Identity and Access Management

que credenciais são necessárias para utilizar apenas o papel quando se lêem registos de um relógio de nuvens

Gostaríamos de ler eventos de grupos de registo da máquina ec2 usando aws sdk gostaríamos de usar apenas role_arn sem chave secreta/acesso qual é a permissão mínima que este papel precisa? actualmente está a trabalhar com CloudWatchLogsFullAccess e STS:fullAccess mas pensamos que é redundante Obrigado

Oi! Há alguns exemplos aqui para permissões de leitura de log com privilégios mínimos. O exemplo 3 sem as ações create e put deve fornecer o que você precisa: https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/iam-identity-based-access-control-cwl.html




Hi AWS-User-1046823,

Você pode usar um provedor Open ID Connect (OIDC) como o Amazon Cognito para emitir tokens para seu cliente SDK e, em seguida, assumir uma função com WebIdentity . A política de confiança para a função seria algo como:

"Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Federated": "arn:aws:iam::11112222333:oidc-provider/token.actions.githubusercontent.com"
      },
      "Action": "sts:AssumeRoleWithWebIdentity",
      "Condition": {
        "StringEquals": {
          "token.actions.githubusercontent.com:aud": "audience.value.configured.on.idp"
        }
      }
    }
  ]

Em termos de privilégio mínimo, eu começaria com a política gerenciada pela AWS CloudWatchLogsReadOnlyAccess, anexada à função acima. Em seguida, use o IAM Access Analyzer Policy Generator na função. Execute seu caso de uso por um ou dois dias e, em seguida, o Policy Generator criará uma política de privilégios mínimos com base nos eventos do CloudTrail que você pode usar para substituir o CloudWatchLogsReadOnlyAccess.