配置 AWS 认证

在线编辑

在平台中配置 CloudWatch 数据源之前,必须获取 AWS 用户帐户访问凭证的值。 要配置 AWS 认证并获取必需值,请根据所需的认证类型完成此过程。

在开始之前

  1. 以管理员身份登录到 AWS 管理控制台
  2. 服务 选项卡上,搜索并选择 IAM

对于基于密钥的认证,请完成过程步骤 1-4。 对于基于角色的认证,完成过程步骤 1-6,而不包括“组”步骤。

关于此任务

AWS Identity and Access Management (IAM) 是一个 Web Service ,可帮助您安全地控制对 AWS 资源的访问。 使用 IAM 来控制认证和授权谁使用 CloudWatch 数据源与平台之间的连接。

利用基于密钥的认证,访问密钥值唯一标识想要与之建立连接的数据源。 需要这些值才能认证连接请求。 使用基于角色的认证,需要额外的参数值。

IAM 基于角色的认证适用于 AssumeRole 访问,这提供了一组临时安全凭证,可用于访问通常无法访问的 AWS 资源。

有关更多信息,请参阅 AWS Identity and Access Management 文档 (https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html)。

程序

  1. 创建策略。
    1. 从主菜单中单击 策略
    2. 策略 选项卡上,单击 创建策略
    3. 选择服务 CloudWatch 日志
    4. 列表 访问级别菜单中,选择 DescribeLog组
    5. 访问级别菜单中,选择 StartQueryGetQueryResultsStopQuery
    6. 资源 菜单中,选择 所有资源; 或者,要访问特定日志组,请选择 特定
    7. 单击 复审策略
    8. 输入策略名称,然后单击 创建策略
  2. 创建组。
    1. 从主菜单中单击
    2. 选项卡上,单击 创建组
    3. 输入组的名称,然后单击 下一步
    4. 要附加在步骤 1 中创建的策略,请选中该复选框,然后单击 下一步
    5. 单击 创建组
  3. 创建用户。
    1. 从主菜单中单击 用户
    2. 用户 选项卡上,单击 添加用户
    3. 输入用户名。
    4. 选中 程序化访问 复选框。
    5. 许可权 选项卡上,选择在步骤 2 中创建的组。
    6. 标记 选项卡上,添加标记键和值 (如果需要)。
    7. 单击 复审
    8. 单击 创建用户
  4. 创建基本安全凭证。
    1. 在用户的 安全凭证 选项卡上,创建访问密钥。
    2. 下载安全凭证 .csv 文件并将其存储在安全位置。

      您只能在创建私钥访问密钥时查看该密钥。

  5. 创建 IAM 角色。
    1. 从主菜单中,选择 角色
    2. 单击 创建角色
    3. 选择 另一个 AWS 帐户
    4. 输入您在步骤 3 中创建的用户的帐户标识,然后单击 下一步: 许可权
    5. 选择在步骤 1 中创建的策略,然后单击 下一步: 标记
    6. 添加标记键和值 (如果需要) ,然后单击 下一步: 复审
    7. 输入角色名称,查看信息,然后单击 创建角色
  6. 创建信任关系。
    1. 选择在步骤 5 中创建的 IAM 角色。
    2. 在 "摘要" 页面上,记下角色 ARN (Amazon Resource Name)的值。
    3. 选择 信任关系 选项卡,然后单击 编辑信任关系

      缺省情况下,系统会在主体部分中添加 root 用户。

    4. 使用步骤 3 中创建的用户的值更新 主体 值。
    5. 单击 更新信任策略

      大多数资源具有友好名称(例如,名为 Bob 的用户或名为 Developers 的组)。 但是,许可权策略语言要求您使用 Amazon Resource Name (ARN) 格式指定一个或多个资源。