本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Amazon Managed Grafana 的 受管政策
AWS 受管政策是由 AWS AWS 受管政策建立和管理的獨立政策旨在為許多常用案例提供許可,以便您可以開始將許可指派給使用者、群組和角色。
請記住, AWS 受管政策可能不會授予特定使用案例的最低權限許可,因為這些許可可供所有 AWS 客戶使用。我們建議您定義使用案例專屬的客戶管理政策,以便進一步減少許可。
您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新受 AWS 管政策中定義的許可,則更新會影響政策連接的所有主體身分 (使用者、群組和角色)。當新的 AWS 服務 啟動或新的 API 操作可用於現有服務時, AWS 最有可能更新 AWS 受管政策。
如需詳細資訊,請參閱《IAM 使用者指南》中的 AWS 受管政策。
AWS 受管政策:AWSGrafanaAccountAdministrator
AWSGrafanaAccountAdministrator 政策可在 Amazon Managed Grafana 內提供存取權,以建立和管理整個組織的帳戶和工作區。
您可以將 AWSGrafanaAccountAdministrator 連接至 IAM 實體。
許可詳細資訊
此政策包含以下許可。
-
iam– 允許主體列出並取得 IAM 角色,以便管理員可以將角色與工作區建立關聯,並將角色傳遞至 Amazon Managed Grafana 服務。 -
Amazon Managed Grafana– 允許主體讀取和寫入存取所有 Amazon Managed Grafana APIs。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSGrafanaOrganizationAdmin", "Effect": "Allow", "Action": [ "iam:ListRoles" ], "Resource": "*" }, { "Sid": "GrafanaIAMGetRolePermission", "Effect": "Allow", "Action": "iam:GetRole", "Resource": "arn:aws:iam::*:role/*" }, { "Sid": "AWSGrafanaPermissions", "Effect": "Allow", "Action": [ "grafana:*" ], "Resource": "*" }, { "Sid": "GrafanaIAMPassRolePermission", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::*:role/*", "Condition": { "StringLike": { "iam:PassedToService": "grafana.amazonaws.com" } } } ] }
AWS 受管政策:AWSGrafanaWorkspacePermissionManagement (已淘汰)
此政策已淘汰。此政策不應連接到任何新使用者、群組或角色。
Amazon Managed Grafana 新增了新的政策 AWSGrafanaWorkspacePermissionManagementV2 來取代此政策。這個新的 受管政策透過提供更嚴格的許可集來改善工作區的安全性。
AWS 受管政策:AWSGrafanaWorkspacePermissionManagementV2
AWSGrafanaWorkspacePermissionManagementV2 政策僅提供更新 Amazon Managed Grafana 工作區使用者和群組許可的功能。
您可以將 AWSGrafanaWorkspacePermissionManagementV2 連接至 IAM 實體。
許可詳細資訊
此政策包含以下許可。
-
Amazon Managed Grafana– 允許主體讀取和更新 Amazon Managed Grafana 工作區的使用者和群組許可。 -
IAM Identity Center– 允許主體讀取 IAM Identity Center 實體。這是將委託人與 Amazon Managed Grafana 應用程式建立關聯的必要部分,但還需要額外的步驟,如以下政策清單所述。
{ "Version": "2012-10-17", "Statement": [{ "Sid": "AWSGrafanaPermissions", "Effect": "Allow", "Action": [ "grafana:DescribeWorkspace", "grafana:DescribeWorkspaceAuthentication", "grafana:UpdatePermissions", "grafana:ListPermissions", "grafana:ListWorkspaces" ], "Resource": "arn:aws:grafana:*:*:/workspaces*" }, { "Sid": "IAMIdentityCenterPermissions", "Effect": "Allow", "Action": [ "sso:DescribeRegisteredRegions", "sso:GetSharedSsoConfiguration", "sso:ListDirectoryAssociations", "sso:GetManagedApplicationInstance", "sso:ListProfiles", "sso:GetProfile", "sso:ListProfileAssociations", "sso-directory:DescribeUser", "sso-directory:DescribeGroup" ], "Resource": "*" } ] }
所需的其他政策
若要完全允許使用者指派許可,除了AWSGrafanaWorkspacePermissionManagementV2政策之外,您還必須指派政策,以提供 IAM Identity Center 中應用程式指派的存取權。
若要建立此政策,您必須先收集工作區的 Grafana 應用程式 ARN
-
從左側選單中選擇應用程式。
-
在AWS 受管索引標籤下,尋找名為 Amazon Grafana-workspace-name 的應用程式,其中
workspace-name是工作區的名稱。選取應用程式名稱。 -
隨即顯示由 Amazon Managed Grafana 管理的工作區 IAM Identity Center 應用程式。此應用程式的 ARN 會顯示在詳細資訊頁面中。其格式為:
arn:aws:sso::。owner-account-id:application/ssoins-unique-id/apl-unique-id
您建立的政策看起來應該如下所示。使用您在上一個步驟中找到的 ARN 取代 grafana-application-arn:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sso:CreateApplicationAssignment", "sso:DeleteApplicationAssignment" ], "Resource": [ "grafana-application-arn" ] } ] }
如需如何建立政策並將其套用至角色或使用者的詳細資訊,請參閱AWS Identity and Access Management 《 使用者指南》中的新增和移除 IAM 身分許可。
AWS 受管政策:AWSGrafanaConsoleReadOnlyAccess
AWSGrafanaConsoleReadOnlyAccess 政策會授予 Amazon Managed Grafana 中唯讀操作的存取權。
您可以將 AWSGrafanaConsoleReadOnlyAccess 連接至您的 IAM 實體。
許可詳細資訊
此政策包含以下許可。
-
Amazon Managed Grafana– 允許主體唯讀存取 Amazon Managed Grafana APIs
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSGrafanaConsoleReadOnlyAccess", "Effect": "Allow", "Action": ["grafana:Describe*", "grafana:List*"], "Resource": "*" } ] }
AWS 受管政策:AmazonGrafanaRedshiftAccess
此政策授予 Amazon Redshift 的範圍存取權,以及在 Amazon Managed Grafana 中使用 Amazon Redshift 外掛程式所需的相依性。AmazonGrafanaRedshiftAccess 政策允許使用者或 IAM 角色使用 Grafana 中的 Amazon Redshift 資料來源外掛程式。Amazon Redshift 資料庫的臨時登入資料範圍限定為資料庫使用者,redshift_data_api_user而且如果秘密以金鑰 標記,則可以擷取來自 Secrets Manager 的登入資料RedshiftQueryOwner。此政策允許存取標記為 的 Amazon Redshift 叢集GrafanaDataSource。建立客戶受管政策時,標籤型身分驗證是選用的。
您可以將 AmazonGrafanaRedshiftAccess 連接至您的 IAM 實體。Amazon Managed Grafana 也會將此政策連接至允許 Amazon Managed Grafana 代表您執行動作的服務角色。
許可詳細資訊
此政策包含以下許可。
-
Amazon Redshift– 允許主體描述叢集,並取得名為 之資料庫使用者的臨時登入資料redshift_data_api_user。 -
Amazon Redshift–data– 允許主體在標記為 的叢集上執行查詢GrafanaDataSource。 -
Secrets Manager– 允許主體列出標記為 之秘密的秘密和讀取秘密值RedshiftQueryOwner。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "redshift:DescribeClusters", "redshift-data:GetStatementResult", "redshift-data:DescribeStatement", "secretsmanager:ListSecrets" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "redshift-data:DescribeTable", "redshift-data:ExecuteStatement", "redshift-data:ListTables", "redshift-data:ListSchemas" ], "Resource": "*", "Condition": { "Null": { "aws:ResourceTag/GrafanaDataSource": "false" } } }, { "Effect": "Allow", "Action": "redshift:GetClusterCredentials", "Resource": [ "arn:aws:redshift:*:*:dbname:*/*", "arn:aws:redshift:*:*:dbuser:*/redshift_data_api_user" ] }, { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue" ], "Resource": "*", "Condition": { "Null": { "secretsmanager:ResourceTag/RedshiftQueryOwner": "false" } } } ] }
AWS 受管政策:AmazonGrafanaAthenaAccess
此政策會授予 Athena 的存取權,以及啟用從 Amazon Managed Grafana 中的 Athena 外掛程式查詢和寫入結果至 Amazon S3 所需的相依性。AmazonGrafanaAthenaAccess 政策允許使用者或 IAM 角色在 Grafana 中使用 Athena 資料來源外掛程式。Athena 工作群組必須加上 標籤GrafanaDataSource才能存取。此政策包含在名稱字首為 的 Amazon S3 儲存貯體中寫入查詢結果的許可grafana-athena-query-results-。此政策不包含存取 Athena 查詢基礎資料來源的 Amazon S3 許可。
您可以將 AWSGrafanaAthenaAccess 政策連接至您的 IAM 實體。Amazon Managed Grafana 也會將此政策連接至允許 Amazon Managed Grafana 代表您執行動作的服務角色。
許可詳細資訊
此政策包含以下許可。
-
Athena– 允許主體對標記為 的工作群組中的 Athena 資源執行查詢GrafanaDataSource。 -
Amazon S3– 允許主體讀取和寫入查詢結果到字首為 的儲存貯體grafana-athena-query-results-。 -
AWS Glue– 允許主體存取 AWS Glue 資料庫、資料表和分割區。這是必要的,以便委託人可以搭配 Athena 使用 AWS Glue Data Catalog。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "athena:GetDatabase", "athena:GetDataCatalog", "athena:GetTableMetadata", "athena:ListDatabases", "athena:ListDataCatalogs", "athena:ListTableMetadata", "athena:ListWorkGroups" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "athena:GetQueryExecution", "athena:GetQueryResults", "athena:GetWorkGroup", "athena:StartQueryExecution", "athena:StopQueryExecution" ], "Resource": [ "*" ], "Condition": { "Null": { "aws:ResourceTag/GrafanaDataSource": "false" } } }, { "Effect": "Allow", "Action": [ "glue:GetDatabase", "glue:GetDatabases", "glue:GetTable", "glue:GetTables", "glue:GetPartition", "glue:GetPartitions", "glue:BatchGetPartition" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket", "s3:ListBucketMultipartUploads", "s3:ListMultipartUploadParts", "s3:AbortMultipartUpload", "s3:CreateBucket", "s3:PutObject", "s3:PutBucketPublicAccessBlock" ], "Resource": [ "arn:aws:s3:::grafana-athena-query-results-*" ] } ] }
AWS 受管政策:AmazonGrafanaCloudWatchAccess
此政策會授予 Amazon CloudWatch 的存取權,以及使用 CloudWatch 做為 Amazon Managed Grafana 內資料來源所需的相依性。
您可以將 AWSGrafanaCloudWatchAccess 政策連接至您的 IAM 實體。Amazon Managed Grafana 也會將此政策連接至允許 Amazon Managed Grafana 代表您執行動作的服務角色。
許可詳細資訊
此政策包含以下許可。
-
CloudWatch– 允許主體列出並從 Amazon CloudWatch 取得指標資料和日誌。它還允許在 CloudWatch 跨帳戶可觀測性中檢視從來源帳戶共用的資料。 -
Amazon EC2– 允許主體取得受監控資源的詳細資訊。 -
Tags– 允許主體存取 資源上的標籤,以允許篩選 CloudWatch 指標查詢。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarmsForMetric", "cloudwatch:DescribeAlarmHistory", "cloudwatch:DescribeAlarms", "cloudwatch:ListMetrics", "cloudwatch:GetMetricStatistics", "cloudwatch:GetMetricData", "cloudwatch:GetInsightRuleReport" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "logs:DescribeLogGroups", "logs:GetLogGroupFields", "logs:StartQuery", "logs:StopQuery", "logs:GetQueryResults", "logs:GetLogEvents" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:DescribeTags", "ec2:DescribeInstances", "ec2:DescribeRegions" ], "Resource": "*" }, { "Effect": "Allow", "Action": "tag:GetResources", "Resource": "*" }, { "Effect": "Allow", "Action": [ "oam:ListSinks", "oam:ListAttachedLinks" ], "Resource": "*" } ] }
Amazon Managed Grafana 受 AWS 管政策的更新
檢視自此服務開始追蹤 Amazon Managed Grafana AWS 受管政策更新以來的詳細資訊。如需此頁面變更的自動提醒,請訂閱 Amazon Managed Grafana 文件歷史記錄頁面上的 RSS 摘要。
| 變更 | 描述 | 日期 |
|---|---|---|
|
此政策已被 AWSGrafanaWorkspacePermissionManagementV2 取代。 此政策視為已過時,不會再更新。新政策透過提供更嚴格的許可集來改善工作區的安全性。 |
2024 年 1 月 5 日 | |
|
Amazon Managed Grafana 新增了取代AWSGrafanaWorkspacePermissionManagementV2過時AWSGrafanaWorkspacePermissionManagement政策的政策。這個新的 受管政策透過提供更嚴格的許可集來改善工作區的安全性。 |
2024 年 1 月 5 日 | |
|
Amazon Managed Grafana 新增了新的政策 AmazonGrafanaCloudWatchAccess。 |
2023 年 3 月 24 日 | |
|
Amazon Managed Grafana 新增了 的新許可,AWSGrafanaWorkspacePermissionManagement以便 Active Directory 中的 IAM Identity Center 使用者和群組可以與 Grafana 工作區建立關聯。 已新增下列許可: |
2023 年 3 月 14 日 | |
|
Amazon Managed Grafana 新增了 的新許可,AWSGrafanaWorkspacePermissionManagement讓 IAM Identity Center 使用者和群組可以與 Grafana 工作區建立關聯。 已新增下列許可: |
2022 年 12 月 20 日 | |
|
AmazonGrafanaServiceLinkedRolePolicy – 新 SLR 政策 |
Amazon Managed Grafana 新增了 Grafana 服務連結角色 的新政策AmazonGrafanaServiceLinkedRolePolicy。 |
2022 年 11 月 18 日 |
|
AWSGrafanaAccountAdministrator、AWSGrafanaConsoleReadOnlyAccess |
允許存取所有 Amazon Managed Grafana 資源 | 2022 年 2 月 17 日 |
|
Amazon Managed Grafana 新增了新的政策 AmazonGrafanaRedshiftAccess。 |
2021 年 11 月 26 日 | |
|
Amazon Managed Grafana 新增了新的政策 AmazonGrafanaAthenaAccess。 |
2021 年 11 月 22 日 | |
|
AWSGrafanaAccountAdministrator – 更新現有政策 |
Amazon Managed Grafana 已從 移除許可AWSGrafanaAccountAdministrator。 服務範圍的 |
2021 年 10 月 13 日 |
|
Amazon Managed Grafana 已將新許可新增至 ,AWSGrafanaWorkspacePermissionManagement因此使用此政策的使用者可以看到與工作區相關聯的身分驗證方法。 已新增 |
2021 年 9 月 21 日 | |
|
AWSGrafanaConsoleReadOnlyAccess – 更新現有政策 |
Amazon Managed Grafana 已將新許可新增至 ,AWSGrafanaConsoleReadOnlyAccess因此使用此政策的使用者可以看到與工作區相關聯的身分驗證方法。
|
2021 年 9 月 21 日 |
|
Amazon Managed Grafana 開始追蹤變更 |
Amazon Managed Grafana 開始追蹤其 AWS 受管政策的變更。 |
2021 年 9 月 9 日 |
