IAM 角色的哪些權限/策略與 CloudWatch 監控腳本一起使用

使用 CloudWatch 監控腳本 (mon-put-instance-data.pl)，可以指定 IAM 角色名稱以提供 AWS 憑證 (–aws-iam-role=VALUE)。

我為此目的創建了一個 IAM 角色（在 AWS 實例上執行 mon-put-instance-data.pl），但是我應該為該角色提供哪些權限/策略？

感謝您的幫助

適用於 Linux的Amazon CloudWatch 監控腳本由兩個 Perl 腳本組成，兩個腳本都使用一個 Perl 模組 - 對原始碼的簡短了解揭示了正在使用的以下 AWS API 操作：

• CloudWatchClient.pm-描述標籤
• mon-get-instance-stats.pl- GetMetricStatistics , ListMetrics
• mon-put-instance-data.pl-PutMetricData _

有了這些資訊，您可以組裝您的IAM 策略，例如通過AWS 策略生成器- 一個包羅萬象的策略將是：

{
 "Version": "2012-10-17",
 "Statement": [
   {
     "Action": [
       "cloudwatch:GetMetricStatistics",
       "cloudwatch:ListMetrics",
       "cloudwatch:PutMetricData",
       "ec2:DescribeTags"
     ],
     "Effect": "Allow",
     "Resource": "*"
   }
 ]
}

當然，您可以cloudwatch:GetMetricStatistics cloudwatch:ListMetrics在使用時放棄mon-put-instance-data.pl- 請注意，雖然我還沒有實際測試過程式碼。

引用自：https://serverfault.com/questions/532675