Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Autorizzazioni e policy di Amazon Managed Grafana per le fonti di dati AWS
Amazon Managed Grafana offre tre modalità di autorizzazione:
+ Service-managed autorizzazioni per l'account corrente
+ Service-managed autorizzazioni per le organizzazioni
+ Customer-managed autorizzazioni
Quando si crea un'area di lavoro, si sceglie la modalità di autorizzazione da utilizzare. Puoi anche modificarla in un secondo momento, se lo desideri.
In entrambe le modalità di autorizzazione gestite dal servizio, Amazon Managed Grafana crea ruoli e policy necessari per accedere e scoprire le fonti di AWS dati nel tuo account o organizzazione. Puoi quindi modificare queste politiche nella console IAM, se lo desideri.
## Service-managed autorizzazioni per un singolo account
**In questa modalità, Amazon Managed Grafana crea un ruolo chiamato AmazonGrafanaServiceRole -. {{random-id}}** Amazon Managed Grafana assegna quindi una policy a questo ruolo per ogni AWS servizio a cui scegli di accedere dall'area di lavoro di Amazon Managed Grafana.
**CloudWatch**
Amazon Managed Grafana allega la policy gestita AWS . **AmazonGrafanaCloudWatchAccess**
**Per le aree di lavoro utilizzate CloudWatch prima della creazione della policy **AmazonGrafanaCloudWatchAccess**gestita, Amazon Managed Grafana ha creato una policy gestita dal cliente con il nome -. AmazonGrafanaCloudWatchPolicy {{random-id}}**
** OpenSearch Servizio Amazon**
**Amazon Managed Grafana crea una policy gestita dal cliente con il nome -. AmazonGrafanaOpenSearchPolicy {{random-id}}** Le Get/Post autorizzazioni sono necessarie per l'accesso alle fonti di dati. Le List/Describe autorizzazioni vengono utilizzate da Amazon Managed Grafana per l'individuazione delle origini dati, ma non sono necessarie per il funzionamento del plug-in dell'origine dati. I contenuti della politica sono i seguenti:
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"es:ESHttpGet",
"es:DescribeElasticsearchDomains",
"es:ListDomainNames"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "es:ESHttpPost",
"Resource": [
"arn:aws:es:*:*:domain/*/_msearch*",
"arn:aws:es:*:*:domain/*/_opendistro/_ppl"
]
}
]
}
```
**AWS IoT SiteWise**
Amazon Managed Grafana allega la policy gestita AWS . **AWSIoTSiteWiseReadOnlyAccess**
**Amazon Redshift**
Amazon Managed Grafana allega la policy gestita AWS . **AmazonGrafanaRedshiftAccess**
**Amazon Athena**
Amazon Managed Grafana allega la policy gestita AWS . **AmazonGrafanaAthenaAccess**
**Amazon Managed Service per Prometheus**
**Amazon Managed Grafana crea una policy gestita dal cliente con il nome -. AmazonGrafanaPrometheusPolicy {{random-id}}** Le List/Describe autorizzazioni vengono utilizzate da Amazon Managed Grafana per l'individuazione delle fonti di dati, non sono necessarie per il funzionamento del plug-in. I contenuti della politica sono i seguenti:
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aps:ListWorkspaces",
"aps:DescribeWorkspace",
"aps:QueryMetrics",
"aps:GetLabels",
"aps:GetSeries",
"aps:GetMetricMetadata"
],
"Resource": "*"
}
]
}
```
**Amazon SNS**
**Amazon Managed Grafana crea una policy gestita dal cliente con il nome -. AmazonGrafanaSNSPolicy {{random-id}}** La policy ti limita a utilizzare nel tuo account solo argomenti SNS che iniziano con la stringa. `grafana` Questo non è necessario se crei la tua politica. I contenuti della politica sono i seguenti:
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sns:Publish"
],
"Resource": [
"arn:aws:sns:*:{{111122223333}}:grafana*"
]
}
]
}
```
**Timestream**
Amazon Managed Grafana allega la policy gestita AWS . **AmazonTimestreamReadOnlyAccess**
**X-Ray**
Amazon Managed Grafana allega la policy gestita AWS . **AWSXrayReadOnlyAccess**
## Service-managed autorizzazioni per un'organizzazione
Questa modalità è supportata solo per le aree di lavoro create in account di gestione o account di amministratore delegato in un'organizzazione. Gli account amministratore delegati possono creare e amministrare set di stack per l'organizzazione. Per ulteriori informazioni sugli account di amministratore delegato, consulta [Registrare](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-delegated-admin.html) un amministratore delegato.
**Nota**
La creazione di risorse come le aree di lavoro Amazon Managed Grafana nell'account di gestione di un'organizzazione è contraria alle migliori pratiche di AWS sicurezza.
In questa modalità, Amazon Managed Grafana crea tutti i ruoli IAM necessari per accedere alle AWS risorse di altri account dell'organizzazione. AWS **In ogni account delle unità organizzative selezionate, Amazon Managed Grafana crea un ruolo chiamato AmazonGrafanaOrgMemberRole -. {{random-id}}** La creazione di questo ruolo viene eseguita tramite un'integrazione con AWS CloudFormation StackSets.
A questo ruolo è associata una politica per ogni fonte di AWS dati che scegli di utilizzare nell'area di lavoro. Per i contenuti di queste politiche relative ai dati, consulta[Service-managed autorizzazioni per un singolo account](#AMG-service-managed-account).
Amazon Managed Grafana crea anche un ruolo chiamato **AmazonGrafanaOrgAdminRole- {{random-id}}** nell'account di gestione dell'organizzazione. Questo ruolo consente all'area di lavoro Amazon Managed Grafana l'autorizzazione ad accedere ad altri account dell'organizzazione. AWS A questo ruolo vengono associate anche le politiche del canale di notifica dei servizi. Utilizza il menu **AWS Data Source** nel tuo spazio di lavoro per fornire rapidamente le fonti di dati per ogni account a cui l'area di lavoro può accedere
Per utilizzare questa modalità, è necessario abilitare CloudFormation Stacksets come servizio affidabile nell'organizzazione. AWS Per ulteriori informazioni, consulta [Abilitare l'accesso affidabile](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-enable-trusted-access.html) con. AWS Organizations
Ecco il contenuto del set **AmazonGrafanaStackSet- {{random-id}}** stack:
```
Parameters:
IncludePrometheusPolicy:
Description: Whether to include Amazon Prometheus access in the role
Type: String
AllowedValues:
- true
- false
Default: false
IncludeAESPolicy:
Description: Whether to include Amazon Elasticsearch access in the role
Type: String
AllowedValues:
- true
- false
Default: false
IncludeCloudWatchPolicy:
Description: Whether to include CloudWatch access in the role
Type: String
AllowedValues:
- true
- false
Default: false
IncludeTimestreamPolicy:
Description: Whether to include Amazon Timestream access in the role
Type: String
AllowedValues:
- true
- false
Default: false
IncludeXrayPolicy:
Description: Whether to include AWS X-Ray access in the role
Type: String
AllowedValues:
- true
- false
Default: false
IncludeSitewisePolicy:
Description: Whether to include AWS IoT SiteWise access in the role
Type: String
AllowedValues:
- true
- false
Default: false
IncludeRedshiftPolicy:
Description: Whether to include Amazon Redshift access in the role
Type: String
AllowedValues:
- true
- false
Default: false
IncludeAthenaPolicy:
Description: Whether to include Amazon Athena access in the role
Type: String
AllowedValues:
- true
- false
Default: false
RoleName:
Description: Name of the role to create
Type: String
AdminAccountId:
Description: Account ID of the Amazon Grafana org admin
Type: String
Conditions:
addPrometheus: !Equals [!Ref IncludePrometheusPolicy, true]
addAES: !Equals [!Ref IncludeAESPolicy, true]
addCloudWatch: !Equals [!Ref IncludeCloudWatchPolicy, true]
addTimestream: !Equals [!Ref IncludeTimestreamPolicy, true]
addXray: !Equals [!Ref IncludeXrayPolicy, true]
addSitewise: !Equals [!Ref IncludeSitewisePolicy, true]
addRedshift: !Equals [!Ref IncludeRedshiftPolicy, true]
addAthena: !Equals [!Ref IncludeAthenaPolicy, true]
Resources:
PrometheusPolicy:
Type: AWS::IAM::Policy
Condition: addPrometheus
Properties:
Roles:
- !Ref GrafanaMemberServiceRole
PolicyName: AmazonGrafanaPrometheusPolicy
PolicyDocument:
Version: '2012-10-17'
Statement:
- Effect: Allow
Action:
- aps:QueryMetrics
- aps:GetLabels
- aps:GetSeries
- aps:GetMetricMetadata
- aps:ListWorkspaces
- aps:DescribeWorkspace
Resource: '*'
AESPolicy:
Type: AWS::IAM::Policy
Condition: addAES
Properties:
Roles:
- !Ref GrafanaMemberServiceRole
PolicyName: AmazonGrafanaElasticsearchPolicy
PolicyDocument:
Version: '2012-10-17'
Statement:
- Sid: AllowReadingESDomains
Effect: Allow
Action:
- es:ESHttpGet
- es:ESHttpPost
- es:ListDomainNames
- es:DescribeElasticsearchDomains
Resource: '*'
CloudWatchPolicy:
Type: AWS::IAM::Policy
Condition: addCloudWatch
Properties:
Roles:
- !Ref GrafanaMemberServiceRole
PolicyName: AmazonGrafanaCloudWatchPolicy
PolicyDocument:
Version: '2012-10-17'
Statement:
- Sid: AllowReadingMetricsFromCloudWatch
Effect: Allow
Action:
- cloudwatch:DescribeAlarmsForMetric
- cloudwatch:DescribeAlarmHistory
- cloudwatch:DescribeAlarms
- cloudwatch:ListMetrics
- cloudwatch:GetMetricStatistics
- cloudwatch:GetMetricData
- cloudwatch:GetInsightRuleReport
Resource: "*"
- Sid: AllowReadingLogsFromCloudWatch
Effect: Allow
Action:
- logs:DescribeLogGroups
- logs:GetLogGroupFields
- logs:StartQuery
- logs:StopQuery
- logs:GetQueryResults
- logs:GetLogEvents
Resource: "*"
- Sid: AllowReadingTagsInstancesRegionsFromEC2
Effect: Allow
Action:
- ec2:DescribeTags
- ec2:DescribeInstances
- ec2:DescribeRegions
Resource: "*"
- Sid: AllowReadingResourcesForTags
Effect: Allow
Action:
- tag:GetResources
Resource: "*"
GrafanaMemberServiceRole:
Type: 'AWS::IAM::Role'
Properties:
RoleName: !Ref RoleName
AssumeRolePolicyDocument:
Version: '2012-10-17'
Statement:
- Effect: Allow
Principal:
AWS: !Sub arn:aws:iam::${AdminAccountId}:root
Action:
- 'sts:AssumeRole'
Path: /service-role/
ManagedPolicyArns:
- !If [addTimestream, arn:aws:iam::aws:policy/AmazonTimestreamReadOnlyAccess, !Ref AWS::NoValue]
- !If [addXray, arn:aws:iam::aws:policy/AWSXrayReadOnlyAccess, !Ref AWS::NoValue]
- !If [addSitewise, arn:aws:iam::aws:policy/AWSIoTSiteWiseReadOnlyAccess, !Ref AWS::NoValue]
- !If [addRedshift, arn:aws:iam::aws:policy/service-role/AmazonGrafanaRedshiftAccess, !Ref AWS::NoValue]
- !If [addAthena, arn:aws:iam::aws:policy/service-role/AmazonGrafanaAthenaAccess, !Ref AWS::NoValue]
```
Ecco il contenuto di **AmazonGrafanaOrgAdminPolicy- {{random-id}}**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"organizations:ListAccountsForParent",
"organizations:ListOrganizationalUnitsForParent"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "o-{{organizationId}}"
}
}
},
{
"Effect": "Allow",
"Action": [
"sts:AssumeRole"
],
"Resource": "arn:aws:iam::*:role/service-role/AmazonGrafanaOrgMemberRole-{{random-Id}}"
}]
}
```
------
## Customer-managed autorizzazioni
Se scegli di utilizzare le autorizzazioni gestite dal cliente, specifichi un ruolo IAM esistente nel tuo account quando crei uno spazio di lavoro Amazon Managed Grafana. Il ruolo deve avere una politica di fiducia affidabile. `grafana.amazonaws.com`
Di seguito è riportato un esempio di tale politica:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "grafana.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Affinché quel ruolo possa accedere alle fonti di AWS dati o ai canali di notifica in quell'account, deve disporre delle autorizzazioni previste nelle politiche elencate in precedenza in questa sezione. Ad esempio, per utilizzare l'origine CloudWatch dati, deve disporre delle autorizzazioni indicate nella CloudWatch politica elencata in. [Service-managed autorizzazioni per un singolo account](#AMG-service-managed-account)
Le autorizzazioni `List` e `Describe` le autorizzazioni nelle politiche per Amazon OpenSearch Service e Amazon Managed Service for Prometheus mostrate [Service-managed autorizzazioni per un singolo account](#AMG-service-managed-account) in sono necessarie solo per il corretto funzionamento del rilevamento e del provisioning delle fonti di dati. Non sono necessarie se desideri semplicemente configurare queste fonti di dati manualmente.
**Cross-account accesso**
Quando viene creato uno spazio di lavoro nell'account 1111, deve essere fornito un ruolo nell'account 11111. Per questo esempio, chiama questo ruolo. *WorkspaceRole* Per accedere ai dati nell'account 9999, è necessario creare un ruolo nell'account 9999. Chiamalo. *DataSourceRole* È quindi necessario stabilire una relazione di fiducia tra *WorkspaceRole*e *DataSourceRole*. Per ulteriori informazioni su come stabilire la fiducia tra due ruoli, consulta [IAM Tutorial: Delegare l'accesso tra AWS account utilizzando i ruoli IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_cross-account-with-roles.html).
*DataSourceRole*deve contenere le dichiarazioni politiche elencate in precedenza in questa sezione per ogni fonte di dati che desideri utilizzare. Dopo aver stabilito la relazione di trust, puoi specificare l'ARN di *DataSourceRole*(arn:aws:iam: :99999999:role:DataSourceRole) nel campo **Assumi ruolo ARN nella pagina di configurazione dell'origine dati** di qualsiasi origine dati nel tuo spazio di lavoro. AWS L'origine dati accede quindi all'account 9999 con le autorizzazioni definite in. *DataSourceRole*