ereignisverlaufs CloudTrail ** fallen keine Gebühren an.
Für eine fortlaufende Aufzeichnung der Ereignisse in AWS-Konto den letzten 90 Tagen erstellen Sie einen Trail- oder [CloudTrail Lake-Event-Datenspeicher](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html).
**CloudTrail Pfade**
Ein *Trail* ermöglicht CloudTrail die Übermittlung von Protokolldateien an einen Amazon S3 S3-Bucket. Alle mit dem erstellten Pfade AWS-Managementkonsole sind regionsübergreifend. Sie können mithilfe von AWS CLI einen Einzel-Region- oder einen Multi-Region-Trail erstellen. Es wird empfohlen, einen Trail mit mehreren Regionen zu erstellen, da Sie alle Aktivitäten AWS-Regionen in Ihrem Konto erfassen. Wenn Sie einen Einzel-Region-Trail erstellen, können Sie nur die Ereignisse anzeigen, die im AWS-Region des Trails protokolliert wurden. Weitere Informationen zu Trails finden Sie unter [Erstellen eines Trails für Ihr AWS-Konto](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html) und [Erstellen eines Trails für eine Organisation](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-trail-organization.html) im *AWS CloudTrail -Benutzerhandbuch*.
Sie können eine Kopie Ihrer laufenden Verwaltungsereignisse kostenlos an Ihren Amazon S3 S3-Bucket senden, CloudTrail indem Sie einen Trail erstellen. Es fallen jedoch Amazon S3 S3-Speichergebühren an. Weitere Informationen zur CloudTrail Preisgestaltung finden Sie unter [AWS CloudTrail Preise](https://aws.amazon.com/cloudtrail/pricing/). Informationen zu Amazon-S3-Preisen finden Sie unter [Amazon S3 – Preise](https://aws.amazon.com/s3/pricing/).
**CloudTrail Datenspeicher für Ereignisse in Lake**
CloudTrail Mit *Lake* können Sie SQL-basierte Abfragen für Ihre Ereignisse ausführen. CloudTrail [Lake konvertiert bestehende Ereignisse im zeilenbasierten JSON-Format in das Apache ORC-Format.](https://orc.apache.org/) ORC ist ein spaltenförmiges Speicherformat, das für den schnellen Abruf von Daten optimiert ist. Die Ereignisse werden in *Ereignisdatenspeichern* zusammengefasst, bei denen es sich um unveränderliche Sammlungen von Ereignissen handelt, die auf Kriterien basieren, die Sie mit Hilfe von [erweiterten Ereignisselektoren](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake-concepts.html#adv-event-selectors) auswählen. Die Selektoren, die Sie auf einen Ereignisdatenspeicher anwenden, steuern, welche Ereignisse bestehen bleiben und für Sie zur Abfrage verfügbar sind. *Weitere Informationen zu CloudTrail Lake finden Sie unter [Arbeiten mit AWS CloudTrail Lake](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html) im AWS CloudTrail Benutzerhandbuch.*
CloudTrail Für das Speichern und Abfragen von Ereignisdaten in Lake fallen Kosten an. Beim Erstellen eines Ereignisdatenspeichers wählen Sie die [Preisoption](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake-manage-costs.html#cloudtrail-lake-manage-costs-pricing-option) aus, die für den Ereignisdatenspeicher genutzt werden soll. Die Preisoption bestimmt die Kosten für die Erfassung und Speicherung von Ereignissen sowie die standardmäßige und maximale Aufbewahrungsdauer für den Ereignisdatenspeicher. Weitere Informationen zur CloudTrail Preisgestaltung finden Sie unter [AWS CloudTrail Preise](https://aws.amazon.com/cloudtrail/pricing/).
## Verwaltungsveranstaltungen von Amazon Managed Grafana in CloudTrail
[Management-Ereignisse](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-management-events-with-cloudtrail.html#logging-management-events) bieten Informationen über Verwaltungsvorgänge, die mit Ressourcen in Ihrem AWS-Konto System ausgeführt werden. Sie werden auch als Vorgänge auf Steuerebene bezeichnet. CloudTrail Protokolliert standardmäßig Verwaltungsereignisse.
Amazon Managed Grafana protokolliert alle Vorgänge auf der Amazon Managed Grafana-Steuerebene als Verwaltungsereignisse. Eine Liste der Vorgänge auf der Amazon Managed Grafana-Kontrollebene, bei denen Amazon Managed Grafana protokolliert CloudTrail, finden Sie in der [Amazon Managed Grafana-API-Referenz](https://docs.aws.amazon.com/grafana/latest/APIReference/Welcome.html).
## Beispiele für Amazon Managed Grafana-Ereignisse
Ein Ereignis stellt eine einzelne Anfrage aus einer beliebigen Quelle dar und enthält Informationen über den angeforderten API-Vorgang, Datum und Uhrzeit des Vorgangs, Anforderungsparameter usw. CloudTrail Protokolldateien sind kein geordneter Stack-Trace der öffentlichen API-Aufrufe, sodass Ereignisse nicht in einer bestimmten Reihenfolge angezeigt werden.
Das folgende Beispiel zeigt einen CloudTrail Protokolleintrag für eine CreateWorkspace Aktion.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "ANPAJ2UCCR6DPCEXAMPLE:sdbt-example",
"arn": "arn:aws:sts::123456789012:assumed-role/Admin/sdbt-example",
"accountId": "123456789012",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "ANPAJ2UCCR6DPCEXAMPLE",
"arn": "arn:aws:iam::123456789012:role/Admin",
"accountId": "123456789012",
"userName": "Admin"
},
"webIdFederationData": {},
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2020-11-26T20:59:21Z"
}
}
},
"eventTime": "2020-11-26T21:10:48Z",
"eventSource": "grafana.amazonaws.com",
"eventName": "CreateWorkspace",
"awsRegion": "us-west-2",
"sourceIPAddress": "205.251.233.179",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.13; rv:82.0) Gecko/20100101 Firefox/82.0",
"requestParameters": {
"permissionType": "Service Managed",
"workspaceNotificationDestinations": [
"SNS"
],
"workspaceDescription": "",
"clientToken": "12345678-abcd-1234-5678-111122223333",
"workspaceDataSources": [
"SITEWISE",
"XRAY",
"CLOUDWATCH",
"ELASTICSEARCH",
"PROMETHEUS",
"TIMESTREAM"
],
"accountAccessType": "CURRENT_ACCOUNT",
"workspaceName": "CloudTrailTest",
"workspaceRoleArn": "arn:aws:iam::123456789012:role/service-role/AmazonGrafanaServiceRole-27O5976ol"
},
"responseElements": {
"Access-Control-Expose-Headers": "x-amzn-RequestId,x-amzn-ErrorType,x-amzn-ErrorMessage,Date",
"workspace": {
"accountAccessType": "CURRENT_ACCOUNT",
"created": 1606425045.22,
"dataSources": [
"SITEWISE",
"XRAY",
"CLOUDWATCH",
"ELASTICSEARCH",
"PROMETHEUS",
"TIMESTREAM"
],
"description": "",
"grafanaVersion": "7.3.1",
"id": "g-a187c473d3",
"modified": 1606425045.22,
"name": "CloudTrailTest",
"notificationDestinations": [
"SNS"
],
"permissionType": "Service Managed",
"status": "CREATING",
"workspaceRoleArn": "arn:aws:iam::123456789012:role/service-role/AmazonGrafanaServiceRole-27O5976ol"
}
},
"requestID": "12345678-5533-4e10-b486-e9c7b219f2fd",
"eventID": "12345678-2710-4359-ad90-b902dbfb606b",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "123456789012"
}
```
Das folgende Beispiel zeigt einen CloudTrail Protokolleintrag für eine UpdateWorkspaceAuthentication Aktion.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAU2UJBF3NRO35YZ3GV:CODETEST_Series_GrafanaApiTestHydraCanary12-o6aeXqaXS_1090259374",
"arn": "arn:aws:sts::332073610971:assumed-role/HydraInvocationRole-4912743f1277b7c3c67cb29518f8bc413ae/CODETEST_Series_GrafanaApiTestHydraCanary12-o6aeXqaXS_1090259374",
"accountId": "111122223333",
"accessKeyId": "AIDACKCEVSQ6C2EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAU2UJBF3NRO35YZ3GV",
"arn": "arn:aws:iam::111122223333:role/HydraInvocationRole-4912743f1277b7c3c67cb29518f8bc413ae",
"accountId": "332073610971",
"userName": "TestInvocationRole-4912743f1277b7c3c67cb29518f8bc413ae"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2021-08-04T20:50:24Z",
"mfaAuthenticated": "false"
}
}
},
"eventTime": "2021-08-04T21:29:25Z",
"eventSource": "gamma-grafana.amazonaws.com",
"eventName": "UpdateWorkspaceAuthentication",
"awsRegion": "us-west-2",
"sourceIPAddress": "34.215.72.249",
"userAgent": "aws-internal/3 aws-sdk-java/1.11.1030 Linux/4.14.231-180.360.amzn2.x86_64 OpenJDK_64-Bit_Server_VM/11.0.11+9-LTS java/11.0.11 vendor/Amazon.com_Inc. cfg/retry-mode/legacy exec-env/AWS_Lambda_java11",
"requestParameters": {
"authenticationProviders": [
"AWS_SSO",
"SAML"
],
"samlConfiguration": {
"idpMetadata": {
"url": "https://portal.sso.us-east-1.amazonaws.com/saml/metadata/NjMwMDg2NDc4OTA3X2lucy1jY2E2ZGU3ZDlmYjdiM2Vh"
}
},
"workspaceId": "g-84ea23c1b4"
},
"responseElements": {
"authentication": {
"awsSso": {
"ssoClientId": "gAROcWGs9-LoqCMIQ56XyEXAMPLE"
},
"providers": [
"AWS_SSO",
"SAML"
],
"saml": {
"configuration": {
"idpMetadata": {
"url": "https://portal.sso.us-east-1.amazonaws.com/saml/metadata/NjMwMDg2NDc4OTA3X2lucy1jY2E2ZGU3ZDlmYjdiM2Vh"
},
"loginValidityDuration": 60
},
"status": "CONFIGURED"
}
}
},
"requestID": "96adb1de-7fa5-487e-b6c6-6b0d4495cb71",
"eventID": "406bc825-bc52-475c-9c91-4c0d8a07c1fa",
"readOnly": false,
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
Informationen zu CloudTrail Datensatzinhalten finden Sie im *AWS CloudTrail Benutzerhandbuch* unter [CloudTrail Datensatzinhalte](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html).
## Beispiele für Grafana-API-Ereignisse
Amazon Managed Grafana protokolliert auch einige Grafana-API-Aufrufe. CloudTrail Bei den erfassten Aufrufen handelt es sich um Aufrufe, die Daten ändern, z. B. Aufrufe, die Ressourcen erstellen, aktualisieren oder löschen. Weitere Informationen zu Grafana APIs , die in Amazon Managed Grafana unterstützt werden, finden Sie unter. [Grafana HTTP verwenden APIs](Using-Grafana-APIs.md)
**Der Benutzer meldet sich im Amazon Managed Grafana-Workspace an mit AWS IAM Identity Center**
```
{
"Records": [
{
"eventVersion": "1.08",
"userIdentity": {
"type": "SAMLUser",
"userName": "johndoe"
},
"eventTime": "2021-07-09T02:31:59Z",
"eventSource": "grafana.amazonaws.com",
"eventName": "login-auth.sso",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0,198.51.100.0",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.114 Safari/537.36",
"requestParameters": null,
"responseElements": null,
"eventID": "176bf326-0302-4190-8dbf-dfdf481d8198",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333",
"serviceEventDetails": {
"timestamp": "2021-07-09T02:31:59.045984031Z",
"user": {
"userId": 1,
"orgId": 1,
"name": "johndoe",
"isAnonymous": false
},
"action": "login-auth.sso",
"requestUri": "",
"request": {
"query": {
"code": [
"eyJraWQiOiJrZXktMTU2Njk2ODEyMSIsImFsZyI6IkhTMzg0In0.eyJwbGFpbnRleHQiOiJZUzEwYWtaWHpBZUowTDlQcW5ROGFmZUw2YUZMRklPWUtkX2RRMmhmUUFFIiwiZXhwIjoxNjI1Nzk4MjE4LCJ0eXBlIjoiYXV0aENvZGUifQ.F6MCLvokeXFv1zEwaSg66wdfnNh0dEnLIKBZ4c1dhfNHX_XQywkSq3aqqUg4CsB7"
],
"state": [
"QUFBQURtdGxlUzB4TlRZNE9UVTFOekkyM2RUWUFUaHZHYXcyOU9ULUVaWHhNUXAwX184N25RVGVWMmd0enFpVE1iWlRPV0M0X09HaDZscjcweDZNbUE3blRjamNISk9RQ2hCUktrY093ZW52aDNWZ2R5UXVndnc4R2g0RkxsamkwMGNvektWbS1KYWRVYnZ0X3AtSU5JRzIxZjFvcWgxN19vM0lPaW9vY1FBVlhLVmEzRE5CRjQxTU1fM3VmYzNWdW53aGZ0QVdFWHBUWTNWTkxrcllKQ3I1akFOUmV1Zlh4Y3ZjQi1XOEVMa0RPUFBqM094VGgta2hHdVFxSDB4YXZKMng"
]
}
},
"result": {
"statusType": "failure"
},
"ipAddress": "192.0.2.0,198.51.100.0",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.114 Safari/537.36",
"grafanaVersion": "7.5.7",
"additionalData": {
"GiraffeCustomerAccount": "111122223333",
"GiraffeWorkspaceId": "g-123EXAMPLE",
"extUserInfo": "{\"OAuthToken\":null,\"AuthModule\":\"auth.sso\",\"AuthId\":\"92670be4c1-e524608b-82f2-452d-a707-161c1e5f4706\",\"UserId\":0,\"Email\":\"\",\"Login\":\"johndoe\",\"Name\":\"johndoe\",\"Groups\":null,\"OrgRoles\":{\"1\":\"Admin\"},\"IsGrafanaAdmin\":false,\"IsDisabled\":false}"
}
}
}
]
}
```
**Grafana API POST/api/auth/keys**
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "Unknown",
"userName": "api_key"
},
"eventTime": "2021-07-09T02:16:32Z",
"eventSource": "grafana.amazonaws.com",
"eventName": "create",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0,198.51.100.1",
"userAgent": "python-requests/2.24.0",
"errorCode": "200",
"requestParameters": null,
"responseElements": null,
"eventID": "157bbf19-6ba4-4704-bc3b-d3e334b3a2b8",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333",
"serviceEventDetails": {
"timestamp": "2021-07-09T02:16:32.419795511Z",
"user": {
"orgId": 1,
"orgRole": "Admin",
"name": "api_key",
"apiKeyId": "23",
"isAnonymous": false
},
"action": "create",
"resources": [
{
"ID": 0,
"type": "api-key"
}
],
"requestUri": "",
"request": {
"body": "{\"name\":\"keyname\",\"role\":\"Admin\",\"secondsToLive\":60}"
},
"result": {
"statusType": "success",
"statusCode": "200"
},
"ipAddress": "192.0.2.0,198.51.100.1",
"userAgent": "python-requests/2.24.0",
"grafanaVersion": "7.5.7",
"additionalData": {
"GiraffeCustomerAccount": "111122223333",
"GiraffeWorkspaceId": "g-123EXAMPLE"
}
}
}
```
**Grafana-API LÖSCHEN//:id api/auth/keys**
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "Unknown",
"userName": "api_key"
},
"eventTime": "2021-07-09T02:16:33Z",
"eventSource": "grafana.amazonaws.com",
"eventName": "delete",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0,198.51.100.2",
"userAgent": "python-requests/2.24.0",
"errorCode": "200",
"requestParameters": null,
"responseElements": null,
"eventID": "df1aafb3-28c6-4836-a64b-4d34538edc51",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333",
"serviceEventDetails": {
"timestamp": "2021-07-09T02:16:33.045041594Z",
"user": {
"orgId": 1,
"orgRole": "Admin",
"name": "api_key",
"apiKeyId": "23",
"isAnonymous": false
},
"action": "delete",
"resources": [
{
"ID": 0,
"type": "api-key"
}
],
"requestUri": "",
"request": {
"params": {
":id": "24"
}
},
"result": {
"statusType": "success",
"statusCode": "200"
},
"ipAddress": "192.0.2.0,198.51.100.2",
"userAgent": "python-requests/2.24.0",
"grafanaVersion": "7.5.7",
"additionalData": {
"GiraffeCustomerAccount": "111122223333",
"GiraffeWorkspaceId": "g-123EXAMPLE"
}
}
}
```
**Grafana API POST/api/alerts/:id/pause**
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "Unknown",
"userName": "api_key"
},
"eventTime": "2021-07-09T02:16:40Z",
"eventSource": "grafana.amazonaws.com",
"eventName": "pause",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0,198.51.100.3",
"userAgent": "python-requests/2.24.0",
"errorCode": "200",
"requestParameters": null,
"responseElements": null,
"eventID": "d533a7ba-f193-45ac-a88c-75ed0594509b",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333",
"serviceEventDetails": {
"timestamp": "2021-07-09T02:16:40.261226856Z",
"user": {
"orgId": 1,
"orgRole": "Admin",
"name": "api_key",
"apiKeyId": "23",
"isAnonymous": false
},
"action": "pause",
"resources": [
{
"ID": 0,
"type": "alert"
}
],
"requestUri": "",
"request": {
"params": {
":alertId": "1"
},
"body": "{\"paused\":true}"
},
"result": {
"statusType": "success",
"statusCode": "200"
},
"ipAddress": "192.0.2.0,198.51.100.3",
"userAgent": "python-requests/2.24.0",
"grafanaVersion": "7.5.7",
"additionalData": {
"GiraffeCustomerAccount": "111122223333",
"GiraffeWorkspaceId": "g-123EXAMPLE"
}
}
}
```
**Grafana POST/api/alerts/test**
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "Unknown",
"userName": "api_key"
},
"eventTime": "2021-07-09T02:16:39Z",
"eventSource": "grafana.amazonaws.com",
"eventName": "test",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0,10.0.42.208",
"userAgent": "python-requests/2.24.0",
"errorCode": "400",
"errorMessage": "The dashboard needs to be saved at least once before you can test an alert rule",
"requestParameters": null,
"responseElements": null,
"eventID": "7094644d-8230-4774-a092-8a128eb6dec9",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333",
"serviceEventDetails": {
"timestamp": "2021-07-09T02:16:39.622607860Z",
"user": {
"orgId": 1,
"orgRole": "Admin",
"name": "api_key",
"apiKeyId": "23",
"isAnonymous": false
},
"action": "test",
"resources": [
{
"ID": 0,
"type": "panel"
}
],
"requestUri": "",
"request": {},
"result": {
"statusType": "failure",
"statusCode": "400",
"failureMessage": "The dashboard needs to be saved at least once before you test an alert rule"
},
"ipAddress": "192.0.2.0, 10.0.42.208",
"userAgent": "python-requests/2.24.0",
"grafanaVersion": "7.5.7",
"additionalData": {
"GiraffeCustomerAccount": "111122223333",
"GiraffeWorkspaceId": "g-123EXAMPLE"
}
}
}
```
**Grafana-API POST /api/alert-notifications**
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "Unknown",
"userName": "api_key"
},
"eventTime": "2021-07-09T02:16:40Z",
"eventSource": "grafana.amazonaws.com",
"eventName": "create",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0,198.51.100.0",
"userAgent": "python-requests/2.24.0",
"errorCode": "200",
"requestParameters": null,
"responseElements": null,
"eventID": "1ce099b3-c427-4338-9f42-d38d1ef64efe",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333",
"serviceEventDetails": {
"timestamp": "2021-07-09T02:16:40.888295790Z",
"user": {
"orgId": 1,
"orgRole": "Admin",
"name": "api_key",
"apiKeyId": "23",
"isAnonymous": false
},
"action": "create",
"resources": [
{
"ID": 0,
"type": "alert-notification"
}
],
"requestUri": "",
"request": {
"body": "{\"name\":\"alert notification name\",\"type\":\"Slack\"}"
},
"result": {
"statusType": "success",
"statusCode": "200"
},
"ipAddress": "192.0.2.0,198.51.100.0",
"userAgent": "python-requests/2.24.0",
"grafanaVersion": "7.5.7",
"additionalData": {
"GiraffeCustomerAccount": "111122223333",
"GiraffeWorkspaceId": "g-123EXAMPLE"
}
}
}
```
**Grafana API PUT//:uid api/alert-notifications/uid**
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "Unknown",
"userName": "api_key"
},
"eventTime": "2021-07-09T02:16:42Z",
"eventSource": "grafana.amazonaws.com",
"eventName": "update",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0,198.51.100.3",
"userAgent": "python-requests/2.24.0",
"errorCode": "200",
"requestParameters": null,
"responseElements": null,
"eventID": "cebfeb38-5007-495c-bd29-c8077797acac",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333",
"serviceEventDetails": {
"timestamp": "2021-07-09T02:16:42.792652648Z",
"user": {
"orgId": 1,
"orgRole": "Admin",
"name": "api_key",
"apiKeyId": "23",
"isAnonymous": false
},
"action": "update",
"resources": [
{
"ID": 0,
"type": "alert-notification"
}
],
"requestUri": "",
"request": {
"params": {
":uid": "WvDWDSinz"
},
"body": "{\"name\":\"DIFFERENT alert notification name\",\"type\":\"AWS SNS\"}"
},
"result": {
"statusType": "success",
"statusCode": "200"
},
"ipAddress": "192.0.2.0,198.51.100.3",
"userAgent": "python-requests/2.24.0",
"grafanaVersion": "7.5.7",
"additionalData": {
"GiraffeCustomerAccount": "111122223333",
"GiraffeWorkspaceId": "g-123EXAMPLE"
}
}
}
```
**Grafana-API POST /api/annotations**
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "Unknown",
"userName": "api_key"
},
"eventTime": "2021-07-09T02:16:45Z",
"eventSource": "grafana.amazonaws.com",
"eventName": "create",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0,198.51.100.1",
"userAgent": "python-requests/2.24.0",
"errorCode": "200",
"requestParameters": null,
"responseElements": null,
"eventID": "13bf3bef-966c-4913-a760-ade365a4a08f",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333",
"serviceEventDetails": {
"timestamp": "2021-07-09T02:16:45.394513179Z",
"user": {
"orgId": 1,
"orgRole": "Admin",
"name": "api_key",
"apiKeyId": "23",
"isAnonymous": false
},
"action": "create",
"resources": [
{
"ID": 0,
"type": "annotation"
}
],
"requestUri": "",
"request": {
"body": "{\"dashboardId\":36,\"panelId\":2,\"tags\":[\"tag1\",\"tag2\"],\"what\":\"Event Name\"}"
},
"result": {
"statusType": "success",
"statusCode": "200"
},
"ipAddress": "192.0.2.0,198.51.100.1",
"userAgent": "python-requests/2.24.0",
"grafanaVersion": "7.5.7",
"additionalData": {
"GiraffeCustomerAccount": "111122223333",
"GiraffeWorkspaceId": "g-123EXAMPLE"
}
}
}
```
**Grafana-API LÖSCHEN//:uid api/dashboards/uid**
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "Unknown",
"userName": "api_key"
},
"eventTime": "2021-07-09T02:17:09Z",
"eventSource": "grafana.amazonaws.com",
"eventName": "delete",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0,198.51.100.7",
"userAgent": "python-requests/2.24.0",
"errorCode": "200",
"requestParameters": null,
"responseElements": null,
"eventID": "d6ad9134-5fbc-403c-a76d-4ed9a81065b6",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333",
"serviceEventDetails": {
"timestamp": "2021-07-09T02:17:09.200112003Z",
"user": {
"orgId": 1,
"orgRole": "Admin",
"name": "api_key",
"apiKeyId": "23",
"isAnonymous": false
},
"action": "delete",
"resources": [
{
"ID": 0,
"type": "dashboard"
}
],
"requestUri": "",
"request": {
"params": {
":uid": "GLzWvIi7z"
}
},
"result": {
"statusType": "success",
"statusCode": "200"
},
"ipAddress": "192.0.2.0,198.51.100.7",
"userAgent": "python-requests/2.24.0",
"grafanaVersion": "7.5.7",
"additionalData": {
"GiraffeCustomerAccount": "111122223333",
"GiraffeWorkspaceId": "g-123EXAMPLE"
}
}
}
```
**Grafana-API PUT /api/dataSources/:dataSourceId**
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "Unknown",
"userName": "api_key"
},
"eventTime": "2021-07-09T02:16:36Z",
"eventSource": "grafana.amazonaws.com",
"eventName": "update",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0,10.0.108.94",
"userAgent": "python-requests/2.24.0",
"errorCode": "200",
"requestParameters": null,
"responseElements": null,
"eventID": "92877483-bdf6-44f5-803e-1ac8ad997113",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333",
"serviceEventDetails": {
"timestamp": "2021-07-09T02:16:36.918660585Z",
"user": {
"orgId": 1,
"orgRole": "Admin",
"name": "api_key",
"apiKeyId": "23",
"isAnonymous": false
},
"action": "update",
"resources": [
{
"ID": 0,
"type": "datasource"
}
],
"requestUri": "",
"request": {
"params": {
":id": "108"
},
"body": "{\"access\":\"proxy\",\"basicAuth\":false,\"name\":\"test_amp_datasource_NEW_name\",\"type\":\"Amazon Managed Prometheus\",\"url\":\"http://amp.amazonaws.com\"}"
},
"result": {
"statusType": "success",
"statusCode": "200"
},
"ipAddress": "192.0.2.0,10.0.108.94",
"userAgent": "python-requests/2.24.0",
"grafanaVersion": "7.5.7",
"additionalData": {
"GiraffeCustomerAccount": "111122223333",
"GiraffeWorkspaceId": "g-123EXAMPLE"
}
}
}
```
**Grafana-API LÖSCHEN//:groupId api/teams/:teamId/groups**
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "Unknown",
"userName": "api_key"
},
"eventTime": "2021-07-09T02:17:07Z",
"eventSource": "grafana.amazonaws.com",
"eventName": "delete",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0,198.51.100.2",
"userAgent": "python-requests/2.24.0",
"errorCode": "200",
"requestParameters": null,
"responseElements": null,
"eventID": "b41d3967-daab-44d1-994a-a437556add82",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333",
"serviceEventDetails": {
"timestamp": "2021-07-09T02:17:07.296142539Z",
"user": {
"orgId": 1,
"orgRole": "Admin",
"name": "api_key",
"apiKeyId": "23",
"isAnonymous": false
},
"action": "delete",
"resources": [
{
"ID": 0,
"type": "team"
}
],
"requestUri": "",
"request": {
"params": {
":groupId": "cn=editors,ou=groups,dc=grafana,dc=org",
":teamId": "35"
}
},
"result": {
"statusType": "success",
"statusCode": "200"
},
"ipAddress": "192.0.2.0,198.51.100.2",
"userAgent": "python-requests/2.24.0",
"grafanaVersion": "7.5.7",
"additionalData": {
"GiraffeCustomerAccount": "111122223333",
"GiraffeWorkspaceId": "g-123EXAMPLE"
}
}
}
```
**Grafana-API PUT /api/folders/:uid**
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "Unknown",
"userName": "api_key"
},
"eventTime": "2021-07-09T02:16:56Z",
"eventSource": "grafana.amazonaws.com",
"eventName": "update",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0,198.51.100.1",
"userAgent": "python-requests/2.24.0",
"errorCode": "412",
"errorMessage": "the folder has been changed by someone else",
"requestParameters": null,
"responseElements": null,
"eventID": "414c98c8-aa53-45e4-940d-bea55716eaf6",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333",
"serviceEventDetails": {
"timestamp": "2021-07-09T02:16:56.382646826Z",
"user": {
"orgId": 1,
"orgRole": "Admin",
"name": "api_key",
"apiKeyId": "23",
"isAnonymous": false
},
"action": "update",
"resources": [
{
"ID": 0,
"type": "folder"
}
],
"requestUri": "",
"request": {
"params": {
":uid": "lnsZvSi7z"
},
"body": "{\"title\":\"NEW Folder Name\"}"
},
"result": {
"statusType": "failure",
"statusCode": "412",
"failureMessage": "the folder has been changed by someone else"
},
"ipAddress": "192.0.2.0,198.51.100.1",
"userAgent": "python-requests/2.24.0",
"grafanaVersion": "7.5.7",
"additionalData": {
"GiraffeCustomerAccount": "111122223333",
"GiraffeWorkspaceId": "g-123EXAMPLE"
}
}
}
```
**Grafana API POST /api/teams**
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "Unknown",
"userName": "api_key"
},
"eventTime": "2021-07-09T02:17:02Z",
"eventSource": "grafana.amazonaws.com",
"eventName": "create",
"awsRegion": "us-west-2",
"sourceIPAddress": "192.0.2.0,10.0.40.206",
"userAgent": "python-requests/2.24.0",
"errorCode": "200",
"requestParameters": null,
"responseElements": null,
"eventID": "8d40bd79-76a8-490c-b7bb-74205253b707",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"eventCategory": "Management",
"recipientAccountId": "111122223333",
"serviceEventDetails": {
"timestamp": "2021-07-09T02:17:02.845022379Z",
"user": {
"orgId": 1,
"orgRole": "Admin",
"name": "api_key",
"apiKeyId": "23",
"isAnonymous": false
},
"action": "create",
"resources": [
{
"ID": 0,
"type": "team"
}
],
"requestUri": "",
"request": {
"body": "{\"name\":\"TeamName\"}"
},
"result": {
"statusType": "success",
"statusCode": "200"
},
"ipAddress": "192.0.2.0,10.0.40.206",
"userAgent": "python-requests/2.24.0",
"grafanaVersion": "7.5.7",
"additionalData": {
"GiraffeCustomerAccount": "111122223333",
"GiraffeWorkspaceId": "g-123EXAMPLE"
}
}
}
```
# Bewährte Methoden für die Gewährleistung der Sicherheit
In den Themen in diesem Abschnitt werden die bewährten Methoden erläutert, die Sie befolgen sollten, um die Sicherheit in Ihrer Amazon Managed Grafana-Bereitstellung bestmöglich zu gewährleisten.
## Verwenden Sie kurzlebige API-Schlüssel
Um Grafana APIs in einem Amazon Managed Grafana-Workspace zu verwenden, müssen Sie zunächst einen API-Schlüssel für die Autorisierung erstellen. Wenn Sie den Schlüssel erstellen, geben Sie die **Gültigkeitsdauer des Schlüssels an**, die festlegt, wie lange der Schlüssel gültig ist, bis zu einem Maximum von 30 Tagen. Es wird dringend empfohlen, die Gültigkeitsdauer des Schlüssels auf einen kürzeren Zeitraum festzulegen, z. B. einige Stunden oder weniger. Dies birgt ein viel geringeres Risiko als API-Schlüssel, die für eine lange Zeit gültig sind.
Wir empfehlen Ihnen außerdem, API-Schlüssel wie Passwörter zu behandeln, um sie zu sichern. Speichern Sie sie beispielsweise nicht im Klartext.
## Migration von selbstverwaltetem Grafana
Dieser Abschnitt ist für Sie relevant, wenn Sie eine bestehende selbstverwaltete Grafana- oder Grafana Enterprise-Bereitstellung zu Amazon Managed Grafana migrieren. Dies gilt sowohl für Grafana vor Ort als auch für eine Grafana-Bereitstellung auf AWS Ihrem eigenen Konto.
Wenn Sie Grafana vor Ort oder in Ihrem eigenen AWS Konto ausführen, haben Sie wahrscheinlich Benutzer und Teams sowie möglicherweise Organisationsrollen zur Verwaltung des Zugriffs definiert. In Amazon Managed Grafana werden Benutzer und Gruppen außerhalb von Amazon Managed Grafana mithilfe von IAM Identity Center oder direkt von Ihrem Identitätsanbieter (IdP) über die SAML 2.0-Integration verwaltet. Mit Amazon Managed Grafana können Sie bestimmte Berechtigungen zuweisen, die für die Ausführung einer Aufgabe erforderlich sind, z. B. das Anzeigen von Dashboards. Weitere Informationen zur Benutzerverwaltung in Amazon Managed Grafana finden Sie unter[Verwalten Sie Arbeitsbereiche, Benutzer und Richtlinien in Amazon Managed Grafana](AMG-manage-workspaces-users.md).
Wenn Sie Grafana vor Ort ausführen, verwenden Sie außerdem langlebige Schlüssel oder geheime Anmeldeinformationen für den Zugriff auf Datenquellen. Wir empfehlen dringend, dass Sie bei der Migration zu Amazon Managed Grafana diese IAM-Benutzer durch IAM-Rollen ersetzen. Ein Beispiel finden Sie unter [Manuell CloudWatch als Datenquelle hinzufügen](adding--CloudWatch-manual.md).
# Schnittstellen-VPC-Endpunkte
Wir bieten AWS PrivateLink Support zwischen Amazon VPC und Amazon Managed Grafana. Sie können den Zugriff auf den Amazon Managed Grafana-Service von den Virtual Private Cloud (VPC) -Endpunkten aus steuern, indem Sie eine IAM-Ressourcenrichtlinie für Amazon VPC-Endpunkte anhängen.
Amazon Managed Grafana unterstützt zwei verschiedene Arten von VPC-Endpunkten. Sie können eine Verbindung zum Amazon Managed Grafana-Service herstellen und so Zugriff auf Amazon Managed Grafana APIs zur Verwaltung von Workspaces gewähren. Oder Sie können einen VPC-Endpunkt für einen bestimmten Workspace erstellen.
## Verwendung von Amazon Managed Grafana mit VPC-Endpunkten mit Schnittstellen
Es gibt zwei Möglichkeiten, VPC-Endpunkte mit Amazon Managed Grafana zu verwenden. Sie können einen VPC-Endpunkt verwenden, um AWS Ressourcen wie Amazon EC2 EC2-Instances den Zugriff auf die Amazon Managed Grafana-API zur Verwaltung von Ressourcen zu ermöglichen, oder Sie können einen VPC-Endpunkt verwenden, um den Netzwerkzugriff auf Ihre Amazon Managed Grafana-Workspaces zu beschränken.
+ Wenn Sie Amazon VPC zum Hosten Ihrer AWS Ressourcen verwenden, können Sie mithilfe des `com.amazonaws.region.grafana` Service Name-Endpunkts eine private Verbindung zwischen Ihrer VPC und der [Amazon Managed Grafana-API](https://docs.aws.amazon.com/grafana/latest/APIReference/API_Operations.html) herstellen.
+ Wenn Sie versuchen, mithilfe der Netzwerkzugriffskontrolle die Sicherheit Ihres Amazon Managed Grafana-Workspace zu erhöhen, können Sie mithilfe des Service Name-Endpunkts eine private Verbindung zwischen Ihrer VPC und dem Grafana-Workspaces-Endpunkt herstellen. `com.amazonaws.region.grafana-workspace`
Amazon VPC ist eine AWS-Service , mit der Sie AWS Ressourcen in einem von Ihnen definierten virtuellen Netzwerk starten können. Mit einer VPC haben Sie die Kontrolle über Ihre Netzwerkeinstellungen, wie IP-Adressbereich, Subnetze, Routing-Tabellen und Netzwerk-Gateways. Um Ihre VPC mit Ihrer Amazon Managed Grafana-API zu verbinden, definieren Sie einen *VPC-Schnittstellen-Endpunkt*. Der Endpunkt bietet zuverlässige, skalierbare Konnektivität zu Amazon Managed Grafana, ohne dass ein Internet-Gateway, eine Network Address Translation (NAT) -Instance oder eine VPN-Verbindung erforderlich ist. Weitere Informationen finden Sie unter [Was ist Amazon VPC?](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) im *Amazon VPC-Benutzerhandbuch*.
*Schnittstelle, auf der VPC-Endpunkte* basieren AWS PrivateLink, eine AWS Technologie, die private Kommunikation zwischen Benutzern AWS-Services über eine elastic network interface mit privaten IP-Adressen ermöglicht. Weitere Informationen finden Sie unter [Neu — AWS PrivateLink für AWS Dienste](https://aws.amazon.com/blogs/aws/new-aws-privatelink-endpoints-kinesis-ec2-systems-manager-and-elb-apis-in-your-vpc/).
Informationen zu den ersten Schritten mit Amazon VPC finden [Sie unter Erste Schritte](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-getting-started.html) im *Amazon VPC-Benutzerhandbuch*.
## Einen VPC-Endpunkt erstellen, um eine AWS PrivateLink Verbindung zu Amazon Managed Grafana herzustellen
Erstellen Sie einen VPC-Schnittstellen-Endpunkt zu Amazon Managed Grafana mit einem der folgenden Servicenamen-Endpunkte:
+ Um eine Verbindung zur Amazon Managed Grafana-API zur Verwaltung von Workspaces herzustellen, wählen Sie:
`com.amazonaws.region.grafana`.
+ Um eine Verbindung zu einem Amazon Managed Grafana-Workspace herzustellen (z. B. um die Grafana-API zu verwenden), wählen Sie:
`com.amazonaws.region.grafana-workspace`
Einzelheiten zur Erstellung eines Schnittstellen-VPC-Endpunkts finden Sie unter [Erstellen eines Schnittstellen-Endpunkts](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint) im *Amazon VPC-Benutzerhandbuch*.
Um Grafana aufzurufen APIs, müssen Sie auch privates DNS für Ihren VPC-Endpunkt aktivieren, indem Sie den Anweisungen im [Amazon VPC-Benutzerhandbuch](https://docs.aws.amazon.com/vpc/latest/privatelink/interface-endpoints.html#enable-private-dns-names) folgen. Dies ermöglicht die lokale Auflösung von in der Form URLs `*.grafana-workspace.region.amazonaws.com`
## Verwenden Sie die Netzwerkzugriffskontrolle, um den Zugriff auf Ihren Grafana-Arbeitsbereich zu beschränken
Wenn Sie einschränken möchten, welche IP-Adressen oder VPC-Endpunkte für den Zugriff auf einen bestimmten Grafana-Workspace verwendet werden können, können Sie die [Netzwerkzugriffskontrolle für diesen Workspace konfigurieren](AMG-configure-nac.md).
Für VPC-Endpunkte, denen Sie Zugriff auf Ihren Workspace gewähren, können Sie deren Zugriff weiter einschränken, indem Sie Sicherheitsgruppen für die Endpoints konfigurieren. Weitere Informationen finden Sie unter [Sicherheitsgruppen zuordnen](https://docs.aws.amazon.com/vpc/latest/privatelink/interface-endpoints.html#associate-security-groups) und [Sicherheitsgruppenregeln](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#SecurityGroupRules) in der *Amazon VPC-Dokumentation*.
## Steuern des Zugriffs auf Ihren Amazon Managed Grafana-API-VPC-Endpunkt mit einer Endpunktrichtlinie
Für VPC-Endpunkte, die über die Amazon Managed Grafana-API (mithilfe`com.amazonaws.region.grafana`) verbunden sind, können Sie eine VPC-Endpunktrichtlinie hinzufügen, um den Zugriff auf den Service einzuschränken.
**Anmerkung**
VPC-Endpunkte, die mit Workspaces verbunden sind (über`com.amazonaws.region.grafana-workspace`), unterstützen keine VPC-Endpunktrichtlinien.
Eine VPC-Endpunktrichtlinie ist eine IAM-Ressourcenrichtlinie, die Sie einem Endpunkt beim Erstellen oder Ändern des Endpunkts zuordnen. Wenn Sie einem Endpunkt beim Erstellen keine Richtlinie zuordnen, ordnet Amazon VPC ihm eine Standardrichtlinie mit Vollzugriff auf den Service zu. IAM-identitätsbasierte Richtlinien oder servicespezifische Richtlinien werden von einer Endpunktrichtlinie nicht überschrieben oder ersetzt. Endpunktrichtlinien steuern unabhängig vom Endpunkt den Zugriff auf den angegebenen Service.
Endpunktrichtlinien müssen im JSON-Format erstellt werden.
Weitere Informationen finden Sie unter [Steuern des Zugriffs auf Dienste mit VPC-Endpunkten](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) im *Amazon VPC-Benutzerhandbuch*.
Im Folgenden finden Sie ein Beispiel für eine Endpunktrichtlinie für Amazon Managed Grafana. Diese Richtlinie ermöglicht es Benutzern, die sich über die VPC mit Amazon Managed Grafana verbinden, Daten an den Amazon Managed Grafana-Service zu senden. Es verhindert auch, dass sie andere Amazon Managed Grafana-Aktionen ausführen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSGrafanaPermissions",
"Effect": "Allow",
"Action": [
"grafana:DescribeWorkspace",
"grafana:UpdatePermissions",
"grafana:ListPermissions",
"grafana:ListWorkspaces"
],
"Resource": "arn:aws:grafana:*:*:/workspaces*",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:root"
]
}
}
]
}
```
------
**Um die VPC-Endpunktrichtlinie für Grafana zu bearbeiten**
1. Öffnen Sie die Amazon VPC-Konsole unter [VPC-Konsole](https://console.aws.amazon.com/vpc/).
1. Wählen Sie im Navigationsbereich **Endpunkte** aus.
1. **Wenn Sie noch keine Endpoints erstellt haben, wählen Sie Create Endpoint.**
1. Wählen Sie den `com.amazonaws.region.grafana` Endpunkt und dann die Registerkarte **Richtlinie** aus.
1. Klicken Sie auf **Edit Policy (Richtlinie bearbeiten)** und nehmen Sie Ihre Änderungen vor.