Identity and Access Management
Welche Anmeldeinformationen werden benötigt,um beim Lesen von Protokollen von aws cloudwatch nur die Rolle zu verwenden?
Wir möchten Log-Gruppen-Ereignisse von ec2-Maschine mit aws sdk lesen wir möchten nur role_arn ohne Geheimnis/Zugriffsschlüssel verwenden,was ist die minimale Berechtigungen,die diese Rolle benötigen? derzeit ist es mit CloudWatchLogsFullAccess und STS:full arbeiten,aber wir denken,es ist überflüssig Danke
Hi! Hier finden Sie einige Beispiele für Leseberechtigungen für Protokolle mit geringsten Rechten. Beispiel 3 ohne die Aktionen create und put sollte Ihnen das liefern, was Sie benötigen: https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/iam-identity-based-access-control-cwl.html
Hi AWS-User-1046823,
Sie können einen Open ID Connect (OIDC)-Anbieter wie Amazon Cognito verwenden, um Token für Ihren SDK-Client auszustellen und dann eine Rolle bei WebIdentity übernehmen . Die Vertrauensrichtlinie für die Rolle würde in etwa so aussehen:
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Federated": "arn:aws:iam::11112222333:oidc-provider/token.actions.githubusercontent.com"
},
"Action": "sts:AssumeRoleWithWebIdentity",
"Condition": {
"StringEquals": {
"token.actions.githubusercontent.com:aud": "audience.value.configured.on.idp"
}
}
}
]In Bezug auf die geringste Berechtigung würde ich mit der von AWS verwalteten Richtlinie CloudWatchLogsReadOnlyAccess beginnen, die an die obige Rolle angehängt wird. Verwenden Sie dann den IAM Access Analyzer-Richtliniengenerator für die Rolle. Führen Sie Ihren Anwendungsfall ein oder zwei Tage lang aus, dann erstellt der Richtliniengenerator eine Richtlinie mit den geringsten Rechten basierend auf CloudTrail-Ereignissen, die Sie verwenden können, um CloudWatchLogsReadOnlyAccess zu ersetzen.
Fehler beim Starten der AWS CloudShell:"Die Umgebung kann nicht gestartet werden"
Wie man CDK ohne CDKToolkit verwendet
ELI5:AWS CLI und SSO