Identity and Access Management

qué credenciales se necesitan para usar sólo el rol cuando se leen los registros de aws cloudwatch

Nos gustaría leer los eventos del grupo de registro de la máquina ec2 utilizando aws sdk nos gustaría utilizar sólo role_arn sin secreto/clave de acceso ¿cuál es el mínimo de permisos que este papel necesita? actualmente está trabajando con CloudWatchLogsFullAccess y STS:full pero creemos que es redundante Gracias

¡Hola! Hay algunos ejemplos aquí para los permisos de lectura de registro de privilegios mínimos. El ejemplo 3 sin las acciones de creación y colocación debería brindarle lo que necesita: https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/iam-identity-based-access-control-cwl.html




Hi AWS-User-1046823,

Puede usar un proveedor de Open ID Connect (OIDC) como Amazon Cognito para emitir tokens a su cliente SDK y luego asumir un rol con WebIdentity . La política de confianza para el rol se vería así:

"Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Federated": "arn:aws:iam::11112222333:oidc-provider/token.actions.githubusercontent.com"
      },
      "Action": "sts:AssumeRoleWithWebIdentity",
      "Condition": {
        "StringEquals": {
          "token.actions.githubusercontent.com:aud": "audience.value.configured.on.idp"
        }
      }
    }
  ]

En términos de privilegios mínimos, comenzaría con la política administrada por AWS CloudWatchLogsReadOnlyAccess, adjuntar al rol anterior. A continuación, utilice el generador de políticas de IAM Access Analyzer en el rol. Ejecute su caso de uso durante uno o dos días, luego el Generador de políticas creará una política de privilegios mínimos basada en eventos de CloudTrail que puede usar para reemplazar CloudWatchLogsReadOnlyAccess.