Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Ejemplos de políticas basadas en identidad de Application Auto Scaling
De forma predeterminada, un usuario nuevo no Cuenta de AWS tiene permisos para hacer nada. Un administrador de IAM debe crear y asignar políticas de IAM que concedan permiso de identidad de IAM (como a los usuarios o roles) para realizar acciones de API de Application Auto Scaling.
Para obtener más información acerca de cómo crear una política de IAM con estos documentos de políticas de JSON de ejemplo, consulte Creación de políticas en la pestaña JSON en la Guía del usuario de IAM.
Contenido
Permisos necesarios para las acciones de API de Application Auto Scaling
Las siguientes políticas conceden permisos para casos de uso comunes al llamar a la API de Application Auto Scaling. Consulte esta sección cuando escriba políticas basadas en identidades. Cada política concede permisos a todas o algunas de las acciones de la API de Application Auto Scaling. También debes asegurarte de que los usuarios finales tengan permisos para el servicio de destino y CloudWatch (consulta la siguiente sección para obtener más información).
La siguiente política basada en identidades concede permisos a todas las acciones de la API de Application Auto Scaling.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "application-autoscaling:*" ], "Resource": "*" } ] }
La siguiente política basada en identidades concede permisos a todas las acciones de la API de Application Auto Scaling necesarias para configurar las políticas de escalado y no acciones programadas.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "application-autoscaling:RegisterScalableTarget", "application-autoscaling:DescribeScalableTargets", "application-autoscaling:DeregisterScalableTarget", "application-autoscaling:PutScalingPolicy", "application-autoscaling:DescribeScalingPolicies", "application-autoscaling:DescribeScalingActivities", "application-autoscaling:DeleteScalingPolicy" ], "Resource": "*" } ] }
La siguiente política basada en identidades concede permisos a todas las acciones de la API de Application Auto Scaling necesarias para configurar acciones programadas y no políticas de escalado.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "application-autoscaling:RegisterScalableTarget", "application-autoscaling:DescribeScalableTargets", "application-autoscaling:DeregisterScalableTarget", "application-autoscaling:PutScheduledAction", "application-autoscaling:DescribeScheduledActions", "application-autoscaling:DescribeScalingActivities", "application-autoscaling:DeleteScheduledAction" ], "Resource": "*" } ] }
Los permisos necesarios para las acciones de la API en los servicios de destino y CloudWatch
Para configurar y utilizar correctamente Application Auto Scaling con el servicio de destino, los usuarios finales deben tener permisos para Amazon CloudWatch y para cada servicio de destino para el que vayan a configurar el escalado. Utilice las siguientes políticas para conceder los permisos mínimos necesarios para trabajar con los servicios de destino y CloudWatch.
Contenido
- AppStream Flotas 2.0
- Réplicas de Aurora
- Puntos de conexión de reconocedor de identidades y clasificación de documentos de Amazon Comprehend
- Tablas de DynamoDB e índices secundarios globales
- Servicios de ECS
- ElastiCache grupos de replicación
- Clústeres de Amazon EMR
- Tablas de Amazon Keyspaces
- Funciones de Lambda
- Almacenamiento de agente Amazon Managed Streaming for Apache Kafka (MSK)
- Clústeres de Neptune
- SageMaker puntos finales
- Flotas de spot (Amazon EC2)
- Recursos personalizados
AppStream Flotas 2.0
La siguiente política basada en la identidad otorga permisos a todas las acciones de la CloudWatch API y de la AppStream 2.0 que sean necesarias.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "appstream:DescribeFleets", "appstream:UpdateFleet", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Réplicas de Aurora
La siguiente política basada en la identidad otorga permisos a todas las acciones de Aurora y CloudWatch API que sean necesarias.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "rds:AddTagsToResource", "rds:CreateDBInstance", "rds:DeleteDBInstance", "rds:DescribeDBClusters", "rds:DescribeDBInstances", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Puntos de conexión de reconocedor de identidades y clasificación de documentos de Amazon Comprehend
La siguiente política basada en la identidad concede permisos a todas las acciones de Amazon Comprehend CloudWatch y API que sean necesarias.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "comprehend:UpdateEndpoint", "comprehend:DescribeEndpoint", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Tablas de DynamoDB e índices secundarios globales
La siguiente política basada en la identidad concede permisos a todas las acciones de DynamoDB y CloudWatch API que sean necesarias.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "dynamodb:DescribeTable", "dynamodb:UpdateTable", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Servicios de ECS
La siguiente política basada en la identidad otorga permisos a todas las acciones de ECS y CloudWatch API que sean necesarias.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeServices", "ecs:UpdateService", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
ElastiCache grupos de replicación
La siguiente política basada en la identidad concede permisos a todas las acciones de API necesarias ElastiCache y a todas las acciones de CloudWatch API que sean necesarias.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "elasticache:ModifyReplicationGroupShardConfiguration", "elasticache:IncreaseReplicaCount", "elasticache:DecreaseReplicaCount", "elasticache:DescribeReplicationGroups", "elasticache:DescribeCacheClusters", "elasticache:DescribeCacheParameters", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Clústeres de Amazon EMR
La siguiente política basada en la identidad concede permisos a todas las acciones de CloudWatch API y EMR de Amazon que sean necesarias.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "elasticmapreduce:ModifyInstanceGroups", "elasticmapreduce:ListInstanceGroups", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Tablas de Amazon Keyspaces
La siguiente política basada en la identidad concede permisos a todos los Amazon Keyspaces y las acciones de CloudWatch API que sean necesarios.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cassandra:Select", "cassandra:Alter", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Funciones de Lambda
La siguiente política basada en la identidad concede permisos a todas las acciones de Lambda y CloudWatch API que sean necesarias.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "lambda:PutProvisionedConcurrencyConfig", "lambda:GetProvisionedConcurrencyConfig", "lambda:DeleteProvisionedConcurrencyConfig", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Almacenamiento de agente Amazon Managed Streaming for Apache Kafka (MSK)
La siguiente política basada en la identidad concede permisos a todas las acciones de MSK y CloudWatch API de Amazon que sean necesarias.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kafka:DescribeCluster", "kafka:DescribeClusterOperation", "kafka:UpdateBrokerStorage", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Clústeres de Neptune
La siguiente política basada en la identidad concede permisos a todas las acciones de Neptune y CloudWatch API que sean necesarias.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "rds:AddTagsToResource", "rds:CreateDBInstance", "rds:DescribeDBInstances", "rds:DescribeDBClusters", "rds:DescribeDBClusterParameters", "rds:DeleteDBInstance", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
SageMaker puntos finales
La siguiente política basada en la identidad otorga permisos a todas las acciones de API necesarias SageMaker y a todas las acciones de CloudWatch API que sean necesarias.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sagemaker:DescribeEndpoint", "sagemaker:DescribeEndpointConfig", "sagemaker:DescribeInferenceComponent", "sagemaker:UpdateEndpointWeightsAndCapacities", "sagemaker:UpdateInferenceComponentRuntimeConfig", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Flotas de spot (Amazon EC2)
La siguiente política basada en la identidad concede permisos a todas las acciones de Spot Fleet y de la CloudWatch API que sean necesarias.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeSpotFleetRequests", "ec2:ModifySpotFleetRequest", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Recursos personalizados
La siguiente política basada en identidades concede permiso para la acción de ejecución de la API de API Gateway. Esta política también otorga permisos para todas las CloudWatch acciones que sean necesarias.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "execute-api:Invoke", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Permisos para trabajar en el AWS Management Console
No existe una consola independiente para Application Auto Scaling. La mayoría de los servicios que se integran con Application Auto Scaling tienen características dedicadas que le ayudarán a configurar el escalado a través de su consola.
En la mayoría de los casos, cada servicio proporciona políticas de IAM AWS gestionadas (predefinidas) que definen el acceso a su consola, lo que incluye permisos para las acciones de la API Application Auto Scaling. Para obtener más información, consulte la documentación del servicio cuya consola desee utilizar.
También puede crear sus propias políticas de IAM personalizadas para dar a los usuarios permisos detallados que les permitan ver y trabajar con acciones específicas de la API de Application Auto Scaling en AWS Management Console. Puede utilizar las políticas de ejemplo de las secciones anteriores; sin embargo, están diseñadas para las solicitudes que se realizan con el SDK AWS CLI o con un SDK. La consola utiliza acciones de API adicionales para sus características, por lo que es posible que estas políticas no funcionen como es debido. Por ejemplo, para configurar el escalado escalonado, es posible que los usuarios necesiten permisos adicionales para crear y gestionar CloudWatch las alarmas.
sugerencia
Para ayudarle a establecer qué acciones de API son necesarias para realizar tareas en la consola, puede utilizar un servicio como AWS CloudTrail. Para más información, consulte la Guía del usuario de AWS CloudTrail.
La siguiente política basada en identidades concede permisos para configurar políticas de escalado para la flota de Spot. Además de los permisos de IAM para la flota de spot, el usuario de la consola que accede a la configuración de escalado de la flota desde la consola de Amazon EC2 debe tener los permisos adecuados para los servicios que admiten el escalado dinámico.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "application-autoscaling:*", "ec2:DescribeSpotFleetRequests", "ec2:ModifySpotFleetRequest", "cloudwatch:DeleteAlarms", "cloudwatch:DescribeAlarmHistory", "cloudwatch:DescribeAlarms", "cloudwatch:DescribeAlarmsForMetric", "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics", "cloudwatch:PutMetricAlarm", "cloudwatch:DisableAlarmActions", "cloudwatch:EnableAlarmActions", "sns:CreateTopic", "sns:Subscribe", "sns:Get*", "sns:List*" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/ec2.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_EC2SpotFleetRequest", "Condition": { "StringLike": { "iam:AWSServiceName":"ec2.application-autoscaling.amazonaws.com" } } } ] }
Esta política permite a los usuarios de la consola ver y modificar las políticas de escalado en la consola Amazon EC2 y crear y gestionar CloudWatch alarmas en la CloudWatch consola.
Puede ajustar las acciones de la API para limitar el acceso de los usuarios. Por ejemplo, si sustituye application-autoscaling:* por application-autoscaling:Describe*, el usuario tendrá acceso de solo lectura.
También puede ajustar los CloudWatch permisos según sea necesario para limitar el acceso de los usuarios a CloudWatch las funciones. Para obtener más información, consulta los permisos necesarios para usar la CloudWatch consola en la Guía del CloudWatch usuario de Amazon.
