Permissões necessárias para o Application Signals
Esta seção explica as permissões necessárias para que você habilite, gerencie e opere o Application Signals.
Permissões para habilitar e gerenciar o Application Signals
Para gerenciar o Application Signals, você deve ter feito login com as permissões necessárias. Para visualizar o conteúdo da política CloudWatchApplicationSignalsFullAccess, consulte CloudWatchApplicationSignalsFullAccess.
Para habilitar o Application Signals no Amazon EC2 ou em arquiteturas personalizadas, consulte Enable Application Signals on Amazon EC2. Para habilitar e gerenciar o Application Signals no Amazon EKS usando o complemento de observabilidade do EKS do Amazon CloudWatch, as permissões apresentadas a seguir são necessárias.
Essas permissões incluem iam:PassRole com Resource "*” e eks:CreateAddon com Resource “*”. Essas são permissões avançadas e você deve ter cuidado ao concedê-las.
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CloudWatchApplicationSignalsEksAddonManagementPermissions",
"Effect": "Allow",
"Action": [
"eks:AccessKubernetesApi",
"eks:CreateAddon",
"eks:DescribeAddon",
"eks:DescribeAddonConfiguration",
"eks:DescribeAddonVersions",
"eks:DescribeCluster",
"eks:DescribeUpdate",
"eks:ListAddons",
"eks:ListClusters",
"eks:ListUpdates",
"iam:ListRoles",
"iam:PassRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"eks.amazonaws.com",
"application-signals.cloudwatch.amazonaws.com"
]
}
}
},
{
"Sid": "CloudWatchApplicationSignalsEksCloudWatchObservabilityAddonManagementPermissions",
"Effect": "Allow",
"Action": [
"eks:DeleteAddon",
"eks:UpdateAddon"
],
"Resource": "arn:aws:eks:*:*:addon/*/amazon-cloudwatch-observability/*"
}
]
}
O painel do Application Signals mostra as aplicações do AppRegistry do AWS Service Catalog às quais seus SLOs estão associados. Para visualizar essas aplicações nas páginas de SLO, você deve ter as seguintes permissões:
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CloudWatchApplicationSignalsTaggingReadPermissions",
"Effect": "Allow",
"Action": "tag:GetResources",
"Resource": "*"
}
]
}
Como operar o Application Signals
Os operadores de serviço que usam o Application Signals para monitorar SLOs devem ter feito login em uma conta com permissões somente leitura. Para visualizar o conteúdo da política CloudWatchApplicationSignalsReadOnlyAccess, consulte CloudWatchApplicationSignalsReadOnlyAccess.
Para visualizar quais são as aplicações do AppRegistry do AWS Service Catalog às quais seus SLOs estão associados no painel do Application Signals, você deve ter as seguintes permissões:
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CloudWatchApplicationSignalsTaggingReadPermissions",
"Effect": "Allow",
"Action": "tag:GetResources",
"Resource": "*"
}
]
}
Para verificar se o Application Signals está habilitado no Amazon EKS usando o complemento de observabilidade do EKS do Amazon CloudWatch, você precisa ter as seguintes permissões:
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CloudWatchApplicationSignalsResourceExplorerReadPermissions",
"Effect": "Allow",
"Action": [
"resource-explorer-2:ListIndexes",
"resource-explorer-2:Search"
],
"Resource": "*"
},
{
"Sid": "CloudWatchApplicationSignalsResourceExplorerSLRPermissions",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/resource-explorer-2.amazonaws.com/AWSServiceRoleForResourceExplorer",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": [
"resource-explorer-2.amazonaws.com"
]
}
}
},
{
"Sid": "CloudWatchApplicationSignalsResourceExplorerCreateIndexPermissions",
"Effect": "Allow",
"Action": [
"resource-explorer-2:CreateIndex"
],
"Resource": "arn:aws:resource-explorer-2:*:*:index/*"
}
]
}
