Identity and Access Management

aws cloudwatch에서 로그를 읽을 때 역할만 사용하려면 어떤 자격 증명이 필요합니까?

aws sdk를 사용하여 ec2 머신에서 로그 그룹 이벤트를 읽고 싶습니다. 비밀/액세스 키 없이 role_arn만 사용하고 싶습니다. 이 역할에 필요한 최소 권한은 무엇입니까? 현재 CloudWatchLogsFullAccess 및 STS:full과 함께 작동하지만 중복되는 것 같습니다. 감사합니다.

안녕! 여기에는 최소 권한 로그 읽기 권한에 대한 몇 가지 예가 있습니다. 생성 및 넣기 작업이 없는 예 3은 필요한 것을 제공해야 합니다. https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/iam-identity-based-access-control-cwl.html




Hi AWS-User-1046823,

Amazon Cognito와 같은 OIDC(Open ID Connect) 공급자를 사용하여 SDK 클라이언트에 토큰을 발급한 다음 WebIdentity 로 역할을 맡을 수 있습니다. 역할에 대한 신뢰 정책은 다음과 같습니다.

"Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Federated": "arn:aws:iam::11112222333:oidc-provider/token.actions.githubusercontent.com"
      },
      "Action": "sts:AssumeRoleWithWebIdentity",
      "Condition": {
        "StringEquals": {
          "token.actions.githubusercontent.com:aud": "audience.value.configured.on.idp"
        }
      }
    }
  ]

최소 권한 측면에서 위의 역할에 연결하여 AWS 관리형 정책 CloudWatchLogsReadOnlyAccess로 시작하겠습니다. 그런 다음 역할에서 IAM Access Analyzer Policy Generator 를 사용합니다. 하루나 이틀 동안 사용 사례를 실행하면 정책 생성기가 CloudWatchLogsReadOnlyAccess를 대체하는 데 사용할 수 있는 CloudTrail 이벤트를 기반으로 최소 권한 정책을 생성합니다.