Skip to main content
All CollectionsGetting StartedData Sources Configuration
Permissions required to map an AWS environment
Permissions required to map an AWS environment
A
Written by Alex Patnick
Updated this week

Collecting data on AWS entities

To collect details on the entities in your AWS environment, we require the following permissions:

AWS API permissions:

 {  
   "Version": "2012-10-17",                              
   "Statement": [                                        
      {                                                  
        "Sid": "FaddomAWSDiscoveryPermissions",             
        "Effect": "Allow",                               
        "Action": [                                      
            "ce:GetDimensionValues",                      
            "ce:GetCostAndUsage",                      
            "ec2:DescribeVolumes",
            "ec2:DescribeInstances",                     
            "ec2:DescribeVpcs",                          
            "ec2:DescribeVpcPeeringConnections",         
            "ec2:DescribeFlowLogs",                      
            "ec2:DescribeNatGateways",                   
            "ec2:DescribeNetworkInterfaces",             
            "ec2:DescribeSubnets",                       
            "ecs:DescribeTaskDefinition",                
            "ecs:DescribeTasks",                         
            "ecs:DescribeClusters",                      
            "ecs:DescribeServices",                      
            "ecs:ListClusters",                          
            "ecs:ListServices",                          
            "ecs:ListTasks",                             
            "elasticloadbalancing:DescribeLoadBalancers",
            "elasticloadbalancing:DescribeTargetGroups", 
            "pricing:GetProducts",                       
            "rds:DescribeDBInstances",                   
            "elasticloadbalancing:DescribeTags",                          
            "cloudwatch:GetMetricStatistics",,                          
            "cloudwatch:ListMetrics",,                          
            "cloudwatch:GetMetricData"
            "s3:ListAllMyBuckets"          ],                                             
          "Resource": "*"                                
        }                                                
    ]                                                    

VPC Flow Logs Permissions

If you enabled VPC Flow Logs to allow Faddom to map the dependencies between the entities in your account, we need the following permissions:

{
    
   "Version": "2012-10-17",
   "Statement": [
        {
        "Sid": "FaddomS3Permissions",            
        "Effect": "Allow",                               
        "Action": [                             
                "s3:GetObject",
                "s3:ListBucket"
                  ],
       "Resource": [
                "arn:aws:s3:::[FLOW_LOGS_BUCKET]/*",
                "arn:aws:s3:::[FLOW_LOGS_BUCKET]"
            ]
        } 
    ]
}

* Note: replace {FLOW_LOGS_BUCKET} with the bucket name to which flow logs are stored

Did this answer your question?