Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
AWS kebijakan terkelola untuk AWS Batch
Anda dapat menggunakan kebijakan AWS terkelola untuk pengelolaan akses identitas yang lebih sederhana untuk tim dan sumber daya yang disediakan. AWS AWS Kebijakan terkelola mencakup berbagai kasus penggunaan umum, tersedia secara default di AWS akun Anda, dan dikelola serta diperbarui atas nama Anda. Anda tidak dapat mengubah izin dalam kebijakan AWS terkelola. Jika Anda membutuhkan fleksibilitas yang lebih besar, Anda dapat memilih untuk membuat kebijakan yang dikelola IAM pelanggan. Dengan cara ini, Anda dapat memberikan sumber daya yang disediakan tim Anda hanya dengan izin persis yang mereka butuhkan.
Untuk informasi selengkapnya tentang kebijakan AWS AWS terkelola, lihat kebijakan terkelola di Panduan IAM Pengguna.
AWS Layanan memelihara dan memperbarui kebijakan AWS terkelola atas nama Anda. Secara berkala, AWS layanan menambahkan izin tambahan ke kebijakan AWS terkelola. AWS Kebijakan terkelola kemungkinan besar diperbarui saat peluncuran atau operasi fitur baru tersedia. Pembaruan ini secara otomatis memengaruhi semua identitas (pengguna, grup, dan peran) tempat kebijakan dilampirkan. Namun, mereka tidak menghapus izin atau merusak izin yang ada.
Selain itu, AWS mendukung kebijakan terkelola untuk fungsi pekerjaan yang mencakup beberapa layanan. Misalnya, kebijakan ReadOnlyAccess AWS terkelola menyediakan akses hanya-baca ke semua AWS layanan dan sumber daya. Saat layanan meluncurkan fitur baru, AWS tambahkan izin hanya-baca untuk operasi dan sumber daya baru. Untuk daftar dan deskripsi kebijakan fungsi pekerjaan, lihat kebijakan AWS terkelola untuk fungsi pekerjaan di Panduan IAM Pengguna.
AWS kebijakan terkelola: BatchServiceRolePolicy
IAMKebijakan BatchServiceRolePolicyterkelola digunakan oleh peran AWSServiceRoleForBatchterkait layanan. Ini memungkinkan AWS Batch untuk melakukan tindakan atas nama Anda. Anda tidak dapat melampirkan kebijakan ini ke IAM entitas Anda. Untuk informasi selengkapnya, lihat Menggunakan peran terkait layanan untuk AWS Batch.
Kebijakan ini memungkinkan AWS Batch untuk menyelesaikan tindakan berikut pada sumber daya tertentu:
-
autoscaling— Memungkinkan AWS Batch untuk membuat dan mengelola sumber daya Amazon EC2 Auto Scaling. AWS Batch membuat dan mengelola grup EC2 Auto Scaling Amazon untuk sebagian besar lingkungan komputasi. -
ec2— Memungkinkan AWS Batch untuk mengontrol siklus hidup EC2 instans Amazon serta membuat dan mengelola templat dan tag peluncuran. AWS Batch membuat dan mengelola permintaan Armada EC2 Spot untuk beberapa lingkungan komputasi EC2 Spot. -
ecs- Memungkinkan AWS Batch untuk membuat dan mengelola ECS cluster Amazon, definisi tugas dan tugas untuk pelaksanaan pekerjaan. -
eks- Memungkinkan AWS Batch untuk menggambarkan sumber daya EKS cluster Amazon untuk validasi. -
iam- Memungkinkan AWS Batch untuk memvalidasi dan meneruskan peran yang disediakan oleh pemilik ke AmazonEC2, Amazon EC2 Auto Scaling, dan Amazon. ECS -
logs— Memungkinkan AWS Batch untuk membuat dan mengelola grup log dan aliran log untuk AWS Batch pekerjaan.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSBatchPolicyStatement1", "Effect": "Allow", "Action": [ "ec2:DescribeAccountAttributes", "ec2:DescribeInstances", "ec2:DescribeInstanceStatus", "ec2:DescribeInstanceAttribute", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups", "ec2:DescribeKeyPairs", "ec2:DescribeImages", "ec2:DescribeImageAttribute", "ec2:DescribeSpotInstanceRequests", "ec2:DescribeSpotFleetInstances", "ec2:DescribeSpotFleetRequests", "ec2:DescribeSpotPriceHistory", "ec2:DescribeSpotFleetRequestHistory", "ec2:DescribeVpcClassicLink", "ec2:DescribeLaunchTemplateVersions", "ec2:RequestSpotFleet", "autoscaling:DescribeAccountLimits", "autoscaling:DescribeAutoScalingGroups", "autoscaling:DescribeLaunchConfigurations", "autoscaling:DescribeAutoScalingInstances", "autoscaling:DescribeScalingActivities", "eks:DescribeCluster", "ecs:DescribeClusters", "ecs:DescribeContainerInstances", "ecs:DescribeTaskDefinition", "ecs:DescribeTasks", "ecs:ListClusters", "ecs:ListContainerInstances", "ecs:ListTaskDefinitionFamilies", "ecs:ListTaskDefinitions", "ecs:ListTasks", "ecs:DeregisterTaskDefinition", "ecs:TagResource", "ecs:ListAccountSettings", "logs:DescribeLogGroups", "iam:GetInstanceProfile", "iam:GetRole" ], "Resource": "*" }, { "Sid": "AWSBatchPolicyStatement2", "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/batch/job*" }, { "Sid": "AWSBatchPolicyStatement3", "Effect": "Allow", "Action": [ "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/batch/job*:log-stream:*" }, { "Sid": "AWSBatchPolicyStatement4", "Effect": "Allow", "Action": [ "autoscaling:CreateOrUpdateTags" ], "Resource": "*", "Condition": { "Null": { "aws:RequestTag/AWSBatchServiceTag": "false" } } }, { "Sid": "AWSBatchPolicyStatement5", "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "*" ], "Condition": { "StringEquals": { "iam:PassedToService": [ "ec2.amazonaws.com", "ec2.amazonaws.com.cn", "ecs-tasks.amazonaws.com" ] } } }, { "Sid": "AWSBatchPolicyStatement6", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": [ "spot.amazonaws.com", "spotfleet.amazonaws.com", "autoscaling.amazonaws.com", "ecs.amazonaws.com" ] } } }, { "Sid": "AWSBatchPolicyStatement7", "Effect": "Allow", "Action": [ "ec2:CreateLaunchTemplate" ], "Resource": "*", "Condition": { "Null": { "aws:RequestTag/AWSBatchServiceTag": "false" } } }, { "Sid": "AWSBatchPolicyStatement8", "Effect": "Allow", "Action": [ "ec2:TerminateInstances", "ec2:CancelSpotFleetRequests", "ec2:ModifySpotFleetRequest", "ec2:DeleteLaunchTemplate" ], "Resource": "*", "Condition": { "Null": { "aws:ResourceTag/AWSBatchServiceTag": "false" } } }, { "Sid": "AWSBatchPolicyStatement9", "Effect": "Allow", "Action": [ "autoscaling:CreateLaunchConfiguration", "autoscaling:DeleteLaunchConfiguration" ], "Resource": "arn:aws:autoscaling:*:*:launchConfiguration:*:launchConfigurationName/AWSBatch*" }, { "Sid": "AWSBatchPolicyStatement10", "Effect": "Allow", "Action": [ "autoscaling:CreateAutoScalingGroup", "autoscaling:UpdateAutoScalingGroup", "autoscaling:SetDesiredCapacity", "autoscaling:DeleteAutoScalingGroup", "autoscaling:SuspendProcesses", "autoscaling:PutNotificationConfiguration", "autoscaling:TerminateInstanceInAutoScalingGroup" ], "Resource": "arn:aws:autoscaling:*:*:autoScalingGroup:*:autoScalingGroupName/AWSBatch*" }, { "Sid": "AWSBatchPolicyStatement11", "Effect": "Allow", "Action": [ "ecs:DeleteCluster", "ecs:DeregisterContainerInstance", "ecs:RunTask", "ecs:StartTask", "ecs:StopTask" ], "Resource": "arn:aws:ecs:*:*:cluster/AWSBatch*" }, { "Sid": "AWSBatchPolicyStatement12", "Effect": "Allow", "Action": [ "ecs:RunTask", "ecs:StartTask", "ecs:StopTask" ], "Resource": "arn:aws:ecs:*:*:task-definition/*" }, { "Sid": "AWSBatchPolicyStatement13", "Effect": "Allow", "Action": [ "ecs:StopTask" ], "Resource": "arn:aws:ecs:*:*:task/*/*" }, { "Sid": "AWSBatchPolicyStatement14", "Effect": "Allow", "Action": [ "ecs:CreateCluster", "ecs:RegisterTaskDefinition" ], "Resource": "*", "Condition": { "Null": { "aws:RequestTag/AWSBatchServiceTag": "false" } } }, { "Sid": "AWSBatchPolicyStatement15", "Effect": "Allow", "Action": "ec2:RunInstances", "Resource": [ "arn:aws:ec2:*::image/*", "arn:aws:ec2:*::snapshot/*", "arn:aws:ec2:*:*:subnet/*", "arn:aws:ec2:*:*:network-interface/*", "arn:aws:ec2:*:*:security-group/*", "arn:aws:ec2:*:*:volume/*", "arn:aws:ec2:*:*:key-pair/*", "arn:aws:ec2:*:*:launch-template/*", "arn:aws:ec2:*:*:placement-group/*", "arn:aws:ec2:*:*:capacity-reservation/*", "arn:aws:ec2:*:*:elastic-gpu/*", "arn:aws:elastic-inference:*:*:elastic-inference-accelerator/*", "arn:aws:resource-groups:*:*:group/*" ] }, { "Sid": "AWSBatchPolicyStatement16", "Effect": "Allow", "Action": "ec2:RunInstances", "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": { "Null": { "aws:RequestTag/AWSBatchServiceTag": "false" } } }, { "Sid": "AWSBatchPolicyStatement17", "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "ec2:CreateAction": [ "RunInstances", "CreateLaunchTemplate", "RequestSpotFleet" ] } } } ] }
AWS kebijakan terkelola: AWSBatchServiceRolekebijakan
Kebijakan izin peran bernama AWSBatchServiceRolememungkinkan AWS Batch untuk menyelesaikan tindakan berikut pada sumber daya tertentu:
IAMKebijakan AWSBatchServiceRoleterkelola sering digunakan oleh peran bernama AWSBatchServiceRoledan menyertakan izin berikut. Mengikuti saran keamanan standar untuk memberikan hak istimewa paling sedikit, kebijakan yang AWSBatchServiceRoledikelola dapat digunakan sebagai panduan. Jika salah satu izin yang diberikan dalam kebijakan terkelola tidak diperlukan untuk kasus penggunaan Anda, buat kebijakan kustom dan hanya tambahkan izin yang Anda perlukan. Kebijakan dan peran AWS Batch terkelola ini dapat digunakan dengan sebagian besar jenis lingkungan komputasi, tetapi penggunaan peran terkait layanan lebih disukai untuk pengalaman terkelola dengan cakupan yang less-error-prone lebih baik dan lebih baik.
-
autoscaling— Memungkinkan AWS Batch untuk membuat dan mengelola sumber daya Amazon EC2 Auto Scaling. AWS Batch membuat dan mengelola grup EC2 Auto Scaling Amazon untuk sebagian besar lingkungan komputasi. -
ec2— Memungkinkan AWS Batch untuk mengelola siklus hidup EC2 instans Amazon serta membuat dan mengelola template dan tag peluncuran. AWS Batch membuat dan mengelola permintaan Armada EC2 Spot untuk beberapa lingkungan komputasi EC2 Spot. -
ecs- Memungkinkan AWS Batch untuk membuat dan mengelola ECS cluster Amazon, definisi tugas dan tugas untuk pelaksanaan pekerjaan. -
iam- Memungkinkan AWS Batch untuk memvalidasi dan meneruskan peran yang disediakan oleh pemilik ke AmazonEC2, Amazon EC2 Auto Scaling, dan Amazon. ECS -
logs— Memungkinkan AWS Batch untuk membuat dan mengelola grup log dan aliran log untuk AWS Batch pekerjaan.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSBatchPolicyStatement1", "Effect": "Allow", "Action": [ "ec2:DescribeAccountAttributes", "ec2:DescribeInstances", "ec2:DescribeInstanceStatus", "ec2:DescribeInstanceAttribute", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups", "ec2:DescribeKeyPairs", "ec2:DescribeImages", "ec2:DescribeImageAttribute", "ec2:DescribeSpotInstanceRequests", "ec2:DescribeSpotFleetInstances", "ec2:DescribeSpotFleetRequests", "ec2:DescribeSpotPriceHistory", "ec2:DescribeSpotFleetRequestHistory", "ec2:DescribeVpcClassicLink", "ec2:DescribeLaunchTemplateVersions", "ec2:CreateLaunchTemplate", "ec2:DeleteLaunchTemplate", "ec2:RequestSpotFleet", "ec2:CancelSpotFleetRequests", "ec2:ModifySpotFleetRequest", "ec2:TerminateInstances", "ec2:RunInstances", "autoscaling:DescribeAccountLimits", "autoscaling:DescribeAutoScalingGroups", "autoscaling:DescribeLaunchConfigurations", "autoscaling:DescribeAutoScalingInstances", "autoscaling:DescribeScalingActivities", "autoscaling:CreateLaunchConfiguration", "autoscaling:CreateAutoScalingGroup", "autoscaling:UpdateAutoScalingGroup", "autoscaling:SetDesiredCapacity", "autoscaling:DeleteLaunchConfiguration", "autoscaling:DeleteAutoScalingGroup", "autoscaling:CreateOrUpdateTags", "autoscaling:SuspendProcesses", "autoscaling:PutNotificationConfiguration", "autoscaling:TerminateInstanceInAutoScalingGroup", "ecs:DescribeClusters", "ecs:DescribeContainerInstances", "ecs:DescribeTaskDefinition", "ecs:DescribeTasks", "ecs:ListAccountSettings", "ecs:ListClusters", "ecs:ListContainerInstances", "ecs:ListTaskDefinitionFamilies", "ecs:ListTaskDefinitions", "ecs:ListTasks", "ecs:CreateCluster", "ecs:DeleteCluster", "ecs:RegisterTaskDefinition", "ecs:DeregisterTaskDefinition", "ecs:RunTask", "ecs:StartTask", "ecs:StopTask", "ecs:UpdateContainerAgent", "ecs:DeregisterContainerInstance", "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents", "logs:DescribeLogGroups", "iam:GetInstanceProfile", "iam:GetRole" ], "Resource": "*" }, { "Sid": "AWSBatchPolicyStatement2", "Effect": "Allow", "Action": "ecs:TagResource", "Resource": [ "arn:aws:ecs:*:*:task/*_Batch_*" ] }, { "Sid": "AWSBatchPolicyStatement3", "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "*" ], "Condition": { "StringEquals": { "iam:PassedToService": [ "ec2.amazonaws.com", "ec2.amazonaws.com.cn", "ecs-tasks.amazonaws.com" ] } } }, { "Sid": "AWSBatchPolicyStatement4", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": [ "spot.amazonaws.com", "spotfleet.amazonaws.com", "autoscaling.amazonaws.com", "ecs.amazonaws.com" ] } } }, { "Sid": "AWSBatchPolicyStatement5", "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "ec2:CreateAction": "RunInstances" } } } ] }
AWS kebijakan terkelola: AWSBatchFullAccess
AWSBatchFullAccessKebijakan memberikan AWS Batch tindakan akses penuh ke AWS Batch sumber daya. Ini juga memberikan deskripsi dan daftar akses tindakan untuk AmazonEC2, AmazonECS, Amazon EKS CloudWatch, dan IAM layanan. Ini agar IAM identitas, baik pengguna atau peran, dapat melihat sumber daya AWS Batch terkelola yang dibuat atas nama mereka. Terakhir, kebijakan ini juga memungkinkan IAM peran yang dipilih diteruskan ke layanan tersebut.
Anda dapat melampirkan AWSBatchFullAccesske IAM entitas Anda. AWS Batch juga melampirkan kebijakan ini ke peran layanan yang memungkinkan AWS Batch untuk melakukan tindakan atas nama Anda.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "batch:*", "cloudwatch:GetMetricStatistics", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups", "ec2:DescribeKeyPairs", "ec2:DescribeVpcs", "ec2:DescribeImages", "ec2:DescribeLaunchTemplates", "ec2:DescribeLaunchTemplateVersions", "ecs:DescribeClusters", "ecs:Describe*", "ecs:List*", "eks:DescribeCluster", "eks:ListClusters", "logs:Describe*", "logs:Get*", "logs:TestMetricFilter", "logs:FilterLogEvents", "iam:ListInstanceProfiles", "iam:ListRoles" ], "Resource":"*" }, { "Effect":"Allow", "Action":[ "iam:PassRole" ], "Resource":[ "arn:aws:iam::*:role/AWSBatchServiceRole", "arn:aws:iam::*:role/service-role/AWSBatchServiceRole", "arn:aws:iam::*:role/ecsInstanceRole", "arn:aws:iam::*:instance-profile/ecsInstanceRole", "arn:aws:iam::*:role/iaws-ec2-spot-fleet-role", "arn:aws:iam::*:role/aws-ec2-spot-fleet-role", "arn:aws:iam::*:role/AWSBatchJobRole*" ] }, { "Effect":"Allow", "Action":[ "iam:CreateServiceLinkedRole" ], "Resource":"arn:aws:iam::*:role/*Batch*", "Condition": { "StringEquals": { "iam:AWSServiceName": "batch.amazonaws.com" } } } ] }
AWS Batch pembaruan kebijakan AWS terkelola
Lihat detail tentang pembaruan kebijakan AWS terkelola AWS Batch sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan RSS feed di halaman Riwayat AWS Batch dokumen.
| Perubahan | Deskripsi | Tanggal |
|---|---|---|
|
BatchServiceRolePolicykebijakan diperbarui |
Diperbarui untuk menambahkan dukungan untuk menjelaskan riwayat dan Amazon EC2 Auto Scaling aktivitas permintaan Armada Spot. |
5 Desember 2023 |
|
AWSBatchServiceRolekebijakan ditambahkan |
Diperbarui untuk menambahkan pernyataanIDs, memberikan AWS Batch izin ke |
5 Desember 2023 |
|
BatchServiceRolePolicykebijakan diperbarui |
Diperbarui untuk menambahkan dukungan untuk mendeskripsikan EKS kluster Amazon. |
20 Oktober 2022 |
|
AWSBatchFullAccesskebijakan diperbarui |
Diperbarui untuk menambahkan dukungan untuk daftar dan menjelaskan EKS kluster Amazon. |
20 Oktober 2022 |
|
BatchServiceRolePolicykebijakan diperbarui |
Diperbarui untuk menambahkan dukungan untuk grup Reservasi EC2 Kapasitas Amazon yang dikelola oleh AWS Resource Groups. Untuk informasi selengkapnya, lihat Bekerja dengan grup Reservasi Kapasitas di Panduan EC2 Pengguna Amazon. |
Mei 18, 2022 |
|
BatchServiceRolePolicydan AWSBatchServiceRolekebijakan diperbarui |
Diperbarui untuk menambahkan dukungan untuk menjelaskan status instans AWS Batch terkelola di Amazon EC2 sehingga instance yang tidak sehat diganti. |
Desember 6, 2021 |
|
BatchServiceRolePolicykebijakan diperbarui |
Diperbarui untuk menambahkan dukungan untuk grup penempatan, reservasi kapasitas, elastisGPU, dan sumber daya Elastic Inference di Amazon. EC2 |
26 Maret 2021 |
|
BatchServiceRolePolicykebijakan ditambahkan |
Dengan kebijakan BatchServiceRolePolicyterkelola untuk peran AWSServiceRoleForBatchterkait layanan, Anda dapat menggunakan peran terkait layanan yang dikelola oleh. AWS Batch Dengan kebijakan ini, Anda tidak perlu mempertahankan peran Anda sendiri untuk digunakan di lingkungan komputasi Anda. |
10 Maret 2021 |
|
AWSBatchFullAccess- tambahkan izin untuk menambahkan peran terkait layanan |
Tambahkan IAM izin untuk memungkinkan peran AWSServiceRoleForBatchterkait layanan ditambahkan ke akun. |
10 Maret 2021 |
|
AWS Batch mulai melacak perubahan |
AWS Batch mulai melacak perubahan untuk kebijakan yang AWS dikelola. |
10 Maret 2021 |
