Permisos necesarios para Application Signals
En esta sección se explican los permisos necesarios para habilitar, administrar y operar Application Signals.
Permisos para habilitar y administrar Application Signals
Para administrar Application Signals, debe iniciar sesión con los siguientes permisos. Para ver el contenido de la política CloudWatchApplicationSignalsFullAccess, consulte CloudWatchApplicationSignalsFullAccess.
Para habilitar Application Signals en Amazon EC2 o arquitecturas personalizadas, consulte Habilitar Application Signals en Amazon EC2. Para habilitar y administrar Application Signals en Amazon EKS mediante el complemento de observabilidad de EKS de Amazon CloudWatch, necesita los siguientes permisos.
Estos permisos incluyen iam:PassRole con Resource "*” y eks:CreateAddon con Resource “*”. Se trata de permisos potentes y debe tener cuidado al concederlos.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CloudWatchApplicationSignalsEksAddonManagementPermissions",
"Effect": "Allow",
"Action": [
"eks:AccessKubernetesApi",
"eks:CreateAddon",
"eks:DescribeAddon",
"eks:DescribeAddonConfiguration",
"eks:DescribeAddonVersions",
"eks:DescribeCluster",
"eks:DescribeUpdate",
"eks:ListAddons",
"eks:ListClusters",
"eks:ListUpdates",
"iam:ListRoles",
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"eks.amazonaws.com",
"application-signals.cloudwatch.amazonaws.com"
]
}
}
},
{
"Sid": "CloudWatchApplicationSignalsEksCloudWatchObservabilityAddonManagementPermissions",
"Effect": "Allow",
"Action": [
"eks:DeleteAddon",
"eks:UpdateAddon"
],
"Resource": "arn:aws:eks:*:*:addon/*/amazon-cloudwatch-observability/*"
}
]
}
El panel de Application Signals muestra las aplicaciones de AWS Service Catalog AppRegistry a las que están asociados sus SLO. Para ver estas aplicaciones en las páginas de SLO, debe contar con los siguientes permisos:
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CloudWatchApplicationSignalsTaggingReadPermissions",
"Effect": "Allow",
"Action": "tag:GetResources",
"Resource": "*"
}
]
}
Funcionamiento de Application Signals
Los operadores de servicio que utilizan Application Signals para supervisar los servicios y los SLO deben iniciar sesión en una cuenta con permisos de solo lectura. Para ver el contenido de la política CloudWatchApplicationSignalsReadOnlyAccess, consulte CloudWatchApplicationSignalsReadOnlyAccess.
Para ver qué aplicaciones de AWS Service Catalog AppRegistry están asociadas con sus SLO en el panel de Application Signals, necesita los siguientes permisos:
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CloudWatchApplicationSignalsTaggingReadPermissions",
"Effect": "Allow",
"Action": "tag:GetResources",
"Resource": "*"
}
]
}
Para comprobar si las Application Signals en Amazon EKS que utilizan el complemento de observabilidad de EKS de Amazon CloudWatch están habilitadas, debe tener los siguientes permisos:
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CloudWatchApplicationSignalsResourceExplorerReadPermissions",
"Effect": "Allow",
"Action": [
"resource-explorer-2:ListIndexes",
"resource-explorer-2:Search"
],
"Resource": "*"
},
{
"Sid": "CloudWatchApplicationSignalsResourceExplorerSLRPermissions",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/resource-explorer-2.amazonaws.com/AWSServiceRoleForResourceExplorer",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": [
"resource-explorer-2.amazonaws.com"
]
}
}
},
{
"Sid": "CloudWatchApplicationSignalsResourceExplorerCreateIndexPermissions",
"Effect": "Allow",
"Action": [
"resource-explorer-2:CreateIndex"
],
"Resource": "arn:aws:resource-explorer-2:*:*:index/*"
}
]
}
