本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# AWS 亚马逊托管 Grafana 的托管政策
AWS 托管策略是由创建和管理的独立策略 AWS。 AWS 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。
请记住, AWS 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 AWS 客户使用。我们建议通过定义特定于使用案例的[客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)来进一步减少权限。
您无法更改 AWS 托管策略中定义的权限。如果 AWS 更新 AWS 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 AWS 最有可能在启动新的 API 或现有服务可以使用新 AWS 服务 的 API 操作时更新 AWS 托管策略。
有关更多信息,请参阅《IAM 用户指南》**中的 [AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
## AWS 托管策略: AWSGrafanaAccountAdministrator
AWSGrafanaAccountAdministrator 策略允许在 Amazon Managed Grafana 中为整个组织创建和管理账户和工作空间。
您可以附加 AWSGrafanaAccountAdministrator 到您的 IAM 实体。
**权限详细信息**
该策略包含以下权限。
+ `iam`:允许主体列出和获取 IAM 角色,以便管理员可以将角色与工作空间关联并将角色传递给 Amazon Managed Grafana 服务。
+ `Amazon Managed Grafana`:允许主体对 Amazon Managed Grafana API 执行读写操作。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSGrafanaOrganizationAdmin",
"Effect": "Allow",
"Action": [
"iam:ListRoles"
],
"Resource": "*"
},
{
"Sid": "GrafanaIAMGetRolePermission",
"Effect": "Allow",
"Action": "iam:GetRole",
"Resource": "arn:aws:iam::*:role/*"
},
{
"Sid": "AWSGrafanaPermissions",
"Effect": "Allow",
"Action": [
"grafana:*"
],
"Resource": "*"
},
{
"Sid": "GrafanaIAMPassRolePermission",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringLike": {
"iam:PassedToService": "grafana.amazonaws.com"
}
}
}
]
}
```
------
## AWS 托管策略: AWSGrafanaWorkspacePermissionManagement (已过时)
该策略已过时。不应将此策略附加到任何新用户、组或角色。
Amazon Managed Grafana 添加了一项新政策[AWSGrafanaWorkspacePermissionManagementV2](#security-iam-awsmanpol-AWSGrafanaWorkspacePermissionManagementV2)来取代该政策。这项新托管策略通过提供一组限制性更强的权限来提高工作区的安全性。
## AWS 托管策略: AWSGrafanaWorkspacePermissionManagementV2
AWSGrafanaWorkspacePermissionManagementV2 策略仅提供更新亚马逊托管 Grafana 工作空间的用户和群组权限的功能。
您可以附加 AWSGrafanaWorkspacePermissionManagementV2 到您的 IAM 实体。
**权限详细信息**
该策略包含以下权限。
+ `Amazon Managed Grafana`:允许主体读取和更新 Amazon Managed Grafana 工作区的用户和群组权限。
+ `IAM Identity Center`:允许主体读取 IAM Identity Center 实体。这是将主体与 Amazon Managed Grafana 应用程序关联的必要部分,但这也需要额外的步骤,如下面的策略清单后面的说明。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AWSGrafanaPermissions",
"Effect": "Allow",
"Action": [
"grafana:DescribeWorkspace",
"grafana:DescribeWorkspaceAuthentication",
"grafana:UpdatePermissions",
"grafana:ListPermissions",
"grafana:ListWorkspaces"
],
"Resource": "arn:aws:grafana:*:*:/workspaces*"
},
{
"Sid": "IAMIdentityCenterPermissions",
"Effect": "Allow",
"Action": [
"sso:DescribeRegisteredRegions",
"sso:GetSharedSsoConfiguration",
"sso:ListDirectoryAssociations",
"sso:GetManagedApplicationInstance",
"sso:ListProfiles",
"sso:GetProfile",
"sso:ListProfileAssociations",
"sso-directory:DescribeUser",
"sso-directory:DescribeGroup"
],
"Resource": "*"
}
]
}
```
------
**需要的其他策略**
要完全允许用户分配权限,除了 `AWSGrafanaWorkspacePermissionManagementV2` 策略外,您还必须分配策略以提供对 IAM Identity Center 中应用程序分配的访问权限。
要创建此策略,您必须先收集工作区的 **Grafana 应用程序 ARN**
1. 打开 [IAM Identity Center 控制台](https://console.aws.amazon.com/singlesignon)。
1. 从左侧菜单中,选择**应用程序**。
1. 在 **AWS 托管**选项卡下,找到名为 **Amazon Grafana-*workspace-name*** 的应用程序,其中 `workspace-name` 是您的工作区名称。选择应用程序名称。
1. 显示工作区中由 Amazon Managed Grafana 管理的 IAM Identity Center 应用程序。此应用程序的 ARN 将显示在详细信息页面中。它将采用以下形式:`arn:aws:sso::{{owner-account-id}}:application/ssoins-{{unique-id}}/apl-{{unique-id}}`。
您创建的策略应类似于以下内容。{{grafana-application-arn}}替换为您在上一步中找到的 ARN:
有关如何创建策略并向角色或用户应用策略的更多信息,请参阅《AWS Identity and Access Management 用户指南》**中的[添加和删除 IAM 身份权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)。
## AWS 托管策略: AWSGrafanaConsoleReadOnlyAccess
AWSGrafanaConsoleReadOnlyAccess 策略允许访问亚马逊托管 Grafana 中的只读操作。
您可以附加 AWSGrafanaConsoleReadOnlyAccess 到您的 IAM 实体。
**权限详细信息**
此策略包含以下权限。
+ `Amazon Managed Grafana`:允许主体对 Amazon Managed Grafana API 进行只读访问
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSGrafanaConsoleReadOnlyAccess",
"Effect": "Allow",
"Action": ["grafana:Describe*", "grafana:List*"],
"Resource": "*"
}
]
}
```
------
## AWS 托管策略: AmazonGrafanaRedshiftAccess
该政策授予对亚马逊 Redshift 的限定访问权限以及在亚马逊托管 Grafana 中使用亚马逊 Redshift 插件所需的依赖项。 AmazonGrafanaRedshiftAccess 策略允许用户或 IAM 角色在 Grafana 中使用 Amazon Redshift 数据源插件。Amazon Redshift 数据库的临时凭证仅限于数据库用户 `redshift_data_api_user`,如果使用键 `RedshiftQueryOwner` 标记了密钥,则可以从 Secrets Manager 中检索凭证。此策略允许访问标记为 `GrafanaDataSource` 的 Amazon Redshift 集群。创建客户管理型策略时,基于标签的身份验证是可选的。
您可以附加 AmazonGrafanaRedshiftAccess 到您的 IAM 实体。Amazon Managed Grafana 还会将此策略附加到允许 Amazon Managed Grafana 代表您执行操作的服务角色。
**权限详细信息**
此策略包含以下权限。
+ `Amazon Redshift`:允许主体描述集群并获取名为 `redshift_data_api_user` 的数据库用户的临时凭证。
+ `Amazon Redshift–data`:允许主体对标记为 `GrafanaDataSource` 的集群执行查询。
+ `Secrets Manager`:允许主体列出密钥并读取标记为 `RedshiftQueryOwner` 的密钥的密钥值。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"redshift:DescribeClusters",
"redshift-data:GetStatementResult",
"redshift-data:DescribeStatement",
"secretsmanager:ListSecrets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"redshift-data:DescribeTable",
"redshift-data:ExecuteStatement",
"redshift-data:ListTables",
"redshift-data:ListSchemas"
],
"Resource": "*",
"Condition": {
"Null": {
"aws:ResourceTag/GrafanaDataSource": "false"
}
}
},
{
"Effect": "Allow",
"Action": "redshift:GetClusterCredentials",
"Resource": [
"arn:aws:redshift:*:*:dbname:*/*",
"arn:aws:redshift:*:*:dbuser:*/redshift_data_api_user"
]
},
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": "*",
"Condition": {
"Null": {
"secretsmanager:ResourceTag/RedshiftQueryOwner": "false"
}
}
}
]
}
```
------
## AWS 托管策略: AmazonGrafanaAthenaAccess
该政策授予访问雅典娜和依赖项的权限,以便能够通过亚马逊托管 Grafana 中的 Athena 插件查询和写入结果,并将结果写入亚马逊 S3。 AmazonGrafanaAthenaAccess策略允许用户或 IAM 角色在 Grafana 中使用 Athena 数据源插件。必须使用 `GrafanaDataSource` 对 Athena 工作组进行标记之后才能对其进行访问。此策略包含在名称前缀为 `grafana-athena-query-results-` 的 Amazon S3 存储桶中写入查询结果的权限。用户访问 Athena 查询底层数据来源的 Amazon S3 权限不包含在本策略中。
您可以将 AWSGrafanaAthenaAccess 策略附加到您的 IAM 实体。Amazon Managed Grafana 还会将此策略附加到允许 Amazon Managed Grafana 代表您执行操作的服务角色。
**权限详细信息**
此策略包含以下权限。
+ `Athena`:允许主体对工作组中标记为 `GrafanaDataSource` 的 Athena 资源运行查询。
+ `Amazon S3`:允许主体读取查询结果并将其写入前缀为 `grafana-athena-query-results-` 的存储桶。
+ `AWS Glue`— 允许委托人访问 AWS Glue 数据库、表和分区。这是必需的,以便主体可以将 AWS Glue 数据目录和 Athena 搭配使用。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"athena:GetDatabase",
"athena:GetDataCatalog",
"athena:GetTableMetadata",
"athena:ListDatabases",
"athena:ListDataCatalogs",
"athena:ListTableMetadata",
"athena:ListWorkGroups"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"athena:GetQueryExecution",
"athena:GetQueryResults",
"athena:GetWorkGroup",
"athena:StartQueryExecution",
"athena:StopQueryExecution"
],
"Resource": [
"*"
],
"Condition": {
"Null": {
"aws:ResourceTag/GrafanaDataSource": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"glue:GetDatabase",
"glue:GetDatabases",
"glue:GetTable",
"glue:GetTables",
"glue:GetPartition",
"glue:GetPartitions",
"glue:BatchGetPartition"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:GetObject",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:ListMultipartUploadParts",
"s3:AbortMultipartUpload",
"s3:CreateBucket",
"s3:PutObject",
"s3:PutBucketPublicAccessBlock"
],
"Resource": [
"arn:aws:s3:::grafana-athena-query-results-*"
]
}
]
}
```
------
## AWS 托管策略: AmazonGrafanaCloudWatchAccess
该政策授予访问亚马逊 CloudWatch 和在亚马逊托管 Grafana 中 CloudWatch 用作数据源所需的依赖项的权限。
您可以将 AWSGrafanaCloudWatchAccess 策略附加到您的 IAM 实体。Amazon Managed Grafana 还会将此策略附加到允许 Amazon Managed Grafana 代表您执行操作的服务角色。
**权限详细信息**
该策略包含以下权限。
+ `CloudWatch`— 允许委托人列出并从 Amazon CloudWatch 获取指标数据和日志。它还允许在 CloudWatch 跨账户可观察性中查看源账户共享的数据。
+ `Amazon EC2`:允许主体获取有关正在监控的资源的详细信息。
+ `Tags`— 允许委托人访问资源上的标签,以允许筛选 CloudWatch 指标查询。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:DescribeAlarmsForMetric",
"cloudwatch:DescribeAlarmHistory",
"cloudwatch:DescribeAlarms",
"cloudwatch:ListMetrics",
"cloudwatch:GetMetricStatistics",
"cloudwatch:GetMetricData",
"cloudwatch:GetInsightRuleReport"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups",
"logs:GetLogGroupFields",
"logs:StartQuery",
"logs:StopQuery",
"logs:GetQueryResults",
"logs:GetLogEvents"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeTags",
"ec2:DescribeInstances",
"ec2:DescribeRegions"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "tag:GetResources",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"oam:ListSinks",
"oam:ListAttachedLinks"
],
"Resource": "*"
}
]
}
```
------
## 亚马逊托管 Grafana 更新了托管政策 AWS
查看自 Amazon Managed Grafana 托 AWS 管政策开始跟踪这些变更以来该服务更新的详细信息。有关此页面更改的自动提示,请订阅 [Amazon Managed Grafana 文档历史记录](doc-history.md)页面上的 RSS 源。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| [AWSGrafanaWorkspacePermissionManagement](#security-iam-awsmanpol-AWSGrafanaWorkspacePermissionManagement)— 已过时 | 此策略已被 **AWSGrafanaWorkspacePermissionManagementV2** 取代。
策略已过时,将不再更新。新策略通过提供一组限制性更强的权限来提高工作区的安全性。 | 2024 年 1 月 5 日 |
| [AWSGrafanaWorkspacePermissionManagementV2](#security-iam-awsmanpol-AWSGrafanaWorkspacePermissionManagementV2):新策略 | Amazon Managed Grafana 添加了一项新策略 **AWSGrafanaWorkspacePermissionManagementV2**,以取代过时的 **AWSGrafanaWorkspacePermissionManagement** 策略。这项新托管策略通过提供一组限制性更强的权限来提高工作区的安全性。 | 2024 年 1 月 5 日 |
| [AmazonGrafanaCloudWatchAccess](#security-iam-awsmanpol-AmazonGrafanaCloudWatchAccess):新策略 | Amazon Managed Grafana 增加了一项新策略 **AmazonGrafanaCloudWatchAccess**。 | 2023 年 3 月 24 日 |
| [AWSGrafanaWorkspacePermissionManagement](#security-iam-awsmanpol-AWSGrafanaWorkspacePermissionManagement):对现有策略的更新 | Amazon Managed Grafana 为 **AWSGrafanaWorkspacePermissionManagement** 增加了新权限,这样,Active Directory 中的 IAM Identity Center 用户和组就可以与 Grafana 工作区相关联。
增加了以下权限:`sso-directory:DescribeUser` 和 `sso-directory:DescribeGroup` | 2023 年 3 月 14 日 |
| [AWSGrafanaWorkspacePermissionManagement](#security-iam-awsmanpol-AWSGrafanaWorkspacePermissionManagement):对现有策略的更新 | Amazon Managed Grafana 为 **AWSGrafanaWorkspacePermissionManagement** 增加了新的权限,这样 IAM Identity Center 用户和组就可以与 Grafana 工作区关联。
增加了以下权限:`sso:DescribeRegisteredRegions`、`sso:GetSharedSsoConfiguration`、`sso:ListDirectoryAssociations`、`sso:GetManagedApplicationInstance`、`sso:ListProfiles`、`sso:AssociateProfile`、`sso:DisassociateProfile`、`sso:GetProfile` 和 `sso:ListProfileAssociations`。 | 2022 年 12 月 20 日 |
| [AmazonGrafanaServiceLinkedRolePolicy](using-service-linked-roles.md)— 新的单反政策 | Amazon Managed Grafana 为 Grafana 服务相关角色添加了一项新策略 **AmazonGrafanaServiceLinkedRolePolicy**。 | 2022 年 11 月 18 日 |
| [AWSGrafanaAccountAdministrator](#security-iam-awsmanpol-AWSGrafanaAccountAdministrator), [AWSGrafanaConsoleReadOnlyAccess](#security-iam-awsmanpol-AWSGrafanaConsoleReadOnlyAccess) | 允许访问所有 Amazon Managed Grafana 资源 | 2022 年 2 月 17 日 |
| [AmazonGrafanaRedshiftAccess](#security-iam-awsmanpol-AmazonGrafanaRedshiftAccess):新策略 | Amazon Managed Grafana 增加了一项新策略 **AmazonGrafanaRedshiftAccess**。 | 2021 年 11 月 26 日 |
| [AmazonGrafanaAthenaAccess](#security-iam-awsmanpol-AmazonGrafanaAthenaAccess):新策略 | Amazon Managed Grafana 增加了一项新策略 **AmazonGrafanaAthenaAccess**。 | 2021 年 11 月 22 日 |
| [AWSGrafanaAccountAdministrator](#security-iam-awsmanpol-AWSGrafanaAccountAdministrator) – 更新现有策略 | Amazon Managed Grafana 已从 **AWSGrafanaAccountAdministrator** 中移除权限。
该`sso.amazonaws.com`服务的`iam:CreateServiceLinkedRole`权限范围已被删除,相反,我们建议您附加**AWSSSOMasterAccountAdministrator**策略以向用户授予此权限。 | 2021 年 10 月 13 日 |
| [AWSGrafanaWorkspacePermissionManagement](#security-iam-awsmanpol-AWSGrafanaWorkspacePermissionManagement) – 更新现有策略 | Amazon Managed Grafana 向 **AWSGrafanaWorkspacePermissionManagement** 添加了新的权限,因此拥有此策略的用户可以查看与工作区关联的身份验证方法。
`grafana:DescribeWorkspaceAuthentication` 权限已添加。 | 2021 年 9 月 21 日 |
| [AWSGrafanaConsoleReadOnlyAccess](#security-iam-awsmanpol-AWSGrafanaConsoleReadOnlyAccess) – 更新现有策略 | Amazon Managed Grafana 向 **AWSGrafanaConsoleReadOnlyAccess** 添加了新的权限,因此拥有此策略的用户可以查看与工作区关联的身份验证方法。
`grafana:Describe*` 和 `grafana:List*` 权限已添加到策略中,它们取代了之前范围较小的权限 `grafana:DescribeWorkspace`、`grafana:ListPermissions`、和 `grafana:ListWorkspaces`。 | 2021 年 9 月 21 日 |
| Amazon Managed Grafana 已开始跟踪更改 | 亚马逊托管 Grafana 开始跟踪其托管策略的变更。 AWS | 2021 年 9 月 9 日 |