Conceda permissões do New Relic com políticas gerenciadas pela AWS

Para usar a infraestrutura de integração, você precisa conceder permissão New Relic para ler os dados relevantes da sua conta. Amazon Web Services (AWS) usa políticas gerenciadas para conceder essas permissões.

Política recomendada

Importante

Recomendação: conceda uma política gerenciada ReadOnlyAccess para toda a conta da AWS. A AWS atualiza automaticamente esta política quando novos serviços são adicionados ou serviços existentes são modificados. A integração New Relic Infrastructure foi projetada para funcionar com ReadOnlyAccess políticas. Para obter instruções, consulte Conectar a integração AWS à infraestrutura.

Exception: A integração do Trusted Advisor não é coberta pela política ReadOnlyAccess . Requer a política gerenciada AWSSupportAccess adicional. Esta também é a única integração que requer permissões de acesso total (support:*) para funcionar corretamente. Notificamos a Amazon sobre essa limitação. Assim que estiver resolvido, atualizaremos a documentação com permissões mais específicas necessárias para esta integração.

Política opcional

Se não for possível usar a política gerenciada ReadOnlyAccess da AWS, você poderá criar sua própria política personalizada com base na lista de permissões. Isso permite especificar as permissões ideais necessárias para buscar dados da AWS para cada integração. Embora esta opção esteja disponível, ela não é recomendada porque deve ser atualizada manualmente quando você adiciona ou modifica sua integração.

Importante

A New Relic não tem como identificar problemas relacionados às permissões personalizadas. Se você optar por criar uma política personalizada, será sua responsabilidade mantê-la e garantir que os dados adequados sejam coletados.

Há duas maneiras de configurar sua política personalizada: você pode usar nosso modelo CloudFormation ou criar você mesmo adicionando as permissões necessárias.

Opção 1: use nosso modelo CloudFormation

Nosso modelo CloudFormation contém todas as permissões para toda a nossa integração AWS .

Um usuário diferente de root pode ser usado na política gerenciada.

AWSTemplateFormatVersion: 2010-09-09
Outputs:
  NewRelicRoleArn:
    Description: NewRelicRole to monitor AWS Lambda
    Value: !GetAtt 
      - NewRelicIntegrationsTemplate
      - Arn
Parameters:
  NewRelicAccountNumber:
    Type: String
    Description: The Newrelic account number to send data
    AllowedPattern: '[0-9]+'
Resources:
  NewRelicIntegrationsTemplate:
    Type: 'AWS::IAM::Role'
    Properties:
      RoleName: !Sub NewRelicTemplateTest
      AssumeRolePolicyDocument:
        Version: 2012-10-17
        Statement:
          - Effect: Allow
            Principal:
              AWS: !Sub 'arn:aws:iam::754728514883:root'
            Action: 'sts:AssumeRole'
            Condition:
              StringEquals:
                'sts:ExternalId': !Ref NewRelicAccountNumber
      Policies:
        - PolicyName: NewRelicIntegrations
          PolicyDocument:
            Version: 2012-10-17
            Statement:
              - Effect: Allow
                Action:
                  - 'elasticloadbalancing:DescribeLoadBalancers'
                  - 'elasticloadbalancing:DescribeTargetGroups'
                  - 'elasticloadbalancing:DescribeTags'
                  - 'elasticloadbalancing:DescribeLoadBalancerAttributes'
                  - 'elasticloadbalancing:DescribeListeners'
                  - 'elasticloadbalancing:DescribeRules'
                  - 'elasticloadbalancing:DescribeTargetGroupAttributes'
                  - 'elasticloadbalancing:DescribeInstanceHealth'
                  - 'elasticloadbalancing:DescribeLoadBalancerPolicies'
                  - 'elasticloadbalancing:DescribeLoadBalancerPolicyTypes'
                  - 'apigateway:GET'
                  - 'autoscaling:DescribeLaunchConfigurations'
                  - 'autoscaling:DescribeAutoScalingGroups'
                  - 'autoscaling:DescribePolicies'
                  - 'autoscaling:DescribeTags'
                  - 'autoscaling:DescribeAccountLimits'
                  - 'budgets:ViewBudget'
                  - 'cloudfront:ListDistributions'
                  - 'cloudfront:ListStreamingDistributions'
                  - 'cloudfront:ListTagsForResource'
                  - 'cloudtrail:LookupEvents'
                  - 'config:BatchGetResourceConfig'
                  - 'config:ListDiscoveredResources'
                  - 'dynamodb:DescribeLimits'
                  - 'dynamodb:ListTables'
                  - 'dynamodb:DescribeTable'
                  - 'dynamodb:ListGlobalTables'
                  - 'dynamodb:DescribeGlobalTable'
                  - 'dynamodb:ListTagsOfResource'
                  - 'ec2:DescribeVolumeStatus'
                  - 'ec2:DescribeVolumes'
                  - 'ec2:DescribeVolumeAttribute'
                  - 'ec2:DescribeInstanceStatus'
                  - 'ec2:DescribeInstances'
                  - 'ec2:DescribeVpnConnections'
                  - 'ecs:ListServices'
                  - 'ecs:DescribeServices'
                  - 'ecs:DescribeClusters'
                  - 'ecs:ListClusters'
                  - 'ecs:ListTagsForResource'
                  - 'ecs:ListContainerInstances'
                  - 'ecs:DescribeContainerInstances'
                  - 'elasticfilesystem:DescribeMountTargets'
                  - 'elasticfilesystem:DescribeFileSystems'
                  - 'elasticache:DescribeCacheClusters'
                  - 'elasticache:ListTagsForResource'
                  - 'es:ListDomainNames'
                  - 'es:DescribeElasticsearchDomain'
                  - 'es:DescribeElasticsearchDomains'
                  - 'es:ListTags'
                  - 'elasticbeanstalk:DescribeEnvironments'
                  - 'elasticbeanstalk:DescribeInstancesHealth'
                  - 'elasticbeanstalk:DescribeConfigurationSettings'
                  - 'elasticloadbalancing:DescribeLoadBalancers'
                  - 'elasticmapreduce:ListInstances'
                  - 'elasticmapreduce:ListClusters'
                  - 'elasticmapreduce:DescribeCluster'
                  - 'elasticmapreduce:ListInstanceGroups'
                  - 'health:DescribeAffectedEntities'
                  - 'health:DescribeEventDetails'
                  - 'health:DescribeEvents'
                  - 'iam:ListSAMLProviders'
                  - 'iam:ListOpenIDConnectProviders'
                  - 'iam:ListServerCertificates'
                  - 'iam:GetAccountAuthorizationDetails'
                  - 'iam:ListVirtualMFADevices'
                  - 'iam:GetAccountSummary'
                  - 'iot:ListTopicRules'
                  - 'iot:GetTopicRule'
                  - 'iot:ListThings'
                  - 'firehose:DescribeDeliveryStream'
                  - 'firehose:ListDeliveryStreams'
                  - 'kinesis:ListStreams'
                  - 'kinesis:DescribeStream'
                  - 'kinesis:ListTagsForStream'
                  - 'rds:ListTagsForResource'
                  - 'rds:DescribeDBInstances' 
                  - 'rds:DescribeDBClusters' 
                  - 'redshift:DescribeClusters' 
                  - 'redshift:DescribeClusterParameters'
                  - 'route53:ListHealthChecks'
                  - 'route53:GetHostedZone'
                  - 'route53:ListHostedZones'
                  - 'route53:ListResourceRecordSets'
                  - 'route53:ListTagsForResources'
                  - 's3:GetLifecycleConfiguration'
                  - 's3:GetBucketTagging'
                  - 's3:ListAllMyBuckets'
                  - 's3:GetBucketWebsite'
                  - 's3:GetBucketLogging'
                  - 's3:GetBucketCORS'
                  - 's3:GetBucketVersioning'
                  - 's3:GetBucketAcl'
                  - 's3:GetBucketNotification'
                  - 's3:GetBucketPolicy'
                  - 's3:GetReplicationConfiguration'
                  - 's3:GetMetricsConfiguration'
                  - 's3:GetAccelerateConfiguration'
                  - 's3:GetAnalyticsConfiguration'
                  - 's3:GetBucketLocation'
                  - 's3:GetBucketRequestPayment'
                  - 's3:GetEncryptionConfiguration'
                  - 's3:GetInventoryConfiguration'
                  - 'ses:ListConfigurationSets'
                  - 'ses:GetSendQuota'
                  - 'ses:DescribeConfigurationSet'
                  - 'ses:ListReceiptFilters'
                  - 'ses:ListReceiptRuleSets'
                  - 'ses:DescribeReceiptRule'
                  - 'ses:DescribeReceiptRuleSet'
                  - 'sns:GetTopicAttributes'
                  - 'sns:ListTopics'
                  - 'sqs:ListQueues'
                  - 'sqs:ListQueueTags'
                  - 'sqs:GetQueueAttributes'
                  - 'tag:GetResources'
                  - 'ec2:DescribeInternetGateways'
                  - 'ec2:DescribeVpcs'
                  - 'ec2:DescribeNatGateways'
                  - 'ec2:DescribeVpcEndpoints'
                  - 'ec2:DescribeSubnets'
                  - 'ec2:DescribeNetworkAcls'
                  - 'ec2:DescribeVpcAttribute'
                  - 'ec2:DescribeRouteTables'
                  - 'ec2:DescribeSecurityGroups'
                  - 'ec2:DescribeVpcPeeringConnections'
                  - 'ec2:DescribeNetworkInterfaces'
                  - 'lambda:GetAccountSettings'
                  - 'lambda:ListFunctions'
                  - 'lambda:ListAliases'
                  - 'lambda:ListTags'
                  - 'lambda:ListEventSourceMappings'
                  - 'cloudwatch:GetMetricStatistics'
                  - 'cloudwatch:ListMetrics'
                  - 'cloudwatch:GetMetricData'
                  - 'support:*'
                Resource: '*'

Opção 2: adicionar permissões manualmente

Para criar sua própria política usando as permissões disponíveis:

Adicione as permissões para all integração.
Adicione permissões específicas para a integração que você precisa

As seguintes permissões são usadas pela New Relic para recuperar dados para integração específica AWS :

Importante

Se uma integração não estiver listada nesta página, essas permissões são tudo que você precisa.

Toda integração	Permissões
CloudWatch	`cloudwatch:GetMetricStatistics` `cloudwatch:ListMetrics` `cloudwatch:GetMetricData`
API de configuração	`config:BatchGetResourceConfig` `config:ListDiscoveredResources`
API de tags de recursos	`tag:GetResources`

Toda integração

Permissões

CloudWatch

cloudwatch:GetMetricStatistics

cloudwatch:ListMetrics

cloudwatch:GetMetricData

API de configuração

config:BatchGetResourceConfig

config:ListDiscoveredResources

API de tags de recursos

tag:GetResources

Permissões adicionais do ALB :

elasticloadbalancing:DescribeLoadBalancers
elasticloadbalancing:DescribeTargetGroups
elasticloadbalancing:DescribeTags
elasticloadbalancing:DescribeLoadBalancerAttributes
elasticloadbalancing:DescribeListeners
elasticloadbalancing:DescribeRules
elasticloadbalancing:DescribeTargetGroupAttributes
elasticloadbalancing:DescribeInstanceHealth
elasticloadbalancing:DescribeLoadBalancerPolicies
elasticloadbalancing:DescribeLoadBalancerPolicyTypes

Permissões adicionais do S3 :

s3:GetLifecycleConfiguration
s3:GetBucketTagging
s3:ListAllMyBuckets
s3:GetBucketWebsite
s3:GetBucketLogging
s3:GetBucketCORS
s3:GetBucketVersioning
s3:GetBucketAcl
s3:GetBucketNotification
s3:GetBucketPolicy
s3:GetReplicationConfiguration
s3:GetMetricsConfiguration
s3:GetAccelerateConfiguration
s3:GetAnalyticsConfiguration
s3:GetBucketLocation
s3:GetBucketRequestPayment
s3:GetEncryptionConfiguration
s3:GetInventoryConfiguration

Esta tradução de máquina é fornecida para sua comodidade.

Conceda permissões do New Relic com políticas gerenciadas pela AWS

Política recomendada .css-21sua1{background:none;border:none;width:0;padding:0;}

Importante

Política opcional

Importante

Opção 1: use nosso modelo CloudFormation

Opção 2: adicionar permissões manualmente

Exigido pelo CloudWatch Metric Streams e por toda integração de pesquisa API

Permissões ALB

Permissões do API Gateway

Permissões de escalonamento automático

Permissão de faturamento

Permissões do CloudFront

Permissões do CloudTrail

Permissões do DynamoDB

Permissões do EBS

Permissões EC2

Permissões ECS/ECR

Permissões EFS

Permissões do ElastiCache

Permissões do ElasticSearch

Permissões do Elastic Beanstalk

Permissões ELB

Permissões EMR

Permissões de saúde

Permissões do IAM

Permissões de IoT

Permissões do Kinesis Firehose

Permissões do Kinesis Streams

Permissões Lambda

RDS, permissões de monitoramento aprimorado RDS

Permissões Redshift

Permissões da Rota 53

Permissões S3

Permissões do Simple Email Service (SES)

Permissões SNS

Permissões SQS

Permissões do Trusted Advisor

Permissões VPC

Permissões de monitoramento do X-Ray

Política recomendada