インフラストラクチャ インテグレーション を使用するためには、New Relic にお客様のアカウントから関連するデータを読み取る権限を付与する必要があります。Amazon Web Services (AWS) では、マネージドポリシーを使用してこれらの権限を付与しています。
推奨方針
重要
Recommendation: AWS からアカウント全体のReadOnlyAccess 管理ポリシーを付与します。AWS は、新しいサービスが追加されたり、既存のサービスが変更されたりすると、このポリシーを自動的に更新します。 New Relic Infrastructureインテグレーションは、ReadOnlyAccess ポリシーで機能するように設計されています。 手順については、 AWSインテグレーションをインフラストラクチャに接続する」を参照してください。
Exception: Trusted Advisorインテグレーションは、 ReadOnlyAccessポリシーの対象外です。 追加のAWSSupportAccess管理ポリシーが必要です。 これは、正しく動作するためにフルアクセス権限 ( support:* ) を必要とする唯一のインテグレーションでもあります。 この制限については Amazon に通知しました。 問題が解決したら、この統合に必要なより具体的な権限をドキュメントに更新します。
オプションポリシー
AWSからReadOnlyAccess マネージドポリシーを使用できない場合は、パーミッションのリストに基づいて独自のカスタマイズされたポリシーを作成できます。これにより、統合ごとにAWSからデータをフェッチするために必要な最適な権限を指定できます。このオプションは使用可能ですが、統合を追加または変更するときに手動で更新する必要があるため、お勧めしません。
重要
New Relic には、カスタムパーミッションに関連する問題を特定する手段がありません。カスタムポリシーを作成した場合、それを維持し、適切なデータが収集されていることを確認する責任はお客様にあります。
カスタマイズされたポリシーを設定するには2つの方法があります。 当社のCloudFormationテンプレート を使用するか、 必要なパーミッションを追加して自分で作成する のどちらかです。
オプション1:CloudFormationテンプレートの使用
私たちのCloudFormationテンプレートには、すべてのAWS統合のためのすべてのパーミッションが含まれています。
管理対象ポリシーでは、 rootとは異なるユーザーを使用できます。
AWSTemplateFormatVersion: 2010-09-09Outputs: NewRelicRoleArn: Description: NewRelicRole to monitor AWS Lambda Value: !GetAtt - NewRelicIntegrationsTemplate - ArnParameters: NewRelicAccountNumber: Type: String Description: The Newrelic account number to send data AllowedPattern: '[0-9]+'Resources: NewRelicIntegrationsTemplate: Type: 'AWS::IAM::Role' Properties: RoleName: !Sub NewRelicTemplateTest AssumeRolePolicyDocument: Version: 2012-10-17 Statement: - Effect: Allow Principal: AWS: !Sub 'arn:aws:iam::754728514883:root' Action: 'sts:AssumeRole' Condition: StringEquals: 'sts:ExternalId': !Ref NewRelicAccountNumber Policies: - PolicyName: NewRelicIntegrations PolicyDocument: Version: 2012-10-17 Statement: - Effect: Allow Action: - 'elasticloadbalancing:DescribeLoadBalancers' - 'elasticloadbalancing:DescribeTargetGroups' - 'elasticloadbalancing:DescribeTags' - 'elasticloadbalancing:DescribeLoadBalancerAttributes' - 'elasticloadbalancing:DescribeListeners' - 'elasticloadbalancing:DescribeRules' - 'elasticloadbalancing:DescribeTargetGroupAttributes' - 'elasticloadbalancing:DescribeInstanceHealth' - 'elasticloadbalancing:DescribeLoadBalancerPolicies' - 'elasticloadbalancing:DescribeLoadBalancerPolicyTypes' - 'apigateway:GET' - 'autoscaling:DescribeLaunchConfigurations' - 'autoscaling:DescribeAutoScalingGroups' - 'autoscaling:DescribePolicies' - 'autoscaling:DescribeTags' - 'autoscaling:DescribeAccountLimits' - 'budgets:ViewBudget' - 'cloudfront:ListDistributions' - 'cloudfront:ListStreamingDistributions' - 'cloudfront:ListTagsForResource' - 'cloudtrail:LookupEvents' - 'config:BatchGetResourceConfig' - 'config:ListDiscoveredResources' - 'dynamodb:DescribeLimits' - 'dynamodb:ListTables' - 'dynamodb:DescribeTable' - 'dynamodb:ListGlobalTables' - 'dynamodb:DescribeGlobalTable' - 'dynamodb:ListTagsOfResource' - 'ec2:DescribeVolumeStatus' - 'ec2:DescribeVolumes' - 'ec2:DescribeVolumeAttribute' - 'ec2:DescribeInstanceStatus' - 'ec2:DescribeInstances' - 'ec2:DescribeVpnConnections' - 'ecs:ListServices' - 'ecs:DescribeServices' - 'ecs:DescribeClusters' - 'ecs:ListClusters' - 'ecs:ListTagsForResource' - 'ecs:ListContainerInstances' - 'ecs:DescribeContainerInstances' - 'elasticfilesystem:DescribeMountTargets' - 'elasticfilesystem:DescribeFileSystems' - 'elasticache:DescribeCacheClusters' - 'elasticache:ListTagsForResource' - 'es:ListDomainNames' - 'es:DescribeElasticsearchDomain' - 'es:DescribeElasticsearchDomains' - 'es:ListTags' - 'elasticbeanstalk:DescribeEnvironments' - 'elasticbeanstalk:DescribeInstancesHealth' - 'elasticbeanstalk:DescribeConfigurationSettings' - 'elasticloadbalancing:DescribeLoadBalancers' - 'elasticmapreduce:ListInstances' - 'elasticmapreduce:ListClusters' - 'elasticmapreduce:DescribeCluster' - 'elasticmapreduce:ListInstanceGroups' - 'health:DescribeAffectedEntities' - 'health:DescribeEventDetails' - 'health:DescribeEvents' - 'iam:ListSAMLProviders' - 'iam:ListOpenIDConnectProviders' - 'iam:ListServerCertificates' - 'iam:GetAccountAuthorizationDetails' - 'iam:ListVirtualMFADevices' - 'iam:GetAccountSummary' - 'iot:ListTopicRules' - 'iot:GetTopicRule' - 'iot:ListThings' - 'firehose:DescribeDeliveryStream' - 'firehose:ListDeliveryStreams' - 'kinesis:ListStreams' - 'kinesis:DescribeStream' - 'kinesis:ListTagsForStream' - 'rds:ListTagsForResource' - 'rds:DescribeDBInstances' - 'rds:DescribeDBClusters' - 'redshift:DescribeClusters' - 'redshift:DescribeClusterParameters' - 'route53:ListHealthChecks' - 'route53:GetHostedZone' - 'route53:ListHostedZones' - 'route53:ListResourceRecordSets' - 'route53:ListTagsForResources' - 's3:GetLifecycleConfiguration' - 's3:GetBucketTagging' - 's3:ListAllMyBuckets' - 's3:GetBucketWebsite' - 's3:GetBucketLogging' - 's3:GetBucketCORS' - 's3:GetBucketVersioning' - 's3:GetBucketAcl' - 's3:GetBucketNotification' - 's3:GetBucketPolicy' - 's3:GetReplicationConfiguration' - 's3:GetMetricsConfiguration' - 's3:GetAccelerateConfiguration' - 's3:GetAnalyticsConfiguration' - 's3:GetBucketLocation' - 's3:GetBucketRequestPayment' - 's3:GetEncryptionConfiguration' - 's3:GetInventoryConfiguration' - 'ses:ListConfigurationSets' - 'ses:GetSendQuota' - 'ses:DescribeConfigurationSet' - 'ses:ListReceiptFilters' - 'ses:ListReceiptRuleSets' - 'ses:DescribeReceiptRule' - 'ses:DescribeReceiptRuleSet' - 'sns:GetTopicAttributes' - 'sns:ListTopics' - 'sqs:ListQueues' - 'sqs:ListQueueTags' - 'sqs:GetQueueAttributes' - 'tag:GetResources' - 'ec2:DescribeInternetGateways' - 'ec2:DescribeVpcs' - 'ec2:DescribeNatGateways' - 'ec2:DescribeVpcEndpoints' - 'ec2:DescribeSubnets' - 'ec2:DescribeNetworkAcls' - 'ec2:DescribeVpcAttribute' - 'ec2:DescribeRouteTables' - 'ec2:DescribeSecurityGroups' - 'ec2:DescribeVpcPeeringConnections' - 'ec2:DescribeNetworkInterfaces' - 'lambda:GetAccountSettings' - 'lambda:ListFunctions' - 'lambda:ListAliases' - 'lambda:ListTags' - 'lambda:ListEventSourceMappings' - 'cloudwatch:GetMetricStatistics' - 'cloudwatch:ListMetrics' - 'cloudwatch:GetMetricData' - 'support:*' Resource: '*'オプション2:パーミッションを手動で追加する
利用可能なパーミッションを使って独自のポリシーを作成するには
必要な統合に特化したパーミッションの追加
以下のパーミッションは、New Relic が特定の AWS インテグレーションのデータを取得するために使用されます。
重要
このページに統合が記載されていない場合は、これらのパーミッションが必要です。
すべての統合 | 権限 |
|---|---|
CloudWatch |
|
コンフィグAPI |
|
リソースタギングAPI |
|
追加で ALB 許可を得ています。
elasticloadbalancing:DescribeLoadBalancerselasticloadbalancing:DescribeTargetGroupselasticloadbalancing:DescribeTagselasticloadbalancing:DescribeLoadBalancerAttributeselasticloadbalancing:DescribeListenerselasticloadbalancing:DescribeRuleselasticloadbalancing:DescribeTargetGroupAttributeselasticloadbalancing:DescribeInstanceHealthelasticloadbalancing:DescribeLoadBalancerPolicieselasticloadbalancing:DescribeLoadBalancerPolicyTypes
追加の API Gateway パーミッションです。
apigateway:GET
autoscaling:DescribeLaunchConfigurationsautoscaling:DescribeAutoScalingGroupsautoscaling:DescribePoliciesautoscaling:DescribeTagsautoscaling:DescribeAccountLimits
Additional Billing permission:
budgets:ViewBudget
追加のCloudFront権限:
cloudfront:ListDistributionscloudfront:ListStreamingDistributionscloudfront:ListTagsForResource
追加の CloudTrail 権限です。
cloudtrail:LookupEvents
追加の DynamoDB パーミッションです。
dynamodb:DescribeLimitsdynamodb:ListTablesdynamodb:DescribeTabledynamodb:ListGlobalTablesdynamodb:DescribeGlobalTabledynamodb:ListTagsOfResource
追加の EBS パーミッションです。
ec2:DescribeVolumeStatusec2:DescribeVolumesec2:DescribeVolumeAttribute
追加で EC2 の許可を得ています。
ec2:DescribeInstanceStatusec2:DescribeInstances
追加 ECS/ECR 許可を得ています。
ecs:ListServicesecs:DescribeServicesecs:DescribeClustersecs:ListClustersecs:ListTagsForResourceecs:ListContainerInstancesecs:DescribeContainerInstances
追加の EFS の許可を得ています。
elasticfilesystem:DescribeMountTargetselasticfilesystem:DescribeFileSystems
追加の ElastiCache パーミッションです。
elasticache:DescribeCacheClusterselasticache:ListTagsForResource
追加の ElasticSearch のパーミッションです。
es:ListDomainNameses:DescribeElasticsearchDomaines:DescribeElasticsearchDomainses:ListTags
追加の Elastic Beanstalk パーミッションです。
elasticbeanstalk:DescribeEnvironmentselasticbeanstalk:DescribeInstancesHealthelasticbeanstalk:DescribeConfigurationSettings
追加で ELB の許可を得ています。
elasticloadbalancing:DescribeLoadBalancers
追加の EMR 許可を得ています。
elasticmapreduce:ListInstanceselasticmapreduce:ListClusterselasticmapreduce:DescribeClusterelasticmapreduce:ListInstanceGroupselasticmapreduce:ListInstanceFleets
追加で 健康 の許可を得ています。
health:DescribeAffectedEntitieshealth:DescribeEventDetailshealth:DescribeEvents
追加の IAM パーミッションです。
iam:ListSAMLProvidersiam:ListOpenIDConnectProvidersiam:ListServerCertificatesiam:GetAccountAuthorizationDetailsiam:ListVirtualMFADevicesiam:GetAccountSummary
追加で IoT の許可を得ています。
iot:ListTopicRulesiot:GetTopicRuleiot:ListThings
追加の Kinesis Firehose パーミッションです。
firehose:DescribeDeliveryStreamfirehose:ListDeliveryStreams
追加で Kinesis Streams 権限を付与します。
kinesis:ListStreamskinesis:DescribeStreamkinesis:ListTagsForStream
追加の Lambda の権限です。
lambda:GetAccountSettingslambda:ListFunctionslambda:ListAliaseslambda:ListTagslambda:ListEventSourceMappings
追加で RDS と RDS Enhanced Monitoring の権限が必要です。
rds:ListTagsForResourcerds:DescribeDBInstancesrds:DescribeDBClusters
追加の Redshift パーミッションです。
redshift:DescribeClustersredshift:DescribeClusterParameters
追加で Route 53 の許可を得ています。
route53:ListHealthChecksroute53:GetHostedZoneroute53:ListHostedZonesroute53:ListResourceRecordSetsroute53:ListTagsForResources
追加で S3 の許可を得ています。
s3:GetLifecycleConfigurations3:GetBucketTaggings3:ListAllMyBucketss3:GetBucketWebsites3:GetBucketLoggings3:GetBucketCORSs3:GetBucketVersionings3:GetBucketAcls3:GetBucketNotifications3:GetBucketPolicys3:GetReplicationConfigurations3:GetMetricsConfigurations3:GetAccelerateConfigurations3:GetAnalyticsConfigurations3:GetBucketLocations3:GetBucketRequestPayments3:GetEncryptionConfigurations3:GetInventoryConfiguration
追加の SES 許可を得ています。
ses:ListConfigurationSetsses:GetSendQuotases:DescribeConfigurationSetses:ListReceiptFiltersses:ListReceiptRuleSetsses:DescribeReceiptRuleses:DescribeReceiptRuleSet
追加の SNS 許可を得ています。
sns:GetTopicAttributessns:ListTopics
追加の SQS の許可を得ています。
sqs:ListQueuessqs:GetQueueAttributessqs:ListQueueTags
追加の Trusted Advisor 権限を持つ。
support:*Trusted Advisorの統合についてのメモや、 推奨ポリシー も参照してください。
追加の VPC の権限です。
ec2:DescribeInternetGatewaysec2:DescribeVpcsec2:DescribeNatGatewaysec2:DescribeVpcEndpointsec2:DescribeSubnetsec2:DescribeNetworkAclsec2:DescribeVpcAttributeec2:DescribeRouteTablesec2:DescribeSecurityGroupsec2:DescribeVpcPeeringConnectionsec2:DescribeNetworkInterfacesec2:DescribeVpnConnections
追加で X線監視 許可を得ています。
xray:BatchGet*xray:Get*