Compute Optimizer y acceso confiable AWS Organizations Política de suscripción a Compute Optimizer Políticas para conceder acceso a Compute Optimizer para cuentas independientes AWS Políticas para conceder acceso a Compute Optimizer para una cuenta de administración de una organización Políticas para conceder acceso a la administración de las preferencias de recomendación de Compute Optimizer Políticas para habilitar las recomendaciones de licencias de software comercial Política para denegar el acceso a Compute Optimizer

Controlar el acceso con AWS Identity and Access Management

Puede usar AWS Identity and Access Management (IAM) para crear identidades (usuarios, grupos o roles) y conceder permisos a esas identidades para acceder a la AWS Compute Optimizer consola y a las API.

De forma predeterminada, los usuarios de IAM no tienen acceso a la consola de y API de Console Optimizer. Si desea conceder a los usuarios acceso asociando políticas de IAM a un único usuario, a un grupo de usuarios o a un rol. Para obtener más información, consulte Identidades de IAM (usuarios, grupos de usuarios y roles) y Resumen de las políticas de IAM en la guía del usuario de IAM.

Después de crear los usuarios de IAM, puede asignarles contraseñas. De ese modo, podrán iniciar sesión en la cuenta y ver la información de Compute Optimizer a través de una página de inicio de sesión específica de la cuenta. Para obtener más información, consulte Cómo inician sesión los usuarios en la cuenta.

importante

Para ver las recomendaciones de las instancias EC2, un usuario de IAM necesita el permiso ec2:DescribeInstances.
Para ver las recomendaciones de los volúmenes de EBS, un usuario de IAM necesita el permiso ec2:DescribeVolumes.
Para ver las recomendaciones de los grupos de Auto Scaling, un usuario de IAM necesita los permisos autoscaling:DescribeAutoScalingGroups y autoscaling:DescribeAutoScalingInstances.
Para ver las recomendaciones de las funciones de Lambda, un usuario de IAM necesita los permisos lambda:ListFunctions y lambda:ListProvisionedConcurrencyConfigs.
Para ver las recomendaciones para los servicios de Amazon ECS en Fargate, un usuario de IAM necesita los permisos ecs:ListServices y ecs:ListClusters.
Para ver los datos de CloudWatch las métricas actuales en la consola de Compute Optimizer, un usuario de IAM necesita el permiso. cloudwatch:GetMetricData
Para ver las recomendaciones, las licencias de software comercial, se requieren determinados permisos de roles de instancia de Amazon EC2 y de usuario de IAM. Para obtener más información, consulte Políticas para habilitar las recomendaciones de licencias de software comercial.
Para ver las recomendaciones de Amazon RDS, un usuario de IAM necesita los permisos rds:DescribeDBInstances yrds:DescribeDBClusters.

Si el usuario o grupo al que desea conceder permisos ya tiene una política, puede agregar una de las políticas específicas de Compute Optimizer que se ilustran aquí.

Contenido

Compute Optimizer y acceso confiable AWS Organizations
Política de suscripción a Compute Optimizer
Políticas para conceder acceso a Compute Optimizer para cuentas independientes AWS
Políticas para conceder acceso a Compute Optimizer para una cuenta de administración de una organización
Políticas para conceder acceso a la administración de las preferencias de recomendación de Compute Optimizer
Políticas para habilitar las recomendaciones de licencias de software comercial
Política para denegar el acceso a Compute Optimizer

Compute Optimizer y acceso confiable AWS Organizations

Cuando activa el uso de la cuenta de administración de su organización e incluye todas las cuentas de los miembros de la organización, el acceso confiable a Compute Optimizer se habilita automáticamente en la cuenta de su organización. Esto permite a Compute Optimizer analizar los recursos de cómputo en las cuentas de esos miembros y generar recomendaciones para ellos.

Cada vez que accede a las recomendaciones de las cuentas de los miembros, Compute Optimizer verifica que el acceso confiable esté habilitado en la cuenta de su organización. Si inhabilita el acceso de confianza de Compute Optimizer después de registrarse, Compute Optimizer deniega el acceso a las recomendaciones de las cuentas de los miembros de su organización. Además, las cuentas de los miembros de la organización no están habilitadas para Compute Optimizer. Para volver a habilitar el acceso confiable, vuelva a activar Compute Optimizer con la cuenta de administración de su organización e incluya todas las cuentas de los miembros de la organización. Para obtener más información, consulte Activar su cuenta. Para obtener más información sobre el acceso AWS Organizations confiable, consulta Uso AWS Organizations con otros AWS servicios en la Guía del AWS Organizations usuario.

Política de suscripción a Compute Optimizer

La siguiente instrucción de política concede acceso para darse de alta en Compute Optimizer. Concede acceso de para crear un rol vinculado al servicio de Compute Optimizer. Este rol es obligatorio para poder participar. Para obtener más información, consulte Uso de roles vinculados a servicios para AWS Compute Optimizer. También otorga acceso para actualizar el estado de inscripción en el servicio Compute Optimizer.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "arn:aws:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer*",
            "Condition": {"StringLike": {"iam:AWSServiceName": "compute-optimizer.amazonaws.com"}}
        },
        {
            "Effect": "Allow",
            "Action": "iam:PutRolePolicy",
            "Resource": "arn:aws:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer"
        },
        {
            "Effect": "Allow",
            "Action": "compute-optimizer:UpdateEnrollmentStatus",
            "Resource": "*"
        }
    ]
}

Políticas para conceder acceso a Compute Optimizer para cuentas independientes AWS

La siguiente instrucción de política concede acceso completo a Compute Optimizer para cuentas de Cuentas de AWS independientes. Para ver las declaraciones de políticas para administrar las preferencias de recomendación, consulte Políticas para conceder acceso a la administración de las preferencias de recomendación de Compute Optimizer.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "compute-optimizer:*",
                "ec2:DescribeInstances",
                "ec2:DescribeVolumes",
                "ecs:ListServices",
                "ecs:ListClusters",
                "autoscaling:DescribeAutoScalingGroups",
                "autoscaling:DescribeAutoScalingInstances",
                "lambda:ListFunctions",
                "lambda:ListProvisionedConcurrencyConfigs",
                "cloudwatch:GetMetricData"
            ],
            "Resource": "*"
        }
    ]
}

La siguiente instrucción de política concede acceso de solo lectura a Compute Optimizer para cuentas de Cuentas de AWS independientes.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "compute-optimizer:GetEnrollmentStatus",
                "compute-optimizer:GetEffectiveRecommendationPreferences",
                "compute-optimizer:GetRecommendationPreferences",
                "compute-optimizer:GetRecommendationSummaries",
                "compute-optimizer:GetEC2InstanceRecommendations",
                "compute-optimizer:GetEC2RecommendationProjectedMetrics",
                "compute-optimizer:GetAutoScalingGroupRecommendations",
                "compute-optimizer:GetEBSVolumeRecommendations",
                "compute-optimizer:GetLambdaFunctionRecommendations",
                "compute-optimizer:DescribeRecommendationExportJobs",
                "compute-optimizer:GetEffectiveRecommendationPreferences",
                "compute-optimizer:GetRecommendationPreferences",
                "compute-optimizer:GetECSServiceRecommendations",
                "compute-optimizer:GetECSServiceRecommendationProjectedMetrics",
                "compute-optimizer:GetRDSDatabaseRecommendations",
                "compute-optimizer:GetRDSDatabaseRecommendationProjectedMetrics",
                "ec2:DescribeInstances",
                "ec2:DescribeVolumes",
                "ecs:ListServices",
                "ecs:ListClusters",
                "autoscaling:DescribeAutoScalingGroups",
                "autoscaling:DescribeAutoScalingInstances",
                "lambda:ListFunctions",
                "lambda:ListProvisionedConcurrencyConfigs",
                "cloudwatch:GetMetricData",
                "rds:DescribeDBInstances",
                "rds:DescribeDBClusters"
            ],
            "Resource": "*"
        }
    ]
}

Políticas para conceder acceso a Compute Optimizer para una cuenta de administración de una organización

La siguiente declaración de política otorga acceso total a Compute Optimizer para una cuenta de administración de su organización. Para ver las declaraciones de políticas para administrar las preferencias de recomendación, consulte Políticas para conceder acceso a la administración de las preferencias de recomendación de Compute Optimizer.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "compute-optimizer:*",
                "ec2:DescribeInstances",
                "ec2:DescribeVolumes",
                "ecs:ListServices",
                "ecs:ListClusters",
                "autoscaling:DescribeAutoScalingGroups",
                "autoscaling:DescribeAutoScalingInstances",
                "lambda:ListFunctions",
                "lambda:ListProvisionedConcurrencyConfigs",
                "cloudwatch:GetMetricData",
                "organizations:ListAccounts",
                "organizations:DescribeOrganization",
                "organizations:DescribeAccount",
                "organizations:EnableAWSServiceAccess",
                "organizations:ListDelegatedAdministrators",
                "organizations:RegisterDelegatedAdministrator",
                "organizations:DeregisterDelegatedAdministrator"
            ],
            "Resource": "*"
        }
    ]
}

La siguiente declaración de política otorga acceso de solo lectura a Compute Optimizer para una cuenta de administración de una organización.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "compute-optimizer:GetEnrollmentStatus",
                "compute-optimizer:GetEnrollmentStatusesForOrganization",
                "compute-optimizer:GetRecommendationSummaries",
                "compute-optimizer:GetEC2InstanceRecommendations",
                "compute-optimizer:GetEC2RecommendationProjectedMetrics",
                "compute-optimizer:GetAutoScalingGroupRecommendations",
                "compute-optimizer:GetEBSVolumeRecommendations",
                "compute-optimizer:GetLambdaFunctionRecommendations",
                "compute-optimizer:GetEffectiveRecommendationPreferences",
                "compute-optimizer:GetRecommendationPreferences",
                "compute-optimizer:GetECSServiceRecommendations",
                "compute-optimizer:GetECSServiceRecommendationProjectedMetrics",
                "compute-optimizer:GetRDSDatabaseRecommendations",
                "compute-optimizer:GetRDSDatabaseRecommendationProjectedMetrics",
                "ec2:DescribeInstances",
                "ec2:DescribeVolumes",
                "ecs:ListServices",
                "ecs:ListClusters",
                "autoscaling:DescribeAutoScalingGroups",
                "autoscaling:DescribeAutoScalingInstances",
                "lambda:ListFunctions",
                "lambda:ListProvisionedConcurrencyConfigs",
                "cloudwatch:GetMetricData",
                "organizations:ListAccounts",
                "organizations:DescribeOrganization",
                "organizations:DescribeAccount",
                "organizations:ListDelegatedAdministrators",
                "rds:DescribeDBInstances",
                "rds:DescribeDBClusters"
            ],
            "Resource": "*"
        }
    ]
}

Políticas para conceder acceso a la administración de las preferencias de recomendación de Compute Optimizer

Las siguientes declaraciones de política permiten ver y editar las preferencias de recomendación, como la característica de pago con métricas de infraestructura mejorada. Para obtener más información, consulte Preferencias de recomendación.

Conceder acceso para gestionar las preferencias de recomendación únicamente para las instancias de EC2


{
	"Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "compute-optimizer:DeleteRecommendationPreferences",
                "compute-optimizer:GetEffectiveRecommendationPreferences",
                "compute-optimizer:GetRecommendationPreferences",
                "compute-optimizer:PutRecommendationPreferences"
            ],
            "Resource": "*",
            "Condition" :  {
                "StringEquals" : {
                    "compute-optimizer:ResourceType" : "Ec2Instance"
                }
            }            
        }
    ]
}

Conceder acceso para gestionar las preferencias de recomendación únicamente para los grupos de Auto Scaling


{
	"Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "compute-optimizer:DeleteRecommendationPreferences",
                "compute-optimizer:GetEffectiveRecommendationPreferences",
                "compute-optimizer:GetRecommendationPreferences",
                "compute-optimizer:PutRecommendationPreferences"
            ],
            "Resource": "*",
            "Condition" :  {
                "StringEquals" : {
                    "compute-optimizer:ResourceType" : "AutoScalingGroup"
                }
            }            
        }
    ]
}

Conceda acceso para administrar las preferencias de recomendación únicamente para las instancias de RDS


{
	"Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "compute-optimizer:DeleteRecommendationPreferences",
                "compute-optimizer:GetEffectiveRecommendationPreferences",
                "compute-optimizer:GetRecommendationPreferences",
                "compute-optimizer:PutRecommendationPreferences"
            ],
            "Resource": "*",
            "Condition" :  {
                "StringEquals" : {
                    "compute-optimizer:ResourceType" : "RdsDBInstance"
                }
            }            
        }
    ]
}

Políticas para habilitar las recomendaciones de licencias de software comercial

Para que Compute Optimizer genere recomendaciones de licencias, adjunte las siguientes políticas y roles de instancia de Amazon EC2.

El rol de AmazonSSMManagedInstanceCore para habilitar Systems Manager. Para obtener más información, consulte Ejemplos de políticas basadas en identidad de AWS Systems Manager en la Guía del usuario de AWS Systems Manager .
La CloudWatchAgentServerPolicy política que permite la publicación de las métricas y los registros de las instancias a CloudWatch. Para obtener más información, consulte Crear roles y usuarios de IAM para usarlos con el CloudWatch agente en la Guía del CloudWatch usuario de Amazon.
La siguiente declaración de política en línea de IAM para leer la cadena de conexión secreta de Microsoft SQL Server almacenada en AWS Systems Manager. Para obtener más información sobre las políticas insertadas, consulte Políticas administradas y políticas insertadas en la Guía del usuario de AWS Identity and Access Management .


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue*"
            ],
            "Resource": "arn:aws:secretsmanager:*:*:secret:ApplicationInsights-*"
        }
    ]
}

Además, para habilitar y recibir recomendaciones de licencias, adjunte la siguiente política de IAM a su usuario, grupo o función. Para obtener más información, consulta la política de IAM en la Guía del CloudWatch usuario de Amazon.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "applicationinsights:*",
                "iam:CreateServiceLinkedRole",
                "iam:ListRoles",
                "resource-groups:ListGroups"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

Política para denegar el acceso a Compute Optimizer

La siguiente instrucción de política deniega el acceso a Compute Optimizer.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "compute-optimizer:*",
            "Resource": "*"
        }
    ]
}

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Introducción

Usar roles vinculados a servicios