Come funzionano i piani di dimensionamento con IAM - AWS Auto Scaling

Come funzionano i piani di dimensionamento con IAM

Prima di utilizzare IAM per gestire chi può creare, accedere e gestire i piani di dimensionamento di AWS Auto Scaling è necessario comprendere quali caratteristiche IAM sono disponibili per l'uso con i piani di dimensionamento.

Policy basate su identità

Con le policy IAM basate su identità, puoi specificare operazioni e risorse consentite o rifiutate, nonché le condizioni in base alle quali le operazioni sono consentite o rifiutate. I piani di dimensionamento supportano operazioni, risorse e chiavi di condizione specifiche. Per informazioni su tutti gli elementi utilizzati in una policy JSON, consulta Documentazione di riferimento degli elementi delle policy JSON IAM nella Guida per l'utente IAM.

Operazioni

Gli amministratori possono utilizzare le policy AWS JSON per specificare gli accessi ai diversi elementi. Cioè, quale principale può eseguire azioni su quali risorse, e in quali condizioni.

L'elemento Action di una policy JSON descrive le azioni che è possibile utilizzare per consentire o negare l'accesso a un criterio. Le operazioni della policy hanno spesso lo stesso nome dell'operazione API AWS. Ci sono alcune eccezioni, ad esempio le operazioni di sola autorizzazione che non hanno un'operazione API corrispondente. Esistono anche alcune operazioni che richiedono più operazioni in una policy. Queste operazioni aggiuntive sono chiamate operazioni dipendenti.

Includere le operazioni in una policy per concedere le autorizzazioni per eseguire l'operazione associata.

Le operazioni del piano di dimensionamento nelle istruzioni della policy IAM utilizzano il seguente prefisso prima dell'operazione: autoscaling-plans:. Le istruzioni della policy devono includere un elemento Action o NotAction. I piani di dimensionamento hanno un proprio set di operazioni che descrivono le attività che è possibile eseguire con questo servizio.

Per specificare più operazioni in una singola istruzione, separale con virgole, come illustrato nell'esempio seguente.

"Action": [ "autoscaling-plans:DescribeScalingPlans", "autoscaling-plans:DescribeScalingPlanResources"

Puoi specificare più operazioni tramite caratteri jolly (*). Ad esempio, per specificare tutte le operazioni che iniziano con la parola Describe, includi la seguente operazione.

"Action": "autoscaling-plans:Describe*"

Per visualizzare un elenco completo delle operazioni del piano di dimensionamento che possono essere utilizzate nelle istruzioni della policy, consulta Operazioni, risorse e chiavi di condizione per AWS Auto Scaling in Service Authorization Reference.

Risorse

L'elemento Resource specifica l'oggetto o gli oggetti ai quali si applica l'operazione.

I piani di dimensionamento non includono risorse definite dal servizio che possano essere utilizzate come elemento Resource di una dichiarazione di policy IAM. Pertanto, non vi sono Amazon Resource Name (ARN) che è possibile utilizzare in una policy IAM. Per controllare l'accesso alle operazioni del piano di dimensionamento, utilizza sempre un * (asterisco) come risorsa durante la scrittura di una policy IAM.

Chiavi di condizione

L'elemento Condition (o blocco Condition) consente di specificare le condizioni in cui una dichiarazione è attiva. Ad esempio, potresti decidere che una policy venga applicata solo dopo una data specifica. Per esprimere le condizioni, utilizza chiavi di condizione predefinite.

I piani di dimensionamento non forniscono chiavi di condizione specifiche del servizio, ma supportano l'utilizzo di alcune chiavi di condizione globali. Per visualizzare tutte le chiavi di condizione globali di AWS, consulta Chiavi di contesto delle condizioni globali di AWS nella Guida per l'utente di IAM.

L'elemento Condition è facoltativo.

Esempi

Per visualizzare esempi di policy basate su identità per i piani di dimensionamento, consulta Esempi di policy basate su identità per piani di dimensionamento.

Policy basate su risorse

Altri servizi Amazon Web Services, come ad esempio Amazon Simple Storage Service, supportano policy di autorizzazioni basate su risorse. Ad esempio, è possibile allegare una policy di autorizzazione a un bucket S3 per gestire le autorizzazioni di accesso a quel bucket.

I piani di dimensionamento non supportano le policy basate su risorse.

Liste di controllo accessi (ACL)

I piani di dimensionamento non supportano le liste di controllo accessi (ACL).

Autorizzazione basata su tag

Non è possibile applicare i tag ai piani di dimensionamento. Non dispongono nemmeno di risorse definite dal servizio che possono essere taggate. Pertanto, non supportano il controllo dell'accesso basato sui tag su una risorsa.

I piani di dimensionamento possono contenere risorse su cui è possibile applicare tag, come i gruppi Auto Scaling, che supportano il controllo dell'accesso in base ai tag. Per ulteriori informazioni, consulta la documentazione per quel Servizio AWS.

Ruoli IAM

Un ruolo IAM è un'entità all'interno dell'Account AWS che dispone di autorizzazioni specifiche.

Utilizzo di credenziali temporanee

Puoi utilizzare credenziali temporanee per effettuare l'accesso utilizzando la federazione, per assumere un ruolo IAM o per assumere un ruolo multi-account. Per ottenere le credenziali di sicurezza temporanee, esegui una chiamata a operazioni API AWS STS quali, ad esempio, AssumeRole o GetFederationToken.

I piani di dimensionamento supportano l'utilizzo di credenziali temporanee.

Ruoli collegati ai servizi per piani di dimensionamento

AWS Auto Scaling utilizza ruoli collegati ai servizi per le autorizzazioni di cui ha bisogno per eseguire chiamate ad altri servizi AWS per tuo conto. I ruoli collegati ai servizi semplificano la configurazione dei piani di dimensionamento perché permette di evitare l'aggiunta manuale delle autorizzazioni necessarie. Per ulteriori informazioni, consulta Utilizzo di ruoli collegati ai servizi nella Guida per l'utente di IAM.

AWS Auto Scaling utilizza alcuni tipi di ruoli collegati ai servizi per chiamare altri Servizi AWS per tuo conto quando lavori con un piano di dimensionamento:

  • Ruolo collegato al servizio di dimensionamento predittivo: consente a AWS Auto Scaling di accedere ai dati cronologici dei parametri da CloudWatch. Consente inoltre la creazione di azioni pianificate per i gruppi Auto Scaling in base a una previsione di carico e alla previsione della capacità. Per ulteriori informazioni, consulta Ruolo collegato al servizio di dimensionamento predittivo.

  • Ruolo collegato al servizio Amazon EC2 Auto Scaling: consente a AWS Auto Scaling di accedere e gestire le policy di dimensionamento con monitoraggio degli obiettivi per i gruppi Auto Scaling. Per ulteriori informazioni, consulta Ruoli collegati ai servizi per Dimensionamento automatico Amazon EC2 nella Guida per l'utente di Dimensionamento.

  • Ruolo collegato al servizio Application Auto Scaling: consente a AWS Auto Scaling di accedere e gestire le policy di dimensionamento con monitoraggio degli obiettivi per altre risorse scalabili. Esiste un ruolo collegato ai servizi per ciascun servizio. Per ulteriori informazioni, consulta Ruoli collegati ai servizi per Application Auto Scaling nella Guida per l'utente di Application Auto Scaling.

È possibile utilizzare la procedura seguente per stabilire se l'account dispone già di un ruolo collegato al servizio.

Per stabilire se esiste già un ruolo collegato al servizio
  1. Apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel pannello di navigazione, seleziona Ruoli.

  3. Cerca nell'elenco AWSServiceRole per trovare i ruoli collegati al servizio presenti nel tuo account. Cerca il nome del ruolo collegato al servizio da controllare.

Ruoli di servizio

AWS Auto Scaling non ha ruoli collegati ai servizi per piani di dimensionamento.