Identity and Access Management

Welche Anmeldeinformationen werden benötigt,um beim Lesen von Protokollen von aws cloudwatch nur die Rolle zu verwenden?

Wir möchten Log-Gruppen-Ereignisse von ec2-Maschine mit aws sdk lesen wir möchten nur role_arn ohne Geheimnis/Zugriffsschlüssel verwenden,was ist die minimale Berechtigungen,die diese Rolle benötigen? derzeit ist es mit CloudWatchLogsFullAccess und STS:full arbeiten,aber wir denken,es ist überflüssig Danke

Hi! Hier finden Sie einige Beispiele für Leseberechtigungen für Protokolle mit geringsten Rechten. Beispiel 3 ohne die Aktionen create und put sollte Ihnen das liefern, was Sie benötigen: https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/iam-identity-based-access-control-cwl.html




Hi AWS-User-1046823,

Sie können einen Open ID Connect (OIDC)-Anbieter wie Amazon Cognito verwenden, um Token für Ihren SDK-Client auszustellen und dann eine Rolle bei WebIdentity übernehmen . Die Vertrauensrichtlinie für die Rolle würde in etwa so aussehen:

"Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Federated": "arn:aws:iam::11112222333:oidc-provider/token.actions.githubusercontent.com"
      },
      "Action": "sts:AssumeRoleWithWebIdentity",
      "Condition": {
        "StringEquals": {
          "token.actions.githubusercontent.com:aud": "audience.value.configured.on.idp"
        }
      }
    }
  ]

In Bezug auf die geringste Berechtigung würde ich mit der von AWS verwalteten Richtlinie CloudWatchLogsReadOnlyAccess beginnen, die an die obige Rolle angehängt wird. Verwenden Sie dann den IAM Access Analyzer-Richtliniengenerator für die Rolle. Führen Sie Ihren Anwendungsfall ein oder zwei Tage lang aus, dann erstellt der Richtliniengenerator eine Richtlinie mit den geringsten Rechten basierend auf CloudTrail-Ereignissen, die Sie verwenden können, um CloudWatchLogsReadOnlyAccess zu ersetzen.



Fehler beim Starten der AWS CloudShell:"Die Umgebung kann nicht gestartet werden"
Wie man CDK ohne CDKToolkit verwendet
ELI5:AWS CLI und SSO