Avec le script de surveillance CloudWatch (mon-put-instance-data.pl), il est possible de spécifier un nom de rôle IAM pour fournir les informations d'identification AWS (--aws-iam-role = VALUE).
Je crée un rôle IAM à cet effet (pour exécuter mon-put-instance-data.pl sur une instance AWS), mais quelles autorisations / politiques dois-je donner à ce rôle ??
Merci de votre aide
Réponses:
Les scripts de surveillance Amazon CloudWatch pour Linux sont composés de deux scripts Perl, utilisant tous deux un module Perl - un bref aperçu de la source révèle les actions d'API AWS suivantes utilisées:
CloudWatchClient.pm- DescribeTagsmon-get-instance-stats.pl- GetMetricStatistics , ListMetricsmon-put-instance-data.pl- PutMetricDataAvec ces informations, vous pouvez assembler votre politique IAM , par exemple via le générateur de politique AWS - une politique globale serait:
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics",
"cloudwatch:PutMetricData",
"ec2:DescribeTags"
],
"Effect": "Allow",
"Resource": "*"
}
]
}Bien sûr, vous pouvez supprimer cloudwatch:GetMetricStatistics cloudwatch:ListMetricsen utilisant simplement mon-put-instance-data.pl- veuillez noter que je n'ai pas réellement testé le code.
La politique ci-dessus donne une erreur de demande de version.
Les éléments suivants devraient fonctionner:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Stmt1426849513000",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricStatistics",
"cloudwatch:ListMetrics",
"cloudwatch:PutMetricAlarm",
"cloudwatch:PutMetricData",
"cloudwatch:SetAlarmState"
],
"Resource": [
"*"
]
}
]
}
Il existe une politique IAM fournie par Amazon pour CloudWatch. Pas besoin de construire le vôtre. CloudWatchFullAccess
CloudWatchReadOnlyAccessserait un «premier essai» sûr, mais même cela peut être trop généreux.