Accorder des autorisations à New Relic avec des politiques gérées par AWS

Pour utiliser l'intégrationinfrastructure , vous devez accorder à New Relic l'autorisation de lire les données pertinentes de votre compte. Amazon Web Services (AWS) utilise des politiques gérées pour accorder ces autorisations.

Politique recommandée

Important

Recommandation : accordez une politique gérée ReadOnlyAccess à l'échelle du compte depuis AWS. AWS met automatiquement à jour cette politique lorsque de nouveaux services sont ajoutés ou que des services existants sont modifiés. L'intégration de l'infrastructure New Relic a été conçue pour fonctionner avec ReadOnlyAccess politiques. Pour obtenir des instructions, consultez Connecter l’intégration AWS à infrastructure.

Exception: L'intégration de Trusted Advisor n'est pas couverte par la politique ReadOnlyAccess . Cela nécessite la politique gérée supplémentaire AWSSupportAccess . C'est également la seule intégration qui nécessite des autorisations d'accès intégral (support:*) pour fonctionner correctement. Nous avons informé Amazon de cette limitation. Une fois le problème résolu, nous mettrons à jour la documentation avec des autorisations plus spécifiques requises pour cette intégration.

Politique facultative

Si vous ne pouvez pas utiliser la politique gérée ReadOnlyAccess d'AWS, vous pouvez créer votre propre politique personnalisée en fonction de la liste des autorisations. Cela vous permet de spécifier les autorisations optimales requises pour récupérer des données d'AWS pour chaque intégration. Bien que cette option soit disponible, elle n'est pas recommandée car elle doit être mise à jour manuellement lorsque vous ajoutez ou modifiez votre intégration.

Important

New Relic n'a aucun moyen d'identifier les problèmes liés aux autorisations personnalisées. Si vous choisissez de créer une politique personnalisée, il est de votre responsabilité de la maintenir et de vous assurer que les données appropriées sont collectées.

Il existe deux manières de configurer votre politique personnalisée : vous pouvez soit utiliser notre modèle CloudFormation, soit créer le vôtre vous-même en ajoutant les autorisations dont vous avez besoin.

Option 1 : Utilisez notre modèle CloudFormation

Notre modèle CloudFormation contient toutes les autorisations pour toutes nos intégrations AWS.

Un utilisateur différent de root peut être utilisé dans la politique gérée.

AWSTemplateFormatVersion: 2010-09-09
Outputs:
  NewRelicRoleArn:
    Description: NewRelicRole to monitor AWS Lambda
    Value: !GetAtt 
      - NewRelicIntegrationsTemplate
      - Arn
Parameters:
  NewRelicAccountNumber:
    Type: String
    Description: The Newrelic account number to send data
    AllowedPattern: '[0-9]+'
Resources:
  NewRelicIntegrationsTemplate:
    Type: 'AWS::IAM::Role'
    Properties:
      RoleName: !Sub NewRelicTemplateTest
      AssumeRolePolicyDocument:
        Version: 2012-10-17
        Statement:
          - Effect: Allow
            Principal:
              AWS: !Sub 'arn:aws:iam::754728514883:root'
            Action: 'sts:AssumeRole'
            Condition:
              StringEquals:
                'sts:ExternalId': !Ref NewRelicAccountNumber
      Policies:
        - PolicyName: NewRelicIntegrations
          PolicyDocument:
            Version: 2012-10-17
            Statement:
              - Effect: Allow
                Action:
                  - 'elasticloadbalancing:DescribeLoadBalancers'
                  - 'elasticloadbalancing:DescribeTargetGroups'
                  - 'elasticloadbalancing:DescribeTags'
                  - 'elasticloadbalancing:DescribeLoadBalancerAttributes'
                  - 'elasticloadbalancing:DescribeListeners'
                  - 'elasticloadbalancing:DescribeRules'
                  - 'elasticloadbalancing:DescribeTargetGroupAttributes'
                  - 'elasticloadbalancing:DescribeInstanceHealth'
                  - 'elasticloadbalancing:DescribeLoadBalancerPolicies'
                  - 'elasticloadbalancing:DescribeLoadBalancerPolicyTypes'
                  - 'apigateway:GET'
                  - 'autoscaling:DescribeLaunchConfigurations'
                  - 'autoscaling:DescribeAutoScalingGroups'
                  - 'autoscaling:DescribePolicies'
                  - 'autoscaling:DescribeTags'
                  - 'autoscaling:DescribeAccountLimits'
                  - 'budgets:ViewBudget'
                  - 'cloudfront:ListDistributions'
                  - 'cloudfront:ListStreamingDistributions'
                  - 'cloudfront:ListTagsForResource'
                  - 'cloudtrail:LookupEvents'
                  - 'config:BatchGetResourceConfig'
                  - 'config:ListDiscoveredResources'
                  - 'dynamodb:DescribeLimits'
                  - 'dynamodb:ListTables'
                  - 'dynamodb:DescribeTable'
                  - 'dynamodb:ListGlobalTables'
                  - 'dynamodb:DescribeGlobalTable'
                  - 'dynamodb:ListTagsOfResource'
                  - 'ec2:DescribeVolumeStatus'
                  - 'ec2:DescribeVolumes'
                  - 'ec2:DescribeVolumeAttribute'
                  - 'ec2:DescribeInstanceStatus'
                  - 'ec2:DescribeInstances'
                  - 'ec2:DescribeVpnConnections'
                  - 'ecs:ListServices'
                  - 'ecs:DescribeServices'
                  - 'ecs:DescribeClusters'
                  - 'ecs:ListClusters'
                  - 'ecs:ListTagsForResource'
                  - 'ecs:ListContainerInstances'
                  - 'ecs:DescribeContainerInstances'
                  - 'elasticfilesystem:DescribeMountTargets'
                  - 'elasticfilesystem:DescribeFileSystems'
                  - 'elasticache:DescribeCacheClusters'
                  - 'elasticache:ListTagsForResource'
                  - 'es:ListDomainNames'
                  - 'es:DescribeElasticsearchDomain'
                  - 'es:DescribeElasticsearchDomains'
                  - 'es:ListTags'
                  - 'elasticbeanstalk:DescribeEnvironments'
                  - 'elasticbeanstalk:DescribeInstancesHealth'
                  - 'elasticbeanstalk:DescribeConfigurationSettings'
                  - 'elasticloadbalancing:DescribeLoadBalancers'
                  - 'elasticmapreduce:ListInstances'
                  - 'elasticmapreduce:ListClusters'
                  - 'elasticmapreduce:DescribeCluster'
                  - 'elasticmapreduce:ListInstanceGroups'
                  - 'health:DescribeAffectedEntities'
                  - 'health:DescribeEventDetails'
                  - 'health:DescribeEvents'
                  - 'iam:ListSAMLProviders'
                  - 'iam:ListOpenIDConnectProviders'
                  - 'iam:ListServerCertificates'
                  - 'iam:GetAccountAuthorizationDetails'
                  - 'iam:ListVirtualMFADevices'
                  - 'iam:GetAccountSummary'
                  - 'iot:ListTopicRules'
                  - 'iot:GetTopicRule'
                  - 'iot:ListThings'
                  - 'firehose:DescribeDeliveryStream'
                  - 'firehose:ListDeliveryStreams'
                  - 'kinesis:ListStreams'
                  - 'kinesis:DescribeStream'
                  - 'kinesis:ListTagsForStream'
                  - 'rds:ListTagsForResource'
                  - 'rds:DescribeDBInstances' 
                  - 'rds:DescribeDBClusters' 
                  - 'redshift:DescribeClusters' 
                  - 'redshift:DescribeClusterParameters'
                  - 'route53:ListHealthChecks'
                  - 'route53:GetHostedZone'
                  - 'route53:ListHostedZones'
                  - 'route53:ListResourceRecordSets'
                  - 'route53:ListTagsForResources'
                  - 's3:GetLifecycleConfiguration'
                  - 's3:GetBucketTagging'
                  - 's3:ListAllMyBuckets'
                  - 's3:GetBucketWebsite'
                  - 's3:GetBucketLogging'
                  - 's3:GetBucketCORS'
                  - 's3:GetBucketVersioning'
                  - 's3:GetBucketAcl'
                  - 's3:GetBucketNotification'
                  - 's3:GetBucketPolicy'
                  - 's3:GetReplicationConfiguration'
                  - 's3:GetMetricsConfiguration'
                  - 's3:GetAccelerateConfiguration'
                  - 's3:GetAnalyticsConfiguration'
                  - 's3:GetBucketLocation'
                  - 's3:GetBucketRequestPayment'
                  - 's3:GetEncryptionConfiguration'
                  - 's3:GetInventoryConfiguration'
                  - 'ses:ListConfigurationSets'
                  - 'ses:GetSendQuota'
                  - 'ses:DescribeConfigurationSet'
                  - 'ses:ListReceiptFilters'
                  - 'ses:ListReceiptRuleSets'
                  - 'ses:DescribeReceiptRule'
                  - 'ses:DescribeReceiptRuleSet'
                  - 'sns:GetTopicAttributes'
                  - 'sns:ListTopics'
                  - 'sqs:ListQueues'
                  - 'sqs:ListQueueTags'
                  - 'sqs:GetQueueAttributes'
                  - 'tag:GetResources'
                  - 'ec2:DescribeInternetGateways'
                  - 'ec2:DescribeVpcs'
                  - 'ec2:DescribeNatGateways'
                  - 'ec2:DescribeVpcEndpoints'
                  - 'ec2:DescribeSubnets'
                  - 'ec2:DescribeNetworkAcls'
                  - 'ec2:DescribeVpcAttribute'
                  - 'ec2:DescribeRouteTables'
                  - 'ec2:DescribeSecurityGroups'
                  - 'ec2:DescribeVpcPeeringConnections'
                  - 'ec2:DescribeNetworkInterfaces'
                  - 'lambda:GetAccountSettings'
                  - 'lambda:ListFunctions'
                  - 'lambda:ListAliases'
                  - 'lambda:ListTags'
                  - 'lambda:ListEventSourceMappings'
                  - 'cloudwatch:GetMetricStatistics'
                  - 'cloudwatch:ListMetrics'
                  - 'cloudwatch:GetMetricData'
                  - 'support:*'
                Resource: '*'

Option 2 : ajouter manuellement des autorisations

Pour créer votre propre politique à l’aide des autorisations disponibles :

Ajoutez les autorisations pour l'intégration all .
Ajoutez des autorisations spécifiques à l’intégration dont vous avez besoin

Les autorisations suivantes sont utilisées par New Relic pour récupérer des données pour une intégration AWS spécifique :

Important

Si une intégration n'est pas répertoriée sur cette page, ces autorisations sont tout ce dont vous avez besoin.

Toute l'intégration	Autorisations
CloudWatch	`cloudwatch:GetMetricStatistics` `cloudwatch:ListMetrics` `cloudwatch:GetMetricData`
Configuration de l'API	`config:BatchGetResourceConfig` `config:ListDiscoveredResources`
API de balises de ressources	`tag:GetResources`

Toute l'intégration

Autorisations

CloudWatch

cloudwatch:GetMetricStatistics

cloudwatch:ListMetrics

cloudwatch:GetMetricData

Configuration de l'API

config:BatchGetResourceConfig

config:ListDiscoveredResources

API de balises de ressources

tag:GetResources

Autorisations ALB supplémentaires :

elasticloadbalancing:DescribeLoadBalancers
elasticloadbalancing:DescribeTargetGroups
elasticloadbalancing:DescribeTags
elasticloadbalancing:DescribeLoadBalancerAttributes
elasticloadbalancing:DescribeListeners
elasticloadbalancing:DescribeRules
elasticloadbalancing:DescribeTargetGroupAttributes
elasticloadbalancing:DescribeInstanceHealth
elasticloadbalancing:DescribeLoadBalancerPolicies
elasticloadbalancing:DescribeLoadBalancerPolicyTypes

Autorisations S3 supplémentaires :

s3:GetLifecycleConfiguration
s3:GetBucketTagging
s3:ListAllMyBuckets
s3:GetBucketWebsite
s3:GetBucketLogging
s3:GetBucketCORS
s3:GetBucketVersioning
s3:GetBucketAcl
s3:GetBucketNotification
s3:GetBucketPolicy
s3:GetReplicationConfiguration
s3:GetMetricsConfiguration
s3:GetAccelerateConfiguration
s3:GetAnalyticsConfiguration
s3:GetBucketLocation
s3:GetBucketRequestPayment
s3:GetEncryptionConfiguration
s3:GetInventoryConfiguration

Cette traduction automatique est fournie pour votre commodité.

Accorder des autorisations à New Relic avec des politiques gérées par AWS

Politique recommandée .css-21sua1{background:none;border:none;width:0;padding:0;}

Important

Politique facultative

Important

Option 1 : Utilisez notre modèle CloudFormation

Option 2 : ajouter manuellement des autorisations

Requis par le flux de métriques CloudWatch et toutes les intégrations d'interrogations d'API

Autorisations ALB

Autorisations de la passerelle API

Autorisations de mise à l'échelle automatique

Autorisation de facturation

Autorisations CloudFront

Autorisations CloudTrail

Autorisations DynamoDB

Autorisations EBS

Autorisations EC2

Autorisations ECS/ECR

Autorisations EFS

Autorisations ElastiCache

Autorisations ElasticSearch

Autorisations Elastic Beanstalk

Autorisations ELB

Autorisations EMR

Autorisations sanitaires

Autorisations IAM

Autorisations IoT

Autorisations de Kinesis Firehose

Autorisations de Kinesis Streams

Autorisations Lambda

RDS, autorisations de monitoring amélioré RDS

Autorisations Redshift

Autorisations pour la Route 53

Autorisations S3

Autorisations du service de messagerie électronique simple (SES)

Autorisations SNS

Autorisations SQS

Autorisations de conseiller de confiance

Autorisations VPC

Autorisations monitoring de X-Ray

Politique recommandée