인프라 통합 을 사용하려면 계정에서 관련 데이터를 읽을 수 있는 권한을 New Relic에 부여해야 합니다. Amazon Web Services(AWS)는 관리형 정책을 사용하여 이러한 권한을 부여합니다.
권장 정책
중요
권장 사항: AWS에서 계정 전체에 ReadOnlyAccess 관리형 정책을 부여합니다. AWS는 새로운 서비스가 추가되거나 기존 서비스가 수정될 때 자동으로 이 정책을 업데이트합니다. 뉴렐릭 인프라 통합은 ReadOnlyAccess 정책과 함께 작동하도록 설계되었습니다. 지침은 AWS 통합을 인프라에 연결을 참조하십시오.
Exception: Trusted Advisor 통합은 ReadOnlyAccess 정책이 적용되지 않습니다. 추가 AWSSupportAccess 관리형 정책이 필요합니다. 이는 또한 올바르게 작동하기 위해 풀 액세스 권한(support:*)이 필요한 유일한 통합입니다. 우리는 이 제한 사항에 대해 Amazon에 알렸습니다. 문제가 해결되면 이 통합에 필요한 보다 구체적인 권한을 포함하여 문서를 업데이트할 것입니다.
선택적 정책
AWS의 ReadOnlyAccess 관리형 정책 을 사용할 수 없는 경우 권한 목록을 기반으로 사용자 지정 정책을 생성할 수 있습니다. 이를 통해 각 통합에 대해 AWS에서 데이터를 가져오는 데 필요한 최적의 권한을 지정할 수 있습니다. 이 옵션을 사용할 수 있지만 통합을 추가하거나 수정할 때 수동으로 업데이트해야 하므로 권장하지 않습니다.
중요
New Relic은 사용자 지정 권한과 관련된 문제를 식별할 방법이 없습니다. 사용자 지정 정책을 생성하기로 선택한 경우 이를 유지 관리하고 적절한 데이터가 수집되도록 하는 것은 사용자의 책임입니다.
맞춤형 정책을 설정하는 방법에는 두 가지가 있습니다. CloudFormation 템플릿 을 사용하거나 필요한 권한을 추가하여 직접 생성할 수 있습니다 .
옵션 1: CloudFormation 템플릿 사용
CloudFormation 템플릿에는 모든 AWS 통합에 대한 모든 권한이 포함되어 있습니다.
관리형 정책에서 root 이 아닌 다른 사용자를 사용할 수 있습니다.
AWSTemplateFormatVersion: 2010-09-09Outputs: NewRelicRoleArn: Description: NewRelicRole to monitor AWS Lambda Value: !GetAtt - NewRelicIntegrationsTemplate - ArnParameters: NewRelicAccountNumber: Type: String Description: The Newrelic account number to send data AllowedPattern: '[0-9]+'Resources: NewRelicIntegrationsTemplate: Type: 'AWS::IAM::Role' Properties: RoleName: !Sub NewRelicTemplateTest AssumeRolePolicyDocument: Version: 2012-10-17 Statement: - Effect: Allow Principal: AWS: !Sub 'arn:aws:iam::754728514883:root' Action: 'sts:AssumeRole' Condition: StringEquals: 'sts:ExternalId': !Ref NewRelicAccountNumber Policies: - PolicyName: NewRelicIntegrations PolicyDocument: Version: 2012-10-17 Statement: - Effect: Allow Action: - 'elasticloadbalancing:DescribeLoadBalancers' - 'elasticloadbalancing:DescribeTargetGroups' - 'elasticloadbalancing:DescribeTags' - 'elasticloadbalancing:DescribeLoadBalancerAttributes' - 'elasticloadbalancing:DescribeListeners' - 'elasticloadbalancing:DescribeRules' - 'elasticloadbalancing:DescribeTargetGroupAttributes' - 'elasticloadbalancing:DescribeInstanceHealth' - 'elasticloadbalancing:DescribeLoadBalancerPolicies' - 'elasticloadbalancing:DescribeLoadBalancerPolicyTypes' - 'apigateway:GET' - 'autoscaling:DescribeLaunchConfigurations' - 'autoscaling:DescribeAutoScalingGroups' - 'autoscaling:DescribePolicies' - 'autoscaling:DescribeTags' - 'autoscaling:DescribeAccountLimits' - 'budgets:ViewBudget' - 'cloudfront:ListDistributions' - 'cloudfront:ListStreamingDistributions' - 'cloudfront:ListTagsForResource' - 'cloudtrail:LookupEvents' - 'config:BatchGetResourceConfig' - 'config:ListDiscoveredResources' - 'dynamodb:DescribeLimits' - 'dynamodb:ListTables' - 'dynamodb:DescribeTable' - 'dynamodb:ListGlobalTables' - 'dynamodb:DescribeGlobalTable' - 'dynamodb:ListTagsOfResource' - 'ec2:DescribeVolumeStatus' - 'ec2:DescribeVolumes' - 'ec2:DescribeVolumeAttribute' - 'ec2:DescribeInstanceStatus' - 'ec2:DescribeInstances' - 'ec2:DescribeVpnConnections' - 'ecs:ListServices' - 'ecs:DescribeServices' - 'ecs:DescribeClusters' - 'ecs:ListClusters' - 'ecs:ListTagsForResource' - 'ecs:ListContainerInstances' - 'ecs:DescribeContainerInstances' - 'elasticfilesystem:DescribeMountTargets' - 'elasticfilesystem:DescribeFileSystems' - 'elasticache:DescribeCacheClusters' - 'elasticache:ListTagsForResource' - 'es:ListDomainNames' - 'es:DescribeElasticsearchDomain' - 'es:DescribeElasticsearchDomains' - 'es:ListTags' - 'elasticbeanstalk:DescribeEnvironments' - 'elasticbeanstalk:DescribeInstancesHealth' - 'elasticbeanstalk:DescribeConfigurationSettings' - 'elasticloadbalancing:DescribeLoadBalancers' - 'elasticmapreduce:ListInstances' - 'elasticmapreduce:ListClusters' - 'elasticmapreduce:DescribeCluster' - 'elasticmapreduce:ListInstanceGroups' - 'health:DescribeAffectedEntities' - 'health:DescribeEventDetails' - 'health:DescribeEvents' - 'iam:ListSAMLProviders' - 'iam:ListOpenIDConnectProviders' - 'iam:ListServerCertificates' - 'iam:GetAccountAuthorizationDetails' - 'iam:ListVirtualMFADevices' - 'iam:GetAccountSummary' - 'iot:ListTopicRules' - 'iot:GetTopicRule' - 'iot:ListThings' - 'firehose:DescribeDeliveryStream' - 'firehose:ListDeliveryStreams' - 'kinesis:ListStreams' - 'kinesis:DescribeStream' - 'kinesis:ListTagsForStream' - 'rds:ListTagsForResource' - 'rds:DescribeDBInstances' - 'rds:DescribeDBClusters' - 'redshift:DescribeClusters' - 'redshift:DescribeClusterParameters' - 'route53:ListHealthChecks' - 'route53:GetHostedZone' - 'route53:ListHostedZones' - 'route53:ListResourceRecordSets' - 'route53:ListTagsForResources' - 's3:GetLifecycleConfiguration' - 's3:GetBucketTagging' - 's3:ListAllMyBuckets' - 's3:GetBucketWebsite' - 's3:GetBucketLogging' - 's3:GetBucketCORS' - 's3:GetBucketVersioning' - 's3:GetBucketAcl' - 's3:GetBucketNotification' - 's3:GetBucketPolicy' - 's3:GetReplicationConfiguration' - 's3:GetMetricsConfiguration' - 's3:GetAccelerateConfiguration' - 's3:GetAnalyticsConfiguration' - 's3:GetBucketLocation' - 's3:GetBucketRequestPayment' - 's3:GetEncryptionConfiguration' - 's3:GetInventoryConfiguration' - 'ses:ListConfigurationSets' - 'ses:GetSendQuota' - 'ses:DescribeConfigurationSet' - 'ses:ListReceiptFilters' - 'ses:ListReceiptRuleSets' - 'ses:DescribeReceiptRule' - 'ses:DescribeReceiptRuleSet' - 'sns:GetTopicAttributes' - 'sns:ListTopics' - 'sqs:ListQueues' - 'sqs:ListQueueTags' - 'sqs:GetQueueAttributes' - 'tag:GetResources' - 'ec2:DescribeInternetGateways' - 'ec2:DescribeVpcs' - 'ec2:DescribeNatGateways' - 'ec2:DescribeVpcEndpoints' - 'ec2:DescribeSubnets' - 'ec2:DescribeNetworkAcls' - 'ec2:DescribeVpcAttribute' - 'ec2:DescribeRouteTables' - 'ec2:DescribeSecurityGroups' - 'ec2:DescribeVpcPeeringConnections' - 'ec2:DescribeNetworkInterfaces' - 'lambda:GetAccountSettings' - 'lambda:ListFunctions' - 'lambda:ListAliases' - 'lambda:ListTags' - 'lambda:ListEventSourceMappings' - 'cloudwatch:GetMetricStatistics' - 'cloudwatch:ListMetrics' - 'cloudwatch:GetMetricData' - 'support:*' Resource: '*'옵션 2: 수동으로 권한 추가
사용 가능한 권한을 사용하여 고유한 정책을 생성하려면:
- all 통합에 대한 권한을 추가합니다.
- 필요한 통합과 관련된 권한 추가
다음 권한은 New Relic에서 특정 AWS 통합에 대한 데이터를 검색하는 데 사용됩니다.
중요
이 페이지에 통합이 나열되지 않은 경우 이러한 권한만 있으면 됩니다.
모든 통합 | 권한 |
|---|---|
클라우드워치 |
|
구성 API |
|
리소스 태깅 API |
|
추가 ALB 권한:
elasticloadbalancing:DescribeLoadBalancerselasticloadbalancing:DescribeTargetGroupselasticloadbalancing:DescribeTagselasticloadbalancing:DescribeLoadBalancerAttributeselasticloadbalancing:DescribeListenerselasticloadbalancing:DescribeRuleselasticloadbalancing:DescribeTargetGroupAttributeselasticloadbalancing:DescribeInstanceHealthelasticloadbalancing:DescribeLoadBalancerPolicieselasticloadbalancing:DescribeLoadBalancerPolicyTypes
추가 API 게이트웨이 권한:
apigateway:GET
autoscaling:DescribeLaunchConfigurationsautoscaling:DescribeAutoScalingGroupsautoscaling:DescribePoliciesautoscaling:DescribeTagsautoscaling:DescribeAccountLimits
추가 결제 권한:
budgets:ViewBudget
추가 CloudFront 권한:
cloudfront:ListDistributionscloudfront:ListStreamingDistributionscloudfront:ListTagsForResource
추가 CloudTrail 권한:
cloudtrail:LookupEvents
추가 DynamoDB 권한:
dynamodb:DescribeLimitsdynamodb:ListTablesdynamodb:DescribeTabledynamodb:ListGlobalTablesdynamodb:DescribeGlobalTabledynamodb:ListTagsOfResource
추가 EBS 권한:
ec2:DescribeVolumeStatusec2:DescribeVolumesec2:DescribeVolumeAttribute
추가 EC2 권한:
ec2:DescribeInstanceStatusec2:DescribeInstances
추가 ECS/ECR 권한:
ecs:ListServicesecs:DescribeServicesecs:DescribeClustersecs:ListClustersecs:ListTagsForResourceecs:ListContainerInstancesecs:DescribeContainerInstances
추가 EFS 권한:
elasticfilesystem:DescribeMountTargetselasticfilesystem:DescribeFileSystems
추가 ElastiCache 권한:
elasticache:DescribeCacheClusterselasticache:ListTagsForResource
추가 ElasticSearch 권한:
es:ListDomainNameses:DescribeElasticsearchDomaines:DescribeElasticsearchDomainses:ListTags
추가 Elastic Beanstalk 권한:
elasticbeanstalk:DescribeEnvironmentselasticbeanstalk:DescribeInstancesHealthelasticbeanstalk:DescribeConfigurationSettings
추가 ELB 권한:
elasticloadbalancing:DescribeLoadBalancers
추가 EMR 권한:
elasticmapreduce:ListInstanceselasticmapreduce:ListClusterselasticmapreduce:DescribeClusterelasticmapreduce:ListInstanceGroupselasticmapreduce:ListInstanceFleets
추가 건강 권한:
health:DescribeAffectedEntitieshealth:DescribeEventDetailshealth:DescribeEvents
추가 IAM 권한:
iam:ListSAMLProvidersiam:ListOpenIDConnectProvidersiam:ListServerCertificatesiam:GetAccountAuthorizationDetailsiam:ListVirtualMFADevicesiam:GetAccountSummary
추가 IoT 권한:
iot:ListTopicRulesiot:GetTopicRuleiot:ListThings
추가 Kinesis Firehose 권한:
firehose:DescribeDeliveryStreamfirehose:ListDeliveryStreams
추가 Kinesis Streams 권한:
kinesis:ListStreamskinesis:DescribeStreamkinesis:ListTagsForStream
추가 Lambda 권한:
lambda:GetAccountSettingslambda:ListFunctionslambda:ListAliaseslambda:ListTagslambda:ListEventSourceMappings
추가 RDS 및 RDS 향상된 모니터링 권한:
rds:ListTagsForResourcerds:DescribeDBInstancesrds:DescribeDBClusters
추가 Redshift 권한:
redshift:DescribeClustersredshift:DescribeClusterParameters
추가 Route 53 권한:
route53:ListHealthChecksroute53:GetHostedZoneroute53:ListHostedZonesroute53:ListResourceRecordSetsroute53:ListTagsForResources
추가 S3 권한:
s3:GetLifecycleConfigurations3:GetBucketTaggings3:ListAllMyBucketss3:GetBucketWebsites3:GetBucketLoggings3:GetBucketCORSs3:GetBucketVersionings3:GetBucketAcls3:GetBucketNotifications3:GetBucketPolicys3:GetReplicationConfigurations3:GetMetricsConfigurations3:GetAccelerateConfigurations3:GetAnalyticsConfigurations3:GetBucketLocations3:GetBucketRequestPayments3:GetEncryptionConfigurations3:GetInventoryConfiguration
추가 SES 권한:
ses:ListConfigurationSetsses:GetSendQuotases:DescribeConfigurationSetses:ListReceiptFiltersses:ListReceiptRuleSetsses:DescribeReceiptRuleses:DescribeReceiptRuleSet
추가 SNS 권한:
sns:GetTopicAttributessns:ListTopics
추가 SQS 권한:
sqs:ListQueuessqs:GetQueueAttributessqs:ListQueueTags
추가 Trusted Advisor 권한:
support:*Trusted Advisor 통합 및 권장 정책 에 대한 참고 사항도 참조하십시오.
추가 VPC 권한:
ec2:DescribeInternetGatewaysec2:DescribeVpcsec2:DescribeNatGatewaysec2:DescribeVpcEndpointsec2:DescribeSubnetsec2:DescribeNetworkAclsec2:DescribeVpcAttributeec2:DescribeRouteTablesec2:DescribeSecurityGroupsec2:DescribeVpcPeeringConnectionsec2:DescribeNetworkInterfacesec2:DescribeVpnConnections
추가 X선 모니터링 권한:
xray:BatchGet*xray:Get*