Identity and Access Management

quali credenziali sono necessarie per utilizzare solo il ruolo quando si leggono i registri da aws cloudwatch

Vorremmo leggere gli eventi di un gruppo di log da una macchina ec2 utilizzando l'sdk di aws.Vorremmo utilizzare solo role_arn senza chiave segreta/di accesso.Quali sono i permessi minimi di cui ha bisogno questo ruolo? Attualmente funziona con CloudWatchLogsFullAccess e STS:full,ma pensiamo che sia ridondante Grazie.

Ciao! Ci sono alcuni esempi qui per i permessi di lettura del registro dei privilegi minimi. L'esempio 3 senza le azioni create e metti dovrebbe darti ciò di cui hai bisogno: https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/iam-identity-based-access-control-cwl.html




Hi AWS-User-1046823,

Puoi utilizzare un provider Open ID Connect (OIDC) come Amazon Cognito per emettere token al tuo client SDK e quindi assumere un ruolo con WebIdentity . La politica di fiducia per il ruolo sarebbe simile a:

"Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Federated": "arn:aws:iam::11112222333:oidc-provider/token.actions.githubusercontent.com"
      },
      "Action": "sts:AssumeRoleWithWebIdentity",
      "Condition": {
        "StringEquals": {
          "token.actions.githubusercontent.com:aud": "audience.value.configured.on.idp"
        }
      }
    }
  ]

In termini di privilegio minimo, inizierei con la policy gestita da AWS CloudWatchLogsReadOnlyAccess, allegare al ruolo sopra. Quindi usa IAM Access Analyzer Policy Generator nel ruolo. Esegui il tuo caso d'uso per un giorno o due, quindi Policy Generator creerà una policy con privilegi minimi basata sugli eventi CloudTrail che puoi utilizzare per sostituire CloudWatchLogsReadOnlyAccess.


ELI5:AWS CLI e SSO
Come usare CDK senza usare CDKToolkit
Errore all'avvio di AWS CloudShell:"Impossibile avviare l'ambiente"