Identity and Access Management

aws cloudwatchからログを読み込む際に、ロールのみを使用するために必要な認証情報は何ですか?

aws sdkを使用してec2マシンからロググループイベントを読み取りたいのですが、secret/accessキーなしでrole_arnだけを使用したいのですが、このロールが必要とする最小のパーミッションは何ですか? 現在CloudWatchLogsFullAccessとSTS:fullで動いていますが、重複すると思います ありがとう。

やあ!ここには、特権ログの読み取り権限が最も少ない例がいくつかあります。createおよびputアクションを使用しない例3は、必要なものを提供するはずです:https ://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/iam-identity-based-access-control-cwl.html




Hi AWS-User-1046823,

AmazonCognitoなどのOpenIDConnect(OIDC)プロバイダーを使用して、SDKクライアントにトークンを発行し、WebIdentityで役割を引き受けることができます。ロールの信頼ポリシーは次のようになります。

"Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Federated": "arn:aws:iam::11112222333:oidc-provider/token.actions.githubusercontent.com"
      },
      "Action": "sts:AssumeRoleWithWebIdentity",
      "Condition": {
        "StringEquals": {
          "token.actions.githubusercontent.com:aud": "audience.value.configured.on.idp"
        }
      }
    }
  ]

最小特権の観点から、AWSが管理するポリシーCloudWatchLogsReadOnlyAccessから始め、上記の役割にアタッチします。次に、ロールでIAM Access AnalyzerPolicyGeneratorを使用します。ユースケースを1日か2日実行すると、ポリシージェネレーターはCloudWatchLogsReadOnlyAccessの代わりに使用できるCloudTrailイベントに基づいて最小特権ポリシーを作成します。


AWS CloudShell起動時のエラー。"環境を起動できない"
CDKToolkitを使用せずにCDKを使用する方法
ELI5:AWS CLIとSSO