Acceso confiable para AWS Organizations Política de suscripción a Compute Optimizer Acceso para cuentas independientes Acceso para cuentas de administración Acceso para gestionar las preferencias de recomendaciones Activación de recomendaciones de licencias Denegar el acceso Recursos adicionales

Identity and Access Management para AWS Compute Optimizer

Puede usar AWS Identity and Access Management (IAM) para crear identidades (usuarios, grupos o roles) y conceder a esas identidades permisos para acceder a la AWS Compute Optimizer consola y APIs.

De forma predeterminada, los usuarios de IAM no tienen acceso a la consola Compute Optimizer y. APIs Si desea conceder a los usuarios acceso asociando políticas de IAM a un único usuario, a un grupo de usuarios o a un rol. Para obtener más información, consulte Identidades de IAM (usuarios, grupos de usuarios y roles) y Resumen de las políticas de IAM en la guía del usuario de IAM.

Después de crear los usuarios de IAM, puede asignarles contraseñas. De ese modo, podrán iniciar sesión en la cuenta y ver la información de Compute Optimizer a través de una página de inicio de sesión específica de la cuenta. Para obtener más información, consulte Cómo inician sesión los usuarios en la cuenta.

importante

Para ver las recomendaciones de las EC2 instancias, un usuario de IAM necesita el permiso. ec2:DescribeInstances
Para ver las recomendaciones de los volúmenes de EBS, un usuario de IAM necesita el permiso ec2:DescribeVolumes.
Para ver las recomendaciones de los grupos de EC2 Auto Scaling, un usuario de IAM necesita los autoscaling:DescribeAutoScalingInstances permisos autoscaling:DescribeAutoScalingGroups y.
Para ver las recomendaciones de las funciones de Lambda, un usuario de IAM necesita los permisos lambda:ListFunctions y lambda:ListProvisionedConcurrencyConfigs.
Para ver las recomendaciones para los servicios de Amazon ECS en Fargate, un usuario de IAM necesita los permisos ecs:ListServices y ecs:ListClusters.
Para ver los datos de CloudWatch las métricas actuales en la consola de Compute Optimizer, un usuario de IAM necesita el permiso. cloudwatch:GetMetricData
Para ver las recomendaciones, las licencias de software comercial, se requieren determinados roles de EC2 instancia de Amazon y permisos de usuario de IAM. Para obtener más información, consulte Políticas para habilitar las recomendaciones de licencias de software comercial.
Para ver las recomendaciones para los servicios de Amazon RDS, un usuario de IAM necesita los permisos rds:DescribeDBInstances y rds:DescribeDBClusters.

Si el usuario o grupo al que desea conceder permisos ya tiene una política, puede agregar una de las políticas específicas de Compute Optimizer que se ilustran aquí.

Temas

Acceso confiable para AWS Organizations
Política de suscripción a Compute Optimizer
Políticas para conceder acceso a Compute Optimizer de forma independiente Cuentas de AWS
Políticas para conceder acceso a Compute Optimizer para una cuenta de administración de una organización
Políticas para conceder acceso a la administración de las preferencias de recomendación de Compute Optimizer
Políticas para habilitar las recomendaciones de licencias de software comercial
Política para denegar el acceso a Compute Optimizer
Recursos adicionales

Acceso confiable para AWS Organizations

Cuando activa el uso de la cuenta de administración de su organización e incluye todas las cuentas de los miembros de la organización, el acceso confiable a Compute Optimizer se habilita automáticamente en la cuenta de su organización. Esto permite a Compute Optimizer analizar los recursos de cómputo en las cuentas de esos miembros y generar recomendaciones para ellos.

Cada vez que accede a las recomendaciones de las cuentas de los miembros, Compute Optimizer verifica que el acceso confiable esté habilitado en la cuenta de su organización. Si inhabilita el acceso de confianza de Compute Optimizer después de registrarse, Compute Optimizer deniega el acceso a las recomendaciones de las cuentas de los miembros de su organización. Además, las cuentas de los miembros de la organización no están habilitadas para Compute Optimizer. Para volver a habilitar el acceso confiable, vuelva a activar Compute Optimizer con la cuenta de administración de su organización e incluya todas las cuentas de los miembros de la organización. Para obtener más información, consulte Suscribirse a AWS Compute Optimizer. Para obtener más información sobre el acceso de AWS Organizations confianza, consulte Uso AWS Organizations con otros AWS servicios en la Guía del AWS Organizations usuario.

Política de suscripción a Compute Optimizer

Esta declaración de la política incluye lo siguiente:

Acceso para suscribirse a Compute Optimizer.
Acceso para crear un rol vinculado al servicio de Compute Optimizer. Para obtener más información, consulte Uso de roles vinculados a servicios para AWS Compute Optimizer.
Acceso para actualizar el estado de inscripción en el servicio Compute Optimizer.

importante

Este rol de IAM es obligatorio para inscribirse a AWS Compute Optimizer.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "arn:aws:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer*",
            "Condition": {"StringLike": {"iam:AWSServiceName": "compute-optimizer.amazonaws.com"}}
        },
        {
            "Effect": "Allow",
            "Action": "iam:PutRolePolicy",
            "Resource": "arn:aws:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer"
        },
        {
            "Effect": "Allow",
            "Action": "compute-optimizer:UpdateEnrollmentStatus",
            "Resource": "*"
        }
    ]
}

Políticas para conceder acceso a Compute Optimizer de forma independiente Cuentas de AWS

La siguiente instrucción de política concede acceso completo a Compute Optimizer para cuentas de Cuentas de AWS independientes.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "compute-optimizer:*",
                "ec2:DescribeInstances",
                "ec2:DescribeVolumes",
                "ecs:ListServices",
                "ecs:ListClusters",
                "autoscaling:DescribeAutoScalingGroups",
                "autoscaling:DescribeAutoScalingInstances",
                "lambda:ListFunctions",
                "lambda:ListProvisionedConcurrencyConfigs",
                "cloudwatch:GetMetricData"
            ],
            "Resource": "*"
        }
    ]
}

La siguiente instrucción de política concede acceso de solo lectura a Compute Optimizer para cuentas de Cuentas de AWS independientes.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "compute-optimizer:GetEnrollmentStatus",
                "compute-optimizer:GetEffectiveRecommendationPreferences",
                "compute-optimizer:GetRecommendationPreferences",
                "compute-optimizer:GetRecommendationSummaries",
                "compute-optimizer:GetEC2InstanceRecommendations",
                "compute-optimizer:GetEC2RecommendationProjectedMetrics",
                "compute-optimizer:GetAutoScalingGroupRecommendations",
                "compute-optimizer:GetEBSVolumeRecommendations",
                "compute-optimizer:GetLambdaFunctionRecommendations",
                "compute-optimizer:DescribeRecommendationExportJobs",
                "compute-optimizer:GetEffectiveRecommendationPreferences",
                "compute-optimizer:GetRecommendationPreferences",
                "compute-optimizer:GetECSServiceRecommendations",
                "compute-optimizer:GetECSServiceRecommendationProjectedMetrics",
                "compute-optimizer:GetRDSDatabaseRecommendations",
                "compute-optimizer:GetRDSDatabaseRecommendationProjectedMetrics",
                "compute-optimizer:GetIdleRecommendations"
                "ec2:DescribeInstances",
                "ec2:DescribeVolumes",
                "ecs:ListServices",
                "ecs:ListClusters",
                "autoscaling:DescribeAutoScalingGroups",
                "autoscaling:DescribeAutoScalingInstances",
                "lambda:ListFunctions",
                "lambda:ListProvisionedConcurrencyConfigs",
                "cloudwatch:GetMetricData",
                "rds:DescribeDBInstances",
                "rds:DescribeDBClusters"
            ],
            "Resource": "*"
        }
    ]
}

Políticas para conceder acceso a Compute Optimizer para una cuenta de administración de una organización

La siguiente declaración de política otorga acceso total a Compute Optimizer para una cuenta de administración de su organización.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "compute-optimizer:*",
                "ec2:DescribeInstances",
                "ec2:DescribeVolumes",
                "ecs:ListServices",
                "ecs:ListClusters",
                "autoscaling:DescribeAutoScalingGroups",
                "autoscaling:DescribeAutoScalingInstances",
                "lambda:ListFunctions",
                "lambda:ListProvisionedConcurrencyConfigs",
                "cloudwatch:GetMetricData",
                "organizations:ListAccounts",
                "organizations:DescribeOrganization",
                "organizations:DescribeAccount",
                "organizations:EnableAWSServiceAccess",
                "organizations:ListDelegatedAdministrators",
                "organizations:RegisterDelegatedAdministrator",
                "organizations:DeregisterDelegatedAdministrator"
            ],
            "Resource": "*"
        }
    ]
}

La siguiente declaración de política otorga acceso de solo lectura a Compute Optimizer para una cuenta de administración de una organización.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "compute-optimizer:GetEnrollmentStatus",
                "compute-optimizer:GetEnrollmentStatusesForOrganization",
                "compute-optimizer:GetRecommendationSummaries",
                "compute-optimizer:GetEC2InstanceRecommendations",
                "compute-optimizer:GetEC2RecommendationProjectedMetrics",
                "compute-optimizer:GetAutoScalingGroupRecommendations",
                "compute-optimizer:GetEBSVolumeRecommendations",
                "compute-optimizer:GetLambdaFunctionRecommendations",
                "compute-optimizer:GetEffectiveRecommendationPreferences",
                "compute-optimizer:GetRecommendationPreferences",
                "compute-optimizer:GetECSServiceRecommendations",
                "compute-optimizer:GetECSServiceRecommendationProjectedMetrics",
                "compute-optimizer:GetRDSDatabaseRecommendations",
                "compute-optimizer:GetRDSDatabaseRecommendationProjectedMetrics",
                "compute-optimizer:GetIdleRecommendations"
                "ec2:DescribeInstances",
                "ec2:DescribeVolumes",
                "ecs:ListServices",
                "ecs:ListClusters",
                "autoscaling:DescribeAutoScalingGroups",
                "autoscaling:DescribeAutoScalingInstances",
                "lambda:ListFunctions",
                "lambda:ListProvisionedConcurrencyConfigs",
                "cloudwatch:GetMetricData",
                "organizations:ListAccounts",
                "organizations:DescribeOrganization",
                "organizations:DescribeAccount",
                "organizations:ListDelegatedAdministrators",
                "rds:DescribeDBInstances",
                "rds:DescribeDBClusters"
            ],
            "Resource": "*"
        }
    ]
}

Políticas para conceder acceso a la administración de las preferencias de recomendación de Compute Optimizer

Las siguientes declaraciones de política permiten ver y editar las preferencias de recomendación.

Concede acceso para gestionar las preferencias de recomendación únicamente para las instancias EC2


{
	"Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "compute-optimizer:DeleteRecommendationPreferences",
                "compute-optimizer:GetEffectiveRecommendationPreferences",
                "compute-optimizer:GetRecommendationPreferences",
                "compute-optimizer:PutRecommendationPreferences"
            ],
            "Resource": "*",
            "Condition" :  {
                "StringEquals" : {
                    "compute-optimizer:ResourceType" : "Ec2Instance"
                }
            }            
        }
    ]
}

Otorgue acceso para administrar las preferencias de recomendación únicamente para los grupos de EC2 Auto Scaling


{
	"Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "compute-optimizer:DeleteRecommendationPreferences",
                "compute-optimizer:GetEffectiveRecommendationPreferences",
                "compute-optimizer:GetRecommendationPreferences",
                "compute-optimizer:PutRecommendationPreferences"
            ],
            "Resource": "*",
            "Condition" :  {
                "StringEquals" : {
                    "compute-optimizer:ResourceType" : "AutoScalingGroup"
                }
            }            
        }
    ]
}

Conceder acceso para gestionar las preferencias de recomendación únicamente para las instancias de RDS


{
	"Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "compute-optimizer:DeleteRecommendationPreferences",
                "compute-optimizer:GetEffectiveRecommendationPreferences",
                "compute-optimizer:GetRecommendationPreferences",
                "compute-optimizer:PutRecommendationPreferences"
            ],
            "Resource": "*",
            "Condition" :  {
                "StringEquals" : {
                    "compute-optimizer:ResourceType" : "RdsDBInstance"
                }
            }            
        }
    ]
}

Políticas para habilitar las recomendaciones de licencias de software comercial

Para que Compute Optimizer genere recomendaciones de licencias, adjunta las siguientes políticas y roles de EC2 instancia de Amazon.

El rol de AmazonSSMManagedInstanceCore para habilitar Systems Manager. Para obtener más información, consulte Ejemplos de políticas basadas en identidad de AWS Systems Manager en la Guía del usuario de AWS Systems Manager .
La CloudWatchAgentServerPolicy política que permite la publicación de las métricas y los registros de las instancias en. CloudWatch Para obtener más información, consulte Crear roles y usuarios de IAM para usarlos con el CloudWatch agente en la Guía del CloudWatch usuario de Amazon.
La siguiente declaración de política en línea de IAM para leer la cadena de conexión secreta de Microsoft SQL Server almacenada en AWS Systems Manager. Para obtener más información sobre las políticas insertadas, consulte Políticas administradas y políticas insertadas en la Guía del usuario de AWS Identity and Access Management .


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue*"
            ],
            "Resource": "arn:aws:secretsmanager:*:*:secret:ApplicationInsights-*"
        }
    ]
}

Además, para habilitar y recibir recomendaciones de licencias, adjunte la siguiente política de IAM a su usuario, grupo o función. Para obtener más información, consulta la política de IAM en la Guía del CloudWatch usuario de Amazon.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "applicationinsights:*",
                "iam:CreateServiceLinkedRole",
                "iam:ListRoles",
                "resource-groups:ListGroups"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

Política para denegar el acceso a Compute Optimizer

La siguiente instrucción de política deniega el acceso a Compute Optimizer.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "compute-optimizer:*",
            "Resource": "*"
        }
    ]
}

Recursos adicionales

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Desactivación

AWS políticas gestionadas