Integración y políticas gestionadas

Para utilizar infraestructura integración, debe otorgar permiso New Relic para leer los datos relevantes de su cuenta. Amazon Web Services (AWS) utiliza políticas administradas para otorgar estos permisos.

Política recomendada

Importante

Recommendation: Conceda una política administrada ReadOnlyAccess para toda la cuenta desde AWS. AWS actualiza automáticamente esta política cuando se agregan nuevos servicios o se modifican servicios existentes. La integración New Relic Infrastructure se ha diseñado para funcionar con políticas ReadOnlyAccess. Para obtener instrucciones, consulte Conectar la integración AWS a la infraestructura.

Exception: La integración de Trusted Advisor no está cubierta por la política ReadOnlyAccess . Requiere la política administrada AWSSupportAccess adicional. Esta es también la única integración que requiere permisos de acceso completo (support:*) para funcionar correctamente. Notificamos a Amazon sobre esta limitación. Una vez que se resuelva, actualizaremos la documentación con permisos más específicos necesarios para esta integración.

Política opcional

Si no puede utilizar la política administrada ReadOnlyAccess de AWS, puede crear su propia política personalizada según la lista de permisos. Esto le permite especificar los permisos óptimos necesarios para recuperar datos de AWS para cada integración. Si bien esta opción está disponible, no se recomienda porque debe actualizarse manualmente cuando agrega o modifica su integración.

Importante

New Relic no tiene forma de identificar problemas relacionados con los permisos personalizados. Si elige crear una política personalizada, es su responsabilidad mantenerla y garantizar que se recopilen los datos adecuados.

Hay dos formas de configurar su política personalizada: puede usar nuestra plantilla de CloudFormation o crear la suya propia agregando los permisos que necesita.

Opción 1: utilice nuestra plantilla CloudFormation

Nuestra plantilla CloudFormation contiene todos los permisos para toda nuestra integración AWS .

Se puede utilizar un usuario distinto de root en la política administrada.

AWSTemplateFormatVersion: 2010-09-09
Outputs:
  NewRelicRoleArn:
    Description: NewRelicRole to monitor AWS Lambda
    Value: !GetAtt 
      - NewRelicIntegrationsTemplate
      - Arn
Parameters:
  NewRelicAccountNumber:
    Type: String
    Description: The Newrelic account number to send data
    AllowedPattern: '[0-9]+'
Resources:
  NewRelicIntegrationsTemplate:
    Type: 'AWS::IAM::Role'
    Properties:
      RoleName: !Sub NewRelicTemplateTest
      AssumeRolePolicyDocument:
        Version: 2012-10-17
        Statement:
          - Effect: Allow
            Principal:
              AWS: !Sub 'arn:aws:iam::754728514883:root'
            Action: 'sts:AssumeRole'
            Condition:
              StringEquals:
                'sts:ExternalId': !Ref NewRelicAccountNumber
      Policies:
        - PolicyName: NewRelicIntegrations
          PolicyDocument:
            Version: 2012-10-17
            Statement:
              - Effect: Allow
                Action:
                  - 'elasticloadbalancing:DescribeLoadBalancers'
                  - 'elasticloadbalancing:DescribeTargetGroups'
                  - 'elasticloadbalancing:DescribeTags'
                  - 'elasticloadbalancing:DescribeLoadBalancerAttributes'
                  - 'elasticloadbalancing:DescribeListeners'
                  - 'elasticloadbalancing:DescribeRules'
                  - 'elasticloadbalancing:DescribeTargetGroupAttributes'
                  - 'elasticloadbalancing:DescribeInstanceHealth'
                  - 'elasticloadbalancing:DescribeLoadBalancerPolicies'
                  - 'elasticloadbalancing:DescribeLoadBalancerPolicyTypes'
                  - 'apigateway:GET'
                  - 'autoscaling:DescribeLaunchConfigurations'
                  - 'autoscaling:DescribeAutoScalingGroups'
                  - 'autoscaling:DescribePolicies'
                  - 'autoscaling:DescribeTags'
                  - 'autoscaling:DescribeAccountLimits'
                  - 'budgets:ViewBudget'
                  - 'cloudfront:ListDistributions'
                  - 'cloudfront:ListStreamingDistributions'
                  - 'cloudfront:ListTagsForResource'
                  - 'cloudtrail:LookupEvents'
                  - 'config:BatchGetResourceConfig'
                  - 'config:ListDiscoveredResources'
                  - 'dynamodb:DescribeLimits'
                  - 'dynamodb:ListTables'
                  - 'dynamodb:DescribeTable'
                  - 'dynamodb:ListGlobalTables'
                  - 'dynamodb:DescribeGlobalTable'
                  - 'dynamodb:ListTagsOfResource'
                  - 'ec2:DescribeVolumeStatus'
                  - 'ec2:DescribeVolumes'
                  - 'ec2:DescribeVolumeAttribute'
                  - 'ec2:DescribeInstanceStatus'
                  - 'ec2:DescribeInstances'
                  - 'ec2:DescribeVpnConnections'
                  - 'ecs:ListServices'
                  - 'ecs:DescribeServices'
                  - 'ecs:DescribeClusters'
                  - 'ecs:ListClusters'
                  - 'ecs:ListTagsForResource'
                  - 'ecs:ListContainerInstances'
                  - 'ecs:DescribeContainerInstances'
                  - 'elasticfilesystem:DescribeMountTargets'
                  - 'elasticfilesystem:DescribeFileSystems'
                  - 'elasticache:DescribeCacheClusters'
                  - 'elasticache:ListTagsForResource'
                  - 'es:ListDomainNames'
                  - 'es:DescribeElasticsearchDomain'
                  - 'es:DescribeElasticsearchDomains'
                  - 'es:ListTags'
                  - 'elasticbeanstalk:DescribeEnvironments'
                  - 'elasticbeanstalk:DescribeInstancesHealth'
                  - 'elasticbeanstalk:DescribeConfigurationSettings'
                  - 'elasticloadbalancing:DescribeLoadBalancers'
                  - 'elasticmapreduce:ListInstances'
                  - 'elasticmapreduce:ListClusters'
                  - 'elasticmapreduce:DescribeCluster'
                  - 'elasticmapreduce:ListInstanceGroups'
                  - 'health:DescribeAffectedEntities'
                  - 'health:DescribeEventDetails'
                  - 'health:DescribeEvents'
                  - 'iam:ListSAMLProviders'
                  - 'iam:ListOpenIDConnectProviders'
                  - 'iam:ListServerCertificates'
                  - 'iam:GetAccountAuthorizationDetails'
                  - 'iam:ListVirtualMFADevices'
                  - 'iam:GetAccountSummary'
                  - 'iot:ListTopicRules'
                  - 'iot:GetTopicRule'
                  - 'iot:ListThings'
                  - 'firehose:DescribeDeliveryStream'
                  - 'firehose:ListDeliveryStreams'
                  - 'kinesis:ListStreams'
                  - 'kinesis:DescribeStream'
                  - 'kinesis:ListTagsForStream'
                  - 'rds:ListTagsForResource'
                  - 'rds:DescribeDBInstances' 
                  - 'rds:DescribeDBClusters' 
                  - 'redshift:DescribeClusters' 
                  - 'redshift:DescribeClusterParameters'
                  - 'route53:ListHealthChecks'
                  - 'route53:GetHostedZone'
                  - 'route53:ListHostedZones'
                  - 'route53:ListResourceRecordSets'
                  - 'route53:ListTagsForResources'
                  - 's3:GetLifecycleConfiguration'
                  - 's3:GetBucketTagging'
                  - 's3:ListAllMyBuckets'
                  - 's3:GetBucketWebsite'
                  - 's3:GetBucketLogging'
                  - 's3:GetBucketCORS'
                  - 's3:GetBucketVersioning'
                  - 's3:GetBucketAcl'
                  - 's3:GetBucketNotification'
                  - 's3:GetBucketPolicy'
                  - 's3:GetReplicationConfiguration'
                  - 's3:GetMetricsConfiguration'
                  - 's3:GetAccelerateConfiguration'
                  - 's3:GetAnalyticsConfiguration'
                  - 's3:GetBucketLocation'
                  - 's3:GetBucketRequestPayment'
                  - 's3:GetEncryptionConfiguration'
                  - 's3:GetInventoryConfiguration'
                  - 'ses:ListConfigurationSets'
                  - 'ses:GetSendQuota'
                  - 'ses:DescribeConfigurationSet'
                  - 'ses:ListReceiptFilters'
                  - 'ses:ListReceiptRuleSets'
                  - 'ses:DescribeReceiptRule'
                  - 'ses:DescribeReceiptRuleSet'
                  - 'sns:GetTopicAttributes'
                  - 'sns:ListTopics'
                  - 'sqs:ListQueues'
                  - 'sqs:ListQueueTags'
                  - 'sqs:GetQueueAttributes'
                  - 'tag:GetResources'
                  - 'ec2:DescribeInternetGateways'
                  - 'ec2:DescribeVpcs'
                  - 'ec2:DescribeNatGateways'
                  - 'ec2:DescribeVpcEndpoints'
                  - 'ec2:DescribeSubnets'
                  - 'ec2:DescribeNetworkAcls'
                  - 'ec2:DescribeVpcAttribute'
                  - 'ec2:DescribeRouteTables'
                  - 'ec2:DescribeSecurityGroups'
                  - 'ec2:DescribeVpcPeeringConnections'
                  - 'ec2:DescribeNetworkInterfaces'
                  - 'lambda:GetAccountSettings'
                  - 'lambda:ListFunctions'
                  - 'lambda:ListAliases'
                  - 'lambda:ListTags'
                  - 'lambda:ListEventSourceMappings'
                  - 'cloudwatch:GetMetricStatistics'
                  - 'cloudwatch:ListMetrics'
                  - 'cloudwatch:GetMetricData'
                  - 'support:*'
                Resource: '*'

Opción 2: agregar permisos manualmente

Para crear su propia política utilizando los permisos disponibles:

Agregue los permisos para
all
integración.
Agregue permisos que sean específicos de la integración que necesita

New Relic utiliza los siguientes permisos para recuperar datos para una integración AWS específica:

Importante

Si una integración no aparece en esta página, estos permisos son todo lo que necesita.

Toda la integración	Permisos
Vigilancia de la nube	`cloudwatch:GetMetricStatistics` `cloudwatch:ListMetrics` `cloudwatch:GetMetricData`
API de configuración	`config:BatchGetResourceConfig` `config:ListDiscoveredResources`
APIde etiquetas de recursos	`tag:GetResources`

Toda la integración

Permisos

Vigilancia de la nube

cloudwatch:GetMetricStatistics

cloudwatch:ListMetrics

cloudwatch:GetMetricData

API de configuración

config:BatchGetResourceConfig

config:ListDiscoveredResources

APIde etiquetas de recursos

tag:GetResources

Permisos ALB adicionales:

elasticloadbalancing:DescribeLoadBalancers
elasticloadbalancing:DescribeTargetGroups
elasticloadbalancing:DescribeTags
elasticloadbalancing:DescribeLoadBalancerAttributes
elasticloadbalancing:DescribeListeners
elasticloadbalancing:DescribeRules
elasticloadbalancing:DescribeTargetGroupAttributes
elasticloadbalancing:DescribeInstanceHealth
elasticloadbalancing:DescribeLoadBalancerPolicies
elasticloadbalancing:DescribeLoadBalancerPolicyTypes

Permisos S3 adicionales:

s3:GetLifecycleConfiguration
s3:GetBucketTagging
s3:ListAllMyBuckets
s3:GetBucketWebsite
s3:GetBucketLogging
s3:GetBucketCORS
s3:GetBucketVersioning
s3:GetBucketAcl
s3:GetBucketNotification
s3:GetBucketPolicy
s3:GetReplicationConfiguration
s3:GetMetricsConfiguration
s3:GetAccelerateConfiguration
s3:GetAnalyticsConfiguration
s3:GetBucketLocation
s3:GetBucketRequestPayment
s3:GetEncryptionConfiguration
s3:GetInventoryConfiguration

Te ofrecemos esta traducción automática para facilitar la lectura.

Política recomendada .css-21sua1{background:none;border:none;width:0;padding:0;}

Importante

Política opcional

Importante

Opción 1: utilice nuestra plantilla CloudFormation

Opción 2: agregar permisos manualmente

Requerido por CloudWatch Metric Streams y toda la integración de sondeo API

Permisos ALB

Permisos de puerta de enlace API

Permisos de escala automática

Permiso de facturación

Permisos de CloudFront

Permisos de CloudTrail

Permisos de DynamoDB

Permisos de EBS

Permisos EC2

Permisos ECS/ECR

Permisos EFS

Permisos de ElastiCache

Permisos de ElasticSearch

Permisos de Elastic Beanstalk

Permisos ELB

Permisos REM

Permisos de salud

Permisos de IAM

Permisos de IO

Permisos de Kinesis Firehose

Permisos de Kinesis Streams

Permisos lambda

RDS, permisos de monitoreo mejorado de RDS

Permisos de desplazamiento al rojo

Permisos de la ruta 53

Permisos S3

Permisos del Servicio de correo electrónico simple (SES)

Permisos de SNS

Permisos SQS

Permisos de asesor de confianza

Permisos de VPC

Permisos de monitoreo de rayos X

Política recomendada