• /
  • EnglishEspañolFrançais日本語한국어Português
  • Inicia sesiónComenzar ahora

Te ofrecemos esta traducción automática para facilitar la lectura.

En caso de que haya discrepancias entre la versión en inglés y la versión traducida, se entiende que prevalece la versión en inglés. Visita esta página para obtener más información.

Crea una propuesta

Configurar las credenciales de AWS

avance

Todavía estamos trabajando en esta característica, ¡pero nos encantaría que la probaras!

Esta característica se proporciona actualmente como parte de un programa de vista previa de conformidad con nuestras políticas de prelanzamiento.

Autoriza la automatización del flujo de trabajo de New Relic para que realice acciones en tu cuenta de AWS. Configurarás un método de autenticación que permita a flujo de trabajo interactuar de forma segura con servicios de AWS como EC2, SQS, DynamoDB y más, sin codificar las credenciales ni comprometer la seguridad.

Requisitos previos

Antes de configurar las credenciales de AWS, cerciorar de tener lo siguiente:

Comprender las licencias necesarias

Antes de crear las credenciales, comprenda qué licencias necesita su flujo de trabajo. Otorgue únicamente las licencias que su flujo de trabajo realmente emplee; esto sigue el principio de mínimo privilegio y minimiza el riesgo de seguridad.

Licencias comunes del flujo de trabajo

Tipo de flujo de trabajo

Licencias de AWS necesarios

Descripción

Gestión de EC2

ec2:DescribeInstances
ec2:StopInstances
ec2:StartInstances
ec2:ModifyInstanceAttribute

Detener, iniciar o modificar instancias EC2 en respuesta a alertas

Mensajería SQS

sqs:SendMessage
sqs:GetQueueAttributes

Enviar mensajes a las colas SQS para su posterior procesamiento.

Puerta de enlace API

apigateway:GET
apigateway:PUT

Revertir el despliegue o configuración de API Gateway

Gerente de sistemas

ssm:CreateDocument
ssm:DeleteDocument
ssm:StartAutomationExecution
ssm:GetAutomationExecution

Ejecutar manuales de automatización

DinamoDB

dynamodb:Query
dynamodb:GetItem
dynamodb:PutItem

Leer o escribir en tablas de DynamoDB

Sugerencia

Comience con licencias de solo lectura (Describe*, Get*, List*), luego agregue licencias de escritura (Put*, Create*, Delete*) solo según sea necesario. Esto evita acciones destructivas accidentales durante las pruebas.

Consulte los ejemplos de políticas a continuación para ver plantillas completas de políticas de IAM.

Configurar la autenticación

Elija el método que mejor se ajuste a su caso de uso en la tabla anterior:

Un rol de IAM permite a New Relic asumir credenciales temporales en su cuenta de AWS sin necesidad de claves de acceso permanentes.

Características del rol de IAM:

  • Las credenciales rotan automáticamente

  • El acceso está limitado en el tiempo por diseño.

  • Todas las acciones se registran en AWS CloudTrail.

  • Se alinea con las mejores prácticas de seguridad AWS

    Crea el rol en AWS

  1. Inicia sesión en la consola de AWS IAM

  2. Navegue a Roles > Crear rol > Tipo de entidad de confianza y seleccione Cuenta de AWS > otra cuenta de AWS

  3. En el campo Account ID, introduzca: 253490767857

  4. En Options, marque la casilla Require external ID.

  5. En el campo External ID, ingrese su ID de cuenta de New Relic y haga clic en Next.

  6. En la página Add permissions, anexe políticas basadas en su flujo de trabajo:

    • Para flujo de trabajo EC2: anexe AmazonEC2ReadOnlyAccess o cree una política personalizada
    • Para flujo de trabajo SQS: anexe AmazonSQSFullAccess o limite a colas específicas
    • Para otros servicios: Consulte las licencias de AWS necesarios.

  7. Haga clic en Next.

  8. Introduzca un nombre para el rol: NewRelicWorkflowAutomationRole (o el nombre que prefiera)

  9. Opcionalmente, agregue una descripción: "Permite que la automatización del flujo de trabajo de New Relic realice acciones en AWS", y haga clic en Create role.

    Verifique la política de confianza

    Tras crear el rol, verifique la relación de confianza:

  10. En la consola de IAM, seleccione el rol que acaba de crear.

  11. Haz clic en la pestaña Trust relationships

  12. Confirme que la política coincide con esta estructura (reemplace <YOUR_NR_ACCOUNT_ID> con su ID de cuenta real):

    {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Effect": "Allow",
          "Action": "sts:AssumeRole",
          "Principal": {
            "AWS": "arn:aws:iam::253490767857:root"
          },
          "Condition": {
            "StringEquals": {
              "sts:ExternalId": "<YOUR_NR_ACCOUNT_ID>"
            }
          }
        }
      ]
    }

    Copia tu ARN de rol

    Necesitarás el ARN del rol para configurar el flujo de trabajo:

  13. En la consola de IAM, seleccione su rol.

  14. En la sección Summary, localice el campo ARN

  15. Copia el ARN completo; tiene el siguiente aspecto: arn:aws:iam::123456789012:role/NewRelicWorkflowAutomationRole

  16. Almacene este ARN de forma segura: lo pegará directamente en la configuración de flujo de trabajo

    Sugerencia

    Importante: Los ARN de rol van directamente en las entradas del flujo de trabajo; no los almacene en el administrador de secretos. No son credenciales confidenciales; son identificadores de recursos.

    El rol ya está configurado. Emplee el ARN en la configuración de flujo de trabajo que requiera acceso AWS.

Emplee este método para entornos de prueba o cuando no se admitan roles de IAM. Las claves de acceso son credenciales de larga duración que requieren rotación manual.

Casos de uso:

  • Entornos de prueba y desarrollo

  • Configuración AWS que no admite la asunción de roles entre cuentas

  • Autenticación simplificada flujo de trabajo

    Advertencia

    Las claves de acceso son credenciales de larga duración. Rótelos de manera regular (cada 90 días) y limite las licencias solo a lo que su flujo de trabajo necesita.

    Crea el usuario de IAM

  1. Inicia sesión en la consola de AWS IAM

  2. Navegue a Users > Create user e ingrese un nombre de usuario: workflow-automation-user (o su nombre preferido)

  3. Haga clic en Next

  4. En la página Set permissions, seleccione Attach policies directly.

  5. Busque y seleccione pólizas en función de su flujo de trabajo:

    • Para SQS: Seleccionar AmazonSQSFullAccess
    • Para EC2: Seleccione AmazonEC2ReadOnlyAccess
    • O bien, cree una política personalizada con licencias limitadas (recomendado).

  6. Haz clic en Next y luego en Create user

    Generar claves de acceso

  7. En la lista de usuarios, seleccione el usuario que acaba de crear.

  8. Haz clic en la pestaña Security credentials

  9. En la sección Access keys, seleccione Create access key

  10. Seleccione Application running outside AWS y haga clic en Next.

  11. (Opcional) Agregue una etiqueta de descripción: "Automatización del flujo de trabajo de New Relic"

  12. Seleccione Create access key

  13. Copie ambas credenciales inmediatamente:

    • ID de clave de acceso (comienza con AKIA...)
    • Clave de acceso secreta (se muestra solo una vez)

    Importante

    AWS muestra la clave de acceso secreta solo una vez durante la creación. Si no lo almacenas, tendrás que generar un nuevo par de claves.

    Almacena las credenciales de forma segura.

    Nunca codifique las credenciales AWS en el flujo de trabajo. En su lugar, almacénelos en el administrador de secretos de New Relic.

  14. Abre el explorador GraphiQL de NerdGraph

  15. Ejecuta esta mutación para almacenar tu ID de clave de acceso (reemplaza los valores de marcador de posición):

    mutation {
      secretsManagementCreateSecret(
        scope: { type: ACCOUNT, id: "YOUR_NR_ACCOUNT_ID" }
        namespace: "aws"
        key: "awsAccessKeyId"
        description: "AWS Access Key ID for workflow automation"
        value: "YOUR_AWS_ACCESS_KEY_ID"
      ) {
        key
      }
    }

  16. Ejecuta otra mutación para tu clave de acceso secreta:

    mutation {
      secretsManagementCreateSecret(
        scope: { type: ACCOUNT, id: "YOUR_NR_ACCOUNT_ID" }
        namespace: "aws"
        key: "awsSecretAccessKey"
        description: "AWS Secret Access Key for workflow automation"
        value: "YOUR_AWS_SECRET_ACCESS_KEY"
      ) {
        key
      }
    }

    Haga referencia a estos secretos en el flujo de trabajo empleando la sintaxis: ${{ :secrets:awsAccessKeyId }}

    Sugerencia

    Emplee el campo namespace para organizar los secretos por entorno (aws-prod, aws-staging) o nombre del equipo.

El token de sesión proporciona credenciales temporales con caducidad automática.

Casos de uso:

  • Desarrollo y pruebas locales

  • Pipeline de CI/CD que requiere rotación de credenciales

  • Entornos con requisitos de cumplimiento para el acceso limitado en el tiempo (normalmente de 1 a 12 horas).

    Requisitos previos

  • AWS CLI instalado y configurado

  • Un rol de IAM existente que puedes asumir

    Generar credenciales temporales

  1. Abre tu terminal y ejecuta este comando (reemplaza con el ARN de tu rol):

    bash
    $
    aws sts assume-role \
    >
      --role-arn "arn:aws:iam::YOUR_ACCOUNT:role/YOUR_ROLE" \
    >
      --role-session-name "WorkflowAutomationSession"

    Si es la primera vez que emplea la CLI de AWS, es posible que deba configurarla con aws configure e ingresar sus credenciales de acceso:

    Image of the Static Access credentials

  2. AWS devuelve tres valores; necesitas los tres:

    {
      "Credentials": {
        "AccessKeyId": "ASIAIOSFODNN7EXAMPLE",
        "SecretAccessKey": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY",
        "SessionToken": "FQoGZXIvYXdzEBk...",
        "Expiration": "2025-01-25T12:00:00Z"
      }
    }

  3. Almacena las tres credenciales en el administrador de secretos:

  • AccessKeyId almacenar como awsAccessKeyId

  • SecretAccessKey almacenar como awsSecretAccessKey

  • SessionToken almacenar como awsSessionToken

    Advertencia

    El token de sesión caduca (normalmente luego de 1 hora). Establece un recordatorio para actualizarlos antes de la timestamp Expiration, o tu flujo de trabajo fallará con errores de autenticación.

Usar credenciales en flujo de trabajo

Luego de configurar la autenticación, haga referencia a sus credenciales en la configuración de flujo de trabajo:

Rol de IAM (recomendado)

Pegue el ARN del rol directamente en las entradas del flujo de trabajo; no se necesita ningún administrador de secretos:

awsRoleArn: arn:aws:iam::123456789012:role/NewRelicWorkflowAutomationRole

Sugerencia

Los ARN de rol son identificadores de recursos, no credenciales confidenciales. No los almacenes en el administrador de secretos; pégalos directamente en la configuración de flujo de trabajo.

Usuario o token de sesión de IAM

Gestor de secretos de referencia para claves de acceso:

awsAccessKeyId: ${{ :secrets:awsAccessKeyId }}
awsSecretAccessKey: ${{ :secrets:awsSecretAccessKey }}
awsSessionToken: ${{ :secrets:awsSessionToken }}  # Only for session tokens

New Relic recupera los secretos en tiempo de ejecución, se autentica con AWS y luego los descarta. Tus credenciales nunca aparecen en los logs ni en el historial del flujo de trabajo.

Ejemplos de políticas

Emplee estas plantillas completas de políticas IAM para tipos de flujo de trabajo comunes. Cada una sigue el principio de mínimo privilegio al restringir el acceso a recursos específicos.

Recursos adicionales

Para obtener referencias completas sobre las licencias de AWS:

Importante

Esos recursos emplean el ID de cuenta 754728514883 para la integración en la nube (monitoreo). Para la automatización del flujo de trabajo, emplee siempre 253490767857.

Que sigue

Copyright © 2025 New Relic Inc.
CarrerasTérminos de servicioPolítica de DMCAAviso de PatenteAviso de privacidadPolítica de cookiesUK Slavery Act (Ley contra la esclavitud del RU)

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.