Quali autorizzazioni / criteri per il ruolo IAM da utilizzare con lo script di monitoraggio CloudWatch?

Con lo script di monitoraggio CloudWatch (mon-instance-data.pl) è ansible specificare un nome di ruolo IAM per fornire credenziali AWS (–aws-iam-role = VALUE).

Sto creando un ruolo IAM per questo scopo (per eseguire mon-instance-data.pl su un'istanza AWS), ma quali autorizzazioni / politiche dovrei dare a questo ruolo?

grazie per l'aiuto

  • Come posso spostare automaticamente una nuova image in un gruppo AWS Auto Scaling?
  • Come ospitare un sito di Wordpress su più server a causa di problemi di siteload geografico?
  • Qualcuno ha raggiunto la conformità PCI di livello 1 su AWS?
  • Perché l'istanza AWS non è raggiungibile?
  • Che cos'è un ottimo controllo del bilanciamento del carico per il maestro del burattino
  • aggiungendo un ELB a un gruppo di scala automatica esistente
  • Lanciare un'altra istanza EC2 con un volume EBS specificato allegato
  • Distribuzione del sito su impostazioni di Amazon Beanstalk e IIS
  • 3 Solutions collect form web for “Quali autorizzazioni / criteri per il ruolo IAM da utilizzare con lo script di monitoraggio CloudWatch?”

    Gli script Amazon CloudWatch Monitoring per Linux sono composti da due script Perl, entrambi utilizzando un module Perl – una breve visione nella fonte rivela le seguenti azioni API AWS utilizzate:

    • CloudWatchClient.pm – DescribeTags
    • mon-get-instance-stats.pl – GetMetricStatistics , ListMetrics
    • mon-put-instance-data.pl – PutMetricData

    Con queste informazioni è ansible assemblare la tua politica IAM , ad esempio tramite il generatore di politiche di AWS – una politica che includa tutte le regole:

     { "Version": "2012-10-17", "Statement": [ { "Action": [ "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics", "cloudwatch:PutMetricData", "ec2:DescribeTags" ], "Effect": "Allow", "Resource": "*" } ] } 

    Naturalmente è ansible far cadere cloudwatch:GetMetricStatistics cloudwatch:ListMetrics quando si utilizza solo mon-put-instance-data.pl – si prega di notare che non ho effettivamente provato il codice però.

    La politica di cui sopra fornisce errori che richiedono la versione.

    Il seguente dovrebbe funzionare:

     { "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1426849513000", "Effect": "Allow", "Action": [ "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics", "cloudwatch:PutMetricAlarm", "cloudwatch:PutMetricData", "cloudwatch:SetAlarmState" ], "Resource": [ "*" ] } ] } 

    C'è un Amazon fornito la politica di IAM per CloudWatch. Non c'è bisogno di build il proprio. CloudWatchFullAccess

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.