Amazon Managed Grafana の AWS マネージドポリシー - Amazon Managed Grafana
AWSGrafanaAccountAdministratorAWSGrafanaWorkspacePermissionManagement (廃止)AWSGrafanaWorkspacePermissionManagementV2AWSGrafanaConsoleReadOnlyAccess AmazonGrafanaRedshiftAccess AmazonGrafanaAthenaAccess AmazonGrafanaCloudWatchAccessポリシーの更新

Amazon Managed Grafana の AWS マネージドポリシー

AWS マネージドポリシーは、AWS が作成および管理するスタンドアロンポリシーです。AWS マネージドポリシーは、多くの一般的なユースケースに対してアクセス許可を提供するように設計されているため、ユーザー、グループ、ロールへのアクセス権の割り当てを開始できます。

AWS マネージドポリシーは、ご利用の特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることにご注意ください。これは、すべての AWS ユーザーが使用できるようになるのを避けるためです。ユースケースに固有のカスタマー管理ポリシーを定義して、アクセス許可を絞り込むことをお勧めします。

AWS マネージドポリシーで定義されたアクセス許可は変更できません。AWS が AWS マネージドポリシーに定義されている権限を更新すると、更新はポリシーがアタッチされているすべてのプリンシパルアイデンティティ (ユーザー、グループ、ロール) に影響します。新しい AWS のサービス を起動するか、既存のサービスで新しい API オペレーションが使用可能になると、AWS が AWS マネージドポリシーを更新する可能性が最も高くなります。

詳細については、「IAM ユーザーガイド」の「AWS マネージドポリシー」を参照してください。

AWS マネージドポリシー: AWSGrafanaAccountAdministrator

AWSGrafanaAccountAdministrator ポリシーは、組織全体のワークスペースを作成および管理するための Amazon Managed Grafana 内のアクセスを提供すします。

ご使用の IAM エンティティに、AWSGrafanaAccountAdministrator をアタッチすることはできません。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • iam – 管理者がロールをワークスペースに関連付けるだけでなく、ロールを Amazon Managed Grafana サービスに渡すように、プリンシパルが IAM ロールを一覧表示して取得できるようにします。

  • Amazon Managed Grafana – プリンシパルがすべての Amazon Managed Grafana API に読み取りおよび書き込みアクセスできるようにします。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AWSGrafanaOrganizationAdmin",
            "Effect": "Allow",
            "Action": [
                "iam:ListRoles"
            ],
            "Resource": "*"
        },
        {
            "Sid": "GrafanaIAMGetRolePermission",
            "Effect": "Allow",
            "Action": "iam:GetRole",
            "Resource": "arn:aws:iam::*:role/*"
        },
        {
            "Sid": "AWSGrafanaPermissions",
            "Effect": "Allow",
            "Action": [
                "grafana:*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "GrafanaIAMPassRolePermission",
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::*:role/*",
            "Condition": {
                "StringLike": {
                    "iam:PassedToService": "grafana.amazonaws.com"
                }
            }
        }
    ]
}

AWS マネージドポリシー: AWSGrafanaWorkspacePermissionManagement (廃止)

このポリシーは廃止されました。このポリシーを他のユーザー、グループ、ロールに適用しないでください。

Amazon Managed Grafana は、このポリシーに代わる新しいポリシー AWSGrafanaWorkspacePermissionManagementV2 を追加しました。この新しい管理ポリシーは、より制限の厳しいアクセス許可セットを提供し、ワークスペースのセキュリティが向上されます。

AWS マネージドポリシー: AWSGrafanaWorkspacePermissionManagementV2

AWSGrafanaWorkspacePermissionManagementV2 ポリシーは、Amazon Managed Grafana ワークスペースのユーザーのアクセス許可とグループのアクセス許可を更新する機能のみを提供します。

ご使用の IAM エンティティに、AWSGrafanaWorkspacePermissionManagementV2 をアタッチすることはできません。

権限の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • Amazon Managed Grafana – プリンシパルが Amazon Managed Grafana ワークスペースのユーザーのアクセス許可およびグループのアクセス許可を読み取り更新できるようにします。

  • IAM Identity Center – プリンシパルに IAM Identity Center のエンティティの読み取りを許可します。これはプリンシパルを Amazon Managed Grafana アプリケーションに関連付けるために欠かせない要素ですが、以下のポリシーリストの後に説明されている追加のステップも必要です。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
            "Sid": "AWSGrafanaPermissions",
            "Effect": "Allow",
            "Action": [
                "grafana:DescribeWorkspace",
                "grafana:DescribeWorkspaceAuthentication",
                "grafana:UpdatePermissions",
                "grafana:ListPermissions",
                "grafana:ListWorkspaces"
            ],
            "Resource": "arn:aws:grafana:*:*:/workspaces*"
        },
        {
            "Sid": "IAMIdentityCenterPermissions",
            "Effect": "Allow",
            "Action": [
                "sso:DescribeRegisteredRegions",
                "sso:GetSharedSsoConfiguration",
                "sso:ListDirectoryAssociations",
                "sso:GetManagedApplicationInstance",
                "sso:ListProfiles",
                "sso:GetProfile",
                "sso:ListProfileAssociations",
                "sso-directory:DescribeUser",
                "sso-directory:DescribeGroup"
            ],
            "Resource": "*"
        }
    ]
}

必要な追加ポリシー

権限の割り当てをユーザーに完全に許可するには、AWSGrafanaWorkspacePermissionManagementV2 ポリシーに加えて、IAM Identity Center のアプリケーション割り当てへのアクセスを提供するポリシーも割り当てる必要があります。

このポリシーの作成には、まずワークスペースの Grafana アプリケーション ARN を収集する必要があります。

  1. IAM アイデンティティセンターコンソールを開きます。

  2. 左のメニューで、[アプリケーション] をクリックします。

  3. [AWS マネージド] タブで、[Amazon Grafana-workspace-name] という名前のアプリケーションを見つけます。workspace-name はワークスペースの名前です。アプリケーションの名前を選択します。

  4. ワークスペースの Amazon Managed Grafana が管理する IAM Identity Center アプリケーションが表示されます。このアプリケーションの ARN は詳細ページに表示されます。これは arn:aws:sso::owner-account-id:application/ssoins-unique-id/apl-unique-id 形式です。

作成するポリシーは、次のようになります。grafana-application-arn を前のステップで見つけた ARN で置き換えます。

ポリシーを作成して適用する方法の詳細については、「AWS Identity and Access Management ユーザーガイド」の「IAM アイデンティティの許可の追加および削除」を参照してください。

AWS マネージドポリシー: AWSGrafanaConsoleReadOnlyAccess

AWSGrafanaConsoleReadOnlyAccess ポリシーは、Amazon Managed Grafana の読み取り専用オペレーションへのアクセスを付与します。

ご使用の IAM エンティティに、AWSGrafanaConsoleReadOnlyAccess をアタッチすることはできません。

アクセス許可の詳細

このポリシーには、次の許可が含まれています。

  • Amazon Managed Grafana – プリンシパルが Amazon Managed Grafana API に読み取り専用アクセスできるようにします。

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AWSGrafanaConsoleReadOnlyAccess",
      "Effect": "Allow",
      "Action": ["grafana:Describe*", "grafana:List*"],
      "Resource": "*"
    }
  ]
}

AWS マネージドポリシー: AmazonGrafanaRedshiftAccess

このポリシーは、Amazon Redshift と、Amazon Managed Grafana で Amazon Redshift プラグインを使用するために必要な依存関係へのスコープ付きアクセスを付与します。AmazonGrafanaRedshiftAccess ポリシーでは、ユーザーまたは IAM ロールが Grafana の Amazon Redshift データソースプラグインを使用できるようにします。Amazon Redshift データベースの一時認証情報はデータベースユーザー redshift_data_api_user を対象とし、シークレットにキー RedshiftQueryOwner がタグ付けされている場合、Secrets Manager の認証情報を取得できます。このポリシーは、GrafanaDataSource でタグ付けされた Amazon Redshift クラスターへのアクセスを許可します。カスタマー管理ポリシーを作成するときは、タグベースの認証はオプションです。

IAM エンティティに AmazonGrafanaRedshiftAccess をアタッチできます。Amazon Managed Grafana では、このポリシーはユーザーに代わってアクションを実行できることを Amazon Managed Grafana に許可するためのサービスロールにも添付されます。

アクセス許可の詳細

このポリシーには、次の許可が含まれています。

  • Amazon Redshift – プリンシパルがクラスターを記述し、redshift_data_api_user という名前のデータベースユーザーの一時認証情報を取得できるようにします。

  • Amazon Redshift–data – プリンシパルが GrafanaDataSource としてタグ付けされたクラスターでクエリを実行できるようにします。

  • Secrets Manager – プリンシパルがシークレットを一覧表示し、RedshiftQueryOwner としてタグ付けされたシークレットのシークレット値を読み取ることを許可します。

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "redshift:DescribeClusters",
        "redshift-data:GetStatementResult",
        "redshift-data:DescribeStatement",
        "secretsmanager:ListSecrets"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "redshift-data:DescribeTable",
        "redshift-data:ExecuteStatement",
        "redshift-data:ListTables",
        "redshift-data:ListSchemas"
      ],
      "Resource": "*",
      "Condition": {
        "Null": {
          "aws:ResourceTag/GrafanaDataSource": "false"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": "redshift:GetClusterCredentials",
      "Resource": [
        "arn:aws:redshift:*:*:dbname:*/*",
        "arn:aws:redshift:*:*:dbuser:*/redshift_data_api_user"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "secretsmanager:GetSecretValue"
      ],
      "Resource": "*",
      "Condition": {
        "Null": {
          "secretsmanager:ResourceTag/RedshiftQueryOwner": "false"
        }
      }
    }
  ]
}

AWS マネージドポリシー: AmazonGrafanaAthenaAccess

このポリシーは、Athena と、Amazon Managed Grafana の Athena プラグインからクエリを実行して Amazon S3 に結果を書き込むために必要な依存関係へのアクセス権を付与します。AmazonGrafanaAthenaAccess ポリシーでは、ユーザーまたは IAM ロールが Grafana の Athena データソースプラグインを使用できるようにします。Athena ワークグループにアクセスするには、GrafanaDataSource でタグ付けする必要があります。このポリシーには、grafana-athena-query-results- というプレフィックスが付いた名前の Amazon S3 バケットにクエリ結果を書き込むためのアクセス許可が含まれています。Athena クエリの基盤となるデータソースにアクセスするための Amazon S3 のアクセス許可は、このポリシーに含まれません。

ご使用の IAM エンティティに、AWSGrafanaAthenaAccess をアタッチすることはできません。Amazon Managed Grafana では、このポリシーはユーザーに代わってアクションを実行できることを Amazon Managed Grafana に許可するためのサービスロールにも添付されます。

アクセス許可の詳細

このポリシーには、次の許可が含まれています。

  • Athena – プリンシパルが GrafanaDataSource とタグ付けされたワークグループ内の Athena リソースに対してクエリを実行できるようにします。

  • Amazon S3 – プリンシパルが、grafana-athena-query-results- でプレフィックスが付けられたバケットにクエリ結果を読み取りおよび書き込みできるようにします。

  • AWS Glue – AWS Glue データベース、テーブル、およびパーティションへのアクセスをプリンシパルに許可します。これは、プリンシパルが Athena で AWS Glue Data Catalog を使用するのに必要です。

JSON
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [
	    {
	        "Effect": "Allow",
	        "Action": [
	            "athena:GetDatabase",
	            "athena:GetDataCatalog",
	            "athena:GetTableMetadata",
	            "athena:ListDatabases",
	            "athena:ListDataCatalogs",
	            "athena:ListTableMetadata",
	            "athena:ListWorkGroups"
	        ],
	        "Resource": [
	            "*"
	        ]
	    },
	    {
	        "Effect": "Allow",
	        "Action": [
	            "athena:GetQueryExecution",
	            "athena:GetQueryResults",
	            "athena:GetWorkGroup",
	            "athena:StartQueryExecution",
	            "athena:StopQueryExecution"
	        ],
	        "Resource": [
	            "*"
	        ],
	        "Condition": {
	            "Null": {
	                "aws:ResourceTag/GrafanaDataSource": "false"
	            }
	        }
	    },
	    {
	        "Effect": "Allow",
	        "Action": [
	            "glue:GetDatabase",
	            "glue:GetDatabases",	            
	            "glue:GetTable",
	            "glue:GetTables",
	            "glue:GetPartition",
	            "glue:GetPartitions",
	            "glue:BatchGetPartition"
	        ],
	        "Resource": [
	            "*"
	        ]
	    },
	    {
	        "Effect": "Allow",
	        "Action": [
	            "s3:GetBucketLocation",
	            "s3:GetObject",
	            "s3:ListBucket",
	            "s3:ListBucketMultipartUploads",
	            "s3:ListMultipartUploadParts",
	            "s3:AbortMultipartUpload",
	            "s3:CreateBucket",
	            "s3:PutObject",
	            "s3:PutBucketPublicAccessBlock"
	        ],
	        "Resource": [
	            "arn:aws:s3:::grafana-athena-query-results-*"
	        ]
	    }
	]
}

AWS マネージドポリシー: AmazonGrafanaCloudWatchAccess

このポリシーは、Amazon CloudWatch と、CloudWatch を Amazon Managed Grafana 内のデータソースとして使用するために必要な依存関係へのアクセス権を付与します。

ご使用の IAM エンティティに、AWSGrafanaCloudWatchAccess をアタッチすることはできません。Amazon Managed Grafana では、このポリシーはユーザーに代わってアクションを実行できることを Amazon Managed Grafana に許可するためのサービスロールにも添付されます。

アクセス許可の詳細

このポリシーには、以下のアクセス許可が含まれています。

  • CloudWatch — プリンシパルが Amazon CloudWatch のメトリクスデータとログを一覧表示および取得できるようにします。また、CloudWatch クロスアカウントオブザーバビリティで、ソースアカウントから共有されたデータを表示することもできます。

  • Amazon EC2 – モニタリング中のリソースに関する詳細をプリンシパルが取得できるようにします。

  • Tags – プリンシパルがリソースのタグにアクセスして、CloudWatch メトリクスクエリをフィルタリングできるようにします。

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloudwatch:DescribeAlarmsForMetric",
        "cloudwatch:DescribeAlarmHistory",
        "cloudwatch:DescribeAlarms",
        "cloudwatch:ListMetrics",
        "cloudwatch:GetMetricStatistics",
        "cloudwatch:GetMetricData",
        "cloudwatch:GetInsightRuleReport"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "logs:DescribeLogGroups",
        "logs:GetLogGroupFields",
        "logs:StartQuery",
        "logs:StopQuery",
        "logs:GetQueryResults",
        "logs:GetLogEvents"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeTags",
        "ec2:DescribeInstances",
        "ec2:DescribeRegions"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": "tag:GetResources",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "oam:ListSinks",
        "oam:ListAttachedLinks"
      ],
      "Resource": "*"
    }
  ]
}

AWS マネージドポリシーへの Amazon Managed Grafana の更新

このサービスが変更の追跡を開始してからの、Amazon Managed Grafana の AWS マネージドポリシーの更新に関する詳細を表示します。このページの変更に関する自動通知を入手するには、Amazon Managed Grafana ドキュメントの履歴ページから、RSS フィードにサブスクライブしてください。

変更 説明 日付

AWSGrafanaWorkspacePermissionManagement – 廃止

このポリシーは AWSGrafanaWorkspacePermissionManagementV2 に置き換えられました。

このポリシーは廃止と見なされ、更新されなくなります。新しいポリシーでは、より制限の厳しいアクセス許可セットが提供されるので、ワークスペースのセキュリティが向上されます。

 2024 年 1 月 5 日

AWSGrafanaWorkspacePermissionManagementV2 – 新しいポリシー

Amazon Managed Grafana は、古い [AWSGrafanaWorkspacePermissionManagement] ポリシーに代わる新しいポリシー [AWSGrafanaWorkspacePermissionManagementV2] を追加しました。この新しい管理ポリシーは、より制限の厳しいアクセス許可セットを提供し、ワークスペースのセキュリティが向上されます。

 2024 年 1 月 5 日

AmazonGrafanaCloudWatchAccess – 新しいポリシー

Amazon Managed Grafana が新しいポリシー [AmazonGrafanaCloudWatchAccess] を追加しました。

 2023 年 3 月 24 日

AWSGrafanaWorkspacePermissionManagement – 既存のポリシーの更新

Amazon Managed Grafana は、Active Directory の IAM Identity Center ユーザーとグループを Grafana ワークスペースに関連付けることができるようにするため、新しいアクセス許可 [AWSGrafanaWorkspacePermissionManagement] を追加しました。

アクセス許可 sso-directory:DescribeUsersso-directory:DescribeGroup が追加されました。

 2023 年 3 月 14 日

AWSGrafanaWorkspacePermissionManagement – 既存のポリシーの更新

Amazon Managed Grafana は、IAM Identity Center ユーザーとグループを Grafana ワークスペースに関連付けることができるようにするため、新しいアクセス許可 [AWSGrafanaWorkspacePermissionManagement] を追加しました。

アクセス許可 sso:DescribeRegisteredRegionssso:GetSharedSsoConfigurationsso:ListDirectoryAssociationssso:GetManagedApplicationInstancesso:ListProfilessso:AssociateProfilesso:DisassociateProfilesso:GetProfilesso:ListProfileAssociations が追加されました。

 2022 年 12 月 20 日

AmazonGrafanaServiceLinkedRolePolicy – 新しい SLR ポリシー

Amazon Managed Grafana は、Grafana サービスにリンクされたロール [AmazonGrafanaServiceLinkedRolePolicy] の新しいポリシーを追加しました。

 2022 年 11 月 18 日

AWSGrafanaAccountAdministratorAWSGrafanaConsoleReadOnlyAccess

 すべての Amazon Managed Grafana リソースへのアクセスの許可 2022 年 2 月 17 日

AmazonGrafanaRedshiftAccess – 新しいポリシー

Amazon Managed Grafana が新しいポリシー [AmazonGrafanaRedshiftAccess] を追加しました。

 2021 年 11 月 26 日

AmazonGrafanaAthenaAccess – 新しいポリシー

Amazon Managed Grafana が新しいポリシー [AmazonGrafanaAthenaAccess] を追加しました。

 2021 年 11 月 22 日

AWSGrafanaAccountAdministrator - 既存ポリシーへの更新。

Amazon Managed Grafana は [AWSGrafanaAccountAdministrator] からアクセス許可を削除しました。

sso.amazonaws.com サービスにスコープされた iam:CreateServiceLinkedRole アクセス許可が削除されました。代わりに、[AWSSSOMasterAccountAdministrator] ポリシーをアタッチして、このアクセス許可をユーザーに付与することをお勧めします。

 2021 年 10 月 13 日

AWSGrafanaWorkspacePermissionManagement – 既存ポリシーへの更新

Amazon Managed Grafana は、このポリシーを持つユーザーがワークスペースに関連付けられた認証方法を表示できるように、[AWSGrafanaWorkspacePermissionManagement] に新しいアクセス許可を追加しました。

grafana:DescribeWorkspaceAuthentication アクセス許可が追加されました。

 2021 年 9 月 21 日

AWSGrafanaConsoleReadOnlyAccess – 既存ポリシーへの更新

Amazon Managed Grafana は、このポリシーを持つユーザーがワークスペースに関連付けられた認証方法を表示できるように、[AWSGrafanaConsoleReadOnlyAccess] に新しいアクセス許可を追加しました。

grafana:Describe* および grafana:List* のアクセス許可がポリシーに追加され、以前の狭いアクセス許可 grafana:DescribeWorkspacegrafana:ListPermissionsgrafana:ListWorkspaces が置き換えられます。

 2021 年 9 月 21 日

Amazon Managed Grafana が変更の追跡を開始

Amazon Managed Grafana が AWS マネージドポリシーの変更の追跡をスタートしました。

 2021 年 9 月 9 日