帮助手册

启用对您的 AWS 账户的访问权限

Site24x7 为您的 IaaS 和 PaaS 服务提供全面的监控和告警功能,助力您的云应用正常运行。

监控关键 AWS 资源的资源使用情况,通过将 CloudWatch 的基础设施指标与 Agent 驱动的系统和应用程序数据相结合,深入了解您的 EC2 生态系统,并通过仪表板、报表、策略驱动的阈值、集成通知渠道等功能补充指标数据。

支持的区域

使用 Site24x7,无论 PaaS 服务部署在 AWS 云的哪个位置,您都可以监控其资源使用情况和性能。

  • AWS 全球区域
  • AWS GovCloud(美国)
  • AWS 中国区域

支持的 AWS 服务

目前我们支持对 60 个及以上 AWS 服务的监控,详情请参阅此处

注意
监控支持可能因服务可用性而有所不同。例如,CloudFront 服务目前在美国 GovCloud 及中国(北京和宁夏)区域暂不可用。

启用 Site24x7 对您的 AWS 账户的访问权限

为实现全面的 AWS 基础设施监控,Site24x7 需要自动发现您账户中当前运行的各种受支持服务的所有实例。为此,您需要对我们进行身份验证和授权,以便访问您的资源。请阅读以下内容了解详情。

开始之前

请确保您在 AWS 控制台中拥有管理员级别的访问权限,以便创建 IAM 角色。

跨账户访问的角色 ARN

您可以安全地将您的 AWS 账户与 Site24x7 连接,创建 IAM 角色,建立信任关系,并在您的 AWS 账户与 Site24x7 的 AWS 账户之间启用跨账户访问。

注意
  • 如果您希望监控 AWS GovCloud(美国)或中国区域的服务,请登录相应的管理控制台并打开 IAM 控制台。
  • Site24x7 的 AWS 账户 ID 可能会根据支撑您的部署的云资源所在位置(全球、GovCloud(美国)和中国)而有所不同。要查看账户 ID,请登录 Site24x7 控制台,选择 AWS > 集成 AWS 账户。在此选择相应的账户类型,然后向下滚动至使用 IAM 角色注册部分,复制 12 位数字编号。
  • 要获取您的外部 ID,请登录 Site24x7 控制台,选择 AWS > 集成 AWS 账户。在此选择相应的账户类型(全球、GovCloud(美国)或中国),然后向下滚动至使用 IAM 角色注册部分,复制生成的唯一 ID。
  • 外部 ID 是唯一的客户标识符,每次导航到集成 AWS 账户表单时都会重新生成。因此,请确保在建立信任时粘贴正确的外部 ID。 
  • 要发现资源,您需要为待发现的服务字段中选择的所有 AWS 服务提供只读权限。

观看以下视频,了解如何使用 IAM 角色将您的 AWS 账户与 Site24x7 连接。

前提条件

请确保您已具备 Site24x7 所需的策略。如果没有,请在创建 IAM 角色之前创建您自己的策略。

创建自定义策略

要创建自定义策略并将其附加到跨账户 IAM 角色,请按以下步骤操作:

    1. 导航回 AWS IAM 控制台
    2. 从左侧导航窗格中选择访问管理 > 策略
    3. 单击创建策略
    4. 选择 JSON 选项卡并删除现有的 JSON 策略代码片段。
    5. 将以下 JSON 策略复制并粘贴到 JSON 选项卡中。
       {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"Statement1",
         "Effect":"Allow",
         "Action":[
            "cloudwatch:Describe*",
            "cloudwatch:Get*",
            "cloudwatch:List*",
            "dynamodb:Describe*",
            "dynamodb:List*",
            "ec2:Describe*",
            "sqs:Get*",
            "sqs:List*",
            "autoscaling:Describe*",
            "elasticloadbalancing:Describe*",
            "cloudfront:Get*",
            "cloudfront:List*",
            "s3:Get*",
            "s3:List*",
            "rds:Describe*",
            "rds:List*",
            "kinesisanalytics:Describe*",
            "kinesisanalytics:Get*",
            "kinesisanalytics:List*",
            "kinesis:Describe*",
            "kinesis:Get*",
            "kinesis:List*",
            "kinesisvideo:Get*",
            "kinesisvideo:List*",
            "kinesisvideo:Describe*",
            "firehose:Describe*",
            "firehose:List*",
            "elasticache:Describe*",
            "elasticache:List*",
            "elasticbeanstalk:Describe*",
            "elasticbeanstalk:List*",
            "directconnect:Describe*",
            "apigateway:GET",
            "ecs:DescribeServices",
            "ecs:DescribeContainerInstances",
            "ecs:DescribeClusters",
            "redshift:Describe*",
            "elasticfilesystem:Describe*",
            "ses:Get*",
            "ses:List*",
            "ses:Describe*",
            "lambda:List*",
            "lambda:Get*",
            "logs:Describe*",
            "logs:Get*",
            "route53domains:Get*",
            "route53domains:List*",
            "route53:Get*",
            "route53:List*",
            "route53resolver:Get*",
            "route53resolver:List*",
            "states:List*",
            "states:Describe*",
            "states:GetExecutionHistory",
            "sns:Get*",
            "sns:List*",
            "kms:Describe*",
            "kms:Get*",
            "kms:List*",
            "waf:Get*",
            "waf:List*",
            "waf-regional:List*",
            "waf-regional:Get*",
            "cloudsearch:Describe*",
            "cloudsearch:List*",
            "es:Describe*",
            "es:List*",
            "es:Get*",
            "workspaces:Describe*",
            "ds:Describe*",
            "elasticmapreduce:List*",
            "elasticmapreduce:Describe*",
            "acm:GetCertificate",
            "acm:Describe*",
            "acm:List*",
            "lightsail:Get*",
            "eks:Describe*",
            "eks:List*",
            "mq:Describe*",
            "mq:List*",
            "ec2:Get*",
            "ec2:SearchTransitGatewayRoutes",
            "ec2:SearchTransitGatewayMulticastGroups",
            "storagegateway:List*",
            "storagegateway:Describe*",
            "guardduty:GetFindings",
            "guardduty:ListDetectors",
            "guardduty:ListFindings",
            "dms:Describe*",
            "dms:List*",
            "dms:TestConnection",
            "fsx:Describe*",
            "fsx:ListTagsForResource",
            "inspector:List*",
            "inspector:Describe*",
            "transfer:Describe*",
            "transfer:List*",
            "ssm:ListCommands",
            "ssm:DescribeInstanceInformation",
            "ssm:ListCommandInvocations",
            "glue:List*",
            "glue:Get*",
            "appstream:Describe*",
            "appstream:List*",
            "appsync:List*",
            "appsync:Get*",
            "health:Describe*",
            "batch:Describe*",
            "batch:List*",
            "secretsmanager:DescribeSecret",
            "secretsmanager:ListSecrets",
            "secretsmanager:GetResourcePolicy",
            "support:DescribeTrustedAdvisorCheckResult",
            "support:DescribeTrustedAdvisorCheckSummaries",
            "support:DescribeTrustedAdvisorChecks",
            "kafka:ListClustersV2",
            "kafka:Describe*",
            "kafka:ListNodes",
            "kafka:ListReplicators",
            "kafkaconnect:List*",
            "kafkaconnect:DescribeConnector",
            "kafkaconnect:DescribeCustomPlugin",
            "kafkaconnect:DescribeWorkerConfiguration",
            "drs:Describe*",
            "drs:List*",
            "drs:Get*",
            "cognito-idp:List*",
            "cognito-idp:Describe*",
            "cognito-identity:List*",
            "cognito-identity:Describe*",
            "cognito-identity:GetIdentityPoolRoles",
            "logs:Start*",
            "organizations:List*",
            "organizations:Describe*",
            "logs:List*",
            "elasticache:DescribeServerlessCaches",
            "elasticache:DescribeCacheSubnetGroups",
            "elasticache:ListTagsForResource",
            "elasticache:DescribeCacheClusters",
            "elasticache:DescribeReplicationGroups",
            "elasticache:DescribeServerlessCacheSnapshots",
            "elasticache:DescribeSnapshots",
            "elasticache:DescribeEvents",
            "elasticache:DescribeUpdateActions",
            "logs:GetDataProtectionPolicy",
            "logs:DescribeLogGroups",
            "logs:ListLogAnomalyDetectors",
            "logs:DescribeLogStreams",
            "logs:DescribeSubscriptionFilters",
            "logs:GetLogEvents",
            "logs:DescribeAccountPolicies",
            "logs:DescribeMetricFilters",
            "logs:DescribeFieldIndexes",
            "logs:ListTagsForResource",
            "dlm:GetLifecyclePolicies",
            "dlm:GetLifecyclePolicy",
            "ecr:DescribeRepositories",
            "ecr:ListTagsForResource",
            "ecr:DescribeImages",
            "ecr:DescribeRegistry",
            "ecr:DescribePullThroughCacheRules",
            "ecr:GetRepositoryPolicy",
            "ecr:GetLifecyclePolicy",
            "ecr:GetLifecyclePolicyPreview",
            "ecr-public:DescribeRepositories",
            "ecr-public:DescribeImages",
            "ecr-public:ListTagsForResource",
            "ecr-public:GetRepositoryPolicy",
            "athena:Start*",
            "athena:Get*",
            "athena:List*",
            "athena:Create*",
            "athena:Update*"
         ],
         "Resource":[
            "*"
         ]
      }
   ]
}
      此策略最后更新于 2026 年 3 月 3 日。
      JSON policy new
    6. 单击下一步
    7. 审核并创建页面,输入策略名称描述
      Review policy updated
    8. 单击创建策略
    9. 按照以下步骤 1:选择受信任实体步骤 2:添加权限步骤 3:命名、审核并创建部分的说明,创建跨账户 IAM 角色。 

要创建并启用您的 AWS 账户与 Site24x7 的 AWS 账户之间的跨账户访问,请按以下步骤操作:

步骤 1:选择受信任实体

  1. 登录 AWS 管理控制台,打开 AWS IAM 控制台
  2. 从左侧导航窗格中选择访问管理 > 角色
    Create role
  3. 单击创建角色
  4. 受信任实体类型选项中选择 AWS 账户
  5. 选择其他 AWS 账户选项。
  6. 集成 AWS 账户页面的账户 ID 字段中输入 Site24x7 的 AWS 账户 ID
  7. 勾选需要外部 ID 复选框。
    注意
    请确保需要 MFA 旁边的复选框未被勾选。
  8. 输入集成 AWS 账户页面中显示的唯一外部 ID
    Select external ID
  9. 单击下一步

 步骤 2:添加权限

Site24x7 需要对您的 AWS 服务和资源的只读访问权限。 

  1. 添加权限页面,搜索并选择 ReadOnlyAccess(即 AWS 托管策略)。
    注意
    如果您希望监控 Kinesis Video Streams 的使用指标,请确保同时选择 AmazonKinesisVideoStreamsReadOnlyAccess
    Create policy readonly access updated
  2. 单击下一步

步骤 3:命名、审核并创建

  1. 输入角色名称描述
  2. 审核步骤 1:选择受信任实体步骤 2:添加权限中配置的详细信息。
    Review Role

  3. 单击创建角色。完成后,将为您创建的跨账户 IAM 角色生成一个 ARN 角色。

下一步

现在,要创建 AWS 监视器,您需要将您的 AWS 账户与 Site24x7 连接。请按照此处所述步骤操作。

CloudFormation IAM 基于角色的访问

您可以通过为 Site24x7 创建基于 IAM 角色的访问来启用对您的 AWS 资源的访问权限。您可以使用 CloudFormation 模板自动创建 IAM 角色。了解更多

基于 AWS Control Tower 生命周期事件的访问

您可以通过 AWS Control Tower 生命周期事件启用对现有和新 AWS 账户的访问权限,并自动发现组织中所有需要与 Site24x7 集成的账户。

基于 AWS IAM Identity Center 的访问

AWS IAM Identity Center 提供一致的单点登录体验,用于访问您的 AWS 账户,并有助于将多个 AWS 账户与 Site24x7 集成。  

基于委派管理员的访问

您可以通过委派管理员启用对您的 AWS 账户的访问权限,并自动发现组织中所有需要与 Site24x7 集成的账户。 

基于密钥的访问

注意

此身份验证方法已弃用。请使用基于角色的身份验证方法来监控您的 AWS 资源。

您也可以通过将 Site24x7 创建为 IAM 用户来启用对您的 AWS 资源的访问权限。在此方式中,通过安全凭据进行身份验证,通过策略声明进行授权。Site24x7 使用这些安全凭据(访问密钥 ID 和私有访问密钥)以编程方式调用 AWS API。要了解更多关于 IAM 用户创建和访问密钥生成的信息,请继续阅读。

开始之前

您必须在 AWS 控制台中拥有管理员级别的访问权限,才能创建 IAM 用户并分配策略权限。

添加新的 IAM 用户

按照以下步骤将 Site24x7 创建为您的 AWS 账户的 IAM 用户。

注意

希望监控 AWS GovCloud(美国)或中国区域的服务的用户,请登录相应的管理控制台并打开 IAM 控制台。

  • 在导航窗格中单击用户,然后单击添加用户
  • 在提供的字段中输入合适的用户名(例如 Site24x7_Integration)。
  • 选择 AWS 访问类型部分下勾选编程访问复选框,然后单击下一步:权限
    add-aws-iam-user

为已创建的 Site24x7 用户分配策略权限。

Site24x7 需要对您的 AWS 服务具有只读访问权限,您可以将一个或多个现有策略直接附加到 Site24x7 用户,或创建新策略。可按照以下步骤完成:

附加现有只读策略

  • 设置权限窗口中,单击直接附加现有策略选项卡。
  • 使用搜索选项卡,搜索名为 ReadOnlyAccessAmazonKinesisVideoStreamsReadOnlyAccess 的 AWS 托管策略(如果要监控 Kinesis Video Streams 的使用指标,则为必选项)。
  • 单击复选框选择策略,然后单击下一步:审核
  • 这两个策略均为所有受支持的 AWS 服务和资源提供只读访问权限。
    Provide ReadonlyAccess to all supported AWS services and resources

附加自定义策略

您可以按照以下步骤创建并附加自定义策略。

  • 导航回 AWS IAM 控制台。
  • 从导航窗格中选择策略
  • 单击创建策略,选择 JSON 选项卡,粘贴所示的策略 JSON,然后单击审核策略
注意

Site24x7 使用上述权限来检索受支持 AWS 服务的数据。

注意

上述策略文档规定了 Site24x7 获取指标和元数据所需的最低权限。如果您不希望 Site24x7 发现和监控特定的 AWS 资源,可以手动编辑或删除该资源对应的权限。

例如:如果您不想监控 SNS 主题,可以从策略声明中删除 "sns:Get*" 和 "sns:List*" 权限。完成后,请务必通过验证策略来检查错误。Site24x7 无法检测策略声明中的问题,因此在编辑策略 JSON 时请务必谨慎。

接下来,提供合适的名称、描述并审核自定义策略的各项内容。如确认无误,请选择创建策略

您的新自定义策略将被创建。现在,按照上述 IAM 用户创建步骤操作:用户 > 添加用户 > 选择编程访问,在"设置权限"窗口中,单击"刷新"并搜索新创建的策略。完成后,单击复选框选择该策略,然后单击下一步:审核

审核

在本部分,您可以审核用户详情和已附加的权限。

  • 如确认无误,最后单击创建用户
    create user in the AWS IAM policy

下载用户安全凭据

  • 成功创建新的 IAM 用户后,您可以查看访问密钥 ID私有访问密钥 ,或以 .csv 格式下载。
    View the access key and secret key
注意

下载后,IAM 安全凭据将不再通过 AWS 管理控制台提供。

下一步

现在,要将您的 AWS 账户与 Site24x7 连接,请按照此处所述步骤操作。

本文档对您有帮助吗?

您愿意帮助我们改进文档吗?请告诉我们哪些方面可以做得更好。


很抱歉本文档未能让您满意。我们希望了解可以从哪些方面改进您的体验。


感谢您抽出时间分享反馈。我们将利用您的反馈来改进在线帮助资源。

短链接已复制!