Які дозволи / політики для ролі IAM використовуються для сценарію моніторингу CloudWatch

За допомогою сценарію моніторингу CloudWatch (mon-put-instan-data.pl) можна вказати ім'я ролі IAM для надання облікових даних AWS (--aws-iam-role = VALUE).

Я створюю для цього роль IAM (щоб запустити mon-put-instance-data.pl в екземплярі AWS), але які дозволи / політики потрібно надати цій ролі ??

Дякую за твою допомогу

Amazon CloudWatch Моніторинг Сценарії для Linux складається з двох сценаріїв Perl, як з допомогою одного модуля Perl - короткий заглянути в джерело показує наступні дії API AWS використовуються:

• CloudWatchClient.pm- Опишіть теги
• mon-get-instance-stats.pl- GetMetricStatistics , ListMetrics
• mon-put-instance-data.pl- PutMetricData

За допомогою цієї інформації ви можете зібрати свою політику IAM , наприклад, через генератор політик AWS - всеохоплююча політика буде такою:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "cloudwatch:GetMetricStatistics",
        "cloudwatch:ListMetrics",
        "cloudwatch:PutMetricData",
        "ec2:DescribeTags"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

Звичайно, ви можете відмовитися, cloudwatch:GetMetricStatistics cloudwatch:ListMetricsколи просто використовуєте mon-put-instance-data.pl- зауважте, що я фактично не перевіряв код.

Вищезгадана політика дає помилку при запиті версії.

Слід працювати:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Stmt1426849513000",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:GetMetricStatistics",
                "cloudwatch:ListMetrics",
                "cloudwatch:PutMetricAlarm",
                "cloudwatch:PutMetricData",
                "cloudwatch:SetAlarmState"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Існує політика IAM, надана Amazon для CloudWatch. Не потрібно будувати свій власний. CloudWatchFullAccess