本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS Amazon Managed Grafana 的 受管政策
AWS 受管政策是由 AWS AWS 受管政策建立和管理的獨立政策旨在為許多常用案例提供許可,以便您可以開始將許可指派給使用者、群組和角色。
請記住, AWS 受管政策可能不會授予特定使用案例的最低權限許可,因為這些許可可供所有 AWS 客戶使用。我們建議您定義特定於使用案例的[客戶管理政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies),以便進一步減少許可。
您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新受 AWS 管政策中定義的許可,則更新會影響政策連接的所有主體身分 (使用者、群組和角色)。當新的 AWS 服務 啟動或新的 API 操作可供現有服務使用時, AWS 最有可能更新 AWS 受管政策。
如需詳細資訊,請參閱 *IAM 使用者指南*中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
## AWS 受管政策:AWSGrafanaAccountAdministrator
AWSGrafanaAccountAdministrator 政策可在 Amazon Managed Grafana 內提供存取權,以建立和管理整個組織的帳戶和工作區。
您可以將 AWSGrafanaAccountAdministrator 連接至 IAM 實體。
**許可詳細資訊**
此政策包含以下許可。
+ `iam` – 允許主體列出並取得 IAM 角色,以便管理員可以將角色與工作區建立關聯,並將角色傳遞至 Amazon Managed Grafana 服務。
+ `Amazon Managed Grafana` – 允許主體讀取和寫入存取所有 Amazon Managed Grafana APIs。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSGrafanaOrganizationAdmin",
"Effect": "Allow",
"Action": [
"iam:ListRoles"
],
"Resource": "*"
},
{
"Sid": "GrafanaIAMGetRolePermission",
"Effect": "Allow",
"Action": "iam:GetRole",
"Resource": "arn:aws:iam::*:role/*"
},
{
"Sid": "AWSGrafanaPermissions",
"Effect": "Allow",
"Action": [
"grafana:*"
],
"Resource": "*"
},
{
"Sid": "GrafanaIAMPassRolePermission",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringLike": {
"iam:PassedToService": "grafana.amazonaws.com"
}
}
}
]
}
```
------
## AWS 受管政策:AWSGrafanaWorkspacePermissionManagement (已淘汰)
此政策已淘汰。此政策不應連接到任何新使用者、群組或角色。
Amazon Managed Grafana 新增了新的政策 [AWSGrafanaWorkspacePermissionManagementV2](#security-iam-awsmanpol-AWSGrafanaWorkspacePermissionManagementV2) 來取代此政策。這個新的 受管政策透過提供更嚴格的許可集來改善工作區的安全性。
## AWS 受管政策:AWSGrafanaWorkspacePermissionManagementV2
AWSGrafanaWorkspacePermissionManagementV2 政策僅提供更新 Amazon Managed Grafana 工作區使用者和群組許可的功能。
您可以將 AWSGrafanaWorkspacePermissionManagementV2 連接至 IAM 實體。
**許可詳細資訊**
此政策包含以下許可。
+ `Amazon Managed Grafana` – 允許主體讀取和更新 Amazon Managed Grafana 工作區的使用者和群組許可。
+ `IAM Identity Center` – 允許主體讀取 IAM Identity Center 實體。這是將委託人與 Amazon Managed Grafana 應用程式建立關聯的必要部分,但還需要額外的步驟,如以下政策清單所述。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AWSGrafanaPermissions",
"Effect": "Allow",
"Action": [
"grafana:DescribeWorkspace",
"grafana:DescribeWorkspaceAuthentication",
"grafana:UpdatePermissions",
"grafana:ListPermissions",
"grafana:ListWorkspaces"
],
"Resource": "arn:aws:grafana:*:*:/workspaces*"
},
{
"Sid": "IAMIdentityCenterPermissions",
"Effect": "Allow",
"Action": [
"sso:DescribeRegisteredRegions",
"sso:GetSharedSsoConfiguration",
"sso:ListDirectoryAssociations",
"sso:GetManagedApplicationInstance",
"sso:ListProfiles",
"sso:GetProfile",
"sso:ListProfileAssociations",
"sso-directory:DescribeUser",
"sso-directory:DescribeGroup"
],
"Resource": "*"
}
]
}
```
------
**所需的其他政策**
若要完全允許使用者指派許可,除了`AWSGrafanaWorkspacePermissionManagementV2`政策之外,您還必須指派政策,以提供 IAM Identity Center 中應用程式指派的存取權。
若要建立此政策,您必須先收集工作區的 **Grafana 應用程式 ARN**
1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。
1. 從左側選單中選擇**應用程式**。
1. 在**AWS 受**管索引標籤下,尋找名為 **Amazon Grafana-*workspace-name*** 的應用程式,其中 `workspace-name`是工作區的名稱。選取應用程式名稱。
1. 隨即顯示 Amazon Managed Grafana 為工作區管理的 IAM Identity Center 應用程式。此應用程式的 ARN 會顯示在詳細資訊頁面中。其格式為:`arn:aws:sso::{{owner-account-id}}:application/ssoins-{{unique-id}}/apl-{{unique-id}}`。
您建立的政策看起來應該如下所示。使用您在上一個步驟中找到的 ARN 取代 {{grafana-application-arn}}:
如需如何建立政策並將其套用至角色或使用者的詳細資訊,請參閱*AWS Identity and Access Management 《 使用者指南*》中的[新增和移除 IAM 身分許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)。
## AWS 受管政策:AWSGrafanaConsoleReadOnlyAccess
AWSGrafanaConsoleReadOnlyAccess 政策會授予 Amazon Managed Grafana 中唯讀操作的存取權。
您可以將 AWSGrafanaConsoleReadOnlyAccess 連接至您的 IAM 實體。
**許可詳細資訊**
此政策包含以下許可。
+ `Amazon Managed Grafana` – 允許主體唯讀存取 Amazon Managed Grafana APIs
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSGrafanaConsoleReadOnlyAccess",
"Effect": "Allow",
"Action": ["grafana:Describe*", "grafana:List*"],
"Resource": "*"
}
]
}
```
------
## AWS 受管政策:AmazonGrafanaRedshiftAccess
此政策授予 Amazon Redshift 的範圍存取權,以及在 Amazon Managed Grafana 中使用 Amazon Redshift 外掛程式所需的相依性。AmazonGrafanaRedshiftAccess 政策允許使用者或 IAM 角色使用 Grafana 中的 Amazon Redshift 資料來源外掛程式。Amazon Redshift 資料庫的臨時登入資料範圍限定為資料庫使用者,`redshift_data_api_user`而且如果使用金鑰 標記秘密,則可以擷取來自 Secrets Manager 的登入資料`RedshiftQueryOwner`。此政策允許存取以 標記的 Amazon Redshift 叢集`GrafanaDataSource`。建立客戶受管政策時,標籤型身分驗證是選用的。
您可以將 AmazonGrafanaRedshiftAccess 連接至您的 IAM 實體。Amazon Managed Grafana 也會將此政策連接至允許 Amazon Managed Grafana 代表您執行動作的服務角色。
**許可詳細資訊**
此政策包含以下許可。
+ `Amazon Redshift` – 允許主體描述叢集,並取得名為 之資料庫使用者的臨時登入資料`redshift_data_api_user`。
+ `Amazon Redshift–data` – 允許主體在標記為 的叢集上執行查詢`GrafanaDataSource`。
+ `Secrets Manager` – 允許主體列出標記為 之秘密的秘密和讀取秘密值`RedshiftQueryOwner`。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"redshift:DescribeClusters",
"redshift-data:GetStatementResult",
"redshift-data:DescribeStatement",
"secretsmanager:ListSecrets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"redshift-data:DescribeTable",
"redshift-data:ExecuteStatement",
"redshift-data:ListTables",
"redshift-data:ListSchemas"
],
"Resource": "*",
"Condition": {
"Null": {
"aws:ResourceTag/GrafanaDataSource": "false"
}
}
},
{
"Effect": "Allow",
"Action": "redshift:GetClusterCredentials",
"Resource": [
"arn:aws:redshift:*:*:dbname:*/*",
"arn:aws:redshift:*:*:dbuser:*/redshift_data_api_user"
]
},
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": "*",
"Condition": {
"Null": {
"secretsmanager:ResourceTag/RedshiftQueryOwner": "false"
}
}
}
]
}
```
------
## AWS 受管政策:AmazonGrafanaAthenaAccess
此政策授予對 Athena 的存取權,以及啟用從 Amazon Managed Grafana 中的 Athena 外掛程式查詢和寫入結果至 Amazon S3 所需的相依性。AmazonGrafanaAthenaAccess 政策允許使用者或 IAM 角色在 Grafana 中使用 Athena 資料來源外掛程式。Athena 工作群組必須加上 標籤`GrafanaDataSource`才能存取。此政策包含在名稱字首為 的 Amazon S3 儲存貯體中寫入查詢結果的許可`grafana-athena-query-results-`。此政策不包含存取 Athena 查詢基礎資料來源的 Amazon S3 許可。
您可以將 AWSGrafanaAthenaAccess 政策連接至您的 IAM 實體。Amazon Managed Grafana 也會將此政策連接至允許 Amazon Managed Grafana 代表您執行動作的服務角色。
**許可詳細資訊**
此政策包含以下許可。
+ `Athena` – 允許主體對標記為 的工作群組中的 Athena 資源執行查詢`GrafanaDataSource`。
+ `Amazon S3` – 允許主體讀取和寫入查詢結果到字首為 的儲存貯體`grafana-athena-query-results-`。
+ `AWS Glue` – 允許主體存取 AWS Glue 資料庫、資料表和分割區。這是必要的,以便委託人可以搭配 Athena 使用 AWS Glue Data Catalog。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"athena:GetDatabase",
"athena:GetDataCatalog",
"athena:GetTableMetadata",
"athena:ListDatabases",
"athena:ListDataCatalogs",
"athena:ListTableMetadata",
"athena:ListWorkGroups"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"athena:GetQueryExecution",
"athena:GetQueryResults",
"athena:GetWorkGroup",
"athena:StartQueryExecution",
"athena:StopQueryExecution"
],
"Resource": [
"*"
],
"Condition": {
"Null": {
"aws:ResourceTag/GrafanaDataSource": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"glue:GetDatabase",
"glue:GetDatabases",
"glue:GetTable",
"glue:GetTables",
"glue:GetPartition",
"glue:GetPartitions",
"glue:BatchGetPartition"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:GetObject",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:ListMultipartUploadParts",
"s3:AbortMultipartUpload",
"s3:CreateBucket",
"s3:PutObject",
"s3:PutBucketPublicAccessBlock"
],
"Resource": [
"arn:aws:s3:::grafana-athena-query-results-*"
]
}
]
}
```
------
## AWS 受管政策:AmazonGrafanaCloudWatchAccess
此政策會授予 Amazon CloudWatch 的存取權,以及使用 CloudWatch 做為 Amazon Managed Grafana 內資料來源所需的相依性。
您可以將 AWSGrafanaCloudWatchAccess 政策連接至 IAM 實體。Amazon Managed Grafana 也會將此政策連接至允許 Amazon Managed Grafana 代表您執行動作的服務角色。
**許可詳細資訊**
此政策包含以下許可。
+ `CloudWatch` – 允許主體列出並從 Amazon CloudWatch 取得指標資料和日誌。它也允許在 CloudWatch 跨帳戶可觀測性中檢視從來源帳戶共用的資料。
+ `Amazon EC2` – 允許主體取得有關正在監控之資源的詳細資訊。
+ `Tags` – 允許主體存取資源上的標籤,以允許篩選 CloudWatch 指標查詢。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:DescribeAlarmsForMetric",
"cloudwatch:DescribeAlarmHistory",
"cloudwatch:DescribeAlarms",
"cloudwatch:ListMetrics",
"cloudwatch:GetMetricStatistics",
"cloudwatch:GetMetricData",
"cloudwatch:GetInsightRuleReport"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups",
"logs:GetLogGroupFields",
"logs:StartQuery",
"logs:StopQuery",
"logs:GetQueryResults",
"logs:GetLogEvents"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeTags",
"ec2:DescribeInstances",
"ec2:DescribeRegions"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "tag:GetResources",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"oam:ListSinks",
"oam:ListAttachedLinks"
],
"Resource": "*"
}
]
}
```
------
## Amazon Managed Grafana 受 AWS 管政策的更新
檢視自此服務開始追蹤 Amazon Managed Grafana AWS 受管政策更新以來的詳細資訊。如需此頁面變更的自動提醒,請訂閱 [Amazon Managed Grafana 文件歷史記錄](doc-history.md)頁面上的 RSS 摘要。
| 變更 | 描述 | Date |
| --- | --- | --- |
| [AWSGrafanaWorkspacePermissionManagement](#security-iam-awsmanpol-AWSGrafanaWorkspacePermissionManagement) – 已淘汰 | 此政策已被 **AWSGrafanaWorkspacePermissionManagementV2** 取代。
此政策視為已過時,不會再更新。新政策透過提供更嚴格的許可集來改善工作區的安全性。 | 2024 年 1 月 5 日 |
| [AWSGrafanaWorkspacePermissionManagementV2](#security-iam-awsmanpol-AWSGrafanaWorkspacePermissionManagementV2) – 新政策 | Amazon Managed Grafana 新增了取代**AWSGrafanaWorkspacePermissionManagementV2**過時**AWSGrafanaWorkspacePermissionManagement**政策的政策。這個新的 受管政策透過提供更嚴格的許可集來改善工作區的安全性。 | 2024 年 1 月 5 日 |
| [AmazonGrafanaCloudWatchAccess](#security-iam-awsmanpol-AmazonGrafanaCloudWatchAccess) – 新政策 | Amazon Managed Grafana 新增了新的政策 **AmazonGrafanaCloudWatchAccess**。 | 2023 年 3 月 24 日 |
| [AWSGrafanaWorkspacePermissionManagement](#security-iam-awsmanpol-AWSGrafanaWorkspacePermissionManagement) – 更新現有政策 | Amazon Managed Grafana 新增了 的新許可,**AWSGrafanaWorkspacePermissionManagement**以便 Active Directory 中的 IAM Identity Center 使用者和群組可以與 Grafana 工作區建立關聯。
已新增下列許可:`sso-directory:DescribeUser`、 和 `sso-directory:DescribeGroup` | 2023 年 3 月 14 日 |
| [AWSGrafanaWorkspacePermissionManagement](#security-iam-awsmanpol-AWSGrafanaWorkspacePermissionManagement) – 更新現有政策 | Amazon Managed Grafana 新增了 的新許可,**AWSGrafanaWorkspacePermissionManagement**以便 IAM Identity Center 使用者和群組可以與 Grafana 工作區建立關聯。
已新增下列許可:`sso:DescribeRegisteredRegions`、`sso:GetSharedSsoConfiguration`、`sso:ListDirectoryAssociations`、`sso:GetManagedApplicationInstance`、`sso:ListProfiles``sso:AssociateProfile`、`sso:DisassociateProfile`、 `sso:GetProfile`和 `sso:ListProfileAssociations`。 | 2022 年 12 月 20 日 |
| [AmazonGrafanaServiceLinkedRolePolicy](using-service-linked-roles.md) – 新 SLR 政策 | Amazon Managed Grafana 新增了 Grafana 服務連結角色 的新政策**AmazonGrafanaServiceLinkedRolePolicy**。 | 2022 年 11 月 18 日 |
| [AWSGrafanaAccountAdministrator](#security-iam-awsmanpol-AWSGrafanaAccountAdministrator)、[AWSGrafanaConsoleReadOnlyAccess](#security-iam-awsmanpol-AWSGrafanaConsoleReadOnlyAccess) | 允許存取所有 Amazon Managed Grafana 資源 | 2022 年 2 月 17 日 |
| [AmazonGrafanaRedshiftAccess](#security-iam-awsmanpol-AmazonGrafanaRedshiftAccess) – 新政策 | Amazon Managed Grafana 新增了新的政策 **AmazonGrafanaRedshiftAccess**。 | 2021 年 11 月 26 日 |
| [AmazonGrafanaAthenaAccess](#security-iam-awsmanpol-AmazonGrafanaAthenaAccess) – 新政策 | Amazon Managed Grafana 新增了新的政策 **AmazonGrafanaAthenaAccess**。 | 2021 年 11 月 22 日 |
| [AWSGrafanaAccountAdministrator](#security-iam-awsmanpol-AWSGrafanaAccountAdministrator) – 更新現有政策 | Amazon Managed Grafana 已從 移除許可**AWSGrafanaAccountAdministrator**。
服務範圍的`iam:CreateServiceLinkedRole`許可`sso.amazonaws.com`已移除,我們建議您連接 **AWSSSOMasterAccountAdministrator** 政策,以將此許可授予使用者。 | 2021 年 10 月 13 日 |
| [AWSGrafanaWorkspacePermissionManagement](#security-iam-awsmanpol-AWSGrafanaWorkspacePermissionManagement) – 更新現有政策 | Amazon Managed Grafana 已將新許可新增至 ,**AWSGrafanaWorkspacePermissionManagement**因此使用此政策的使用者可以看到與工作區相關聯的身分驗證方法。
已新增 `grafana:DescribeWorkspaceAuthentication`許可。 | 2021 年 9 月 21 日 |
| [AWSGrafanaConsoleReadOnlyAccess](#security-iam-awsmanpol-AWSGrafanaConsoleReadOnlyAccess) – 更新現有政策 | Amazon Managed Grafana 已將新許可新增至 ,**AWSGrafanaConsoleReadOnlyAccess**因此使用此政策的使用者可以看到與工作區相關聯的身分驗證方法。
`grafana:Describe*` 和 `grafana:List*`許可已新增至政策,並取代先前的較窄許可 `grafana:DescribeWorkspace`、 `grafana:ListPermissions`和 `grafana:ListWorkspaces`。 | 2021 年 9 月 21 日 |
| Amazon Managed Grafana 開始追蹤變更 | Amazon Managed Grafana 開始追蹤其 AWS 受管政策的變更。 | 2021 年 9 月 9 日 |