Amazon-Ec2
IAM 角色的哪些權限/策略與 CloudWatch 監控腳本一起使用
使用 CloudWatch 監控腳本 (mon-put-instance-data.pl),可以指定 IAM 角色名稱以提供 AWS 憑證 (–aws-iam-role=VALUE)。
我為此目的創建了一個 IAM 角色(在 AWS 實例上執行 mon-put-instance-data.pl),但是我應該為該角色提供哪些權限/策略?
感謝您的幫助
適用於 Linux的Amazon CloudWatch 監控腳本由兩個 Perl 腳本組成,兩個腳本都使用一個 Perl 模組 - 對原始碼的簡短了解揭示了正在使用的以下 AWS API 操作:
CloudWatchClient.pm
-描述標籤mon-get-instance-stats.pl
- GetMetricStatistics , ListMetricsmon-put-instance-data.pl
-PutMetricData _有了這些資訊,您可以組裝您的IAM 策略,例如通過AWS 策略生成器- 一個包羅萬象的策略將是:
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics", "cloudwatch:PutMetricData", "ec2:DescribeTags" ], "Effect": "Allow", "Resource": "*" } ] }
當然,您可以
cloudwatch:GetMetricStatistics
cloudwatch:ListMetrics
在使用時放棄mon-put-instance-data.pl
- 請注意,雖然我還沒有實際測試過程式碼。