Que permissões / políticas para a função do IAM devem ser usadas com o script de monitoramento do CloudWatch?

Question

Que permissões / políticas para a função do IAM devem ser usadas com o script de monitoramento do CloudWatch?

#1 resposta do (18 votos)
#2 resposta do (2 votos)
#3 resposta do (2 votos)

13

Com o script de monitoramento do CloudWatch (mon-put-instance-data.pl), é possível especificar um nome de função do IAM para fornecer credenciais da AWS (--aws-iam-role = VALUE).

Estou criando uma função do IAM para essa finalidade (para executar o mon-put-instance-data.pl em uma instância do AWS), mas quais permissões / políticas devo atribuir a essa função ??

Obrigado pela sua ajuda

amazon-ec2 amazon-web-services amazon-iam amazon-cloudwatch

por Céline Aussourd 21.08.2013 / 18:01

3 respostas

2

A política acima dá erro ao pedir a versão.

Os seguintes itens devem funcionar:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Stmt1426849513000",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:GetMetricStatistics",
                "cloudwatch:ListMetrics",
                "cloudwatch:PutMetricAlarm",
                "cloudwatch:PutMetricData",
                "cloudwatch:SetAlarmState"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

por 20.03.2015 / 12:11

2

Há uma política da Amazon fornecida pelo IAM para o CloudWatch. Não há necessidade de construir o seu próprio. CloudWatchFullAccess

por 11.06.2015 / 02:20

Tags amazon-ec2 amazon-web-services amazon-iam amazon-cloudwatch

Elastic Load Balancer para vários webapps Compartilhamento público do Samba - o Windows continua pedindo senha

score 18 · Accepted Answer

Os scripts de monitoramento do Amazon CloudWatch para Linux são compostos de dois Scripts Perl, ambos usando um módulo Perl - uma breve espiada na fonte revela as seguintes ações da API da AWS sendo usadas:

CloudWatchClient.pm - DescribeTags
mon-get-instance-stats.pl - GetMetricStatistics , ListMetrics
mon-put-instance-data.pl - PutMetricData

Com essas informações, você pode criar sua política do IAM , por exemplo, por meio do gerador de políticas da AWS - uma política abrangente seria:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "cloudwatch:GetMetricStatistics",
        "cloudwatch:ListMetrics",
        "cloudwatch:PutMetricData",
        "ec2:DescribeTags"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

É claro que você pode descartar cloudwatch:GetMetricStatistics cloudwatch:ListMetrics quando estiver usando apenas mon-put-instance-data.pl - observe que, no entanto, eu não testei o código.