Configure as credenciais da AWS.

visualização

Ainda estamos trabalhando nesse recurso, mas adoraríamos que você experimentasse!

Atualmente, esse recurso é fornecido como parte de um programa de visualização de acordo com nossas políticas de pré-lançamento.

Autorize a automação de fluxo de trabalho do New Relic a executar ações em sua conta da AWS. Você configurará um método de autenticação que permitirá que o fluxo de trabalho interaja com segurança com serviços da AWS como EC2, SQS, DynamoDB e outros, sem precisar codificar credenciais ou comprometer a segurança.

Pré-requisitos

Antes de configurar as credenciais da AWS, certifique-se de ter:

Uma conta AWS com permissão para criar funções ou usuários do IAM.
Seu ID de conta New Relic.
Acesso administrativo ao Console do AWS IAM.

Compreenda as permissões necessárias

Antes de criar credenciais, entenda quais permissões seu fluxo de trabalho precisa. Conceda apenas as permissões que seu fluxo de trabalho realmente utiliza — isso segue o princípio do menor privilégio e minimiza o risco de segurança.

Permissões comuns de fluxo de trabalho

Tipo de fluxo de trabalho	Permissões AWS necessárias	Descrição
Gestão do EC2	`ec2:DescribeInstances` `ec2:StopInstances` `ec2:StartInstances` `ec2:ModifyInstanceAttribute`	Pare, inicie ou modifique instâncias do EC2 em resposta a alertas
Mensagens SQS	`sqs:SendMessage` `sqs:GetQueueAttributes`	Enviar mensagens para filas SQS para processamento posterior.
Gateway de API	`apigateway:GET` `apigateway:PUT`	Reverter implantação ou configuração API Gateway
Gerente de Sistemas	`ssm:CreateDocument` `ssm:DeleteDocument` `ssm:StartAutomationExecution` `ssm:GetAutomationExecution`	Executar manuais de automação
DynamoDB	`dynamodb:Query` `dynamodb:GetItem` `dynamodb:PutItem`	Ler ou escrever em tabelas do DynamoDB

Dica

Comece com permissões somente de leitura (Describe*, Get*, List*), depois adicione permissões de gravação (Put*, Create*, Delete*) somente conforme necessário. Isso evita ações destrutivas acidentais durante os testes.

Consulte os exemplos de políticas abaixo para obter modelos completos de políticas IAM.

Configurar autenticação

Escolha o método que melhor se adequa ao seu caso de uso na tabela acima:

Uma função do IAM permite que o New Relic assuma credenciais temporárias em sua conta da AWS sem exigir chaves de acesso permanentes.

Características da função IAM:

As credenciais são rotacionadas automaticamente.
O acesso é limitado no tempo, conforme projetado.
Todas as ações são registradas no AWS CloudTrail.
Alinha-se com as práticas de segurança recomendadas AWS
Crie a função na AWS.

Faça login no Console do AWS IAM.
Acesse Roles > Create role > Trusted entity type e selecione AWS account > another AWS account
No campo Account ID, insira: 253490767857
Em Options, marque a Require external ID.
No campo External ID, insira o ID da sua conta New Relic e clique em Next.

Não tem? Encontre seu ID de conta aqui.

Na página Add permissions, anexe políticas com base no seu fluxo de trabalho:

Para fluxo de trabalho EC2: anexe AmazonEC2ReadOnlyAccess ou crie uma política personalizada
Para fluxo de trabalho SQS: Anexe AmazonSQSFullAccess ou limite a filas específicas
Para outros serviços: consulte as permissões da AWS necessárias abaixo.

Clique em Next.
Digite um nome para a função: NewRelicWorkflowAutomationRole (ou o nome de sua preferência)
Opcionalmente, adicione uma descrição: "Permite que a automação do fluxo de trabalho do New Relic execute ações na AWS" e clique em Create role.
Verifique a política de confiança.
Após criar a função, verifique a relação de confiança:
No console do IAM, selecione a função recém-criada.
Clique na aba Trust relationships.
Confirme se a política corresponde a esta estrutura (substitua <YOUR_NR_ACCOUNT_ID> pelo seu ID de conta real):
```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "sts:AssumeRole",
      "Principal": {
        "AWS": "arn:aws:iam::253490767857:root"
      },
      "Condition": {
        "StringEquals": {
          "sts:ExternalId": "<YOUR_NR_ACCOUNT_ID>"
        }
      }
    }
  ]
}
```
Copie o ARN da sua função.
Você precisará do role ARN para configurar o fluxo de trabalho:
No console do IAM, selecione sua função.
Na seção Summary, localize o campo ARN.
Copie o ARN completo — ele tem a seguinte aparência: arn:aws:iam::123456789012:role/NewRelicWorkflowAutomationRole
Salve este ARN com segurança – você irá colá-lo diretamente na configuração do fluxo de trabalho
Dica
Importante: os ARNs de função devem ser inseridos diretamente nas entradas do fluxo de trabalho — não os armazene no gerenciador de segredos. Não são credenciais confidenciais; são identificadores de recursos.
A função já está configurada. Use o ARN na configuração do fluxo de trabalho que requer acesso AWS.

Utilize este método para ambientes de teste ou quando as funções do IAM não forem suportadas. As chaves de acesso são credenciais de longa duração que exigem rotação manual.

Casos de uso:

Ambientes de teste e desenvolvimento
Configurações AWS que não suportam a assunção de funções entre contas.
Fluxo de trabalho de autenticação simplificado
Cuidado
As chaves de acesso são credenciais de longa duração. Faça o rodízio regularmente (a cada 90 dias) e limite as permissões apenas ao que seu fluxo de trabalho necessita.
Criar o usuário do IAM

Faça login no Console do AWS IAM.
Acesse Users > Create user e insira um nome de usuário: workflow-automation-user (ou o nome de sua preferência)
Clique em Next
Na página Set permissions, selecione Attach policies directly.
Pesquise e selecione políticas com base no seu fluxo de trabalho:

Para SQS: Selecione AmazonSQSFullAccess
Para EC2: Selecione AmazonEC2ReadOnlyAccess
Ou crie uma política personalizada com permissões limitadas (recomendado).

Clique em Next e, em seguida, em Create user.
Gerar chaves de acesso
Na lista de usuários, selecione o usuário que você acabou de criar.
Clique na guia Security credentials
Na seção Access keys, selecione Create access key.
Selecione Application running outside AWS e clique em Next.
(Opcional) Adicione uma tag de descrição: "Automação de fluxo de trabalho do New Relic"
Selecione Create access key
Copie ambas as credenciais imediatamente:

ID da chave de acesso (começa com AKIA...)
Chave de acesso secreta (mostrada apenas uma vez)
Importante
A AWS exibe a chave de acesso secreta apenas uma vez durante a criação. Se você não salvar, precisará gerar um novo par de chaves.
Armazene suas credenciais com segurança.
Nunca codifique credenciais AWS no fluxo de trabalho. Em vez disso, armazene-os no gerenciador de segredos do New Relic.

Abra o explorador GraphiQL do NerdGraph

Execute esta mutação para armazenar seu ID de chave de acesso (substitua os valores de espaço reservado):

mutation {
  secretsManagementCreateSecret(
    scope: { type: ACCOUNT, id: "YOUR_NR_ACCOUNT_ID" }
    namespace: "aws"
    key: "awsAccessKeyId"
    description: "AWS Access Key ID for workflow automation"
    value: "YOUR_AWS_ACCESS_KEY_ID"
  ) {
    key
  }
}

Execute outra mutação para sua Chave de Acesso Secreta:

mutation {
  secretsManagementCreateSecret(
    scope: { type: ACCOUNT, id: "YOUR_NR_ACCOUNT_ID" }
    namespace: "aws"
    key: "awsSecretAccessKey"
    description: "AWS Secret Access Key for workflow automation"
    value: "YOUR_AWS_SECRET_ACCESS_KEY"
  ) {
    key
  }
}

Faça referência a esses segredos no fluxo de trabalho usando a sintaxe: ${{ :secrets:awsAccessKeyId }}

Dica

Use o campo namespace para organizar segredos por ambiente (aws-prod, aws-staging) ou nome da equipe.

O token de sessão fornece credenciais temporárias com expiração automática.

Casos de uso:

Desenvolvimento e testes locais
pipeline de CI/CD que requer rotação de credenciais
Ambientes com requisitos de conformidade para acesso com tempo limitado (normalmente de 1 a 12 horas)
Pré-requisitos:
AWS CLI instalada e configurada
Uma função IAM existente que você pode assumir.
Gerar credenciais temporárias

Abra o terminal e execute este comando (substitua `` pelo ARN da sua função):
bash
```
$aws sts assume-role \
>  --role-arn "arn:aws:iam::YOUR_ACCOUNT:role/YOUR_ROLE" \
>  --role-session-name "WorkflowAutomationSession"
```
Se esta for a sua primeira vez usando a AWS CLI, talvez seja necessário configurá-la com aws configure e inserir suas credenciais de acesso:

A AWS retorna três valores — você precisa dos três:

{
  "Credentials": {
    "AccessKeyId": "ASIAIOSFODNN7EXAMPLE",
    "SecretAccessKey": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY",
    "SessionToken": "FQoGZXIvYXdzEBk...",
    "Expiration": "2025-01-25T12:00:00Z"
  }
}

Armazene todas as três credenciais no gerenciador de segredos:

AccessKeyId armazenar como awsAccessKeyId
SecretAccessKey armazenar como awsSecretAccessKey
SessionToken armazenar como awsSessionToken
Cuidado
O token de sessão expira (normalmente após 1 hora). Defina um lembrete para atualizá-los antes do timestamp Expiration, ou seu fluxo de trabalho falhará com erros de autenticação.

Use credenciais no fluxo de trabalho

Após configurar a autenticação, referencie suas credenciais na configuração do fluxo de trabalho:

Função IAM (recomendada)

Cole o ARN da função diretamente nas entradas do fluxo de trabalho — sem necessidade de gerenciador de segredos:

awsRoleArn: arn:aws:iam::123456789012:role/NewRelicWorkflowAutomationRole

Dica

Os ARNs de função são identificadores de recursos, não credenciais confidenciais. Não os armazene no gerenciador de segredos – cole-os diretamente na configuração do fluxo de trabalho.

Token de usuário ou sessão IAM

Gerenciador de segredos de referência para chaves de acesso:

awsAccessKeyId: ${{ :secrets:awsAccessKeyId }}
awsSecretAccessKey: ${{ :secrets:awsSecretAccessKey }}
awsSessionToken: ${{ :secrets:awsSessionToken }}  # Only for session tokens

O New Relic recupera segredos em tempo de execução, autentica-se com a AWS e, em seguida, os descarta. Suas credenciais nunca aparecem nos logs ou no histórico do fluxo de trabalho.

Exemplos de políticas

Utilize esses modelos completos de política IAM para tipos de fluxo de trabalho comuns. Cada um segue o princípio do menor privilégio, restringindo o acesso a recursos específicos.

Restringir o acesso a uma fila específica:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "sqs:SendMessage",
      "Resource": "arn:aws:sqs:us-west-2:123456789012:my-workflow-queue"
    },
    {
      "Effect": "Allow",
      "Action": "sqs:GetQueueAttributes",
      "Resource": "arn:aws:sqs:us-west-2:123456789012:my-workflow-queue"
    }
  ]
}

Substitua us-west-2 pela sua região, 123456789012 pelo seu ID de conta AWS e my-workflow-queue pelo nome da sua fila.

Restringir o acesso a categorias específicas por meio de tag:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["ec2:DescribeInstances", "ec2:DescribeTags"],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:StopInstances",
        "ec2:StartInstances",
        "ec2:ModifyInstanceAttribute"
      ],
      "Resource": "arn:aws:ec2:us-east-1:123456789012:instance/*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/Environment": "production"
        }
      }
    }
  ]
}

Esta política permite que o fluxo de trabalho pare/inicie/modifique apenas instâncias da tag EC2 com Environment=production.

Restringir o acesso a uma tabela específica:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["dynamodb:Query", "dynamodb:GetItem", "dynamodb:PutItem"],
      "Resource": "arn:aws:dynamodb:us-east-1:123456789012:table/WorkflowData"
    }
  ]
}

Substitua WorkflowData pelo nome da sua tabela.

Restringir o acesso a documentos de automação específicos:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["ssm:CreateDocument", "ssm:DeleteDocument"],
      "Resource": "arn:aws:ssm:us-east-1:123456789012:document/WorkflowAutomation-*"
    },
    {
      "Effect": "Allow",
      "Action": ["ssm:StartAutomationExecution", "ssm:GetAutomationExecution"],
      "Resource": [
        "arn:aws:ssm:us-east-1:123456789012:automation-definition/WorkflowAutomation-*:*",
        "arn:aws:ssm:us-east-1:123456789012:automation-execution/*"
      ]
    }
  ]
}

Isso restringe os documentos de automação àqueles prefixados com WorkflowAutomation-.

Restringir o acesso a uma API específica:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["apigateway:GET", "apigateway:PUT"],
      "Resource": "arn:aws:apigateway:us-west-2::/restapis/abc123xyz/*"
    }
  ]
}

Substitua abc123xyz pelo seu ID do API Gateway.

Recursos adicionais

Para obter informações completas sobre permissões da AWS:

Políticas gerenciadas de integração comAWS : Lista completa de permissões AWS por serviço, além de modelos do CloudFormation que você pode adaptar.
Configurar AWS API polling: Padrões de configuração adicionais

Importante

Esses recursos usam o ID da conta 754728514883 para integração na nuvem (monitoramento). Para automação de fluxo de trabalho, use sempre 253490767857.

Próximos passos

Após configurar as credenciais AWS, você pode criar o fluxo de trabalho:

Criar fluxo de trabalho:

Navegue pelas ações da AWS: Veja as operações da AWS disponíveis (EC2, SQS, DynamoDB, etc.)
Use um modelo: implantar fluxo de trabalho pré-configurado para tarefas comuns de automação AWS
Crie um fluxo de trabalho personalizado: Crie um fluxo de trabalho para seus requisitos específicos

Configurar notificação:

Configurar destinos: configurar Slack, PagerDuty, e-mail ou notificação de webhook para evento de fluxo de trabalho

Esta tradução de máquina é fornecida para sua comodidade.

visualização

Pré-requisitos

Compreenda as permissões necessárias

Permissões comuns de fluxo de trabalho

Dica

Configurar autenticação

Crie a função na AWS.

Verifique a política de confiança.

Copie o ARN da sua função.

Dica

Cuidado

Criar o usuário do IAM

Gerar chaves de acesso

Importante

Armazene suas credenciais com segurança.

Dica

Gerar credenciais temporárias

Cuidado

Use credenciais no fluxo de trabalho

Função IAM (recomendada)

Dica

Token de usuário ou sessão IAM

Exemplos de políticas

fluxo de trabalho de mensagens SQS

fluxo de trabalho de gerenciamento do EC2

Fluxo de trabalho do DynamoDB

Fluxo de trabalho do Gerente de Sistemas

Fluxo de trabalho API Gateway

Recursos adicionais

Importante

Próximos passos

Esta tradução de máquina é fornecida para sua comodidade.

Configure as credenciais da AWS.

visualização

Pré-requisitos.css-21sua1{background:none;border:none;width:0;padding:0;}

Compreenda as permissões necessárias

Permissões comuns de fluxo de trabalho

Dica

Configurar autenticação

Crie a função na AWS.

Verifique a política de confiança.

Copie o ARN da sua função.

Dica

Cuidado

Criar o usuário do IAM

Gerar chaves de acesso

Importante

Armazene suas credenciais com segurança.

Dica

Gerar credenciais temporárias

Cuidado

Use credenciais no fluxo de trabalho

Função IAM (recomendada)

Dica

Token de usuário ou sessão IAM

Exemplos de políticas

fluxo de trabalho de gerenciamento do EC2

Fluxo de trabalho do DynamoDB

Fluxo de trabalho do Gerente de Sistemas

Fluxo de trabalho API Gateway

Recursos adicionais

Importante

Próximos passos

Pré-requisitos