Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
AWS verwaltete Richtlinien für AWS Batch
Sie können AWS verwaltete Richtlinien verwenden, um die Verwaltung des Identitätszugriffs für Ihr Team und die bereitgestellten AWS Ressourcen zu vereinfachen. AWS verwaltete Richtlinien decken eine Vielzahl gängiger Anwendungsfälle ab, sind standardmäßig in Ihrem AWS Konto verfügbar und werden in Ihrem Namen verwaltet und aktualisiert. Sie können die Berechtigungen in AWS verwalteten Richtlinien nicht ändern. Wenn Sie mehr Flexibilität benötigen, können Sie alternativ vom IAM Kunden verwaltete Richtlinien erstellen. Auf diese Weise können Sie Ihrem Team bereitgestellte Ressourcen nur mit genau den Berechtigungen ausstatten, die sie benötigen.
Weitere Informationen zu AWS verwalteten Richtlinien finden Sie im IAMBenutzerhandbuch unter AWS Verwaltete Richtlinien.
AWS Dienste verwalten und aktualisieren AWS verwaltete Richtlinien in Ihrem Namen. In regelmäßigen Abständen fügen AWS Dienste einer AWS verwalteten Richtlinie zusätzliche Berechtigungen hinzu. AWS verwaltete Richtlinien werden höchstwahrscheinlich aktualisiert, wenn eine neue Funktion gestartet oder ein neuer Vorgang verfügbar wird. Diese Updates wirken sich automatisch auf alle Identitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. Sie entfernen jedoch weder Berechtigungen noch beeinträchtigen sie Ihre bestehenden Berechtigungen.
AWS Unterstützt außerdem verwaltete Richtlinien für Jobfunktionen, die sich über mehrere Dienste erstrecken. Die ReadOnlyAccess AWS verwaltete Richtlinie bietet beispielsweise schreibgeschützten Zugriff auf alle AWS Dienste und Ressourcen. Wenn ein Dienst eine neue Funktion startet, werden nur Leseberechtigungen für neue Operationen und Ressourcen AWS hinzugefügt. Eine Liste und eine Beschreibung der Richtlinien für Jobfunktionen finden Sie im IAMBenutzerhandbuch unter AWS Verwaltete Richtlinien für Jobfunktionen.
AWS verwaltete Richtlinie: BatchServiceRolePolicy
Die BatchServiceRolePolicyverwaltete IAM Richtlinie wird von der AWSServiceRoleForBatchdienstbezogenen Rolle verwendet. Auf diese Weise können AWS Batch Sie Aktionen in Ihrem Namen ausführen. Sie können diese Richtlinie nicht an Ihre IAM Entitäten anhängen. Weitere Informationen finden Sie unter Verwenden Sie dienstbezogene Rollen für AWS Batch.
Diese Richtlinie ermöglicht AWS Batch es, die folgenden Aktionen für bestimmte Ressourcen durchzuführen:
-
autoscaling— Ermöglicht das AWS Batch Erstellen und Verwalten von Amazon EC2 Auto Scaling Scaling-Ressourcen. AWS Batch erstellt und verwaltet Amazon EC2 Auto Scaling Scaling-Gruppen für die meisten Computerumgebungen. -
ec2— Ermöglicht AWS Batch die Kontrolle des Lebenszyklus von EC2 Amazon-Instances sowie die Erstellung und Verwaltung von Startvorlagen und Tags. AWS Batch erstellt und verwaltet EC2 Spot-Flottenanfragen für einige EC2 Spot-Computerumgebungen. -
ecs- Ermöglicht AWS Batch die Erstellung und Verwaltung von ECS Amazon-Clustern, Aufgabendefinitionen und Aufgaben für die Auftragsausführung. -
eks- Ermöglicht AWS Batch die Beschreibung der EKS Amazon-Cluster-Ressource für Validierungen. -
iam- Ermöglicht AWS Batch die Validierung und Weitergabe von Rollen, die vom Eigentümer bereitgestellt wurden, an AmazonEC2, Amazon EC2 Auto Scaling und AmazonECS. -
logs— Ermöglicht AWS Batch das Erstellen und Verwalten von Protokollgruppen und Protokollströmen für AWS Batch Jobs.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSBatchPolicyStatement1", "Effect": "Allow", "Action": [ "ec2:DescribeAccountAttributes", "ec2:DescribeInstances", "ec2:DescribeInstanceStatus", "ec2:DescribeInstanceAttribute", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups", "ec2:DescribeKeyPairs", "ec2:DescribeImages", "ec2:DescribeImageAttribute", "ec2:DescribeSpotInstanceRequests", "ec2:DescribeSpotFleetInstances", "ec2:DescribeSpotFleetRequests", "ec2:DescribeSpotPriceHistory", "ec2:DescribeSpotFleetRequestHistory", "ec2:DescribeVpcClassicLink", "ec2:DescribeLaunchTemplateVersions", "ec2:RequestSpotFleet", "autoscaling:DescribeAccountLimits", "autoscaling:DescribeAutoScalingGroups", "autoscaling:DescribeLaunchConfigurations", "autoscaling:DescribeAutoScalingInstances", "autoscaling:DescribeScalingActivities", "eks:DescribeCluster", "ecs:DescribeClusters", "ecs:DescribeContainerInstances", "ecs:DescribeTaskDefinition", "ecs:DescribeTasks", "ecs:ListClusters", "ecs:ListContainerInstances", "ecs:ListTaskDefinitionFamilies", "ecs:ListTaskDefinitions", "ecs:ListTasks", "ecs:DeregisterTaskDefinition", "ecs:TagResource", "ecs:ListAccountSettings", "logs:DescribeLogGroups", "iam:GetInstanceProfile", "iam:GetRole" ], "Resource": "*" }, { "Sid": "AWSBatchPolicyStatement2", "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/batch/job*" }, { "Sid": "AWSBatchPolicyStatement3", "Effect": "Allow", "Action": [ "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/batch/job*:log-stream:*" }, { "Sid": "AWSBatchPolicyStatement4", "Effect": "Allow", "Action": [ "autoscaling:CreateOrUpdateTags" ], "Resource": "*", "Condition": { "Null": { "aws:RequestTag/AWSBatchServiceTag": "false" } } }, { "Sid": "AWSBatchPolicyStatement5", "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "*" ], "Condition": { "StringEquals": { "iam:PassedToService": [ "ec2.amazonaws.com", "ec2.amazonaws.com.cn", "ecs-tasks.amazonaws.com" ] } } }, { "Sid": "AWSBatchPolicyStatement6", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": [ "spot.amazonaws.com", "spotfleet.amazonaws.com", "autoscaling.amazonaws.com", "ecs.amazonaws.com" ] } } }, { "Sid": "AWSBatchPolicyStatement7", "Effect": "Allow", "Action": [ "ec2:CreateLaunchTemplate" ], "Resource": "*", "Condition": { "Null": { "aws:RequestTag/AWSBatchServiceTag": "false" } } }, { "Sid": "AWSBatchPolicyStatement8", "Effect": "Allow", "Action": [ "ec2:TerminateInstances", "ec2:CancelSpotFleetRequests", "ec2:ModifySpotFleetRequest", "ec2:DeleteLaunchTemplate" ], "Resource": "*", "Condition": { "Null": { "aws:ResourceTag/AWSBatchServiceTag": "false" } } }, { "Sid": "AWSBatchPolicyStatement9", "Effect": "Allow", "Action": [ "autoscaling:CreateLaunchConfiguration", "autoscaling:DeleteLaunchConfiguration" ], "Resource": "arn:aws:autoscaling:*:*:launchConfiguration:*:launchConfigurationName/AWSBatch*" }, { "Sid": "AWSBatchPolicyStatement10", "Effect": "Allow", "Action": [ "autoscaling:CreateAutoScalingGroup", "autoscaling:UpdateAutoScalingGroup", "autoscaling:SetDesiredCapacity", "autoscaling:DeleteAutoScalingGroup", "autoscaling:SuspendProcesses", "autoscaling:PutNotificationConfiguration", "autoscaling:TerminateInstanceInAutoScalingGroup" ], "Resource": "arn:aws:autoscaling:*:*:autoScalingGroup:*:autoScalingGroupName/AWSBatch*" }, { "Sid": "AWSBatchPolicyStatement11", "Effect": "Allow", "Action": [ "ecs:DeleteCluster", "ecs:DeregisterContainerInstance", "ecs:RunTask", "ecs:StartTask", "ecs:StopTask" ], "Resource": "arn:aws:ecs:*:*:cluster/AWSBatch*" }, { "Sid": "AWSBatchPolicyStatement12", "Effect": "Allow", "Action": [ "ecs:RunTask", "ecs:StartTask", "ecs:StopTask" ], "Resource": "arn:aws:ecs:*:*:task-definition/*" }, { "Sid": "AWSBatchPolicyStatement13", "Effect": "Allow", "Action": [ "ecs:StopTask" ], "Resource": "arn:aws:ecs:*:*:task/*/*" }, { "Sid": "AWSBatchPolicyStatement14", "Effect": "Allow", "Action": [ "ecs:CreateCluster", "ecs:RegisterTaskDefinition" ], "Resource": "*", "Condition": { "Null": { "aws:RequestTag/AWSBatchServiceTag": "false" } } }, { "Sid": "AWSBatchPolicyStatement15", "Effect": "Allow", "Action": "ec2:RunInstances", "Resource": [ "arn:aws:ec2:*::image/*", "arn:aws:ec2:*::snapshot/*", "arn:aws:ec2:*:*:subnet/*", "arn:aws:ec2:*:*:network-interface/*", "arn:aws:ec2:*:*:security-group/*", "arn:aws:ec2:*:*:volume/*", "arn:aws:ec2:*:*:key-pair/*", "arn:aws:ec2:*:*:launch-template/*", "arn:aws:ec2:*:*:placement-group/*", "arn:aws:ec2:*:*:capacity-reservation/*", "arn:aws:ec2:*:*:elastic-gpu/*", "arn:aws:elastic-inference:*:*:elastic-inference-accelerator/*", "arn:aws:resource-groups:*:*:group/*" ] }, { "Sid": "AWSBatchPolicyStatement16", "Effect": "Allow", "Action": "ec2:RunInstances", "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": { "Null": { "aws:RequestTag/AWSBatchServiceTag": "false" } } }, { "Sid": "AWSBatchPolicyStatement17", "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "ec2:CreateAction": [ "RunInstances", "CreateLaunchTemplate", "RequestSpotFleet" ] } } } ] }
AWS verwaltete Richtlinie: AWSBatchServiceRoleRichtlinie
Die genannte Richtlinie für Rollenberechtigungen AWSBatchServiceRole AWS Batch ermöglicht es, die folgenden Aktionen für bestimmte Ressourcen durchzuführen:
Die AWSBatchServiceRoleverwaltete IAM Richtlinie wird häufig von einer Rolle mit dem Namen verwendet AWSBatchServiceRoleund umfasst die folgenden Berechtigungen. Gemäß den standardmäßigen Sicherheitsempfehlungen zur Gewährung geringster Rechte kann die AWSBatchServiceRoleverwaltete Richtlinie als Leitfaden verwendet werden. Wenn eine der Berechtigungen, die in der verwalteten Richtlinie erteilt werden, für Ihren Anwendungsfall nicht erforderlich ist, erstellen Sie eine benutzerdefinierte Richtlinie, und fügen Sie nur die erforderlichen Berechtigungen hinzu. Diese AWS Batch verwaltete Richtlinie und Rolle können für die meisten Arten von Computerumgebungen verwendet werden, aber die Verwendung von dienstbezogenen Rollen wird bevorzugt less-error-prone, um einen besseren Umfang und eine bessere Verwaltungsoberfläche zu gewährleisten.
-
autoscaling— Ermöglicht das AWS Batch Erstellen und Verwalten von Amazon EC2 Auto Scaling Scaling-Ressourcen. AWS Batch erstellt und verwaltet Amazon EC2 Auto Scaling Scaling-Gruppen für die meisten Computerumgebungen. -
ec2— Ermöglicht AWS Batch die Verwaltung des Lebenszyklus von EC2 Amazon-Instances sowie die Erstellung und Verwaltung von Startvorlagen und Tags. AWS Batch erstellt und verwaltet EC2 Spot-Flottenanfragen für einige EC2 Spot-Computerumgebungen. -
ecs- Ermöglicht AWS Batch die Erstellung und Verwaltung von ECS Amazon-Clustern, Aufgabendefinitionen und Aufgaben für die Auftragsausführung. -
iam- Ermöglicht AWS Batch die Validierung und Weitergabe von Rollen, die vom Eigentümer bereitgestellt wurden, an AmazonEC2, Amazon EC2 Auto Scaling und AmazonECS. -
logs— Ermöglicht AWS Batch das Erstellen und Verwalten von Protokollgruppen und Protokollströmen für AWS Batch Jobs.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSBatchPolicyStatement1", "Effect": "Allow", "Action": [ "ec2:DescribeAccountAttributes", "ec2:DescribeInstances", "ec2:DescribeInstanceStatus", "ec2:DescribeInstanceAttribute", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups", "ec2:DescribeKeyPairs", "ec2:DescribeImages", "ec2:DescribeImageAttribute", "ec2:DescribeSpotInstanceRequests", "ec2:DescribeSpotFleetInstances", "ec2:DescribeSpotFleetRequests", "ec2:DescribeSpotPriceHistory", "ec2:DescribeSpotFleetRequestHistory", "ec2:DescribeVpcClassicLink", "ec2:DescribeLaunchTemplateVersions", "ec2:CreateLaunchTemplate", "ec2:DeleteLaunchTemplate", "ec2:RequestSpotFleet", "ec2:CancelSpotFleetRequests", "ec2:ModifySpotFleetRequest", "ec2:TerminateInstances", "ec2:RunInstances", "autoscaling:DescribeAccountLimits", "autoscaling:DescribeAutoScalingGroups", "autoscaling:DescribeLaunchConfigurations", "autoscaling:DescribeAutoScalingInstances", "autoscaling:DescribeScalingActivities", "autoscaling:CreateLaunchConfiguration", "autoscaling:CreateAutoScalingGroup", "autoscaling:UpdateAutoScalingGroup", "autoscaling:SetDesiredCapacity", "autoscaling:DeleteLaunchConfiguration", "autoscaling:DeleteAutoScalingGroup", "autoscaling:CreateOrUpdateTags", "autoscaling:SuspendProcesses", "autoscaling:PutNotificationConfiguration", "autoscaling:TerminateInstanceInAutoScalingGroup", "ecs:DescribeClusters", "ecs:DescribeContainerInstances", "ecs:DescribeTaskDefinition", "ecs:DescribeTasks", "ecs:ListAccountSettings", "ecs:ListClusters", "ecs:ListContainerInstances", "ecs:ListTaskDefinitionFamilies", "ecs:ListTaskDefinitions", "ecs:ListTasks", "ecs:CreateCluster", "ecs:DeleteCluster", "ecs:RegisterTaskDefinition", "ecs:DeregisterTaskDefinition", "ecs:RunTask", "ecs:StartTask", "ecs:StopTask", "ecs:UpdateContainerAgent", "ecs:DeregisterContainerInstance", "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents", "logs:DescribeLogGroups", "iam:GetInstanceProfile", "iam:GetRole" ], "Resource": "*" }, { "Sid": "AWSBatchPolicyStatement2", "Effect": "Allow", "Action": "ecs:TagResource", "Resource": [ "arn:aws:ecs:*:*:task/*_Batch_*" ] }, { "Sid": "AWSBatchPolicyStatement3", "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "*" ], "Condition": { "StringEquals": { "iam:PassedToService": [ "ec2.amazonaws.com", "ec2.amazonaws.com.cn", "ecs-tasks.amazonaws.com" ] } } }, { "Sid": "AWSBatchPolicyStatement4", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": [ "spot.amazonaws.com", "spotfleet.amazonaws.com", "autoscaling.amazonaws.com", "ecs.amazonaws.com" ] } } }, { "Sid": "AWSBatchPolicyStatement5", "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "ec2:CreateAction": "RunInstances" } } } ] }
AWS verwaltete Richtlinie: AWSBatchFullAccess
Die AWSBatchFullAccessRichtlinie gewährt AWS Batch Aktionen uneingeschränkten Zugriff auf AWS Batch Ressourcen. Es gewährt auch Zugriff auf Beschreiben und Auflisten von Aktionen für Amazon EC2ECS, Amazon EKS CloudWatch, Amazon und IAM Services. Auf diese Weise können IAM Identitäten, entweder Benutzer oder Rollen, AWS Batch verwaltete Ressourcen einsehen, die in ihrem Namen erstellt wurden. Schließlich ermöglicht diese Richtlinie auch, dass ausgewählte IAM Rollen an diese Dienste übergeben werden.
Sie können eine Verbindung AWSBatchFullAccesszu Ihren IAM Entitäten herstellen. AWS Batch ordnet diese Richtlinie auch einer Servicerolle zu, die es ermöglicht AWS Batch , Aktionen in Ihrem Namen durchzuführen.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "batch:*", "cloudwatch:GetMetricStatistics", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups", "ec2:DescribeKeyPairs", "ec2:DescribeVpcs", "ec2:DescribeImages", "ec2:DescribeLaunchTemplates", "ec2:DescribeLaunchTemplateVersions", "ecs:DescribeClusters", "ecs:Describe*", "ecs:List*", "eks:DescribeCluster", "eks:ListClusters", "logs:Describe*", "logs:Get*", "logs:TestMetricFilter", "logs:FilterLogEvents", "iam:ListInstanceProfiles", "iam:ListRoles" ], "Resource":"*" }, { "Effect":"Allow", "Action":[ "iam:PassRole" ], "Resource":[ "arn:aws:iam::*:role/AWSBatchServiceRole", "arn:aws:iam::*:role/service-role/AWSBatchServiceRole", "arn:aws:iam::*:role/ecsInstanceRole", "arn:aws:iam::*:instance-profile/ecsInstanceRole", "arn:aws:iam::*:role/iaws-ec2-spot-fleet-role", "arn:aws:iam::*:role/aws-ec2-spot-fleet-role", "arn:aws:iam::*:role/AWSBatchJobRole*" ] }, { "Effect":"Allow", "Action":[ "iam:CreateServiceLinkedRole" ], "Resource":"arn:aws:iam::*:role/*Batch*", "Condition": { "StringEquals": { "iam:AWSServiceName": "batch.amazonaws.com" } } } ] }
AWS Batch Aktualisierungen AWS verwalteter Richtlinien
Hier finden Sie Informationen zu Aktualisierungen der AWS verwalteten Richtlinien AWS Batch seit Beginn der Nachverfolgung dieser Änderungen durch diesen Dienst. Abonnieren Sie den RSS Feed auf der Seite AWS Batch Dokumentenverlauf, um automatische Benachrichtigungen über Änderungen an dieser Seite zu erhalten.
| Änderung | Beschreibung | Datum |
|---|---|---|
|
BatchServiceRolePolicyRichtlinie aktualisiert |
Es wurde aktualisiert und bietet nun Unterstützung für die Beschreibung des Anforderungsverlaufs und der Amazon EC2 Auto Scaling Aktivitäten von Spot Fleet. |
05. Dezember 2023 |
|
AWSBatchServiceRoleRichtlinie hinzugefügt |
Es wurde aktualisiert, um eine Erklärung hinzuzufügenIDs, AWS Batch Berechtigungen zu gewähren |
05. Dezember 2023 |
|
BatchServiceRolePolicyRichtlinie aktualisiert |
Aktualisiert, um Unterstützung für die Beschreibung von EKS Amazon-Clustern hinzuzufügen. |
20. Oktober 2022 |
|
AWSBatchFullAccessRichtlinie aktualisiert |
Aktualisiert, um Unterstützung für das Auflisten und Beschreiben von EKS Amazon-Clustern hinzuzufügen. |
20. Oktober 2022 |
|
BatchServiceRolePolicyRichtlinie aktualisiert |
Aktualisiert, um Unterstützung für Amazon EC2 Capacity Reservation-Gruppen hinzuzufügen, die von verwaltet werden AWS Resource Groups. Weitere Informationen finden Sie unter Arbeiten mit Kapazitätsreservierungsgruppen im EC2Amazon-Benutzerhandbuch. |
18. Mai 2022 |
|
BatchServiceRolePolicyund AWSBatchServiceRoledie Richtlinien wurden aktualisiert |
Es wurde aktualisiert, um Unterstützung für die Beschreibung des Status AWS Batch verwalteter Instances in Amazon hinzuzufügen, EC2 sodass fehlerhafte Instances ersetzt werden. |
6. Dezember 2021 |
|
BatchServiceRolePolicyRichtlinie aktualisiert |
Es wurde aktualisiert, um Unterstützung für Platzierungsgruppen-, Kapazitätsreservierungs-GPU, Elastic- und Elastic Inference Inference-Ressourcen in Amazon EC2 hinzuzufügen. |
26. März 2021 |
|
BatchServiceRolePolicyRichtlinie hinzugefügt |
Mit der BatchServiceRolePolicyverwalteten Richtlinie für die AWSServiceRoleForBatchdienstverknüpfte Rolle können Sie eine dienstverknüpfte Rolle verwenden, die von verwaltet wird. AWS Batch Mit dieser Richtlinie müssen Sie Ihre eigene Rolle für die Verwendung in Ihren Computerumgebungen nicht beibehalten. |
10. März 2021 |
|
AWSBatchFullAccess- Fügen Sie die Berechtigung hinzu, um eine dienstbezogene Rolle hinzuzufügen |
Fügen Sie IAM Berechtigungen hinzu, damit die AWSServiceRoleForBatchdienstbezogene Rolle dem Konto hinzugefügt werden kann. |
10. März 2021 |
|
AWS Batch hat begonnen, Änderungen zu verfolgen |
AWS Batch hat begonnen, Änderungen für die AWS verwalteten Richtlinien zu verfolgen. |
10. März 2021 |
