Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Esempi di policy basate su identità di Application Auto Scaling
Per impostazione predefinita, un nuovo utente non Account AWS dispone delle autorizzazioni necessarie per eseguire alcuna operazione. Un IAM amministratore deve creare e assegnare IAM policy che consentano a un'IAMidentità (ad esempio un utente o un ruolo) di eseguire azioni di Application Auto API Scaling.
Per informazioni su come creare una IAM politica utilizzando i seguenti documenti di esempioJSON, vedere Creazione di politiche nella JSON scheda della Guida per l'IAMutente.
Indice
Autorizzazioni necessarie per le azioni di Application Auto Scaling API
Le seguenti politiche concedono le autorizzazioni per i casi d'uso comuni quando si chiama Application Auto API Scaling. Considera questa sezione quando scrivi policy basate su identità. Ogni policy concede le autorizzazioni per tutte o alcune delle azioni di Application Auto API Scaling. È inoltre necessario assicurarsi che gli utenti finali dispongano delle autorizzazioni per il servizio di destinazione e CloudWatch (consulta la sezione successiva per i dettagli).
La seguente politica basata sull'identità concede le autorizzazioni a tutte le azioni di Application Auto Scaling. API
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "application-autoscaling:*" ], "Resource": "*" } ] }
La seguente politica basata sull'identità concede le autorizzazioni a tutte le azioni di Application Auto Scaling necessarie per configurare le politiche di scalabilità e non API le azioni pianificate.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "application-autoscaling:RegisterScalableTarget", "application-autoscaling:DescribeScalableTargets", "application-autoscaling:DeregisterScalableTarget", "application-autoscaling:PutScalingPolicy", "application-autoscaling:DescribeScalingPolicies", "application-autoscaling:DescribeScalingActivities", "application-autoscaling:DeleteScalingPolicy" ], "Resource": "*" } ] }
La seguente politica basata sull'identità concede le autorizzazioni a tutte le azioni di Application Auto Scaling necessarie per configurare API le azioni pianificate e non le politiche di scalabilità.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "application-autoscaling:RegisterScalableTarget", "application-autoscaling:DescribeScalableTargets", "application-autoscaling:DeregisterScalableTarget", "application-autoscaling:PutScheduledAction", "application-autoscaling:DescribeScheduledActions", "application-autoscaling:DescribeScalingActivities", "application-autoscaling:DeleteScheduledAction" ], "Resource": "*" } ] }
Autorizzazioni necessarie per le azioni sui servizi di destinazione e API CloudWatch
Per configurare e utilizzare correttamente Application Auto Scaling con il servizio di destinazione, agli utenti finali devono essere concesse le autorizzazioni per Amazon CloudWatch e per ogni servizio di destinazione per il quale configureranno la scalabilità. Utilizza le seguenti politiche per concedere le autorizzazioni minime necessarie per lavorare con i servizi di destinazione e. CloudWatch
Indice
- AppStream 2.0 flotte
- Repliche Aurora
- Endpoint di classificazione dei documenti Amazon Comprehend e di riconoscimento delle identità
- Tabelle DynamoDB e indici secondari globali
- ECSservizi
- ElastiCache gruppi di replica
- EMRCluster Amazon
- Tabelle di Amazon Keyspaces
- Funzioni Lambda
- Amazon Managed Streaming per lo storage del broker Apache MSK Kafka ()
- Cluster di Neptune
- SageMaker endpoint
- Flotte Spot (AmazonEC2)
- Risorse personalizzate
AppStream 2.0 flotte
La seguente politica basata sull'identità concede le autorizzazioni a tutte le AppStream 2.0 e alle azioni richieste. CloudWatch API
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "appstream:DescribeFleets", "appstream:UpdateFleet", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Repliche Aurora
La seguente politica basata sull'identità concede le autorizzazioni a tutte le CloudWatch API Aurora e alle azioni necessarie.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "rds:AddTagsToResource", "rds:CreateDBInstance", "rds:DeleteDBInstance", "rds:DescribeDBClusters", "rds:DescribeDBInstances", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Endpoint di classificazione dei documenti Amazon Comprehend e di riconoscimento delle identità
La seguente politica basata sull'identità concede le autorizzazioni a tutti gli Amazon Comprehend e alle azioni necessarie. CloudWatch API
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "comprehend:UpdateEndpoint", "comprehend:DescribeEndpoint", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Tabelle DynamoDB e indici secondari globali
La seguente politica basata sull'identità concede le autorizzazioni a tutti i DynamoDB e alle azioni necessarie. CloudWatch API
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "dynamodb:DescribeTable", "dynamodb:UpdateTable", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
ECSservizi
La seguente politica basata sull'identità concede le autorizzazioni a tutte ECS le CloudWatch API azioni necessarie.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeServices", "ecs:UpdateService", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
ElastiCache gruppi di replica
La seguente politica basata sull'identità concede le autorizzazioni a tutte ElastiCache le azioni necessarie. CloudWatch API
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "elasticache:ModifyReplicationGroupShardConfiguration", "elasticache:IncreaseReplicaCount", "elasticache:DecreaseReplicaCount", "elasticache:DescribeReplicationGroups", "elasticache:DescribeCacheClusters", "elasticache:DescribeCacheParameters", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
EMRCluster Amazon
La seguente politica basata sull'identità concede le autorizzazioni a tutti gli EMR Amazon CloudWatch API e alle azioni necessarie.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "elasticmapreduce:ModifyInstanceGroups", "elasticmapreduce:ListInstanceGroups", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Tabelle di Amazon Keyspaces
La seguente politica basata sull'identità concede le autorizzazioni a tutti gli Amazon CloudWatch API Keyspaces e alle azioni richieste.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cassandra:Select", "cassandra:Alter", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Funzioni Lambda
La seguente politica basata sull'identità concede le autorizzazioni a tutte le CloudWatch API Lambda e alle azioni necessarie.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "lambda:PutProvisionedConcurrencyConfig", "lambda:GetProvisionedConcurrencyConfig", "lambda:DeleteProvisionedConcurrencyConfig", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Amazon Managed Streaming per lo storage del broker Apache MSK Kafka ()
La seguente politica basata sull'identità concede le autorizzazioni a tutti gli MSK Amazon CloudWatch API e alle azioni necessarie.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kafka:DescribeCluster", "kafka:DescribeClusterOperation", "kafka:UpdateBrokerStorage", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Cluster di Neptune
La seguente politica basata sull'identità concede le autorizzazioni a tutti i Neptune e alle azioni necessarie. CloudWatch API
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "rds:AddTagsToResource", "rds:CreateDBInstance", "rds:DescribeDBInstances", "rds:DescribeDBClusters", "rds:DescribeDBClusterParameters", "rds:DeleteDBInstance", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
SageMaker endpoint
La seguente politica basata sull'identità concede le autorizzazioni a tutte SageMaker le azioni necessarie. CloudWatch API
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sagemaker:DescribeEndpoint", "sagemaker:DescribeEndpointConfig", "sagemaker:DescribeInferenceComponent", "sagemaker:UpdateEndpointWeightsAndCapacities", "sagemaker:UpdateInferenceComponentRuntimeConfig", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Flotte Spot (AmazonEC2)
La seguente politica basata sull'identità concede le autorizzazioni a tutta la flotta Spot e alle azioni necessarie. CloudWatch API
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeSpotFleetRequests", "ec2:ModifySpotFleetRequest", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Risorse personalizzate
La seguente politica basata sull'identità concede l'autorizzazione all'esecuzione dell'azione di Gateway. API API Questa politica concede inoltre le autorizzazioni per tutte le azioni necessarie. CloudWatch
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "execute-api:Invoke", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Autorizzazioni per lavorare in AWS Management Console
Non esiste una console autonoma per Application Auto Scaling. La maggior parte dei servizi che si integrano con Application Auto Scaling hanno funzionalità dedicate alla configurazione del dimensionamento nella rispettiva console.
Nella maggior parte dei casi, ogni servizio fornisce IAM policy AWS gestite (predefinite) che definiscono l'accesso alla propria console, che include le autorizzazioni per le azioni di Application Auto API Scaling. Per ulteriori informazioni, fai riferimento alla documentazione relativa al servizio di cui desideri utilizzare la console.
Puoi anche creare IAM policy personalizzate per concedere agli utenti autorizzazioni granulari per visualizzare e utilizzare azioni specifiche di Application Auto Scaling in. API AWS Management ConsoleÈ possibile utilizzare i criteri di esempio nelle sezioni precedenti; tuttavia, sono progettati per le richieste effettuate con o un. AWS CLI SDK La console utilizza API azioni aggiuntive per le sue funzionalità, pertanto queste politiche potrebbero non funzionare come previsto. Ad esempio, per configurare la scalabilità dei passaggi, gli utenti potrebbero richiedere autorizzazioni aggiuntive per creare e gestire CloudWatch gli allarmi.
Suggerimento
Per aiutarti a capire quali API azioni sono necessarie per eseguire le attività nella console, puoi utilizzare un servizio come. AWS CloudTrail Per ulteriori informazioni, consulta la Guida per l'utente AWS CloudTrail.
La seguente policy basata su identità concede autorizzazioni per la configurazione di policy di dimensionamento del Parco istanze Spot. Oltre alle IAM autorizzazioni per Spot Fleet, l'utente della console che accede alle impostazioni di ridimensionamento del parco veicoli dalla EC2 console Amazon deve disporre delle autorizzazioni appropriate per i servizi che supportano la scalabilità dinamica.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "application-autoscaling:*", "ec2:DescribeSpotFleetRequests", "ec2:ModifySpotFleetRequest", "cloudwatch:DeleteAlarms", "cloudwatch:DescribeAlarmHistory", "cloudwatch:DescribeAlarms", "cloudwatch:DescribeAlarmsForMetric", "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics", "cloudwatch:PutMetricAlarm", "cloudwatch:DisableAlarmActions", "cloudwatch:EnableAlarmActions", "sns:CreateTopic", "sns:Subscribe", "sns:Get*", "sns:List*" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/ec2.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_EC2SpotFleetRequest", "Condition": { "StringLike": { "iam:AWSServiceName":"ec2.application-autoscaling.amazonaws.com" } } } ] }
Questa politica consente agli utenti della console di visualizzare e modificare le politiche di scalabilità nella EC2 console Amazon e di creare e gestire CloudWatch allarmi nella CloudWatch console.
Puoi modificare API le azioni per limitare l'accesso degli utenti. Ad esempio, la sostituzione di application-autoscaling:* con application-autoscaling:Describe* significa che l'utente ha un accesso di sola lettura.
Puoi anche modificare le CloudWatch autorizzazioni necessarie per limitare l'accesso degli utenti alle CloudWatch funzionalità. Per ulteriori informazioni, consulta la sezione Autorizzazioni necessarie per la CloudWatch console nella Amazon CloudWatch User Guide.
