기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# AWS Amazon Managed Grafana에 대한 관리형 정책
AWS 관리형 정책은에서 생성하고 관리하는 독립 실행형 정책입니다 AWS. AWS 관리형 정책은 사용자, 그룹 및 역할에 권한 할당을 시작할 수 있도록 많은 일반적인 사용 사례에 대한 권한을 제공하도록 설계되었습니다.
AWS 관리형 정책은 모든 AWS 고객이 사용할 수 있으므로 특정 사용 사례에 대해 최소 권한을 부여하지 않을 수 있습니다. 사용 사례에 고유한 [고객 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)을 정의하여 권한을 줄이는 것이 좋습니다.
AWS 관리형 정책에 정의된 권한은 변경할 수 없습니다. 가 관리형 정책에 정의된 권한을 AWS 업데이트하는 AWS 경우 업데이트는 정책이 연결된 모든 보안 주체 자격 증명(사용자, 그룹 및 역할)에 영향을 줍니다. AWS AWS 서비스 는 새가 시작되거나 기존 서비스에 새 API 작업을 사용할 수 있게 될 때 AWS 관리형 정책을 업데이트할 가능성이 높습니다.
자세한 내용은 *IAM 사용자 가이드*의 [AWS 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)을 참조하세요.
## AWS 관리형 정책: AWSGrafanaAccountAdministrator
AWSGrafanaAccountAdministrator 정책에서는 Amazon Managed Grafana 내에서 조직 전체를 위한 워크스페이스를 생성하고 관리할 수 있는 액세스를 제공합니다.
AWSGrafanaAccountAdministrator를 IAM 엔터티에 연결할 수 있습니다.
**권한 세부 정보**
이 정책에는 다음 권한이 포함되어 있습니다.
+ `iam` - 위탁자가 IAM 역할을 나열하고 가져오도록 허용합니다. 이를 통해 관리자가 역할을 워크스페이스에 연결하고 역할을 Amazon Managed Grafana 서비스에 전달할 수 있습니다.
+ `Amazon Managed Grafana` - 위탁자에게 모든 Amazon Managed Grafana API에 대한 읽기 및 쓰기 액세스를 허용합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSGrafanaOrganizationAdmin",
"Effect": "Allow",
"Action": [
"iam:ListRoles"
],
"Resource": "*"
},
{
"Sid": "GrafanaIAMGetRolePermission",
"Effect": "Allow",
"Action": "iam:GetRole",
"Resource": "arn:aws:iam::*:role/*"
},
{
"Sid": "AWSGrafanaPermissions",
"Effect": "Allow",
"Action": [
"grafana:*"
],
"Resource": "*"
},
{
"Sid": "GrafanaIAMPassRolePermission",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::*:role/*",
"Condition": {
"StringLike": {
"iam:PassedToService": "grafana.amazonaws.com"
}
}
}
]
}
```
------
## AWS 관리형 정책: AWSGrafanaWorkspacePermissionManagement(사용되지 않음)
이 정책은 더 이상 사용되지 않습니다. 이 정책은 다른 사용자, 그룹 또는 역할에 연결되어서는 안 됩니다.
Amazon Managed Grafana는 이 정책을 대체하기 위해 [AWSGrafanaWorkspacePermissionManagementV2](#security-iam-awsmanpol-AWSGrafanaWorkspacePermissionManagementV2)라는 새 정책을 추가했습니다. 이 새로운 관리형 정책은 보다 제한적인 권한 세트를 제공하여 워크스페이스에 대한 보안을 향상시킵니다.
## AWS 관리형 정책: AWSGrafanaWorkspacePermissionManagementV2
AWSGrafanaWorkspacePermissionManagementV2 정책은 Amazon Managed Grafana 워크스페이스에 대한 사용자 및 그룹 권한을 업데이트하는 기능만 제공합니다.
AWSGrafanaWorkspacePermissionManagementV2를 IAM 엔터티에 연결할 수 없습니다.
**권한 세부 정보**
이 정책에는 다음 권한이 포함되어 있습니다.
+ `Amazon Managed Grafana` - 위탁자가 Amazon Managed Grafana 워크스페이스에 대한 사용자 및 그룹 권한을 읽고 업데이트하도록 허용합니다.
+ `IAM Identity Center` - 위탁자가 IAM Identity Center 엔터티를 읽도록 허용합니다. 이는 위탁자를 Amazon Managed Grafana 애플리케이션과 연결하는 데 필요한 부분이지만, 다음에 나오는 정책 목록 이후에 설명된 추가 단계도 필요합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AWSGrafanaPermissions",
"Effect": "Allow",
"Action": [
"grafana:DescribeWorkspace",
"grafana:DescribeWorkspaceAuthentication",
"grafana:UpdatePermissions",
"grafana:ListPermissions",
"grafana:ListWorkspaces"
],
"Resource": "arn:aws:grafana:*:*:/workspaces*"
},
{
"Sid": "IAMIdentityCenterPermissions",
"Effect": "Allow",
"Action": [
"sso:DescribeRegisteredRegions",
"sso:GetSharedSsoConfiguration",
"sso:ListDirectoryAssociations",
"sso:GetManagedApplicationInstance",
"sso:ListProfiles",
"sso:GetProfile",
"sso:ListProfileAssociations",
"sso-directory:DescribeUser",
"sso-directory:DescribeGroup"
],
"Resource": "*"
}
]
}
```
------
**추가 정책이 필요함**
사용자가 권한을 할당할 수 있도록 최대한 허용하려면 `AWSGrafanaWorkspacePermissionManagementV2` 정책 외에도 IAM Identity Center에서 애플리케이션 할당에 대한 액세스를 제공하기 위한 정책도 할당해야 합니다.
이 정책을 생성하려면 먼저 워크스페이스에 대한 **Grafana 애플리케이션 ARN**을 수집해야 합니다.
1. [IAM Identity Center 콘솔](https://console.aws.amazon.com/singlesignon)을 엽니다.
1. 왼쪽 메뉴에서 **애플리케이션**을 선택하세요.
1. **AWS 관리형** 탭에서 **Amazon Grafana-*workspace-name***이라는 애플리케이션을 찾으세요. 여기서, `workspace-name`는 워크스페이스 이름입니다. 애플리케이션 이름을 선택하세요.
1. Amazon Managed Grafana에서 관리하는 워크스페이스에 대한 IAM Identity Center 애플리케이션이 표시됩니다. 이 애플리케이션의 ARN은 세부 정보 페이지에 표시됩니다. `arn:aws:sso::owner-account-id:application/ssoins-unique-id/apl-unique-id` 양식입니다.
생성한 정책은 다음과 비슷합니다. *grafana-application-arn*을 이전 단계에서 찾은 ARN으로 바꿉니다.
정책을 생성하고 역할 또는 사용자에 정책을 적용하는 방법에 대한 자세한 내용은 *AWS Identity and Access Management 사용 설명서*의 [IAM 자격 증명 권한 추가 및 제거](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)를 참조하세요.
## AWS 관리형 정책: AWSGrafanaConsoleReadOnlyAccess
AWSGrafanaConsoleReadOnlyAccess 정책은 Amazon Managed Grafana의 읽기 전용 작업에 대한 액세스 권한을 부여합니다.
AWSGrafanaConsoleReadOnlyAccess를 IAM 엔터티에 연결할 수 있습니다.
**권한 세부 정보**
이 정책에는 다음 권한이 포함되어 있습니다.
+ `Amazon Managed Grafana` - 위탁자에게 Amazon Managed Grafana API에 대한 읽기 전용 액세스 허용
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSGrafanaConsoleReadOnlyAccess",
"Effect": "Allow",
"Action": ["grafana:Describe*", "grafana:List*"],
"Resource": "*"
}
]
}
```
------
## AWS 관리형 정책: AmazonGrafanaRedshiftAccess
이 정책은 Amazon Redshift 및 Amazon Managed Grafana의 Amazon Redshift 플러그인을 사용하는 데 필요한 종속 항목에 대한 범위 지정된 액세스를 부여합니다. AmazonGrafanaRedshiftAccess 정책은 사용자 또는 IAM 역할이 Grafana에서 Amazon Redshift 데이터 소스 플러그인을 사용할 수 있도록 허용합니다. Amazon Redshift 데이터베이스의 임시 자격 증명은 `redshift_data_api_user` 데이터베이스 사용자에게 적용되고 보안 암호가 `RedshiftQueryOwner` 키로 태그 지정된 경우 Secrets Manager의 자격 증명을 검색할 수 있습니다. 이 정책에서는 `GrafanaDataSource`로 태그 지정된 Amazon Redshift 클러스터에 대한 액세스를 허용합니다. 고객 관리형 정책을 생성할 때 태그 기반 인증은 선택 사항입니다.
AmazonGrafanaRedshiftAccess를 IAM 엔터티에 연결할 수 있습니다. Amazon Managed Grafana는 사용자를 대신하여 서비스 역할에서 작업을 수행할 수 있도록 허용하는 서비스 역할에도 이 정책을 연결합니다.
**권한 세부 정보**
이 정책에는 다음 권한이 포함되어 있습니다.
+ `Amazon Redshift` - 위탁자가 클러스터를 설명하고 이름이 `redshift_data_api_user`인 데이터베이스 사용자의 임시 자격 증명을 확보하도록 허용합니다.
+ `Amazon Redshift–data` - 위탁자가 `GrafanaDataSource`로 태그 지정된 클러스터에서 쿼리를 실행하도록 허용합니다.
+ `Secrets Manager` - 위탁자가 보안 암호를 나열하고 `RedshiftQueryOwner`로 태그 지정된 보안 암호의 보안 암호 값을 읽도록 허용합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"redshift:DescribeClusters",
"redshift-data:GetStatementResult",
"redshift-data:DescribeStatement",
"secretsmanager:ListSecrets"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"redshift-data:DescribeTable",
"redshift-data:ExecuteStatement",
"redshift-data:ListTables",
"redshift-data:ListSchemas"
],
"Resource": "*",
"Condition": {
"Null": {
"aws:ResourceTag/GrafanaDataSource": "false"
}
}
},
{
"Effect": "Allow",
"Action": "redshift:GetClusterCredentials",
"Resource": [
"arn:aws:redshift:*:*:dbname:*/*",
"arn:aws:redshift:*:*:dbuser:*/redshift_data_api_user"
]
},
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": "*",
"Condition": {
"Null": {
"secretsmanager:ResourceTag/RedshiftQueryOwner": "false"
}
}
}
]
}
```
------
## AWS 관리형 정책: AmazonGrafanaAthenaAccess
이 정책에서는 Athena 및 Amazon Managed Grafana의 Athena 플러그인에서 Amazon S3로 결과를 쿼리하고 작성하는 데 필요한 종속 항목에 대한 액세스를 부여합니다. AmazonGrafanaAthenaAccess 정책은 사용자 또는 IAM 역할이 Grafana에서 Athena 데이터 소스 플러그인을 사용하도록 허용합니다. 액세스하려면 Athena 작업 그룹에 `GrafanaDataSource` 태그를 지정해야 합니다. 이 정책에는 이름에 `grafana-athena-query-results-` 접두사가 추가된 Amazon S3 버킷에서 쿼리 결과를 작성할 수 있는 권한이 포함되어 있습니다. Athena 쿼리의 기본 데이터 소스에 액세스하기 위한 Amazon S3 권한은 이 정책에 포함되지 않습니다.
AWSGrafanaAthenaAccess 정책을 IAM 엔터티에 연결할 수 있습니다. Amazon Managed Grafana는 사용자를 대신하여 서비스 역할에서 작업을 수행할 수 있도록 허용하는 서비스 역할에도 이 정책을 연결합니다.
**권한 세부 정보**
이 정책에는 다음 권한이 포함되어 있습니다.
+ `Athena` - 위탁자가 `GrafanaDataSource`로 태그 지정된 작업 그룹의 Athena 리소스에서 쿼리를 실행하도록 허용합니다.
+ `Amazon S3` - 위탁자가 `grafana-athena-query-results-` 접두사가 추가된 버킷에 대한 쿼리 결과를 읽고 쓸 수 있도록 허용합니다.
+ `AWS Glue` - 보안 주체가 AWS Glue 데이터베이스, 테이블 및 파티션에 액세스할 수 있도록 허용합니다. 위탁자가 Athena에서 AWS Glue Data Catalog를 사용하려면 이 권한이 필수입니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"athena:GetDatabase",
"athena:GetDataCatalog",
"athena:GetTableMetadata",
"athena:ListDatabases",
"athena:ListDataCatalogs",
"athena:ListTableMetadata",
"athena:ListWorkGroups"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"athena:GetQueryExecution",
"athena:GetQueryResults",
"athena:GetWorkGroup",
"athena:StartQueryExecution",
"athena:StopQueryExecution"
],
"Resource": [
"*"
],
"Condition": {
"Null": {
"aws:ResourceTag/GrafanaDataSource": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"glue:GetDatabase",
"glue:GetDatabases",
"glue:GetTable",
"glue:GetTables",
"glue:GetPartition",
"glue:GetPartitions",
"glue:BatchGetPartition"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:GetObject",
"s3:ListBucket",
"s3:ListBucketMultipartUploads",
"s3:ListMultipartUploadParts",
"s3:AbortMultipartUpload",
"s3:CreateBucket",
"s3:PutObject",
"s3:PutBucketPublicAccessBlock"
],
"Resource": [
"arn:aws:s3:::grafana-athena-query-results-*"
]
}
]
}
```
------
## AWS 관리형 정책: AmazonGrafanaCloudWatchAccess
이 정책에서는 Amazon CloudWatch 및 Amazon Managed Grafana 내에서 CloudWatch를 데이터 소스로 사용하는 데 필요한 종속 항목에 대한 액세스를 부여합니다.
AWSGrafanaCloudWatchAccess 정책을 IAM 엔터티에 연결할 수 있습니다. Amazon Managed Grafana는 사용자를 대신하여 서비스 역할에서 작업을 수행할 수 있도록 허용하는 서비스 역할에도 이 정책을 연결합니다.
**권한 세부 정보**
이 정책에는 다음 권한이 포함되어 있습니다.
+ `CloudWatch` - 위틱자가 Amazon CloudWatch에서 지표를 나열하고 지표 데이터를 가져오도록 허용합니다. 또한 CloudWatch 교차 계정 관찰성에서 소스 계정으로부터 공유된 데이터를 볼 수 있습니다.
+ `Amazon EC2` - 위탁자가 모니터링 중인 리소스에 대한 세부 정보를 가져오도록 허용합니다.
+ `Tags` - 위탁자가 리소스의 태그에 액세스하여 CloudWatch 지표 쿼리를 필터링할 수 있도록 허용합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:DescribeAlarmsForMetric",
"cloudwatch:DescribeAlarmHistory",
"cloudwatch:DescribeAlarms",
"cloudwatch:ListMetrics",
"cloudwatch:GetMetricStatistics",
"cloudwatch:GetMetricData",
"cloudwatch:GetInsightRuleReport"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups",
"logs:GetLogGroupFields",
"logs:StartQuery",
"logs:StopQuery",
"logs:GetQueryResults",
"logs:GetLogEvents"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeTags",
"ec2:DescribeInstances",
"ec2:DescribeRegions"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "tag:GetResources",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"oam:ListSinks",
"oam:ListAttachedLinks"
],
"Resource": "*"
}
]
}
```
------
## AWS 관리형 정책에 대한 Amazon Managed Grafana 업데이트
이 서비스가 이러한 변경 사항을 추적하기 시작한 이후부터 Amazon Managed Grafana의 AWS 관리형 정책 업데이트에 대한 세부 정보를 봅니다. 이 페이지의 변경 사항에 대한 자동 알림을 받으려면 [Amazon Managed Grafana 문서 기록](doc-history.md) 페이지에서 RSS 피드를 구독하세요.
| 변경 | 설명 | Date |
| --- | --- | --- |
| [AWSGrafanaWorkspacePermissionManagement](#security-iam-awsmanpol-AWSGrafanaWorkspacePermissionManagement) – 더 이상 사용되지 않음 | 이 정책은 **AWSGrafanaWorkspacePermissionManagementV2**로 대체되었습니다. 이 정책은 더 이상 사용되지 않는 것으로 간주되며 더 이상 업데이트되지 않습니다. 새로운 정책은 보다 제한적인 권한 세트를 제공하여 워크스페이스에 대한 보안을 향상시킵니다. | 2024년 1월 5일 |
| [AWSGrafanaWorkspacePermissionManagementV2](#security-iam-awsmanpol-AWSGrafanaWorkspacePermissionManagementV2) – 새 정책 | Amazon Managed Grafana에서 더 이상 사용되지 않는 **AWSGrafanaWorkspacePermissionManagement** 정책을 대체하기 위해 새 정책, **AWSGrafanaWorkspacePermissionManagementV2**를 추가했습니다. 이 새로운 관리형 정책은 보다 제한적인 권한 세트를 제공하여 워크스페이스에 대한 보안을 향상시킵니다. | 2024년 1월 5일 |
| [AmazonGrafanaCloudWatchAccess](#security-iam-awsmanpol-AmazonGrafanaCloudWatchAccess) – 새 정책 | Amazon Managed Grafana에서 새 정책 **AmazonGrafanaCloudWatchAccess**를 추가했습니다. | 2023년 3월 24일 |
| [AWSGrafanaWorkspacePermissionManagement](#security-iam-awsmanpol-AWSGrafanaWorkspacePermissionManagement) - 기존 정책에 대한 업데이트 | Amazon Managed Grafana에서 Active Directory에서 IAM Identity Center 사용자 및 그룹을 Grafana 워크스페이스와 연결할 수 있도록 **AWSGrafanaWorkspacePermissionManagement**에 새 권한을 추가했습니다. `sso-directory:DescribeUser` 및 `sso-directory:DescribeGroup` 권한이 추가됨 | 2023년 3월 14일 |
| [AWSGrafanaWorkspacePermissionManagement](#security-iam-awsmanpol-AWSGrafanaWorkspacePermissionManagement) - 기존 정책에 대한 업데이트 | Amazon Managed Grafana에서 IAM Identity Center 사용자 및 그룹을 Amazon Managed Grafana 워크스페이스와 연결할 수 있도록 **AWSGrafanaWorkspacePermissionManagement**에 새 권한을 추가했습니다. `sso:DescribeRegisteredRegions`, `sso:GetSharedSsoConfiguration`, `sso:ListDirectoryAssociations`, `sso:GetManagedApplicationInstance`, `sso:ListProfiles`, `sso:AssociateProfile`, `sso:DisassociateProfile`, `sso:GetProfile`, `sso:ListProfileAssociations` 권한이 추가되었습니다. | 2022년 12월 20일 |
| [AmazonGrafanaServiceLinkedRolePolicy](using-service-linked-roles.md) – 새 SLR 정책 | Amazon Managed Grafana는 Grafana 서비스 연결 역할에 대한 새 정책, **AmazonGrafanaServiceLinkedRolePolicy**를 추가했습니다. | 2022년 11월 18일 |
| [AWSGrafanaAccountAdministrator](#security-iam-awsmanpol-AWSGrafanaAccountAdministrator), [AWSGrafanaConsoleReadOnlyAccess](#security-iam-awsmanpol-AWSGrafanaConsoleReadOnlyAccess) | 모든 Amazon Managed Grafana 리소스에 대한 액세스 허용 | 2022년 2월 17일 |
| [AmazonGrafanaRedshiftAccess](#security-iam-awsmanpol-AmazonGrafanaRedshiftAccess) – 새 정책 | Amazon Managed Grafana에서 새 정책 **AmazonGrafanaRedshiftAccess**를 추가했습니다. | 2021년 11월 26일 |
| [AmazonGrafanaAthenaAccess](#security-iam-awsmanpol-AmazonGrafanaAthenaAccess) – 새 정책 | Amazon Managed Grafana에서 새 정책 **AmazonGrafanaAthenaAccess**를 추가했습니다. | 2021년 11월 22일 |
| [AWSGrafanaAccountAdministrator](#security-iam-awsmanpol-AWSGrafanaAccountAdministrator) - 기존 정책 업데이트 | Amazon Managed Grafana에서 **AWSGrafanaAccountAdministrator**로부터 권한을 제거했습니다. `sso.amazonaws.com` 서비스로 범위 지정된 `iam:CreateServiceLinkedRole` 권한이 제거되었으며, 대신 **AWSSSOMasterAccountAdministrator** 정책을 연결하여 사용자에게 이 권한을 부여하는 것이 좋습니다. | 2021년 10월 13일 |
| [AWSGrafanaWorkspacePermissionManagement](#security-iam-awsmanpol-AWSGrafanaWorkspacePermissionManagement) - 기존 정책 업데이트 | Amazon Managed Grafana에서는 이 정책을 사용하는 사용자가 워크스페이스와 연결된 인증 방법을 볼 수 있도록 **AWSGrafanaWorkspacePermissionManagement**에 새 권한을 추가했습니다. `grafana:DescribeWorkspaceAuthentication` 권한이 추가되었습니다. | 2021년 9월 21일 |
| [AWSGrafanaConsoleReadOnlyAccess](#security-iam-awsmanpol-AWSGrafanaConsoleReadOnlyAccess) - 기존 정책 업데이트 | Amazon Managed Grafana에서는 이 정책을 사용하는 사용자가 워크스페이스와 연결된 인증 방법을 볼 수 있도록 **AWSGrafanaConsoleReadOnlyAccess**에 새 권한을 추가했습니다. `grafana:Describe*` 및 `grafana:List*` 권한이 정책에 추가되었으며 이전의 더 좁은 범위의 권한 `grafana:DescribeWorkspace`, `grafana:ListPermissions` 및 `grafana:ListWorkspaces`를 대체합니다. | 2021년 9월 21일 |
| Amazon Managed Grafana에서 변경 사항 추적을 시작함 | Amazon Managed Grafana는 AWS 관리형 정책에 대한 변경 사항 추적을 시작했습니다. | 2021년 9월 9일 |