Identity and Access Management

Quelles sont les informations d'identification nécessaires pour utiliser le rôle unique lors de la lecture des journaux à partir de aws cloudwatch ?

Nous aimerions lire les événements du groupe de journaux à partir de la machine ec2 en utilisant le sdk aws,nous aimerions utiliser uniquement le rôle_arn sans secret/clé d'accès,quelles sont les autorisations minimales dont ce rôle a besoin ? actuellement,cela fonctionne avec CloudWatchLogsFullAccess et STS:full mais nous pensons que c'est redondant.Merci.

Salut! Il y a quelques exemples ici pour les autorisations de lecture de journal de moindre privilège. L'exemple 3 sans les actions de création et de placement devrait vous donner ce dont vous avez besoin : https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/iam-identity-based-access-control-cwl.html




Hi AWS-User-1046823,

Vous pouvez utiliser un fournisseur Open ID Connect (OIDC) tel qu'Amazon Cognito pour émettre des jetons vers votre client SDK, puis assumer un rôle avec WebIdentity . La stratégie d'approbation du rôle ressemblerait à :

"Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Federated": "arn:aws:iam::11112222333:oidc-provider/token.actions.githubusercontent.com"
      },
      "Action": "sts:AssumeRoleWithWebIdentity",
      "Condition": {
        "StringEquals": {
          "token.actions.githubusercontent.com:aud": "audience.value.configured.on.idp"
        }
      }
    }
  ]

En termes de moindre privilège, je commencerais par la stratégie gérée par AWS CloudWatchLogsReadOnlyAccess, attachée au rôle ci-dessus. Utilisez ensuite IAM Access Analyzer Policy Generator sur le rôle. Exécutez votre cas d'utilisation pendant un jour ou deux, puis le générateur de politique créera une politique de moindre privilège basée sur les événements CloudTrail que vous pouvez utiliser pour remplacer CloudWatchLogsReadOnlyAccess.


Erreur lors du lancement de AWS CloudShell:"Impossible de démarrer l'environnement"
Comment utiliser CDK sans utiliser CDKToolkit ?
ELI5:AWS CLI et SSO