Permisos de roles vinculados a servicios para Amazon Monitron - Amazon Monitron

Amazon Monitron ya no está abierto a nuevos clientes. Los clientes actuales pueden seguir utilizando el servicio con normalidad. Para obtener información sobre funciones similares a las de Amazon Monitron, consulte nuestra entrada de blog.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Permisos de roles vinculados a servicios para Amazon Monitron

Amazon Monitron utiliza el rol vinculado al servicio denominado AWSServiceRoleForMonitron[_ {SUFFIX}], que Amazon Monitron utiliza AWSService RoleForMonitron para acceder a otros AWS servicios, como Cloudwatch Logs, Kinesis Data Streams, claves de KMS y SSO. Para obtener más información sobre la política, consulte la Guía de referencia de políticas administradas AWSServiceRoleForMonitronPolicyAWS

El rol vinculado al servicio AWSService RoleForMonitron [_ {SUFFIX}] confía en los siguientes servicios para asumir el rol:

  • monitron.amazonaws.com o core.monitron.amazonaws.com

La política de permisos de roles denominada MonitronServiceRolePolicy permite a Amazon Monitron realizar las siguientes acciones en los recursos especificados:

  • Acción: Amazon CloudWatch Logs logs:CreateLogStream ylogs:CreateLogGroup, logs:PutLogEvents en el grupo de registros, el CloudWatch flujo de registro y el registro de eventos en la ruta /aws/monitron/ *

La política de permisos de roles denominada MonitronServiceDataExport - KinesisDataStreamAccess permite a Amazon Monitron realizar las siguientes acciones en los recursos especificados:

  • Acción: kinesis:PutRecord, kinesis:PutRecords y kinesis:DescribeStream de Amazon Kinesis en el flujo de datos de Kinesis especificado para la exportación de datos en directo.

  • Acción: Amazon AWS KMS kms:GenerateDataKey para la AWS KMS clave utilizada por la transmisión de datos de Kinesis especificada para la exportación de datos en directo

  • Acción: iam:DeleteRole de Amazon IAM para eliminar el propio rol vinculado a servicios cuando no se utilice

La política de permisos de roles denominada AWSService RoleForMonitronPolicy permite a Amazon Monitron realizar las siguientes acciones en los recursos especificados:

  • Acción: Centro de identidad de IAMsso:GetManagedApplicationInstance,sso:GetProfile,sso:ListProfiles,sso:AssociateProfile, sso:ListDirectoryAssociations sso:ListProfileAssociations sso-directory:DescribeUsers sso-directory:SearchUserssso:CreateApplicationAssignment, y acceder sso:ListApplicationAssignments a los usuarios del Centro de Identidad de IAM asociados al proyecto

nota

Añada sso:ListProfileAssociations para permitir que Amazon Monitron cree una lista de las asociaciones con la instancia de aplicación subyacente al proyecto de Amazon Monitron.

Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.