Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
AWS políticas gestionadas para AWS Batch
Puedes usar políticas AWS administradas para simplificar la administración del acceso a la identidad de tu equipo y de AWS los recursos aprovisionados. AWS las políticas gestionadas cubren una variedad de casos de uso comunes, están disponibles de forma predeterminada en tu AWS cuenta y se mantienen y actualizan en tu nombre. No puedes cambiar los permisos en las políticas AWS gestionadas. Si necesita una mayor flexibilidad, también puede optar por crear políticas de IAM administradas por el cliente. De esta forma, puede proporcionar a su equipo los recursos aprovisionados solo con los permisos exactos que necesitan.
Para obtener más información sobre las políticas AWS administradas, consulte las políticas AWS administradas en la Guía del usuario de IAM.
AWS los servicios mantienen y AWS actualizan las políticas gestionadas en su nombre. Periódicamente, AWS los servicios añaden permisos adicionales a una política AWS gestionada. AWS Lo más probable es que las políticas gestionadas se actualicen cuando se lance una nueva función o cuando esté disponible una nueva operación. Este tipo de actualización afecta a todas las identidades (usuarios, grupos y roles) donde se asocia la política. Sin embargo, no eliminan los permisos ni anulan los permisos existentes.
Además, AWS admite políticas administradas para funciones laborales que abarcan varios servicios. Por ejemplo, la política ReadOnlyAccess AWS gestionada proporciona acceso de solo lectura a todos los AWS servicios y recursos. Cuando un servicio lanza una nueva función, AWS agrega permisos de solo lectura para nuevas operaciones y recursos. Para obtener una lista y descripciones de las políticas de funciones de trabajo, consulte Políticas administradas de AWS para funciones de trabajo en la Guía del usuario de IAM.
AWS política gestionada: BatchServiceRolePolicy
El BatchServiceRolePolicyrol vinculado al AWSServiceRoleForBatchservicio utiliza la política de IAM gestionada. Esto le permite AWS Batch realizar acciones en su nombre. No puede adjuntar esta política a sus entidades de IAM. Para obtener más información, consulte Uso de funciones vinculadas a servicios para AWS Batch.
Esta política permite AWS Batch realizar las siguientes acciones en recursos específicos:
-
autoscaling— Permite AWS Batch crear y gestionar los recursos de Auto Scaling de Amazon EC2. AWS Batch crea y administra grupos de Auto Scaling de Amazon EC2 para la mayoría de los entornos informáticos. -
ec2— Permite AWS Batch controlar el ciclo de vida de las instancias de Amazon EC2, así como crear y gestionar plantillas y etiquetas de lanzamiento. AWS Batch crea y gestiona las solicitudes de EC2 Spot Fleet para algunos entornos de computación puntual de EC2. -
ecs- Permite AWS Batch crear y gestionar clústeres de Amazon ECS, definiciones de tareas y tareas para la ejecución de trabajos. -
eks- Permite AWS Batch describir el recurso del clúster Amazon EKS para las validaciones. -
iam- Permite AWS Batch validar y transferir las funciones proporcionadas por el propietario a Amazon EC2, Amazon EC2 Auto Scaling y Amazon ECS. -
logs— Permite AWS Batch crear y gestionar grupos de registros y flujos de registros para AWS Batch trabajos.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSBatchPolicyStatement1", "Effect": "Allow", "Action": [ "ec2:DescribeAccountAttributes", "ec2:DescribeInstances", "ec2:DescribeInstanceStatus", "ec2:DescribeInstanceAttribute", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups", "ec2:DescribeKeyPairs", "ec2:DescribeImages", "ec2:DescribeImageAttribute", "ec2:DescribeSpotInstanceRequests", "ec2:DescribeSpotFleetInstances", "ec2:DescribeSpotFleetRequests", "ec2:DescribeSpotPriceHistory", "ec2:DescribeSpotFleetRequestHistory", "ec2:DescribeVpcClassicLink", "ec2:DescribeLaunchTemplateVersions", "ec2:RequestSpotFleet", "autoscaling:DescribeAccountLimits", "autoscaling:DescribeAutoScalingGroups", "autoscaling:DescribeLaunchConfigurations", "autoscaling:DescribeAutoScalingInstances", "autoscaling:DescribeScalingActivities", "eks:DescribeCluster", "ecs:DescribeClusters", "ecs:DescribeContainerInstances", "ecs:DescribeTaskDefinition", "ecs:DescribeTasks", "ecs:ListClusters", "ecs:ListContainerInstances", "ecs:ListTaskDefinitionFamilies", "ecs:ListTaskDefinitions", "ecs:ListTasks", "ecs:DeregisterTaskDefinition", "ecs:TagResource", "ecs:ListAccountSettings", "logs:DescribeLogGroups", "iam:GetInstanceProfile", "iam:GetRole" ], "Resource": "*" }, { "Sid": "AWSBatchPolicyStatement2", "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/batch/job*" }, { "Sid": "AWSBatchPolicyStatement3", "Effect": "Allow", "Action": [ "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/batch/job*:log-stream:*" }, { "Sid": "AWSBatchPolicyStatement4", "Effect": "Allow", "Action": [ "autoscaling:CreateOrUpdateTags" ], "Resource": "*", "Condition": { "Null": { "aws:RequestTag/AWSBatchServiceTag": "false" } } }, { "Sid": "AWSBatchPolicyStatement5", "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "*" ], "Condition": { "StringEquals": { "iam:PassedToService": [ "ec2.amazonaws.com", "ec2.amazonaws.com.cn", "ecs-tasks.amazonaws.com" ] } } }, { "Sid": "AWSBatchPolicyStatement6", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": [ "spot.amazonaws.com", "spotfleet.amazonaws.com", "autoscaling.amazonaws.com", "ecs.amazonaws.com" ] } } }, { "Sid": "AWSBatchPolicyStatement7", "Effect": "Allow", "Action": [ "ec2:CreateLaunchTemplate" ], "Resource": "*", "Condition": { "Null": { "aws:RequestTag/AWSBatchServiceTag": "false" } } }, { "Sid": "AWSBatchPolicyStatement8", "Effect": "Allow", "Action": [ "ec2:TerminateInstances", "ec2:CancelSpotFleetRequests", "ec2:ModifySpotFleetRequest", "ec2:DeleteLaunchTemplate" ], "Resource": "*", "Condition": { "Null": { "aws:ResourceTag/AWSBatchServiceTag": "false" } } }, { "Sid": "AWSBatchPolicyStatement9", "Effect": "Allow", "Action": [ "autoscaling:CreateLaunchConfiguration", "autoscaling:DeleteLaunchConfiguration" ], "Resource": "arn:aws:autoscaling:*:*:launchConfiguration:*:launchConfigurationName/AWSBatch*" }, { "Sid": "AWSBatchPolicyStatement10", "Effect": "Allow", "Action": [ "autoscaling:CreateAutoScalingGroup", "autoscaling:UpdateAutoScalingGroup", "autoscaling:SetDesiredCapacity", "autoscaling:DeleteAutoScalingGroup", "autoscaling:SuspendProcesses", "autoscaling:PutNotificationConfiguration", "autoscaling:TerminateInstanceInAutoScalingGroup" ], "Resource": "arn:aws:autoscaling:*:*:autoScalingGroup:*:autoScalingGroupName/AWSBatch*" }, { "Sid": "AWSBatchPolicyStatement11", "Effect": "Allow", "Action": [ "ecs:DeleteCluster", "ecs:DeregisterContainerInstance", "ecs:RunTask", "ecs:StartTask", "ecs:StopTask" ], "Resource": "arn:aws:ecs:*:*:cluster/AWSBatch*" }, { "Sid": "AWSBatchPolicyStatement12", "Effect": "Allow", "Action": [ "ecs:RunTask", "ecs:StartTask", "ecs:StopTask" ], "Resource": "arn:aws:ecs:*:*:task-definition/*" }, { "Sid": "AWSBatchPolicyStatement13", "Effect": "Allow", "Action": [ "ecs:StopTask" ], "Resource": "arn:aws:ecs:*:*:task/*/*" }, { "Sid": "AWSBatchPolicyStatement14", "Effect": "Allow", "Action": [ "ecs:CreateCluster", "ecs:RegisterTaskDefinition" ], "Resource": "*", "Condition": { "Null": { "aws:RequestTag/AWSBatchServiceTag": "false" } } }, { "Sid": "AWSBatchPolicyStatement15", "Effect": "Allow", "Action": "ec2:RunInstances", "Resource": [ "arn:aws:ec2:*::image/*", "arn:aws:ec2:*::snapshot/*", "arn:aws:ec2:*:*:subnet/*", "arn:aws:ec2:*:*:network-interface/*", "arn:aws:ec2:*:*:security-group/*", "arn:aws:ec2:*:*:volume/*", "arn:aws:ec2:*:*:key-pair/*", "arn:aws:ec2:*:*:launch-template/*", "arn:aws:ec2:*:*:placement-group/*", "arn:aws:ec2:*:*:capacity-reservation/*", "arn:aws:ec2:*:*:elastic-gpu/*", "arn:aws:elastic-inference:*:*:elastic-inference-accelerator/*", "arn:aws:resource-groups:*:*:group/*" ] }, { "Sid": "AWSBatchPolicyStatement16", "Effect": "Allow", "Action": "ec2:RunInstances", "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": { "Null": { "aws:RequestTag/AWSBatchServiceTag": "false" } } }, { "Sid": "AWSBatchPolicyStatement17", "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "ec2:CreateAction": [ "RunInstances", "CreateLaunchTemplate", "RequestSpotFleet" ] } } } ] }
AWS política gestionada: AWSBatchServiceRolepolítica
La política de permisos de roles denominada AWSBatchServiceRole AWS Batch permite realizar las siguientes acciones en recursos específicos:
La política de IAM AWSBatchServiceRolegestionada suele ser utilizada por un rol denominado AWSBatchServiceRolee incluye los siguientes permisos. Siguiendo el consejo de seguridad estándar de conceder el mínimo privilegio, la política AWSBatchServiceRolegestionada se puede utilizar como guía. Si alguno de los permisos que se conceden en la política administrada no resulta necesario para su caso de uso, cree una política personalizada y agregue solo los permisos que necesite. Esta política y esta función AWS Batch gestionadas se pueden utilizar con la mayoría de los tipos de entornos informáticos, pero se prefiere el uso de funciones vinculadas al servicio para disfrutar de una experiencia less-error-prone gestionada mejor y con un alcance mejor.
-
autoscaling— Permite AWS Batch crear y gestionar los recursos de Auto Scaling de Amazon EC2. AWS Batch crea y administra grupos de Auto Scaling de Amazon EC2 para la mayoría de los entornos informáticos. -
ec2— Permite AWS Batch gestionar el ciclo de vida de las instancias de Amazon EC2, así como crear y gestionar plantillas y etiquetas de lanzamiento. AWS Batch crea y gestiona las solicitudes de EC2 Spot Fleet para algunos entornos de computación puntual de EC2. -
ecs- Permite AWS Batch crear y gestionar clústeres de Amazon ECS, definiciones de tareas y tareas para la ejecución de trabajos. -
iam- Permite AWS Batch validar y transferir las funciones proporcionadas por el propietario a Amazon EC2, Amazon EC2 Auto Scaling y Amazon ECS. -
logs— Permite AWS Batch crear y gestionar grupos de registros y flujos de registros para AWS Batch trabajos.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSBatchPolicyStatement1", "Effect": "Allow", "Action": [ "ec2:DescribeAccountAttributes", "ec2:DescribeInstances", "ec2:DescribeInstanceStatus", "ec2:DescribeInstanceAttribute", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups", "ec2:DescribeKeyPairs", "ec2:DescribeImages", "ec2:DescribeImageAttribute", "ec2:DescribeSpotInstanceRequests", "ec2:DescribeSpotFleetInstances", "ec2:DescribeSpotFleetRequests", "ec2:DescribeSpotPriceHistory", "ec2:DescribeSpotFleetRequestHistory", "ec2:DescribeVpcClassicLink", "ec2:DescribeLaunchTemplateVersions", "ec2:CreateLaunchTemplate", "ec2:DeleteLaunchTemplate", "ec2:RequestSpotFleet", "ec2:CancelSpotFleetRequests", "ec2:ModifySpotFleetRequest", "ec2:TerminateInstances", "ec2:RunInstances", "autoscaling:DescribeAccountLimits", "autoscaling:DescribeAutoScalingGroups", "autoscaling:DescribeLaunchConfigurations", "autoscaling:DescribeAutoScalingInstances", "autoscaling:DescribeScalingActivities", "autoscaling:CreateLaunchConfiguration", "autoscaling:CreateAutoScalingGroup", "autoscaling:UpdateAutoScalingGroup", "autoscaling:SetDesiredCapacity", "autoscaling:DeleteLaunchConfiguration", "autoscaling:DeleteAutoScalingGroup", "autoscaling:CreateOrUpdateTags", "autoscaling:SuspendProcesses", "autoscaling:PutNotificationConfiguration", "autoscaling:TerminateInstanceInAutoScalingGroup", "ecs:DescribeClusters", "ecs:DescribeContainerInstances", "ecs:DescribeTaskDefinition", "ecs:DescribeTasks", "ecs:ListAccountSettings", "ecs:ListClusters", "ecs:ListContainerInstances", "ecs:ListTaskDefinitionFamilies", "ecs:ListTaskDefinitions", "ecs:ListTasks", "ecs:CreateCluster", "ecs:DeleteCluster", "ecs:RegisterTaskDefinition", "ecs:DeregisterTaskDefinition", "ecs:RunTask", "ecs:StartTask", "ecs:StopTask", "ecs:UpdateContainerAgent", "ecs:DeregisterContainerInstance", "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents", "logs:DescribeLogGroups", "iam:GetInstanceProfile", "iam:GetRole" ], "Resource": "*" }, { "Sid": "AWSBatchPolicyStatement2", "Effect": "Allow", "Action": "ecs:TagResource", "Resource": [ "arn:aws:ecs:*:*:task/*_Batch_*" ] }, { "Sid": "AWSBatchPolicyStatement3", "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "*" ], "Condition": { "StringEquals": { "iam:PassedToService": [ "ec2.amazonaws.com", "ec2.amazonaws.com.cn", "ecs-tasks.amazonaws.com" ] } } }, { "Sid": "AWSBatchPolicyStatement4", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": [ "spot.amazonaws.com", "spotfleet.amazonaws.com", "autoscaling.amazonaws.com", "ecs.amazonaws.com" ] } } }, { "Sid": "AWSBatchPolicyStatement5", "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "ec2:CreateAction": "RunInstances" } } } ] }
AWS política gestionada: AWSBatchFullAccess
La AWSBatchFullAccesspolítica otorga a AWS Batch las acciones pleno acceso a AWS Batch los recursos. También otorga acceso a las acciones de descripción y lista para los servicios de Amazon EC2, Amazon ECS CloudWatch, Amazon EKS e IAM. Esto permite que las identidades de IAM, ya sean usuarios o roles, puedan ver los recursos AWS Batch administrados que se crearon en su nombre. Por último, esta política también permite transferir determinados roles de IAM a esos servicios.
Puede adjuntarlos AWSBatchFullAccessa sus entidades de IAM. AWS Batch también vincula esta política a un rol de servicio que le permite AWS Batch realizar acciones en su nombre.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "batch:*", "cloudwatch:GetMetricStatistics", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups", "ec2:DescribeKeyPairs", "ec2:DescribeVpcs", "ec2:DescribeImages", "ec2:DescribeLaunchTemplates", "ec2:DescribeLaunchTemplateVersions", "ecs:DescribeClusters", "ecs:Describe*", "ecs:List*", "eks:DescribeCluster", "eks:ListClusters", "logs:Describe*", "logs:Get*", "logs:TestMetricFilter", "logs:FilterLogEvents", "iam:ListInstanceProfiles", "iam:ListRoles" ], "Resource":"*" }, { "Effect":"Allow", "Action":[ "iam:PassRole" ], "Resource":[ "arn:aws:iam::*:role/AWSBatchServiceRole", "arn:aws:iam::*:role/service-role/AWSBatchServiceRole", "arn:aws:iam::*:role/ecsInstanceRole", "arn:aws:iam::*:instance-profile/ecsInstanceRole", "arn:aws:iam::*:role/iaws-ec2-spot-fleet-role", "arn:aws:iam::*:role/aws-ec2-spot-fleet-role", "arn:aws:iam::*:role/AWSBatchJobRole*" ] }, { "Effect":"Allow", "Action":[ "iam:CreateServiceLinkedRole" ], "Resource":"arn:aws:iam::*:role/*Batch*", "Condition": { "StringEquals": { "iam:AWSServiceName": "batch.amazonaws.com" } } } ] }
AWS Batch actualizaciones de las políticas AWS gestionadas
Vea los detalles sobre las actualizaciones de las políticas AWS administradas AWS Batch desde que este servicio comenzó a rastrear estos cambios. Para recibir alertas automáticas sobre los cambios en esta página, suscríbase a la fuente RSS de la página del historial del AWS Batch documento.
| Cambio | Descripción | Fecha |
|---|---|---|
|
BatchServiceRolePolicypolítica actualizada |
Se actualizó para añadir soporte a la descripción del historial de solicitudes y Amazon EC2 Auto Scaling las actividades de Spot Fleet. |
5 de diciembre de 2023 |
|
AWSBatchServiceRolepolítica agregada |
Se actualizó para agregar identificadores de estados de cuenta, otorgar AWS Batch permisos a |
5 de diciembre de 2023 |
|
BatchServiceRolePolicypolítica actualizada |
Se actualizó para añadir compatibilidad con la descripción de los clústeres de Amazon EKS. |
20 de octubre de 2022 |
|
AWSBatchFullAccesspolítica actualizada |
Se actualizó para añadir compatibilidad con el listado y la descripción de los clústeres de Amazon EKS. |
20 de octubre de 2022 |
|
BatchServiceRolePolicypolítica actualizada |
Se actualizó para añadir compatibilidad con los grupos de reserva de capacidad de Amazon EC2 gestionados por AWS Resource Groups. Para obtener más información, consulte Trabajar con grupos de reserva de capacidad en la Guía del usuario de Amazon EC2. |
18 de mayo de 2022 |
|
BatchServiceRolePolicyy AWSBatchServiceRolepolíticas actualizadas |
Se ha actualizado para añadir compatibilidad con la descripción del estado de las instancias AWS Batch gestionadas en Amazon EC2, de forma que se sustituyan las instancias en mal estado. |
6 de diciembre de 2021 |
|
BatchServiceRolePolicypolítica actualizada |
Se actualizó para añadir compatibilidad con los recursos de grupos de ubicación, reserva de capacidad, GPU elástica y Elastic Inference en Amazon EC2. |
26 de marzo de 2021 |
|
BatchServiceRolePolicypolítica agregada |
Con la política BatchServiceRolePolicyadministrada para el rol AWSServiceRoleForBatchvinculado al servicio, puede usar un rol vinculado al servicio administrado por. AWS Batch Con esta política, no necesita mantener su propio rol para usarlo en sus entornos de computación. |
10 de marzo de 2021 |
|
AWSBatchFullAccess- añadir permiso para añadir un rol vinculado al servicio |
Añada permisos de IAM para poder añadir el rol AWSServiceRoleForBatchvinculado al servicio a la cuenta. |
10 de marzo de 2021 |
|
AWS Batch comenzó a rastrear los cambios |
AWS Batch comenzó a realizar un seguimiento de los cambios de sus políticas AWS gestionadas. |
10 de marzo de 2021 |
