Amazon Managed Grafana 的 AWS 托管策略 - Amazon Managed Grafana
AWSGrafanaAccountAdministratorAWSGrafanaWorkspacePermissionManagement(已过时)AWSGrafanaWorkspacePermissionManagementV2AWSGrafanaConsoleReadOnlyAccess AmazonGrafanaRedshiftAccess AmazonGrafanaAthenaAccess AmazonGrafanaCloudWatchAccess策略更新

Amazon Managed Grafana 的 AWS 托管策略

AWS 托管式策略是由 AWS 创建和管理的独立策略。AWS 托管式策略旨在为许多常见使用场景提供权限,以便您可以开始为用户、组和角色分配权限。

请记住,AWS 托管策略可能不会为您的特定使用场景授予最低权限,因为它们可供所有 AWS 客户使用。我们建议通过定义特定于您的使用场景的客户管理型策略来进一步减少权限。

您无法更改 AWS 托管策略中定义的权限。如果 AWS 更新在 AWS 托管策略中定义的权限,则更新会影响该策略所附加到的所有主体身份(用户、组和角色)。当新的 AWS 服务 启动或新的 API 操作可用于现有服务时,AWS 最有可能更新 AWS 托管策略。

有关更多信息,请参阅AWS《IAM 用户指南》中的托管式策略

AWS 托管策略:AWSGrafanaAccountAdministrator

AWSGrafanaAccountAdministrator 策略提供在 Amazon Managed Grafana 中为整个组织创建和管理账户和工作区的访问权限。

您可以将 AWSGrafanaAccountAdministrator 附加到 IAM 实体。

权限详细信息

该策略包含以下权限。

  • iam:允许主体列出和获取 IAM 角色,以便管理员可以将角色与工作空间关联并将角色传递给 Amazon Managed Grafana 服务。

  • Amazon Managed Grafana:允许主体对 Amazon Managed Grafana API 执行读写操作。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AWSGrafanaOrganizationAdmin",
            "Effect": "Allow",
            "Action": [
                "iam:ListRoles"
            ],
            "Resource": "*"
        },
        {
            "Sid": "GrafanaIAMGetRolePermission",
            "Effect": "Allow",
            "Action": "iam:GetRole",
            "Resource": "arn:aws:iam::*:role/*"
        },
        {
            "Sid": "AWSGrafanaPermissions",
            "Effect": "Allow",
            "Action": [
                "grafana:*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "GrafanaIAMPassRolePermission",
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::*:role/*",
            "Condition": {
                "StringLike": {
                    "iam:PassedToService": "grafana.amazonaws.com"
                }
            }
        }
    ]
}

AWS 托管策略:AWSGrafanaWorkspacePermissionManagement(已过时)

该策略已过时。不应将此策略附加到任何新用户、组或角色。

Amazon Managed Grafana 增加了一项新策略 AWSGrafanaWorkspacePermissionManagementV2 来取代该策略。这项新托管策略通过提供一组限制性更强的权限来提高工作区的安全性。

AWS 托管策略:AWSGrafanaWorkspacePermissionManagementV2

AWSGrafanaWorkspacePermissionManagementV2 策略仅提供更新 Amazon Managed Grafana 工作区的用户和组权限的功能。

您可以将 AWSGrafanaWorkspacePermissionManagementV2 附加到 IAM 实体。

权限详细信息

该策略包含以下权限。

  • Amazon Managed Grafana:允许主体读取和更新 Amazon Managed Grafana 工作区的用户和群组权限。

  • IAM Identity Center:允许主体读取 IAM Identity Center 实体。这是将主体与 Amazon Managed Grafana 应用程序关联的必要部分,但这也需要额外的步骤,如下面的策略清单后面的说明。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
            "Sid": "AWSGrafanaPermissions",
            "Effect": "Allow",
            "Action": [
                "grafana:DescribeWorkspace",
                "grafana:DescribeWorkspaceAuthentication",
                "grafana:UpdatePermissions",
                "grafana:ListPermissions",
                "grafana:ListWorkspaces"
            ],
            "Resource": "arn:aws:grafana:*:*:/workspaces*"
        },
        {
            "Sid": "IAMIdentityCenterPermissions",
            "Effect": "Allow",
            "Action": [
                "sso:DescribeRegisteredRegions",
                "sso:GetSharedSsoConfiguration",
                "sso:ListDirectoryAssociations",
                "sso:GetManagedApplicationInstance",
                "sso:ListProfiles",
                "sso:GetProfile",
                "sso:ListProfileAssociations",
                "sso-directory:DescribeUser",
                "sso-directory:DescribeGroup"
            ],
            "Resource": "*"
        }
    ]
}

需要的其他策略

要完全允许用户分配权限,除了 AWSGrafanaWorkspacePermissionManagementV2 策略外,您还必须分配策略以提供对 IAM Identity Center 中应用程序分配的访问权限。

要创建此策略,您必须先收集工作区的 Grafana 应用程序 ARN

  1. 打开 IAM Identity Center 控制台

  2. 从左侧菜单中,选择应用程序

  3. AWS 托管选项卡下,找到名为 Amazon Grafana-workspace-name 的应用程序,其中 workspace-name 是您的工作区名称。选择应用程序名称。

  4. 显示工作区中由 Amazon Managed Grafana 管理的 IAM Identity Center 应用程序。此应用程序的 ARN 将显示在详细信息页面中。它将采用以下形式:arn:aws:sso::owner-account-id:application/ssoins-unique-id/apl-unique-id

您创建的策略应类似于以下内容。将 grafana-armplication-arn 替换为您在上一步中找到的 ARN:

有关如何创建策略并向角色或用户应用策略的更多信息,请参阅《AWS Identity and Access Management 用户指南》中的添加和删除 IAM 身份权限

AWS 托管策略:AWSGrafanaConsoleReadOnlyAccess

AWSGrafanaConsoleReadOnlyAccess 策略授予对 Amazon Managed Grafana 中只读操作的访问权限。

您不能将 AWSGrafanaConsoleReadOnlyAccess 附加到 IAM 实体。

权限详细信息

此策略包含以下权限。

  • Amazon Managed Grafana:允许主体对 Amazon Managed Grafana API 进行只读访问

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AWSGrafanaConsoleReadOnlyAccess",
      "Effect": "Allow",
      "Action": ["grafana:Describe*", "grafana:List*"],
      "Resource": "*"
    }
  ]
}

AWS 托管策略:AmazonGrafanaRedshiftAccess

此策略授予对 Amazon Redshift,以及在 Amazon Managed Grafana 中使用 Amazon Redshift 插件所需的依赖项的限定访问权限。AmazonGrafanaRedshiftAccess 策略允许用户或 IAM 角色在 Grafana 中使用 Amazon Redshift 数据来源插件。Amazon Redshift 数据库的临时凭证仅限于数据库用户 redshift_data_api_user,如果使用键 RedshiftQueryOwner 标记了密钥,则可以从 Secrets Manager 中检索凭证。此策略允许访问标记为 GrafanaDataSource 的 Amazon Redshift 集群。创建客户管理型策略时,基于标签的身份验证是可选的。

您可以将 AmazonGrafanaRedshiftAccess 附加到您的 IAM 实体。Amazon Managed Grafana 还会将此策略附加到允许 Amazon Managed Grafana 代表您执行操作的服务角色。

权限详细信息

此策略包含以下权限。

  • Amazon Redshift:允许主体描述集群并获取名为 redshift_data_api_user 的数据库用户的临时凭证。

  • Amazon Redshift–data:允许主体对标记为 GrafanaDataSource 的集群执行查询。

  • Secrets Manager:允许主体列出密钥并读取标记为 RedshiftQueryOwner 的密钥的密钥值。

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "redshift:DescribeClusters",
        "redshift-data:GetStatementResult",
        "redshift-data:DescribeStatement",
        "secretsmanager:ListSecrets"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "redshift-data:DescribeTable",
        "redshift-data:ExecuteStatement",
        "redshift-data:ListTables",
        "redshift-data:ListSchemas"
      ],
      "Resource": "*",
      "Condition": {
        "Null": {
          "aws:ResourceTag/GrafanaDataSource": "false"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": "redshift:GetClusterCredentials",
      "Resource": [
        "arn:aws:redshift:*:*:dbname:*/*",
        "arn:aws:redshift:*:*:dbuser:*/redshift_data_api_user"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "secretsmanager:GetSecretValue"
      ],
      "Resource": "*",
      "Condition": {
        "Null": {
          "secretsmanager:ResourceTag/RedshiftQueryOwner": "false"
        }
      }
    }
  ]
}

AWS 托管策略:AmazonGrafanaAthenaAccess

此策略授予访问 Athena 和所需依赖项的权限,以便能够通过 Amazon Managed Grafana 中的 Athena 插件查询结果并将结果写入 Amazon s3。AmazonGrafanaAthenaAccess 策略允许用户或 IAM 角色在 Grafana 中使用 Athena 数据来源插件。必须使用 GrafanaDataSource 对 Athena 工作组进行标记之后才能对其进行访问。此策略包含在名称前缀为 grafana-athena-query-results- 的 Amazon S3 存储桶中写入查询结果的权限。用户访问 Athena 查询底层数据来源的 Amazon S3 权限不包含在本策略中。

您可将 AWSGrafanaAthenaAccess 策略附加到 IAM 实体。Amazon Managed Grafana 还会将此策略附加到允许 Amazon Managed Grafana 代表您执行操作的服务角色。

权限详细信息

此策略包含以下权限。

  • Athena:允许主体对工作组中标记为 GrafanaDataSource 的 Athena 资源运行查询。

  • Amazon S3:允许主体读取查询结果并将其写入前缀为 grafana-athena-query-results- 的存储桶。

  • AWS Glue:允许主体访问 AWS Glue 数据库、表和分区。这是必需的,以便主体可以将 AWS Glue 数据目录和 Athena 搭配使用。

JSON
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [
	    {
	        "Effect": "Allow",
	        "Action": [
	            "athena:GetDatabase",
	            "athena:GetDataCatalog",
	            "athena:GetTableMetadata",
	            "athena:ListDatabases",
	            "athena:ListDataCatalogs",
	            "athena:ListTableMetadata",
	            "athena:ListWorkGroups"
	        ],
	        "Resource": [
	            "*"
	        ]
	    },
	    {
	        "Effect": "Allow",
	        "Action": [
	            "athena:GetQueryExecution",
	            "athena:GetQueryResults",
	            "athena:GetWorkGroup",
	            "athena:StartQueryExecution",
	            "athena:StopQueryExecution"
	        ],
	        "Resource": [
	            "*"
	        ],
	        "Condition": {
	            "Null": {
	                "aws:ResourceTag/GrafanaDataSource": "false"
	            }
	        }
	    },
	    {
	        "Effect": "Allow",
	        "Action": [
	            "glue:GetDatabase",
	            "glue:GetDatabases",	            
	            "glue:GetTable",
	            "glue:GetTables",
	            "glue:GetPartition",
	            "glue:GetPartitions",
	            "glue:BatchGetPartition"
	        ],
	        "Resource": [
	            "*"
	        ]
	    },
	    {
	        "Effect": "Allow",
	        "Action": [
	            "s3:GetBucketLocation",
	            "s3:GetObject",
	            "s3:ListBucket",
	            "s3:ListBucketMultipartUploads",
	            "s3:ListMultipartUploadParts",
	            "s3:AbortMultipartUpload",
	            "s3:CreateBucket",
	            "s3:PutObject",
	            "s3:PutBucketPublicAccessBlock"
	        ],
	        "Resource": [
	            "arn:aws:s3:::grafana-athena-query-results-*"
	        ]
	    }
	]
}

AWS 托管策略:AmazonGrafanaCloudWatchAccess 访问权限

此策略授予访问 Amazon CloudWatch,以及在 Amazon Managed Grafana 中使用 CloudWatch 作为数据来源所需的依赖项的权限。

您可以将 AWSGrafanaCloudWatchAccess 策略附加到 IAM 实体。Amazon Managed Grafana 还会将此策略附加到允许 Amazon Managed Grafana 代表您执行操作的服务角色。

权限详细信息

该策略包含以下权限。

  • CloudWatch:允许主体列出并获取 Amazon CloudWatch 的指标数据和日志。它还允许在 CloudWatch 跨账户可观测性中查看从源账户共享的数据。

  • Amazon EC2:允许主体获取有关正在监控的资源的详细信息。

  • Tags:允许主体访问资源上的标签,以允许筛选 CloudWatch 指标查询。

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cloudwatch:DescribeAlarmsForMetric",
        "cloudwatch:DescribeAlarmHistory",
        "cloudwatch:DescribeAlarms",
        "cloudwatch:ListMetrics",
        "cloudwatch:GetMetricStatistics",
        "cloudwatch:GetMetricData",
        "cloudwatch:GetInsightRuleReport"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "logs:DescribeLogGroups",
        "logs:GetLogGroupFields",
        "logs:StartQuery",
        "logs:StopQuery",
        "logs:GetQueryResults",
        "logs:GetLogEvents"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeTags",
        "ec2:DescribeInstances",
        "ec2:DescribeRegions"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": "tag:GetResources",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "oam:ListSinks",
        "oam:ListAttachedLinks"
      ],
      "Resource": "*"
    }
  ]
}

Amazon Managed Grafana AWS 托管式策略更新

查看有关适用于 Amazon Managed Grafana 的 AWS 托管式策略更新的详细信息(从该服务开始跟踪这些更改开始)。有关此页面更改的自动提示,请订阅 Amazon Managed Grafana 文档历史记录页面上的 RSS 源。

更改 描述 日期

AWSGrafanaWorkspacePermissionManagement – 已过时

此策略已被 AWSGrafanaWorkspacePermissionManagementV2 取代。

策略已过时,将不再更新。新策略通过提供一组限制性更强的权限来提高工作区的安全性。

 2024 年 1 月 5 日

AWSGrafanaWorkspacePermissionManagementV2 – 新策略

Amazon Managed Grafana 添加了一项新策略 AWSGrafanaWorkspacePermissionManagementV2,以取代过时的 AWSGrafanaWorkspacePermissionManagement 策略。这项新托管策略通过提供一组限制性更强的权限来提高工作区的安全性。

 2024 年 1 月 5 日

AmazonGrafanaCloudWatchAccess – 新策略

Amazon Managed Grafana 增加了一项新策略 AmazonGrafanaCloudWatchAccess

 2023 年 3 月 24 日

AWSGrafanaWorkspacePermissionManagement – 更新现有策略

Amazon Managed Grafana 为 AWSGrafanaWorkspacePermissionManagement 增加了新权限,这样,Active Directory 中的 IAM Identity Center 用户和组就可以与 Grafana 工作区相关联。

增加了以下权限:sso-directory:DescribeUsersso-directory:DescribeGroup

 2023 年 3 月 14 日

AWSGrafanaWorkspacePermissionManagement – 更新现有策略

Amazon Managed Grafana 为 AWSGrafanaWorkspacePermissionManagement 增加了新的权限,这样 IAM Identity Center 用户和组就可以与 Grafana 工作区关联。

增加了以下权限:sso:DescribeRegisteredRegionssso:GetSharedSsoConfigurationsso:ListDirectoryAssociationssso:GetManagedApplicationInstancesso:ListProfilessso:AssociateProfilesso:DisassociateProfilesso:GetProfilesso:ListProfileAssociations

 2022 年 12 月 20 日

AmazonGrafanaServiceLinkedRolePolicy – 新 SLR 策略

Amazon Managed Grafana 为 Grafana 服务相关角色添加了一项新策略 AmazonGrafanaServiceLinkedRolePolicy

 2022 年 11 月 18 日

AWSGrafanaAccountAdministratorAWSGrafanaConsoleReadOnlyAccess

 允许访问所有 Amazon Managed Grafana 资源 2022 年 2 月 17 日

AmazonGrafanaRedshiftAccess – 新策略

Amazon Managed Grafana 增加了一项新策略 AmazonGrafanaRedshiftAccess

 2021 年 11 月 26 日

AmazonGrafanaAthenaAccess – 新策略

Amazon Managed Grafana 增加了一项新策略 AmazonGrafanaAthenaAccess

 2021 年 11 月 22 日

AWSGrafanaAccountAdministrator – 更新现有策略

Amazon Managed Grafana 已从 AWSGrafanaAccountAdministrator 中移除权限。

已移除范围限定为 sso.amazonaws.com 服务的 iam:CreateServiceLinkedRole 权限,相反,我们建议您附加 AWSSSOMasterAccountAdministrator 策略以向用户授予此权限。

 2021 年 10 月 13 日

AWSGrafanaWorkspacePermissionManagement – 更新现有策略

Amazon Managed Grafana 向 AWSGrafanaWorkspacePermissionManagement 添加了新的权限,因此拥有此策略的用户可以查看与工作区关联的身份验证方法。

grafana:DescribeWorkspaceAuthentication 权限已添加。

 2021 年 9 月 21 日

AWSGrafanaConsoleReadOnlyAccess – 更新现有策略

Amazon Managed Grafana 向 AWSGrafanaConsoleReadOnlyAccess 添加了新的权限,因此拥有此策略的用户可以查看与工作区关联的身份验证方法。

grafana:Describe*grafana:List* 权限已添加到策略中,它们取代了之前范围较小的权限 grafana:DescribeWorkspacegrafana:ListPermissions、和 grafana:ListWorkspaces

 2021 年 9 月 21 日

Amazon Managed Grafana 已开始跟踪更改

Amazon Managed Grafana 已开始跟踪其 AWS 托管式策略的更改。

 2021 年 9 月 9 日