CloudWatch 모니터링 스크립트와 함께 사용할 IAM 역할에 대한 권한 / 정책

CloudWatch 모니터링 스크립트 (mon-put-instance-data.pl)를 사용하면 IAM 역할 이름을 지정하여 AWS 자격 증명 (--aws-iam-role = VALUE)을 제공 할 수 있습니다.

이 목적을 위해 IAM 역할을 생성하고 있지만 (AWS 인스턴스에서 mon-put-instance-data.pl을 실행)이 역할에 부여 할 권한 / 정책은 무엇입니까?

도와 주셔서 감사합니다

Linux 용 스크립트를 모니터링 아마존 CloudWatch에서이 두 개의 Perl 스크립트로 구성, 모두 하나 개의 펄 모듈을 사용하는 - 소스로 짧은 PEEK는 다음과 같은 AWS의 API 조치를 사용하고 계시 :

• CloudWatchClient.pm- DescribeTags
• mon-get-instance-stats.pl- GetMetricStatistics , ListMetrics
• mon-put-instance-data.pl- PutMetricData

이 정보를 사용 하면 AWS 정책 생성기 를 통해 IAM 정책을 구성 할 수 있습니다 . 모든 정책은 다음과 같습니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "cloudwatch:GetMetricStatistics",
        "cloudwatch:ListMetrics",
        "cloudwatch:PutMetricData",
        "ec2:DescribeTags"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

물론 cloudwatch:GetMetricStatistics cloudwatch:ListMetrics사용하면 떨어질 수 있습니다 mon-put-instance-data.pl. 실제로 코드를 테스트하지는 않았습니다.

위의 정책은 버전을 묻는 오류를 제공합니다.

다음이 작동합니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Stmt1426849513000",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:GetMetricStatistics",
                "cloudwatch:ListMetrics",
                "cloudwatch:PutMetricAlarm",
                "cloudwatch:PutMetricData",
                "cloudwatch:SetAlarmState"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

CloudWatch에 대한 Amazon 제공 IAM 정책이 있습니다. 직접 만들 필요가 없습니다. CloudWatchFullAccess