Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# AWS politiques gérées pour Amazon Managed Grafana
Une politique AWS gérée est une politique autonome créée et administrée par AWS. AWS les politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.
N'oubliez pas que les politiques AWS gérées peuvent ne pas accorder d'autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles sont accessibles à tous les AWS clients. Nous vous recommandons de réduire encore les autorisations en définissant des [politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) qui sont propres à vos cas d’utilisation.
Vous ne pouvez pas modifier les autorisations définies dans les politiques AWS gérées. Si les autorisations définies dans une politique AWS gérée sont AWS mises à jour, la mise à jour affecte toutes les identités principales (utilisateurs, groupes et rôles) auxquelles la politique est attachée. AWS est le plus susceptible de mettre à jour une politique AWS gérée lorsqu'une nouvelle politique Service AWS est lancée ou lorsque de nouvelles opérations d'API sont disponibles pour les services existants.
Pour plus d’informations, consultez [Politiques gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dans le *Guide de l’utilisateur IAM*.
## AWS politique gérée : AWSGrafana AccountAdministrator
AWSGrafanaAccountAdministrator La politique fournit un accès au sein d'Amazon Managed Grafana pour créer et gérer des comptes et des espaces de travail pour l'ensemble de l'organisation.
Vous pouvez les associer AWSGrafana AccountAdministrator à vos entités IAM.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `iam`— Permet aux principaux de répertorier et d'obtenir des rôles IAM afin que l'administrateur puisse associer un rôle à un espace de travail et transmettre des rôles au service Amazon Managed Grafana.
+ `Amazon Managed Grafana`— Permet aux principaux d'accéder en lecture et en écriture à tous les Amazon Managed Grafana APIs.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSGrafanaOrganizationAdmin",
"Effect": "Allow",
"Action": [
"iam:ListRoles"
],
"Resource": "*"
},
{
"Sid": "GrafanaIAMGetRolePermission",
"Effect": "Allow",
"Action": "iam:GetRole",
"Resource": "arn:aws:iam::*:role/*"
},
{
"Sid": "AWSGrafanaPermissions",
"Effect": "Allow",
"Action": [
"grafana:*"
],
"Resource": "*"
},
{
"Sid": "GrafanaIAMPassRolePermission",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringLike": {
"iam:PassedToService": "grafana.amazonaws.com"
}
}
}
]
}
```
------
## AWS politique gérée : AWSGrafana WorkspacePermissionManagement (obsolète)
Cette politique est obsolète. Cette politique ne doit pas être associée à de nouveaux utilisateurs, groupes ou rôles.
Amazon Managed Grafana a ajouté une nouvelle politique, [AWSGrafanaWorkspacePermissionManagementV2](#security-iam-awsmanpol-AWSGrafanaWorkspacePermissionManagementV2), pour remplacer cette politique. Cette nouvelle politique gérée améliore la sécurité de votre espace de travail en fournissant un ensemble d'autorisations plus restrictif.
## AWS politique gérée : AWSGrafana WorkspacePermissionManagement V2
AWSGrafanaWorkspacePermissionManagementLa politique V2 permet uniquement de mettre à jour les autorisations des utilisateurs et des groupes pour les espaces de travail Amazon Managed Grafana.
Vous pouvez associer la AWSGrafana WorkspacePermissionManagement V2 à vos entités IAM.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `Amazon Managed Grafana`— Permet aux directeurs de lire et de mettre à jour les autorisations des utilisateurs et des groupes pour les espaces de travail Amazon Managed Grafana.
+ `IAM Identity Center`— Permet aux principaux de lire les entités du centre d'identité IAM. C'est une étape nécessaire pour associer les principaux aux applications Amazon Managed Grafana, mais cela nécessite également une étape supplémentaire, décrite après la liste des politiques qui suit.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AWSGrafanaPermissions",
"Effect": "Allow",
"Action": [
"grafana:DescribeWorkspace",
"grafana:DescribeWorkspaceAuthentication",
"grafana:UpdatePermissions",
"grafana:ListPermissions",
"grafana:ListWorkspaces"
],
"Resource": "arn:aws:grafana:*:*:/workspaces*"
},
{
"Sid": "IAMIdentityCenterPermissions",
"Effect": "Allow",
"Action": [
"sso:DescribeRegisteredRegions",
"sso:GetSharedSsoConfiguration",
"sso:ListDirectoryAssociations",
"sso:GetManagedApplicationInstance",
"sso:ListProfiles",
"sso:GetProfile",
"sso:ListProfileAssociations",
"sso-directory:DescribeUser",
"sso-directory:DescribeGroup"
],
"Resource": "*"
}
]
}
```
------
**Une politique supplémentaire est nécessaire**
Pour permettre pleinement à un utilisateur d'attribuer des autorisations, outre la `AWSGrafanaWorkspacePermissionManagementV2` politique, vous devez également attribuer une politique pour fournir un accès à l'attribution des applications dans IAM Identity Center.
Pour créer cette politique, vous devez d'abord collecter l'**ARN de l'application Grafana** pour votre espace de travail
1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Choisissez **Applications** dans le menu de gauche.
1. Dans l'onglet **AWS géré**, recherchez l'application **Amazon Grafana- *workspace-name, où se `workspace-name` trouve le nom*** de votre espace de travail. Sélectionnez le nom de l'application.
1. L'application IAM Identity Center gérée par Amazon Managed Grafana pour l'espace de travail est affichée. L'ARN de cette application est affiché sur la page de détails. Ce sera sous la forme :`arn:aws:sso::owner-account-id:application/ssoins-unique-id/apl-unique-id`.
La politique que vous créez doit ressembler à ce qui suit. *grafana-application-arn*Remplacez-le par l'ARN que vous avez trouvé à l'étape précédente :
Pour plus d'informations sur la façon de créer et d'appliquer une politique à vos rôles ou à vos utilisateurs, consultez la section [Ajouter et supprimer des autorisations d'identité IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) dans le *guide de l'Gestion des identités et des accès AWS utilisateur*.
## AWS politique gérée : AWSGrafana ConsoleReadOnlyAccess
AWSGrafanaConsoleReadOnlyAccess cette politique accorde l'accès aux opérations en lecture seule dans Amazon Managed Grafana.
Vous pouvez les associer AWSGrafana ConsoleReadOnlyAccess à vos entités IAM.
**Détails de l’autorisation**
Cette politique inclut l’autorisation suivante.
+ `Amazon Managed Grafana`— Permet aux principaux d'accéder en lecture seule à Amazon Managed Grafana APIs
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSGrafanaConsoleReadOnlyAccess",
"Effect": "Allow",
"Action": ["grafana:Describe*", "grafana:List*"],
"Resource": "*"
}
]
}
```
------
## AWS politique gérée : AmazonGrafanaRedshiftAccess
Cette politique accorde un accès limité à Amazon Redshift et aux dépendances nécessaires pour utiliser le plug-in Amazon Redshift dans Amazon Managed Grafana. AmazonGrafanaRedshiftAccess cette politique permet à un utilisateur ou à un rôle IAM d'utiliser le plug-in de source de données Amazon Redshift dans Grafana. Les informations d'identification temporaires pour les bases de données Amazon Redshift sont limitées à l'utilisateur de la base de données `redshift_data_api_user` et les informations d'identification provenant de Secrets Manager peuvent être récupérées si le secret est marqué avec la clé. `RedshiftQueryOwner` Cette politique autorise l'accès aux clusters Amazon Redshift étiquetés avec. `GrafanaDataSource` Lors de la création d'une politique gérée par le client, l'authentification basée sur les balises est facultative.
Vous pouvez les associer AmazonGrafanaRedshiftAccess à vos entités IAM. Amazon Managed Grafana associe également cette politique à un rôle de service qui permet à Amazon Managed Grafana d'effectuer des actions en votre nom.
**Détails de l’autorisation**
Cette politique inclut l’autorisation suivante.
+ `Amazon Redshift`— Permet aux principaux de décrire les clusters et d'obtenir des informations d'identification temporaires pour un utilisateur de base de données nommé`redshift_data_api_user`.
+ `Amazon Redshift–data`— Permet aux principaux d'exécuter des requêtes sur des clusters étiquetés comme`GrafanaDataSource`.
+ `Secrets Manager`— Permet aux principaux de répertorier les secrets et de lire les valeurs secrètes des secrets étiquetés comme`RedshiftQueryOwner`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"redshift:DescribeClusters",
"redshift-data:GetStatementResult",
"redshift-data:DescribeStatement",
"secretsmanager:ListSecrets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"redshift-data:DescribeTable",
"redshift-data:ExecuteStatement",
"redshift-data:ListTables",
"redshift-data:ListSchemas"
],
"Resource": "*",
"Condition": {
"Null": {
"aws:ResourceTag/GrafanaDataSource": "false"
}
}
},
{
"Effect": "Allow",
"Action": "redshift:GetClusterCredentials",
"Resource": [
"arn:aws:redshift:*:*:dbname:*/*",
"arn:aws:redshift:*:*:dbuser:*/redshift_data_api_user"
]
},
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": "*",
"Condition": {
"Null": {
"secretsmanager:ResourceTag/RedshiftQueryOwner": "false"
}
}
}
]
}
```
------
## AWS politique gérée : AmazonGrafanaAthenaAccess
Cette politique accorde l'accès à Athena et aux dépendances nécessaires pour permettre d'interroger et d'écrire des résultats sur Amazon S3 à partir du plugin Athena dans Amazon Managed Grafana. AmazonGrafanaAthenaAccesscette politique permet à un utilisateur ou à un rôle IAM d'utiliser le plugin de source de données Athena dans Grafana. Les groupes de travail Athena doivent être marqués avec un tag `GrafanaDataSource` pour être accessibles. Cette politique contient des autorisations pour écrire les résultats des requêtes dans un compartiment Amazon S3 dont le nom est préfixé par`grafana-athena-query-results-`. Les autorisations Amazon S3 permettant d'accéder à la source de données sous-jacente d'une requête Athena ne sont pas incluses dans cette politique.
Vous pouvez associer une AWSGrafana AthenaAccess politique à vos entités IAM. Amazon Managed Grafana associe également cette politique à un rôle de service qui permet à Amazon Managed Grafana d'effectuer des actions en votre nom.
**Détails de l’autorisation**
Cette politique inclut l’autorisation suivante.
+ `Athena`— Permet aux directeurs d'exécuter des requêtes sur les ressources Athena dans les groupes de travail étiquetés comme. `GrafanaDataSource`
+ `Amazon S3`— Permet aux principaux de lire et d'écrire les résultats des requêtes dans un compartiment préfixé par. `grafana-athena-query-results-`
+ `AWS Glue`— Permet aux principaux d'accéder aux bases de données, aux tables et aux partitions de AWS Glue. Cela est nécessaire pour que le principal puisse utiliser le catalogue de données AWS Glue avec Athena.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"athena:GetDatabase",
"athena:GetDataCatalog",
"athena:GetTableMetadata",
"athena:ListDatabases",
"athena:ListDataCatalogs",
"athena:ListTableMetadata",
"athena:ListWorkGroups"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"athena:GetQueryExecution",
"athena:GetQueryResults",
"athena:GetWorkGroup",
"athena:StartQueryExecution",
"athena:StopQueryExecution"
],
"Resource": [
"*"
],
"Condition": {
"Null": {
"aws:ResourceTag/GrafanaDataSource": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"glue:GetDatabase",
"glue:GetDatabases",
"glue:GetTable",
"glue:GetTables",
"glue:GetPartition",
"glue:GetPartitions",
"glue:BatchGetPartition"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:GetObject",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:ListMultipartUploadParts",
"s3:AbortMultipartUpload",
"s3:CreateBucket",
"s3:PutObject",
"s3:PutBucketPublicAccessBlock"
],
"Resource": [
"arn:aws:s3:::grafana-athena-query-results-*"
]
}
]
}
```
------
## AWS politique gérée : AmazonGrafanaCloudWatchAccess
Cette politique accorde l'accès à Amazon CloudWatch et aux dépendances nécessaires à l'utilisation en CloudWatch tant que source de données dans Amazon Managed Grafana.
Vous pouvez associer une AWSGrafana CloudWatchAccess politique à vos entités IAM. Amazon Managed Grafana associe également cette politique à un rôle de service qui permet à Amazon Managed Grafana d'effectuer des actions en votre nom.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `CloudWatch`— Permet aux principaux de répertorier et d'obtenir des données métriques et des journaux auprès d'Amazon CloudWatch. Il permet également de visualiser les données partagées à partir de comptes sources dans le cadre d'une CloudWatch observabilité entre comptes.
+ `Amazon EC2`— Permet aux directeurs d'obtenir des informations sur les ressources surveillées.
+ `Tags`— Permet aux principaux d'accéder aux balises des ressources, afin de filtrer les requêtes CloudWatch métriques.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:DescribeAlarmsForMetric",
"cloudwatch:DescribeAlarmHistory",
"cloudwatch:DescribeAlarms",
"cloudwatch:ListMetrics",
"cloudwatch:GetMetricStatistics",
"cloudwatch:GetMetricData",
"cloudwatch:GetInsightRuleReport"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups",
"logs:GetLogGroupFields",
"logs:StartQuery",
"logs:StopQuery",
"logs:GetQueryResults",
"logs:GetLogEvents"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeTags",
"ec2:DescribeInstances",
"ec2:DescribeRegions"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "tag:GetResources",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"oam:ListSinks",
"oam:ListAttachedLinks"
],
"Resource": "*"
}
]
}
```
------
## Amazon Managed Grafana met à jour les AWS politiques gérées
Consultez les informations relatives aux mises à jour des politiques AWS gérées pour Amazon Managed Grafana depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS sur la page d'[historique des documents Amazon Managed Grafana](doc-history.md).
| Modifier | Description | Date |
| --- | --- | --- |
| [AWSGrafanaWorkspacePermissionManagement](#security-iam-awsmanpol-AWSGrafanaWorkspacePermissionManagement)— obsolète | Cette stratégie a été remplacée par **AWSGrafanaWorkspacePermissionManagementV2**. Cette politique est considérée comme obsolète et ne sera plus mise à jour. La nouvelle politique améliore la sécurité de votre espace de travail en fournissant un ensemble d'autorisations plus restrictif. | 5 janvier 2024 |
| [AWSGrafanaWorkspacePermissionManagementV2](#security-iam-awsmanpol-AWSGrafanaWorkspacePermissionManagementV2) — Nouvelle politique | Amazon Managed Grafana a ajouté une nouvelle politique **AWSGrafanaWorkspacePermissionManagementV2**pour remplacer la politique obsolète **AWSGrafanaWorkspacePermissionManagement**. Cette nouvelle politique gérée améliore la sécurité de votre espace de travail en fournissant un ensemble d'autorisations plus restrictif. | 5 janvier 2024 |
| [AmazonGrafanaCloudWatchAccess](#security-iam-awsmanpol-AmazonGrafanaCloudWatchAccess) : nouvelle politique | Amazon Managed Grafana a ajouté une nouvelle politique. **AmazonGrafanaCloudWatchAccess** | 24 mars 2023 |
| [AWSGrafanaWorkspacePermissionManagement](#security-iam-awsmanpol-AWSGrafanaWorkspacePermissionManagement) : mise à jour d’une politique existante | Amazon Managed Grafana a ajouté de nouvelles autorisations **AWSGrafanaWorkspacePermissionManagement**afin que les utilisateurs et les groupes d'IAM Identity Center dans Active Directory puissent être associés aux espaces de travail Grafana. Les autorisations suivantes ont été ajoutées : `sso-directory:DescribeUser` et `sso-directory:DescribeGroup` | 14 mars 2023 |
| [AWSGrafanaWorkspacePermissionManagement](#security-iam-awsmanpol-AWSGrafanaWorkspacePermissionManagement) : mise à jour d’une politique existante | Amazon Managed Grafana a ajouté de nouvelles autorisations **AWSGrafanaWorkspacePermissionManagement**afin que les utilisateurs et les groupes d'IAM Identity Center puissent être associés aux espaces de travail Grafana. Les autorisations suivantes ont été ajoutées : `sso:DescribeRegisteredRegions``sso:GetSharedSsoConfiguration`,`sso:ListDirectoryAssociations`,`sso:GetManagedApplicationInstance`,`sso:ListProfiles`,`sso:AssociateProfile`,`sso:DisassociateProfile`,`sso:GetProfile`, et`sso:ListProfileAssociations`. | 20 décembre 2022 |
| [AmazonGrafanaServiceLinkedRolePolicy](using-service-linked-roles.md)— Nouvelle politique SLR | Amazon Managed Grafana a ajouté une nouvelle politique pour le rôle lié au service Grafana,. **AmazonGrafanaServiceLinkedRolePolicy** | 18 novembre 2022 |
| [AWSGrafanaAccountAdministrator](#security-iam-awsmanpol-AWSGrafanaAccountAdministrator), [AWSGrafanaConsoleReadOnlyAccess](#security-iam-awsmanpol-AWSGrafanaConsoleReadOnlyAccess) | Autoriser l'accès à toutes les ressources Amazon Managed Grafana | 17 février 2022 |
| [AmazonGrafanaRedshiftAccess](#security-iam-awsmanpol-AmazonGrafanaRedshiftAccess) : nouvelle politique | Amazon Managed Grafana a ajouté une nouvelle politique. **AmazonGrafanaRedshiftAccess** | 26 novembre 2021 |
| [AmazonGrafanaAthenaAccess](#security-iam-awsmanpol-AmazonGrafanaAthenaAccess) : nouvelle politique | Amazon Managed Grafana a ajouté une nouvelle politique. **AmazonGrafanaAthenaAccess** | 22 novembre 2021 |
| [AWSGrafanaAccountAdministrator](#security-iam-awsmanpol-AWSGrafanaAccountAdministrator) : mise à jour d’une politique existante | Amazon Managed Grafana a supprimé les autorisations de. **AWSGrafanaAccountAdministrator** L'`iam:CreateServiceLinkedRole`autorisation accordée au `sso.amazonaws.com` service a été supprimée, et nous vous recommandons plutôt de joindre la **AWSSSOMasterAccountAdministrator**politique pour accorder cette autorisation à un utilisateur. | 13 octobre 2021 |
| [AWSGrafanaWorkspacePermissionManagement](#security-iam-awsmanpol-AWSGrafanaWorkspacePermissionManagement) : mise à jour d’une politique existante | Amazon Managed Grafana a ajouté de nouvelles autorisations **AWSGrafanaWorkspacePermissionManagement**afin que les utilisateurs soumis à cette politique puissent voir les méthodes d'authentification associées aux espaces de travail. L'`grafana:DescribeWorkspaceAuthentication`autorisation a été ajoutée. | 21 septembre 2021 |
| [AWSGrafanaConsoleReadOnlyAccess](#security-iam-awsmanpol-AWSGrafanaConsoleReadOnlyAccess) : mise à jour d’une politique existante | Amazon Managed Grafana a ajouté de nouvelles autorisations **AWSGrafanaConsoleReadOnlyAccess**afin que les utilisateurs soumis à cette politique puissent voir les méthodes d'authentification associées aux espaces de travail. Les `grafana:List*` autorisations `grafana:Describe*` et ont été ajoutées à la politique, et elles remplacent les autorisations plus étroites précédentes `grafana:DescribeWorkspace``grafana:ListPermissions`, et`grafana:ListWorkspaces`. | 21 septembre 2021 |
| Amazon Managed Grafana a commencé à suivre les modifications | Amazon Managed Grafana a commencé à suivre les modifications apportées à ses politiques AWS gérées. | 9 septembre 2021 |