CloudWatch izleme komut dosyasıyla IAM rolü için hangi izinler / ilkeler kullanılacak

CloudWatch izleme komut dosyasıyla (mon-put-instance-data.pl) AWS kimlik bilgileri sağlamak için bir IAM rol adı belirtmek mümkündür (--aws-iam-role = VALUE).

Bu amaçla (AWS örneğinde mon-put-instance-data.pl çalıştırmak için) bir IAM rolü oluşturuyorum, ancak bu role hangi izinleri / ilkeleri vermeliyim?

Yardımın için teşekkürler

Linux için Komut İzleme Amazon CloudWatch iki Perl script oluşan, hem tek Perl modülü kullanan - kaynağına kısa gözetleme aşağıdaki AWS API işlemleri kullanılıyor ortaya koymaktadır:

• CloudWatchClient.pm- Etiketlerini Tanımla
• mon-get-instance-stats.pl- GetMetricStatistics , ListMetrics
• mon-put-instance-data.pl- PutMetricData

Bu bilgilerle IAM politikanızı , örneğin AWS politika oluşturucu aracılığıyla bir araya getirebilirsiniz - her şeyi kapsayan bir politika:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "cloudwatch:GetMetricStatistics",
        "cloudwatch:ListMetrics",
        "cloudwatch:PutMetricData",
        "ec2:DescribeTags"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

Elbette cloudwatch:GetMetricStatistics cloudwatch:ListMetricssadece kullanırken düşebilirsiniz mon-put-instance-data.pl- lütfen kodu gerçekten test etmediğimi unutmayın.

Yukarıdaki ilke, sürümü sorarken hata verir.

Aşağıdakiler işe yaramalıdır:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Stmt1426849513000",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:GetMetricStatistics",
                "cloudwatch:ListMetrics",
                "cloudwatch:PutMetricAlarm",
                "cloudwatch:PutMetricData",
                "cloudwatch:SetAlarmState"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

CloudWatch için Amazon tarafından sağlanan IAM politikası var. Kendinizinkini inşa etmeye gerek yok. CloudWatchFullAccess