Que permissões / políticas para a função do IAM devem ser usadas com o script de monitoramento do CloudWatch?

13

Com o script de monitoramento do CloudWatch (mon-put-instance-data.pl), é possível especificar um nome de função do IAM para fornecer credenciais da AWS (--aws-iam-role = VALUE).

Estou criando uma função do IAM para essa finalidade (para executar o mon-put-instance-data.pl em uma instância do AWS), mas quais permissões / políticas devo atribuir a essa função ??

Obrigado pela sua ajuda

    
por Céline Aussourd 21.08.2013 / 18:01

3 respostas

18

Os scripts de monitoramento do Amazon CloudWatch para Linux são compostos de dois Scripts Perl, ambos usando um módulo Perl - uma breve espiada na fonte revela as seguintes ações da API da AWS sendo usadas:

Com essas informações, você pode criar sua política do IAM , por exemplo, por meio do gerador de políticas da AWS - uma política abrangente seria:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "cloudwatch:GetMetricStatistics",
        "cloudwatch:ListMetrics",
        "cloudwatch:PutMetricData",
        "ec2:DescribeTags"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

É claro que você pode descartar cloudwatch:GetMetricStatistics cloudwatch:ListMetrics quando estiver usando apenas mon-put-instance-data.pl - observe que, no entanto, eu não testei o código.

    
por 21.08.2013 / 20:43
2

A política acima dá erro ao pedir a versão.

Os seguintes itens devem funcionar:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Stmt1426849513000",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:GetMetricStatistics",
                "cloudwatch:ListMetrics",
                "cloudwatch:PutMetricAlarm",
                "cloudwatch:PutMetricData",
                "cloudwatch:SetAlarmState"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}
    
por 20.03.2015 / 12:11
2

Há uma política da Amazon fornecida pelo IAM para o CloudWatch. Não há necessidade de construir o seu próprio. CloudWatchFullAccess

    
por 11.06.2015 / 02:20