Amazon Managed Grafana에 대한 AWS 관리형 정책 - Amazon Managed Grafana
AWSGrafanaAccountAdministratorAWSGrafanaWorkspacePermissionManagement(더 이상 사용되지 않음)AWSGrafanaWorkspacePermissionManagementV2AWSGrafanaConsoleReadOnlyAccess AmazonGrafanaRedshiftAccess AmazonGrafanaAthenaAccess AmazonGrafanaCloudWatchAccess정책 업데이트

Amazon Managed Grafana에 대한 AWS 관리형 정책

AWS 관리형 정책은 AWS에 의해 생성되고 관리되는 독립 실행형 정책입니다. AWS 관리형 정책은 사용자, 그룹 및 역할에 권한 할당을 시작할 수 있도록 많은 일반 사용 사례에 대한 권한을 제공하도록 설계되었습니다.

AWS 관리형 정책은 모든 AWS 고객이 사용할 수 있기 때문에 특정 사용 사례에 대해 최소 권한을 부여하지 않을 수 있습니다. 사용 사례에 고유한 고객 관리형 정책을 정의하여 권한을 줄이는 것이 좋습니다.

AWS 관리형 정책에서 정의한 권한은 변경할 수 없습니다. 만약 AWS가 AWS 관리형 정책에 정의된 권한을 업데이트할 경우 정책이 연결되어 있는 모든 위탁자 ID(사용자, 그룹 및 역할)에도 업데이트가 적용됩니다. 새 AWS 서비스를 시작하거나 새 API 작업을 기존 서비스에 이용하는 경우, AWS가 AWS 관리형 정책을 업데이트할 가능성이 높습니다.

자세한 내용은 IAM 사용 설명서AWS 관리형 정책을 참조하세요.

AWS 관리형 정책: AWSGrafanaAccountAdministrator

AWSGrafanaAccountAdministrator 정책에서는 Amazon Managed Grafana 내에서 조직 전체를 위한 워크스페이스를 생성하고 관리할 수 있는 액세스를 제공합니다.

AWSGrafanaAccountAdministrator를 IAM 엔터티에 연결할 수 있습니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • iam - 위탁자가 IAM 역할을 나열하고 가져오도록 허용합니다. 이를 통해 관리자가 역할을 워크스페이스에 연결하고 역할을 Amazon Managed Grafana 서비스에 전달할 수 있습니다.

  • Amazon Managed Grafana - 위탁자에게 모든 Amazon Managed Grafana API에 대한 읽기 및 쓰기 액세스를 허용합니다.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AWSGrafanaOrganizationAdmin",
            "Effect": "Allow",
            "Action": [
                "iam:ListRoles"
            ],
            "Resource": "*"
        },
        {
            "Sid": "GrafanaIAMGetRolePermission",
            "Effect": "Allow",
            "Action": "iam:GetRole",
            "Resource": "arn:aws:iam::*:role/*"
        },
        {
            "Sid": "AWSGrafanaPermissions",
            "Effect": "Allow",
            "Action": [
                "grafana:*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "GrafanaIAMPassRolePermission",
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::*:role/*",
            "Condition": {
                "StringLike": {
                    "iam:PassedToService": "grafana.amazonaws.com"
                }
            }
        }
    ]
}

AWS 관리형 정책: AWSGrafanaWorkspacePermissionManagement(더 이상 사용되지 않음)

이 정책은 더 이상 사용되지 않습니다. 이 정책은 다른 사용자, 그룹 또는 역할에 연결되어서는 안 됩니다.

Amazon Managed Grafana는 이 정책을 대체하기 위해 AWSGrafanaWorkspacePermissionManagementV2라는 새 정책을 추가했습니다. 이 새로운 관리형 정책은 보다 제한적인 권한 세트를 제공하여 워크스페이스에 대한 보안을 향상시킵니다.

AWS 관리형 정책: AWSGrafanaWorkspacePermissionManagementV2

AWSGrafanaWorkspacePermissionManagementV2 정책은 Amazon Managed Grafana 워크스페이스에 대한 사용자 및 그룹 권한을 업데이트하는 기능만 제공합니다.

AWSGrafanaWorkspacePermissionManagementV2를 IAM 엔터티에 연결할 수 없습니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • Amazon Managed Grafana - 위탁자가 Amazon Managed Grafana 워크스페이스에 대한 사용자 및 그룹 권한을 읽고 업데이트하도록 허용합니다.

  • IAM Identity Center - 위탁자가 IAM Identity Center 엔터티를 읽도록 허용합니다. 이는 위탁자를 Amazon Managed Grafana 애플리케이션과 연결하는 데 필요한 부분이지만, 다음에 나오는 정책 목록 이후에 설명된 추가 단계도 필요합니다.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
            "Sid": "AWSGrafanaPermissions",
            "Effect": "Allow",
            "Action": [
                "grafana:DescribeWorkspace",
                "grafana:DescribeWorkspaceAuthentication",
                "grafana:UpdatePermissions",
                "grafana:ListPermissions",
                "grafana:ListWorkspaces"
            ],
            "Resource": "arn:aws:grafana:*:*:/workspaces*"
        },
        {
            "Sid": "IAMIdentityCenterPermissions",
            "Effect": "Allow",
            "Action": [
                "sso:DescribeRegisteredRegions",
                "sso:GetSharedSsoConfiguration",
                "sso:ListDirectoryAssociations",
                "sso:GetManagedApplicationInstance",
                "sso:ListProfiles",
                "sso:GetProfile",
                "sso:ListProfileAssociations",
                "sso-directory:DescribeUser",
                "sso-directory:DescribeGroup"
            ],
            "Resource": "*"
        }
    ]
}

추가 정책이 필요함

사용자가 권한을 할당할 수 있도록 최대한 허용하려면 AWSGrafanaWorkspacePermissionManagementV2 정책 외에도 IAM Identity Center에서 애플리케이션 할당에 대한 액세스를 제공하기 위한 정책도 할당해야 합니다.

이 정책을 생성하려면 먼저 워크스페이스에 대한 Grafana 애플리케이션 ARN을 수집해야 합니다.

  1. IAM Identity Center 콘솔을 엽니다.

  2. 왼쪽 메뉴에서 애플리케이션을 선택하세요.

  3. AWS 관리형 탭에서 Amazon Grafana-workspace-name이라는 애플리케이션을 찾으세요. 여기서, workspace-name는 워크스페이스 이름입니다. 애플리케이션 이름을 선택하세요.

  4. Amazon Managed Grafana에서 관리하는 워크스페이스에 대한 IAM Identity Center 애플리케이션이 표시됩니다. 이 애플리케이션의 ARN은 세부 정보 페이지에 표시됩니다. arn:aws:sso::owner-account-id:application/ssoins-unique-id/apl-unique-id 양식입니다.

생성한 정책은 다음과 비슷합니다. grafana-application-arn을 이전 단계에서 찾은 ARN으로 바꿉니다.

정책을 생성하고 역할 또는 사용자에 정책을 적용하는 방법에 대한 자세한 내용은 AWS Identity and Access Management 사용 설명서IAM 자격 증명 권한 추가 및 제거를 참조하세요.

AWS 관리형 정책: AWSGrafanaConsoleReadOnlyAccess

AWSGrafanaConsoleReadOnlyAccess 정책은 Amazon Managed Grafana의 읽기 전용 작업에 대한 액세스 권한을 부여합니다.

AWSGrafanaConsoleReadOnlyAccess를 IAM 엔터티에 연결할 수 있습니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • Amazon Managed Grafana - 위탁자에게 Amazon Managed Grafana API에 대한 읽기 전용 액세스 허용

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AWSGrafanaConsoleReadOnlyAccess",
      "Effect": "Allow",
      "Action": ["grafana:Describe*", "grafana:List*"],
      "Resource": "*"
    }
  ]
}

AWS 관리형 정책: AmazonGrafanaRedshiftAccess

이 정책은 Amazon Redshift 및 Amazon Managed Grafana의 Amazon Redshift 플러그인을 사용하는 데 필요한 종속 항목에 대한 범위 지정된 액세스를 부여합니다. AmazonGrafanaRedshiftAccess 정책은 사용자 또는 IAM 역할이 Grafana에서 Amazon Redshift 데이터 소스 플러그인을 사용할 수 있도록 허용합니다. Amazon Redshift 데이터베이스의 임시 자격 증명은 redshift_data_api_user 데이터베이스 사용자에게 적용되고 보안 암호가 RedshiftQueryOwner 키로 태그 지정된 경우 Secrets Manager의 자격 증명을 검색할 수 있습니다. 이 정책에서는 GrafanaDataSource로 태그 지정된 Amazon Redshift 클러스터에 대한 액세스를 허용합니다. 고객 관리형 정책을 생성할 때 태그 기반 인증은 선택 사항입니다.

AmazonGrafanaRedshiftAccess를 IAM 엔터티에 연결할 수 있습니다. Amazon Managed Grafana는 사용자를 대신하여 서비스 역할에서 작업을 수행할 수 있도록 허용하는 서비스 역할에도 이 정책을 연결합니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • Amazon Redshift - 위탁자가 클러스터를 설명하고 이름이 redshift_data_api_user인 데이터베이스 사용자의 임시 자격 증명을 확보하도록 허용합니다.

  • Amazon Redshift–data - 위탁자가 GrafanaDataSource로 태그 지정된 클러스터에서 쿼리를 실행하도록 허용합니다.

  • Secrets Manager - 위탁자가 보안 암호를 나열하고 RedshiftQueryOwner로 태그 지정된 보안 암호의 보안 암호 값을 읽도록 허용합니다.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "redshift:DescribeClusters",
        "redshift-data:GetStatementResult",
        "redshift-data:DescribeStatement",
        "secretsmanager:ListSecrets"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "redshift-data:DescribeTable",
        "redshift-data:ExecuteStatement",
        "redshift-data:ListTables",
        "redshift-data:ListSchemas"
      ],
      "Resource": "*",
      "Condition": {
        "Null": {
          "aws:ResourceTag/GrafanaDataSource": "false"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": "redshift:GetClusterCredentials",
      "Resource": [
        "arn:aws:redshift:*:*:dbname:*/*",
        "arn:aws:redshift:*:*:dbuser:*/redshift_data_api_user"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "secretsmanager:GetSecretValue"
      ],
      "Resource": "*",
      "Condition": {
        "Null": {
          "secretsmanager:ResourceTag/RedshiftQueryOwner": "false"
        }
      }
    }
  ]
}

AWS 관리형 정책: AmazonGrafanaAthenaAccess

이 정책에서는 Athena 및 Amazon Managed Grafana의 Athena 플러그인에서 Amazon S3로 결과를 쿼리하고 작성하는 데 필요한 종속 항목에 대한 액세스를 부여합니다. AmazonGrafanaAthenaAccess 정책은 사용자 또는 IAM 역할이 Grafana에서 Athena 데이터 소스 플러그인을 사용하도록 허용합니다. 액세스하려면 Athena 작업 그룹에 GrafanaDataSource 태그를 지정해야 합니다. 이 정책에는 이름에 grafana-athena-query-results- 접두사가 추가된 Amazon S3 버킷에서 쿼리 결과를 작성할 수 있는 권한이 포함되어 있습니다. Athena 쿼리의 기본 데이터 소스에 액세스하기 위한 Amazon S3 권한은 이 정책에 포함되지 않습니다.

AWSGrafanaAthenaAccess 정책을 IAM 엔터티에 연결할 수 있습니다. Amazon Managed Grafana는 사용자를 대신하여 서비스 역할에서 작업을 수행할 수 있도록 허용하는 서비스 역할에도 이 정책을 연결합니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • Athena - 위탁자가 GrafanaDataSource로 태그 지정된 작업 그룹의 Athena 리소스에서 쿼리를 실행하도록 허용합니다.

  • Amazon S3 - 위탁자가 grafana-athena-query-results- 접두사가 추가된 버킷에 대한 쿼리 결과를 읽고 쓸 수 있도록 허용합니다.

  • AWS Glue - 위탁자에게 AWS Glue 데이터베이스, 테이블 및 파티션에 대한 액세스를 허용합니다. 위탁자가 Athena에서 AWS Glue Data Catalog를 사용하려면 이 권한이 필수입니다.

JSON
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [
	    {
	        "Effect": "Allow",
	        "Action": [
	            "athena:GetDatabase",
	            "athena:GetDataCatalog",
	            "athena:GetTableMetadata",
	            "athena:ListDatabases",
	            "athena:ListDataCatalogs",
	            "athena:ListTableMetadata",
	            "athena:ListWorkGroups"
	        ],
	        "Resource": [
	            "*"
	        ]
	    },
	    {
	        "Effect": "Allow",
	        "Action": [
	            "athena:GetQueryExecution",
	            "athena:GetQueryResults",
	            "athena:GetWorkGroup",
	            "athena:StartQueryExecution",
	            "athena:StopQueryExecution"
	        ],
	        "Resource": [
	            "*"
	        ],
	        "Condition": {
	            "Null": {
	                "aws:ResourceTag/GrafanaDataSource": "false"
	            }
	        }
	    },
	    {
	        "Effect": "Allow",
	        "Action": [
	            "glue:GetDatabase",
	            "glue:GetDatabases",	            
	            "glue:GetTable",
	            "glue:GetTables",
	            "glue:GetPartition",
	            "glue:GetPartitions",
	            "glue:BatchGetPartition"
	        ],
	        "Resource": [
	            "*"
	        ]
	    },
	    {
	        "Effect": "Allow",
	        "Action": [
	            "s3:GetBucketLocation",
	            "s3:GetObject",
	            "s3:ListBucket",
	            "s3:ListBucketMultipartUploads",
	            "s3:ListMultipartUploadParts",
	            "s3:AbortMultipartUpload",
	            "s3:CreateBucket",
	            "s3:PutObject",
	            "s3:PutBucketPublicAccessBlock"
	        ],
	        "Resource": [
	            "arn:aws:s3:::grafana-athena-query-results-*"
	        ]
	    }
	]
}

AWS 관리형 정책: AmazonGrafanaCloudWatchAccess

이 정책에서는 Amazon CloudWatch 및 Amazon Managed Grafana 내에서 CloudWatch를 데이터 소스로 사용하는 데 필요한 종속 항목에 대한 액세스를 부여합니다.

AWSGrafanaCloudWatchAccess 정책을 IAM 엔터티에 연결할 수 있습니다. Amazon Managed Grafana는 사용자를 대신하여 서비스 역할에서 작업을 수행할 수 있도록 허용하는 서비스 역할에도 이 정책을 연결합니다.

권한 세부 정보

이 정책에는 다음 권한이 포함되어 있습니다.

  • CloudWatch - 위틱자가 Amazon CloudWatch에서 지표를 나열하고 지표 데이터를 가져오도록 허용합니다. 또한 CloudWatch 교차 계정 관찰성에서 소스 계정으로부터 공유된 데이터를 볼 수 있습니다.

  • Amazon EC2 - 위탁자가 모니터링 중인 리소스에 대한 세부 정보를 가져오도록 허용합니다.

  • Tags - 위탁자가 리소스의 태그에 액세스하여 CloudWatch 지표 쿼리를 필터링할 수 있도록 허용합니다.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloudwatch:DescribeAlarmsForMetric",
        "cloudwatch:DescribeAlarmHistory",
        "cloudwatch:DescribeAlarms",
        "cloudwatch:ListMetrics",
        "cloudwatch:GetMetricStatistics",
        "cloudwatch:GetMetricData",
        "cloudwatch:GetInsightRuleReport"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "logs:DescribeLogGroups",
        "logs:GetLogGroupFields",
        "logs:StartQuery",
        "logs:StopQuery",
        "logs:GetQueryResults",
        "logs:GetLogEvents"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeTags",
        "ec2:DescribeInstances",
        "ec2:DescribeRegions"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": "tag:GetResources",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "oam:ListSinks",
        "oam:ListAttachedLinks"
      ],
      "Resource": "*"
    }
  ]
}

AWS 관리형 정책에 대한 Amazon Managed Grafana 업데이트

해당 서비스가 이러한 변경 사항을 추적하기 시작한 이후 Amazon Managed Grafana의 AWS 관리형 정책 업데이트에 대한 세부 정보를 확인합니다. 이 페이지의 변경 사항에 대한 자동 알림을 받으려면 Amazon Managed Grafana 문서 기록 페이지에서 RSS 피드를 구독하세요.

변경 사항 설명 날짜

AWSGrafanaWorkspacePermissionManagement – 더 이상 사용되지 않음

이 정책은 AWSGrafanaWorkspacePermissionManagementV2로 대체되었습니다.

이 정책은 더 이상 사용되지 않는 것으로 간주되며 더 이상 업데이트되지 않습니다. 새로운 정책은 보다 제한적인 권한 세트를 제공하여 워크스페이스에 대한 보안을 향상시킵니다.

 2024년 1월 5일

AWSGrafanaWorkspacePermissionManagementV2 – 새 정책

Amazon Managed Grafana에서 더 이상 사용되지 않는 AWSGrafanaWorkspacePermissionManagement 정책을 대체하기 위해 새 정책, AWSGrafanaWorkspacePermissionManagementV2를 추가했습니다. 이 새로운 관리형 정책은 보다 제한적인 권한 세트를 제공하여 워크스페이스에 대한 보안을 향상시킵니다.

 2024년 1월 5일

AmazonGrafanaCloudWatchAccess – 새 정책

Amazon Managed Grafana에서 새 정책 AmazonGrafanaCloudWatchAccess를 추가했습니다.

 2023년 3월 24일

AWSGrafanaWorkspacePermissionManagement - 기존 정책에 대한 업데이트

Amazon Managed Grafana에서 Active Directory에서 IAM Identity Center 사용자 및 그룹을 Grafana 워크스페이스와 연결할 수 있도록 AWSGrafanaWorkspacePermissionManagement에 새 권한을 추가했습니다.

sso-directory:DescribeUsersso-directory:DescribeGroup 권한이 추가됨

 2023년 3월 14일

AWSGrafanaWorkspacePermissionManagement - 기존 정책에 대한 업데이트

Amazon Managed Grafana에서 IAM Identity Center 사용자 및 그룹을 Amazon Managed Grafana 워크스페이스와 연결할 수 있도록 AWSGrafanaWorkspacePermissionManagement에 새 권한을 추가했습니다.

sso:DescribeRegisteredRegions, sso:GetSharedSsoConfiguration, sso:ListDirectoryAssociations, sso:GetManagedApplicationInstance, sso:ListProfiles, sso:AssociateProfile, sso:DisassociateProfile, sso:GetProfile, sso:ListProfileAssociations 권한이 추가되었습니다.

 2022년 12월 20일

AmazonGrafanaServiceLinkedRolePolicy – 새 SLR 정책

Amazon Managed Grafana는 Grafana 서비스 연결 역할에 대한 새 정책, AmazonGrafanaServiceLinkedRolePolicy를 추가했습니다.

 2022년 11월 18일

AWSGrafanaAccountAdministrator, AWSGrafanaConsoleReadOnlyAccess

 모든 Amazon Managed Grafana 리소스에 대한 액세스 허용 2022년 2월 17일

AmazonGrafanaRedshiftAccess – 새 정책

Amazon Managed Grafana에서 새 정책 AmazonGrafanaRedshiftAccess를 추가했습니다.

 2021년 11월 26일

AmazonGrafanaAthenaAccess – 새 정책

Amazon Managed Grafana에서 새 정책 AmazonGrafanaAthenaAccess를 추가했습니다.

 2021년 11월 22일

AWSGrafanaAccountAdministrator -기존 정책 업데이트

Amazon Managed Grafana에서 AWSGrafanaAccountAdministrator로부터 권한을 제거했습니다.

sso.amazonaws.com 서비스로 범위 지정된 iam:CreateServiceLinkedRole 권한이 제거되었으며, 대신 AWSSSOMasterAccountAdministrator 정책을 연결하여 사용자에게 이 권한을 부여하는 것이 좋습니다.

 2021년 10월 13일

AWSGrafanaWorkspacePermissionManagement -기존 정책 업데이트

Amazon Managed Grafana에서는 이 정책을 사용하는 사용자가 워크스페이스와 연결된 인증 방법을 볼 수 있도록 AWSGrafanaWorkspacePermissionManagement에 새 권한을 추가했습니다.

grafana:DescribeWorkspaceAuthentication 권한이 추가되었습니다.

 2021년 9월 21일

AWSGrafanaConsoleReadOnlyAccess -기존 정책 업데이트

Amazon Managed Grafana에서는 이 정책을 사용하는 사용자가 워크스페이스와 연결된 인증 방법을 볼 수 있도록 AWSGrafanaConsoleReadOnlyAccess에 새 권한을 추가했습니다.

grafana:Describe*grafana:List* 권한이 정책에 추가되었으며 이전의 더 좁은 범위의 권한 grafana:DescribeWorkspace, grafana:ListPermissionsgrafana:ListWorkspaces를 대체합니다.

 2021년 9월 21일

Amazon Managed Grafana에서 변경 사항 추적을 시작함

Amazon Managed Grafana에서 AWS 관리형 정책에 대한 변경 사항 추적을 시작했습니다.

 2021년 9월 9일