使用CloudWatch监控脚本(mon-put-instance-data.pl),可以指定IAMangular色名称来提供AWS凭证(–aws-iam-role = VALUE)。
我为此创build了一个IAMangular色(在AWS实例上运行mon-put-instance-data.pl),但是我应该给这个angular色分配哪些权限/策略?
感谢您的帮助
适用于Linux的Amazon CloudWatch监控脚本由两个Perl脚本组成,两个脚本都使用一个Perl模块 – 对源代码的简短介绍显示了以下使用的AWS API操作:
CloudWatchClient.pm – DescribeTags mon-get-instance-stats.pl – GetMetricStatistics , ListMetrics mon-put-instance-data.pl – PutMetricData 有了这些信息,您就可以组装您的IAM策略 ,例如通过AWS策略生成器 – 一个包罗万象的策略将是:
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics", "cloudwatch:PutMetricData", "ec2:DescribeTags" ], "Effect": "Allow", "Resource": "*" } ] }
当然,你可以放下cloudwatch:GetMetricStatistics cloudwatch:ListMetrics当使用mon-put-instance-data.pl – 请注意,我还没有真正testing过代码。
以上政策给出了错误的要求版本。
以下应该工作:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1426849513000", "Effect": "Allow", "Action": [ "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics", "cloudwatch:PutMetricAlarm", "cloudwatch:PutMetricData", "cloudwatch:SetAlarmState" ], "Resource": [ "*" ] } ] }
Amazon提供了针对CloudWatch的IAM策略。 不需要build立你自己的。 CloudWatchFullAccess