Ao configurar usuários e grupos do IAM, você pode estipular quais permissões a conta tem para chamadas de API. As chaves que você usa ao configurar a instância do adaptador devem ter determinadas permissões ativadas.
Para cada Serviço AWS compatível, a permissão ReadOnlyAccess é suficiente para coletar métricas. Use a permissão para criar uma política do IAM para todos os serviços compatíveis e seus serviços relacionados.
Para usar as operações da API de marcação de grupos de recursos, consulte Referência da API de marcação de grupos de recursos e Serviços que oferecem suporte à API de marcação de grupos de recursos.
Faça login no console do AWS e crie um json semelhante ao seguinte para obter a lista de privilégios do serviço:
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"autoscaling:Describe*",
"cloudwatch:Describe*",
"cloudwatch:Get*",
"cloudwatch:List*",
"logs:Get*",
"logs:List*",
"logs:Describe*",
"logs:TestMetricFilter",
"logs:FilterLogEvents",
"sns:Get*",
"sns:List*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
| Serviço | Obrigatório | Permissões |
|---|---|---|
| Cloudwatch | Sim. | Para obter a lista de permissões, consulte Acesso somente leitura do Cloud Watch json. |
| EC2 | describeRegions é obrigatório. describeInstances e describeVolumes só serão necessários se você assinar o serviço EC2. | Para obter mais informações, consulte EC2 Acesso somente leitura json. |
| ELB (Elastic Load Balancing) | Obrigatório se estiver assinando o serviço ELB. | Para obter a lista de permissões, consulte JSON de acesso somente leitura do Elastic Load Balancing. |
| ELB V2 | Obrigatório para o serviço do balanceador de carga do aplicativo. |
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"elasticloadbalancing:DescribeLoadBalancers",
"elasticloadbalancing:DescribeListeners",
"elasticloadbalancing:DescribeTargetHealth",
"elasticloadbalancing:DescribeTargetGroups"
],
"Resource": "*"
}
]
} |
| EMR | Obrigatório se estiver assinando o serviço EMR. | descrever*
{
"Effect": "Allow",
"Action": [
"elasticmapreduce:Describe*",
"elasticmapreduce:List*",
"elasticmapreduce:ViewEventsFromAllClustersInConsole"
"s3:GetObject",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"sdb:Select",
"cloudwatch:GetMetricStatistics"
],
"Resource": "*"
}
|
| RDS | Obrigatório se estiver assinando o serviço RDS. | Para obter a lista de permissões, consulte Acesso somente leitura do RDS json. |
| ElasticCache | Obrigatório se estiver assinando o serviço ElasticCache. | Para obter a lista de permissões, consulte Acesso somente leitura do Elastic Cache json. |
| SQS | Obrigatório se estiver assinando o serviço SQS. | Para obter a lista de permissões, consulte SQS Acesso somente leitura json. |
| Elastic Container Registry | Para obter a lista de permissões, consulte Json de acesso somente leitura do Elastic Container. | |
| Serviço de Contêiner Elástico | lista* | |
| Lambda | Para obter a lista de permissões, consulte Acesso somente leitura do Lambda json e consulte a política AWS do Lambda. | |
| DynamoDB | Para obter a lista de permissões, consulte Acesso somente leitura do Dynamo DB json. | |
| DAX | descrever* lista* |
|
| Redshift | Para obter a lista de permissões, consulte Json de acesso somente leitura do Redshift. | |
| Virtual Private Cloud | Para obter a lista de permissões, consulte Json de acesso somente leitura da VPC. | |
| Distribuição do Cloud Front | Para obter a lista de permissões, consulte Json de acesso somente leitura do Cloud Front Distribution. | |
| Direct Connect | Para obter a lista de permissões, consulte Direct Connect Acesso somente leitura json. | |
| Conexão VPN | descrever* | |
| Gateway NAT da VPC | descrever* | |
| IP elástico | descrever* | |
| CloudformationStack | Para obter a lista de permissões, consulte Acesso somente leitura do Cloud Formation json. | |
| S3 | Para obter a lista de permissões, consulte Acesso somente leitura do S3 json. | |
| Áreas de trabalho | descrever* | |
| Zona hospedada | lista* | |
| Verificações de integridade | lista* | |
| Neptune DB | Para obter a lista de permissões, consulte Acesso somente leitura do Neptune | |
| Personalzie | lista* descrever* |
|
| Sagemaker | Para obter a lista de permissões, consulte SageMaker somente leitura | |
| Fsx | Para obter a lista de permissões, consulte Acesso somente leitura FSx | |
| Global Accelerator | Para obter a lista de permissões, consulte Acesso somente leitura do Global Accelerator | |
| APIGateway | obter* | |
| Inferência elástica | descrever* | |
| Cola | obter* | |
| DocumentDB | Para obter a lista de permissões, consulte Doc DB Read Only Access | |
| QLDB | Para obter a lista de permissões, consulte QLDB somente leitura | |
| Aurora DB | Para obter a lista de permissões, consulte Acesso somente leitura RDS | |
| Gateway de armazenamento | Obrigatório se estiver assinando o serviço de gateway de armazenamento. | listGateways describeGatewayInformation listFileShares describeSMBFileShares describeNFSFileShares listVolumes |
