Identity and Access Management

какие учетные данные необходимы для использования роли only при чтении журналов из aws cloudwatch

Мы хотим читать события группы журналов с машины ec2,используя aws sdk,мы хотели бы использовать только роль_arn без секретного/ключа доступа,какие минимальные разрешения нужны этой роли? В настоящее время она работает с CloudWatchLogsFullAccess и STS:full,но мы считаем это излишним Спасибо.

Привет! Здесь есть несколько примеров разрешений на чтение журнала с наименьшими привилегиями. Пример 3 без действий создания и размещения должен дать вам то, что вам нужно: https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/iam-identity-based-access-control-cwl.html .




Hi AWS-User-1046823,

Вы можете использовать провайдера Open ID Connect (OIDC), например Amazon Cognito, для выдачи токенов вашему клиенту SDK, а затем взять на себя роль WebIdentity . Политика доверия для роли будет выглядеть примерно так:

"Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Federated": "arn:aws:iam::11112222333:oidc-provider/token.actions.githubusercontent.com"
      },
      "Action": "sts:AssumeRoleWithWebIdentity",
      "Condition": {
        "StringEquals": {
          "token.actions.githubusercontent.com:aud": "audience.value.configured.on.idp"
        }
      }
    }
  ]

Что касается наименьших привилегий, я бы начал с управляемой AWS политики CloudWatchLogsReadOnlyAccess, присоединенной к роли выше. Затем используйте генератор политик IAM Access Analyzer для этой роли. Запустите свой вариант использования на день или два, затем генератор политик создаст политику минимальных привилегий на основе событий CloudTrail, которую вы сможете использовать для замены CloudWatchLogsReadOnlyAccess.