Amazon-Ec2

IAM 角色的哪些權限/策略與 CloudWatch 監控腳本一起使用

  • March 29, 2016

使用 CloudWatch 監控腳本 (mon-put-instance-data.pl),可以指定 IAM 角色名稱以提供 AWS 憑證 (–aws-iam-role=VALUE)。

我為此目的創建了一個 IAM 角色(在 AWS 實例上執行 mon-put-instance-data.pl),但是我應該為該角色提供哪些權限/策略?

感謝您的幫助

適用於 Linux的Amazon CloudWatch 監控腳本由兩個 Perl 腳本組成,兩個腳本都使用一個 Perl 模組 - 對原始碼的簡短了解揭示了正在使用的以下 AWS API 操作:

有了這些資訊,您可以組裝您的IAM 策略,例如通過AWS 策略生成器- 一個包羅萬象的策略將是:

{
 "Version": "2012-10-17",
 "Statement": [
   {
     "Action": [
       "cloudwatch:GetMetricStatistics",
       "cloudwatch:ListMetrics",
       "cloudwatch:PutMetricData",
       "ec2:DescribeTags"
     ],
     "Effect": "Allow",
     "Resource": "*"
   }
 ]
}

當然,您可以cloudwatch:GetMetricStatistics cloudwatch:ListMetrics在使用時放棄mon-put-instance-data.pl- 請注意,雖然我還沒有實際測試過程式碼。

引用自:https://serverfault.com/questions/532675