View a markdown version of this page

Service-linked permissões de função para o Amazon Monitron - Amazon Monitron

O Amazon Monitron não está mais aberto a novos clientes. Os clientes atuais podem continuar usando o serviço normalmente. Para recursos semelhantes ao Amazon Monitron, consulte nossa postagem no blog.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Service-linked permissões de função para o Amazon Monitron

O Amazon Monitron usa a função vinculada ao serviço chamada AWSServiceRoleForMonitron[_ {SUFFIX}] — o Amazon Monitron usa AWSServiceRoleForMonitron para acessar outros AWS serviços, incluindo Cloudwatch Logs, Kinesis Data Streams, chaves KMS e SSO. Para obter mais informações sobre a política, consulte o Guia AWSServiceRoleForMonitronPolicyde referência de políticas AWS gerenciadas

A função vinculada ao serviço AWSServiceRoleForMonitron [_ {SUFFIX}] confia nos seguintes serviços para assumir a função:

  • monitron.amazonaws.com ou core.monitron.amazonaws.com

A política de permissões de função nomeada MonitronServiceRolePolicy permite que o Amazon Monitron conclua as seguintes ações nos recursos especificados:

  • Ação: Amazon CloudWatch Logs logs:CreateLogStream elogs:CreateLogGroup, logs:PutLogEvents no CloudWatch grupo de registros, no stream de registros e nos eventos de log, no caminho/aws/monitron/*

A política de permissões de função nomeada MonitronServiceDataExport-KinesisDataStreamAccess permite que o Amazon Monitron conclua as seguintes ações nos recursos especificados:

  • Ação: Amazon Kinesis kinesis:PutRecord, kinesis:PutRecords e kinesis:DescribeStream no fluxo de dados do Kinesis especificado para exportação de dados ao vivo.

  • Ação: Amazon AWS KMS kms:GenerateDataKey para a AWS KMS chave usada pelo stream de dados Kinesis especificado para exportação de dados ao vivo

  • Ação: o Amazon IAM iam:DeleteRole para excluir o perfil vinculado ao serviço em si quando não for usado

A política de permissões de função nomeada AWSServiceRoleForMonitronPolicy permite que o Amazon Monitron conclua as seguintes ações nos recursos especificados:

  • Ação: IAM Identity Centersso:GetManagedApplicationInstance,sso:GetProfile,sso:ListProfiles,sso:AssociateProfile,sso:ListDirectoryAssociations,sso:ListProfileAssociations,sso-directory:DescribeUsers,, sso-directory:SearchUserssso:CreateApplicationAssignment, e sso:ListApplicationAssignments para acessar os usuários do IAM Identity Center associados ao projeto

nota

Adicione sso:ListProfileAssociations para permitir que o Amazon Monitron liste associações com a instância do aplicativo subjacente ao projeto do Amazon Monitron.

É necessário configurar as permissões para permitir que uma entidade do IAM (como um usuário, grupo ou perfil) crie, edite ou exclua uma função vinculada ao serviço. Para obter mais informações, consulte as permissões de Service-linked função no Guia do usuário do IAM.