Zugriffssteuerung mit AWS Identity and Access Management - AWS Compute Optimizer

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Zugriffssteuerung mit AWS Identity and Access Management

Sie können es verwendenAWS Identity and Access Management(IAM) um Identitäten (Benutzer, Gruppen oder Rollen) zu erstellen und diesen dann die erforderlichen Berechtigungen für den Zugriff auf dasAWS Compute Optimizerkonsole und APIs.

Standardmäßig haben IAM-Benutzer keinen Zugriff auf die Compute Optimizer -Konsole und die APIs. Sie erteilen Ihren Benutzern Zugriff, indem Sie einem Benutzer, einer Benutzergruppe oder einer Rolle IAM-Richtlinien zuweisen. Weitere Informationen finden Sie unterIdentitäten (Benutzer, Gruppen und Rollen)undÜbersicht über IAM-Richtlinien im IAM-Benutzerhandbuchaus.

Nachdem Sie die IAM-Benutzer erstellt haben, können Sie diesen individuelle Passwörter zuordnen. Über eine kontospezifische Anmeldeseite können sich die Benutzer dann an Ihrem Konto anmelden und die Compute Optimizer anzeigen. Weitere Informationen finden Sie unter Wie sich Benutzer bei Ihrem Konto anmelden.

Wichtig

Um Empfehlungen für EC2-Instanzen anzuzeigen, muss ein IAM-Benutzerec2:DescribeInstancesErlaubnis Um Empfehlungen für EBS-Volumes anzuzeigen, muss ein IAM-Benutzerec2:DescribeVolumesErlaubnis Um Empfehlungen für Auto Scaling Scaling-Gruppen anzuzeigen, muss ein IAM-Benutzerautoscaling:DescribeAutoScalingGroupsundautoscaling:DescribeAutoScalingInstancesErlaubnis Um Empfehlungen für Lambda-Funktionen anzuzeigen, muss ein IAM-Benutzerlambda:ListFunctionsundlambda:ListProvisionedConcurrencyConfigsErlaubnis So zeigen Sie das aktuelle anCloudWatchMetrikdaten in der Compute Optimizer Optimizer-Konsole, die ein IAM-Benutzer haben musscloudwatch:GetMetricDataBerechtigungen

Falls der Benutzer oder die Gruppe, der Sie die Berechtigungen erteilen möchten, bereits über eine Richtlinie verfügt, können Sie dieser eine der hier dargestellten Compute Optimizer-spezifischen Richtlinienanweisungen hinzufügen.

Compute Optimizer undAWS OrganizationsVertrauenswürdiger Zugriff

Vertrauenswürdiger Zugriff für Compute Optimizer wird in Ihrem Organisationskonto automatisch aktiviert, wenn Sie sich für die Verwendung des Verwaltungskontos Ihrer Organisation entscheiden und alle Mitgliedskonten innerhalb der Organisation einbeziehen. Auf diese Weise kann Compute Optimizer Rechenressourcen in diesen Mitgliedskonten analysieren und Empfehlungen für sie generieren.

Compute Optimizer überprüft jedes Mal, wenn Sie auf Empfehlungen für Mitgliedskonten zugreifen, ob der vertrauenswürdige Zugriff in Ihrem Organisationskonto aktiviert ist. Wenn Sie den vertrauenswürdigen Zugriff von Compute Optimizer deaktivieren, nachdem Sie sich angemeldet haben, verweigert Compute Optimizer den Zugriff auf Empfehlungen für die Mitgliedskonten Ihrer Organisation, und die Mitgliedskonten innerhalb der Organisation werden nicht bei Compute Optimizer angemeldet. Um den vertrauenswürdigen Zugriff wieder zu aktivieren, melden Sie sich erneut bei Compute Optimizer mit dem Verwaltungskonto Ihrer Organisation an und schließen Sie alle Mitgliedskonten innerhalb der Organisation ein. Weitere Informationen finden Sie unter Anmelden für Ihr Konto . Weitere Informationen zuAWS OrganizationsVertrauenswürdiger Zugriff, siehebenutzenAWS Organizationsmit anderenAWSDienstleistungenimAWS Organizations-Benutzerhandbuchaus.

Richtlinie zur Anmeldung bei Compute Optimizer

Die folgende Richtlinienanweisung gewährt Zugriff auf die Anmeldung bei Compute Optimizer. Es gewährt Zugriff auf die Erstellung einer dienstgebundenen Rolle für Compute Optimizer, die für die Anmeldung erforderlich ist. Weitere Informationen finden Sie unter Verwenden von serviceverknüpften Rollen für AWS Compute Optimizer . Es gewährt auch Zugriff, um den Registrierungsstatus für den Compute Optimizer Optimizer-Dienst zu aktualisieren.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer*", "Condition": {"StringLike": {"iam:AWSServiceName": "compute-optimizer.amazonaws.com"}} }, { "Effect": "Allow", "Action": "iam:PutRolePolicy", "Resource": "arn:aws:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer" }, { "Effect": "Allow", "Action": "compute-optimizer:UpdateEnrollmentStatus", "Resource": "*" } ] }

Richtlinien zum Gewähren des Zugriffs auf Compute Optimizer für StandaloneAWSKonten

Die folgende Richtlinienanweisung gewährt vollständigen Zugriff auf Compute Optimizer für StandaloneAWSKonten. Informationen zu den Richtlinienerklärungen zum Verwalten von Empfehlungseinstellungen finden Sie unterRichtlinien zum Gewähren des Zugriffs zum Verwalten von Compute Optimizer Optimizer-Empfehlungseinstellungenaus.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "compute-optimizer:*", "ec2:DescribeInstances", "ec2:DescribeVolumes", "autoscaling:DescribeAutoScalingGroups", "autoscaling:DescribeAutoScalingInstances", "lambda:ListFunctions", "lambda:ListProvisionedConcurrencyConfigs", "cloudwatch:GetMetricData" ], "Resource": "*" } ] }

Die folgende Richtlinienanweisung gewährt Lesezugriff auf Compute Optimizer für StandaloneAWSKonten.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "compute-optimizer:GetEnrollmentStatus", "compute-optimizer:GetEffectiveRecommendationPreferences", "compute-optimizer:GetRecommendationPreferences", "compute-optimizer:GetRecommendationSummaries", "compute-optimizer:GetEC2InstanceRecommendations", "compute-optimizer:GetEC2RecommendationProjectedMetrics", "compute-optimizer:GetAutoScalingGroupRecommendations", "compute-optimizer:GetEBSVolumeRecommendations", "compute-optimizer:GetLambdaFunctionRecommendations", "compute-optimizer:DescribeRecommendationExportJobs", "compute-optimizer:GetEffectiveRecommendationPreferences", "compute-optimizer:GetRecommendationPreferences", "ec2:DescribeInstances", "ec2:DescribeVolumes", "autoscaling:DescribeAutoScalingGroups", "autoscaling:DescribeAutoScalingInstances", "lambda:ListFunctions", "lambda:ListProvisionedConcurrencyConfigs", "cloudwatch:GetMetricData" ], "Resource": "*" } ] }

Richtlinien zum Gewähren des Zugriffs auf Compute Optimizer für ein Verwaltungskonto einer Organisation

Die folgende Richtlinienerklärung gewährt vollen Zugriff auf Compute Optimizer für ein Verwaltungskonto einer Organisation. Informationen zu den Richtlinienerklärungen zum Verwalten von Empfehlungseinstellungen finden Sie unterRichtlinien zum Gewähren des Zugriffs zum Verwalten von Compute Optimizer Optimizer-Empfehlungseinstellungenaus.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "compute-optimizer:*", "ec2:DescribeInstances", "ec2:DescribeVolumes", "autoscaling:DescribeAutoScalingGroups", "autoscaling:DescribeAutoScalingInstances", "lambda:ListFunctions", "lambda:ListProvisionedConcurrencyConfigs", "cloudwatch:GetMetricData", "organizations:ListAccounts", "organizations:DescribeOrganization", "organizations:DescribeAccount", "organizations:EnableAWSServiceAccess", ], "Resource": "*" } ] }

Die folgende Richtlinienanweisung gewährt Lesezugriff auf Compute Optimizer für ein Verwaltungskonto einer Organisation.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "compute-optimizer:GetEnrollmentStatus", "compute-optimizer:GetEnrollmentStatusesForOrganization", "compute-optimizer:GetRecommendationSummaries", "compute-optimizer:GetEC2InstanceRecommendations", "compute-optimizer:GetEC2RecommendationProjectedMetrics", "compute-optimizer:GetAutoScalingGroupRecommendations", "compute-optimizer:GetEBSVolumeRecommendations", "compute-optimizer:GetLambdaFunctionRecommendations", "compute-optimizer:GetEffectiveRecommendationPreferences", "compute-optimizer:GetRecommendationPreferences", "ec2:DescribeInstances", "ec2:DescribeVolumes", "autoscaling:DescribeAutoScalingGroups", "autoscaling:DescribeAutoScalingInstances", "lambda:ListFunctions", "lambda:ListProvisionedConcurrencyConfigs", "cloudwatch:GetMetricData", "organizations:ListAccounts", "organizations:DescribeOrganization", "organizations:DescribeAccount" ], "Resource": "*" } ] }

Richtlinien zum Gewähren des Zugriffs zum Verwalten von Compute Optimizer Optimizer-Empfehlungseinstellungen

Die folgenden Richtlinienerklärungen gewähren Zugriff auf das Anzeigen und Bearbeiten von Empfehlungseinstellungen, z. B. die kostenpflichtige Funktion für erweiterte Infrastrukturmetriken. Weitere Informationen finden Sie unter Aktivieren von Empfehlungseinstellungen .

Gewähren Sie Zugriff, um Empfehlungseinstellungen nur für EC2-Instanzen zu verwalten

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "compute-optimizer:DeleteRecommendationPreferences", "compute-optimizer:GetEffectiveRecommendationPreferences", "compute-optimizer:GetRecommendationPreferences", "compute-optimizer:PutRecommendationPreferences" ], "Resource": "*", "Condition" : { "StringEquals" : { "compute-optimizer:ResourceType" : "Ec2Instance" } } } ] }

Gewähren Sie Zugriff, um Empfehlungseinstellungen nur für Auto Scaling Scaling-Gruppen zu verwalten

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "compute-optimizer:DeleteRecommendationPreferences", "compute-optimizer:GetEffectiveRecommendationPreferences", "compute-optimizer:GetRecommendationPreferences", "compute-optimizer:PutRecommendationPreferences" ], "Resource": "*", "Condition" : { "StringEquals" : { "compute-optimizer:ResourceType" : "AutoScalingGroup" } } } ] }

Richtlinie zum Verweigern des Zugriffs auf Compute Optimizer

Die folgende Richtlinienanweisung verweigert den Zugriff auf Compute Optimizer.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "compute-optimizer:*", "Resource": "*" } ] }