Настройка идентификации AWS

Перед настройкой источника данных CloudWatch в IBM Cloud Pak® for Security необходимо узнать идентификационные данные учетной записи пользователя AWS. Для настройки идентификации AWS и получения необходимых значений выполните нужную процедуру в зависимости от того типа идентификации, который планируется применять.

Прежде чем начать

Войдите в консоль управления AWS как администратор.
На вкладке Служба найдите и выберите "IAM".

Для идентификации на основе ключа выполните шаги 1-4. Для идентификации на основе ролей выполните шаги 1-6 без шагов настройки групп.

Об этой задаче

AWS Identity and Access Management (IAM) - это веб-служба для безопасного управления доступом к ресурсам AWS. С помощью IAM можно управлять тем, кому и с какими правами доступа разрешено использовать соединение между источником данных CloudWatch и IBM Cloud Pak for Security.

В случае идентификации на основе ключей значения ключей доступа однозначно идентифицируют источник данных, с которым нужно установить соединение. Эти значения применяются для идентификации запроса на подключение. В случае идентификации на основе ролей требуется дополнительный параметр.

Идентификация на основе ролей IAM поддерживает режим доступа AssumeRole, предоставляющий ряд временных разрешений, позволяющих получить доступ к ресурсам AWS, которые обычно вам не доступны.

За дополнительной информацией обратитесь к документу AWS Identity and Access Management Documentation (https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html).

Процедура

Создайте политику.
1. В главном меню выберите Политики.
2. На вкладке Политики выберите Создать политику.
3. Выберите службу CloudWatch Logs.
4. В меню уровня доступа Список выберите DescribeLogGroups.
5. В меню уровня доступа Чтение выберите StartQuery, GetQueryResults и StopQuery.
6. В меню Ресурсы выберите Все ресурсы либо, для предоставления доступа к определенной группе журналов, выберите Выборочно.
7. Нажмите Просмотреть политику.
8. Введите имя политики и нажмите Создать политику.
Создайте группу.
1. В главном меню выберите Группы.
2. На вкладке Группа нажмите Создать группу.
3. Введите имя группы и нажмите Далее.
4. Для подключения политики, созданной на шаге 1, включите переключатель и нажмите Далее.
5. Нажмите Создать группу.
Создайте пользователя.
1. В главном меню выберите Пользователи.
2. На вкладке Пользователи выберите Добавить пользователя.
3. Введите имя пользователя.
4. Включите переключатель Программный доступ.
5. На вкладке Права доступа выберите группу, созданную на шаге 2.
6. На вкладке Теги добавьте ключ и значение тега, если это необходимо.
7. Нажмите Просмотреть.
8. Нажмите Создать пользователя.
Создайте основные разрешения.
1. На вкладке Разрешения защиты пользователя создайте ключ доступа.
2. Загрузите файл .csv разрешений защиты и сохраните его в безопасном расположении.
  
  Секретный ключ доступа можно просмотреть только в момент его создания.
Создайте роль IAM.
1. В главном меню выберите Роли.
2. Нажмите Создать роль.
3. Выберите Другая учетная запись AWS.
4. Введите ИД учетной записи и нажмите Далее: права доступа.
5. Выберите политику, созданную на шаге 1, и нажмите Далее: теги.
6. Добавьте ключ и значение тега, если это необходимо, и нажмите Далее: просмотр.
7. Введите имя роли, проверьте информацию и нажмите Создать роль.
Настройте доверительные отношения.
1. Выберите роль IAM, созданную на шаге 5.
2. Перейдите на страницу сводной информации и запишите значение, показанное в поле ARN роли.
3. Откройте вкладку Доверительные отношения и нажмите Изменить доверительные отношения.
  
  По умолчанию в разделе Субъект добавлен пользователь root.
4. Измените значение в поле Субъект на пользователя, созданного на шаге 3.
5. Нажмите Обновить политику доверия.
  
  У большинства ресурсов есть удобное имя (например, пользователь Боб или группа Разработчики). Однако язык политик прав доступа предполагает, что ресурсы задаются с помощью имен ресурсов Amazon (Amazon Resource Name, ARN).