Lorsque vous configurez des utilisateurs et des groupes IAM, vous pouvez spécifier les autorisations dont dispose le compte pour les appels d'API. Certaines autorisations doivent être activées sur les clés que vous utilisez lorsque vous configurez l'instance de l'adaptateur.

Pour chaque service AWS pris en charge, l'autorisation ReadOnlyAccess est suffisante pour la collecte des mesures. Utilisez cette autorisation pour créer une stratégie IAM pour tous les services pris en charge et leurs services connexes.

Pour utiliser les opérations d'API de balisage des groupes de ressources, reportez-vous aux sections Référence de l'API de balisage des groupes Resource et Services qui prennent en charge l'API de balisage des groupes de ressources.

Connectez-vous à la console AWS et créez un fichier JSON similaire au suivant pour obtenir la liste des privilèges requis pour le service :

{
    "Version": "2012-10-17",
    "Statement": [
       {
         "Action": [
          "autoscaling:Describe*",
          "cloudwatch:Describe*",
          "cloudwatch:Get*",
          "cloudwatch:List*",
          "logs:Get*",
          "logs:List*",
          "logs:Describe*",
          "logs:TestMetricFilter",
          "logs:FilterLogEvents",
          "sns:Get*",
          "sns:List*"
        ],
        "Effect": "Allow",
        "Resource": "*"
     }
   ]
}
Tableau 1. Autorisations IAM
Service Requis Autorisations
Cloudwatch Oui. Pour obtenir la liste des autorisations, reportez-vous à la page Fichier JSON d'accès en lecture seule pour CloudWatch.
EC2 describeRegions est nécessaire. describeInstances et describeVolumes sont nécessaire uniquement si vous vous abonnez au service EC2. Pour plus d'informations, reportez-vous à la page Fichier JSON d'accès en lecture seule pour EC2.
ELB (Elastic Load Balancing) Nécessaire si vous vous abonnez au service ELB. Pour obtenir la liste des autorisations, reportez-vous à la page Fichier JSON d'accès en lecture seule pour Elastic Load Balancing.
ELB V2 Requis pour le service d'équilibrage de charge de l'application.
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "elasticloadbalancing:DescribeLoadBalancers",
                "elasticloadbalancing:DescribeListeners",
                "elasticloadbalancing:DescribeTargetHealth",
                "elasticloadbalancing:DescribeTargetGroups"
            ],
            "Resource": "*"
        }
    ]
}
EMR Nécessaire si vous vous abonnez au service EMR. décrire*
{
   "Effect": "Allow",
   "Action": [
   "elasticmapreduce:Describe*",
   "elasticmapreduce:List*",
   "elasticmapreduce:ViewEventsFromAllClustersInConsole"
   "s3:GetObject",
   "s3:ListAllMyBuckets",
   "s3:ListBucket",
   "sdb:Select",
   "cloudwatch:GetMetricStatistics"
 ],
   "Resource": "*"
}
RDS Nécessaire si vous vous abonnez au service RDS. Pour obtenir la liste des autorisations, reportez-vous à la page Fichier JSON d'accès en lecture seule pour RDS.
ElasticCache Nécessaire si vous vous abonnez au service ElasticCache. Pour obtenir la liste des autorisations, reportez-vous à la page Fichier JSON d'accès en lecture seule pour ElasticCache.
SQS Nécessaire si vous vous abonnez au service SQS. Pour obtenir la liste des autorisations, reportez-vous à la page Fichier JSON d'accès en lecture seule pour SQS.
Elastic Container Registry Pour obtenir la liste des autorisations, reportez-vous à la page Fichier JSON d'accès en lecture seule pour Elastic Container.
Elastic Container Service liste*
Lambda Pour obtenir la liste des autorisations, reportez-vous à la page Fichier JSON d'accès en lecture seule pour Lambda et à la stratégie Lambda d'AWS.
DynamoDB Pour obtenir la liste des autorisations, reportez-vous à la page Fichier JSON d'accès en lecture seule pour Dynamo DB.
DAX décrire*

liste*

Redshift Pour obtenir la liste des autorisations, reportez-vous à la page Fichier JSON d'accès en lecture seule pour Redshift.
Cloud privé virtuel Pour obtenir la liste des autorisations, reportez-vous à la page Fichier JSON d'accès en lecture seule pour VPC.
Distribution CloudFront Pour obtenir la liste des autorisations, reportez-vous à la page Fichier JSON d'accès en lecture seule pour Distribution CloudFront.
Direct Connect Pour obtenir la liste des autorisations, reportez-vous à la page Fichier JSON d'accès en lecture seule pour Direct Connect.
Connexion VPN décrire*
Passerelle VPC NAT décrire*
IP Elastic décrire*
CloudformationStack Pour obtenir la liste des autorisations, reportez-vous à la page Fichier JSON d'accès en lecture seule pour Cloud Formation.
S3 Pour obtenir la liste des autorisations, reportez-vous à la page Fichier JSON d'accès en lecture seule pour S3.
Espaces de travail décrire*
Zone hébergée liste*
Vérifications de santé liste*
Base de données Neptune Pour obtenir la liste des autorisations, consultez Accès en lecture seule pour Neptune.
Personalize

liste*

décrire*

Sagemaker Pour obtenir la liste des autorisations, consultez Lecture seule pour Sagemaker.
Fsx Pour obtenir la liste des autorisations, consultez Accès en lecture seule pour Fsx.
Accélérateur global Pour obtenir la liste des autorisations, consultez Accès en lecture seule pour Global Accelerator.
APIGateway get*
Inférence élastique décrire*
Glue get*
DocumentDB Pour obtenir la liste des autorisations, consultez Accès en lecture seule pour Doc DB
QLDB Pour obtenir la liste des autorisations, consultez Lecture seule pour QLDB.
Aurora DB Pour obtenir la liste des autorisations, consultez Accès en lecture seule pour RDS.