AWS Von verwaltete Richtlinien für AWS Batch - AWS Batch

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS Von verwaltete Richtlinien für AWS Batch

Sie könnenAWS verwaltete Richtlinien verwenden, um die Identitätszugriffsverwaltung für Ihr Team und die bereitgestelltenAWS Ressourcen zu vereinfachen. AWSverwaltete Policen decken eine Vielzahl gängiger Anwendungsfälle ab, sind standardmäßig in IhremAWS Konto verfügbar und werden in Ihrem Namen verwaltet und aktualisiert. Die Berechtigungen in von AWS verwalteten Richtlinien können nicht geändert werden. Wenn Sie mehr Flexibilität benötigen, können Sie sich alternativ dafür entscheiden, vom Kunden verwaltete IAM-Richtlinien zu erstellen. Auf diese Weise können Sie den von Ihrem Team bereitgestellten Ressourcen nur die genauen Berechtigungen geben, die sie benötigen.

Weitere Informationen zu verwalteten AWS-Richtlinien finden Sie unter Verwaltete AWS-Richtlinien im IAM-Leitfaden.

AWSDienste verwalten und aktualisieren dieAWS verwalteten Richtlinien in Ihrem Namen. AWSServices fügen einer vonAWS verwalteten Richtlinien regelmäßig zusätzliche Berechtigungen hinzu. AWSverwaltete Richtlinien werden höchstwahrscheinlich aktualisiert, wenn eine neue Funktion gestartet oder ein neuer Vorgang verfügbar wird. Diese Updates wirken sich automatisch auf alle Identitäten (Benutzer, Gruppen und Rollen) aus, an welche die Richtlinie angehängt ist. Sie entfernen jedoch keine Berechtigungen und verletzen auch nicht Ihre bestehenden Berechtigungen.

Darüber hinaus unterstützt AWS verwaltete Richtlinien für Auftragsfunktionen, die mehrere Services umfassen. DieReadOnlyAccessAWS verwaltete Richtlinie bietet beispielsweise schreibgeschützten Zugriff auf alleAWS -Services und -Ressourcen. Wenn ein Service eine neue Funktion startet, fügt AWS schreibgeschützte Berechtigungen für neue Vorgänge und Ressourcen hinzu. Eine Liste und Beschreibungen der Richtlinien für Auftragsfunktionen finden Sie in Verwaltete AWS-Richtlinien für Auftragsfunktionen im IAM-Leitfaden.

AWS verwaltete Richtlinie: BatchServiceRolePolicy

Die BatchServiceRolePolicyRichtlinie ist an eine dienstgebundene Rolle angehängt. Dies ermöglichtAWS Batch die Durchführung von Aktionen in Ihrem Namen. Sie können diese Richtlinie nicht mit Ihren IAM-Entitäten verknüpfen. Weitere Informationen finden Sie unter Verwenden von serviceverknüpften Rollen für AWS Batch.

Diese Richtlinie gewährtAWS Batch Genehmigungen für verwandte Dienste und Funktionen. Dazu gehören Amazon EC2, Amazon EC2 Auto Scaling, Amazon ECS, Amazon EKS und Amazon CloudWatch Logs.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeAccountAttributes", "ec2:DescribeInstances", "ec2:DescribeInstanceStatus", "ec2:DescribeInstanceAttribute", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups", "ec2:DescribeKeyPairs", "ec2:DescribeImages", "ec2:DescribeImageAttribute", "ec2:DescribeSpotInstanceRequests", "ec2:DescribeSpotFleetInstances", "ec2:DescribeSpotFleetRequests", "ec2:DescribeSpotPriceHistory", "ec2:DescribeVpcClassicLink", "ec2:DescribeLaunchTemplateVersions", "ec2:RequestSpotFleet", "autoscaling:DescribeAccountLimits", "autoscaling:DescribeAutoScalingGroups", "autoscaling:DescribeLaunchConfigurations", "autoscaling:DescribeAutoScalingInstances", "eks:DescribeCluster", "ecs:DescribeClusters", "ecs:DescribeContainerInstances", "ecs:DescribeTaskDefinition", "ecs:DescribeTasks", "ecs:ListClusters", "ecs:ListContainerInstances", "ecs:ListTaskDefinitionFamilies", "ecs:ListTaskDefinitions", "ecs:ListTasks", "ecs:DeregisterTaskDefinition", "ecs:TagResource", "ecs:ListAccountSettings", "logs:DescribeLogGroups", "iam:GetInstanceProfile", "iam:GetRole" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/batch/job*" }, { "Effect": "Allow", "Action": [ "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/batch/job*:log-stream:*" }, { "Effect": "Allow", "Action": [ "autoscaling:CreateOrUpdateTags" ], "Resource": "*", "Condition": { "Null": { "aws:RequestTag/AWSBatchServiceTag": "false" } } }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "*" ], "Condition": { "StringEquals": { "iam:PassedToService": [ "ec2.amazonaws.com", "ec2.amazonaws.com.cn", "ecs-tasks.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": [ "spot.amazonaws.com", "spotfleet.amazonaws.com", "autoscaling.amazonaws.com", "ecs.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "ec2:CreateLaunchTemplate" ], "Resource": "*", "Condition": { "Null": { "aws:RequestTag/AWSBatchServiceTag": "false" } } }, { "Effect": "Allow", "Action": [ "ec2:TerminateInstances", "ec2:CancelSpotFleetRequests", "ec2:ModifySpotFleetRequest", "ec2:DeleteLaunchTemplate" ], "Resource": "*", "Condition": { "Null": { "aws:ResourceTag/AWSBatchServiceTag": "false" } } }, { "Effect": "Allow", "Action": [ "autoscaling:CreateLaunchConfiguration", "autoscaling:DeleteLaunchConfiguration" ], "Resource": "arn:aws:autoscaling:*:*:launchConfiguration:*:launchConfigurationName/AWSBatch*" }, { "Effect": "Allow", "Action": [ "autoscaling:CreateAutoScalingGroup", "autoscaling:UpdateAutoScalingGroup", "autoscaling:SetDesiredCapacity", "autoscaling:DeleteAutoScalingGroup", "autoscaling:SuspendProcesses", "autoscaling:PutNotificationConfiguration", "autoscaling:TerminateInstanceInAutoScalingGroup" ], "Resource": "arn:aws:autoscaling:*:*:autoScalingGroup:*:autoScalingGroupName/AWSBatch*" }, { "Effect": "Allow", "Action": [ "ecs:DeleteCluster", "ecs:DeregisterContainerInstance", "ecs:RunTask", "ecs:StartTask", "ecs:StopTask" ], "Resource": "arn:aws:ecs:*:*:cluster/AWSBatch*" }, { "Effect": "Allow", "Action": [ "ecs:RunTask", "ecs:StartTask", "ecs:StopTask" ], "Resource": "arn:aws:ecs:*:*:task-definition/*" }, { "Effect": "Allow", "Action": [ "ecs:StopTask" ], "Resource": "arn:aws:ecs:*:*:task/*/*" }, { "Effect": "Allow", "Action": [ "ecs:CreateCluster", "ecs:RegisterTaskDefinition" ], "Resource": "*", "Condition": { "Null": { "aws:RequestTag/AWSBatchServiceTag": "false" } } }, { "Effect": "Allow", "Action": "ec2:RunInstances", "Resource": [ "arn:aws:ec2:*::image/*", "arn:aws:ec2:*::snapshot/*", "arn:aws:ec2:*:*:subnet/*", "arn:aws:ec2:*:*:network-interface/*", "arn:aws:ec2:*:*:security-group/*", "arn:aws:ec2:*:*:volume/*", "arn:aws:ec2:*:*:key-pair/*", "arn:aws:ec2:*:*:launch-template/*", "arn:aws:ec2:*:*:placement-group/*", "arn:aws:ec2:*:*:capacity-reservation/*", "arn:aws:ec2:*:*:elastic-gpu/*", "arn:aws:elastic-inference:*:*:elastic-inference-accelerator/*", "arn:aws:resource-groups:*:*:group/*" ] }, { "Effect": "Allow", "Action": "ec2:RunInstances", "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": { "Null": { "aws:RequestTag/AWSBatchServiceTag": "false" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "ec2:CreateAction": [ "RunInstances", "CreateLaunchTemplate", "RequestSpotFleet" ] } } } ] }

AWS verwaltete Richtlinie: AWSBatchFullAccess

Die AWSBatchFullAccessRichtlinie gewährtAWS Batch Aktionen vollen Zugriff aufAWS Batch Ressourcen. Außerdem gewährt es Zugriff auf die Aktionen „Beschreibung“ und „Liste“ für Amazon EC2-, Amazon ECS- CloudWatch, Amazon EKS- und IAM-Dienste. Auf diese Weise können IAM-Identitäten, entweder Benutzer oder Rollen,AWS Batch verwaltete Ressourcen einsehen, die in ihrem Namen erstellt wurden. Schließlich ermöglicht diese Richtlinie auch die Übergabe ausgewählter IAM-Rollen an diese Dienste.

Sie können AWSBatchFullAccessan Ihre IAM-Entitäten anhängen. AWS Batchfügt diese Richtlinie auch einer Service-Rolle zu, die die DurchführungAWS Batch von Aktionen in Ihrem Namen ermöglicht.

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "batch:*", "cloudwatch:GetMetricStatistics", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups", "ec2:DescribeKeyPairs", "ec2:DescribeVpcs", "ec2:DescribeImages", "ec2:DescribeLaunchTemplates", "ec2:DescribeLaunchTemplateVersions", "ecs:DescribeClusters", "ecs:Describe*", "ecs:List*", "eks:DescribeCluster", "eks:ListClusters", "logs:Describe*", "logs:Get*", "logs:TestMetricFilter", "logs:FilterLogEvents", "iam:ListInstanceProfiles", "iam:ListRoles" ], "Resource":"*" }, { "Effect":"Allow", "Action":[ "iam:PassRole" ], "Resource":[ "arn:aws:iam::*:role/AWSBatchServiceRole", "arn:aws:iam::*:role/service-role/AWSBatchServiceRole", "arn:aws:iam::*:role/ecsInstanceRole", "arn:aws:iam::*:instance-profile/ecsInstanceRole", "arn:aws:iam::*:role/iaws-ec2-spot-fleet-role", "arn:aws:iam::*:role/aws-ec2-spot-fleet-role", "arn:aws:iam::*:role/AWSBatchJobRole*" ] }, { "Effect":"Allow", "Action":[ "iam:CreateServiceLinkedRole" ], "Resource":"arn:aws:iam::*:role/*Batch*", "Condition": { "StringEquals": { "iam:AWSServiceName": "batch.amazonaws.com" } } } ] }

AWS Batch-Aktualisierungen für AWS verwaltete Richtlinien

Anzeigen von Details zu Aktualisierungen für AWS-verwaltete Richtlinien für AWS Batch, seit dieser Dienst mit der Verfolgung dieser Änderungen begonnen hat. Um automatische Benachrichtigungen über Änderungen an dieser Seite zu erhalten, abonnieren Sie den RSS-Feed auf der Seite AWS Batch-Dokumentverlauf.

Änderung Beschreibung Datum

BatchServiceRolePolicyRichtlinie aktualisiert

Aktualisiert, um Unterstützung für die Beschreibung von Amazon EKS-Clustern hinzuzufügen.

20. Oktober 2022

AWSBatchFullAccessRichtlinie aktualisiert

Aktualisiert, um Unterstützung für die Auflistung und Beschreibung von Amazon EKS-Clustern hinzuzufügen.

20. Oktober 2022

BatchServiceRolePolicyRichtlinie aktualisiert

Aktualisiert, um Unterstützung für Amazon EC2 EC2-Kapazitätsreservierungsgruppen hinzuzufügen, die von verwaltet werdenAWS Resource Groups. Weitere Informationen finden Sie unter Arbeiten mit Kapazitätsreservierungsgruppen im Amazon EC2 EC2-Benutzerhandbuch für Linux-Instances.

18. Mai 2022

BatchServiceRolePolicyund aktualisierte AWSBatchServiceRoleRichtlinien

Es wurde aktualisiert, um Unterstützung für die Beschreibung des StatusAWS Batch verwalteter Instances in Amazon EC2 hinzuzufügen, sodass fehlerhafte Instances ersetzt werden.

6. Dezember 2021

BatchServiceRolePolicyRichtlinie aktualisiert

Aktualisiert, um Unterstützung für Placement-Gruppen-, Kapazitätsreservierungs-, Elastic GPU- und Elastic Inference Inference-Ressourcen in Amazon EC2 hinzuzufügen.

26. März 2021

BatchServiceRolePolicyRichtlinie hinzugefügt

Mit der BatchServiceRolePolicyverwalteten Richtlinie für die AWSServiceRoleForBatchdienstverknüpfte Rolle können Sie eine serviceverknüpfte Rolle verwenden, die von verwaltet wirdAWS Batch. Mit dieser Richtlinie müssen Sie Ihre eigene Rolle für die Verwendung in Ihren Datenverarbeitungsumgebungen nicht mehr verwalten.

10. März 2021

AWSBatchFullAccess- Erlaubnis zum Hinzufügen einer dienstverknüpften Rolle hinzufügen

Fügen Sie IAM-Berechtigungen hinzu, damit die AWSServiceRoleForBatchdienstverknüpfte Rolle dem Konto hinzugefügt werden kann.

10. März 2021

AWS Batch hat die Änderungsverfolgung gestartet

AWS Batch hat mit der Verfolgung von Änderungen für seine AWS-verwalteten Richtlinien begonnen.

10. März 2021