AWS Identity and Access Management によるアクセスの制御 - AWS Compute Optimizer

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Identity and Access Management によるアクセスの制御

以下を使用できます。AWS Identity and Access Management(IAM) を使用して ID (ユーザー、グループ、またはロール) を作成し、これらの ID へのアクセス許可を付与します。AWS Compute Optimizerコンソールと API。

デフォルトでは、IAM ユーザーには Compute Optimizer コンソールと API へのアクセス権はありません。IAM ポリシーを単一のユーザー、ユーザーのグループ、またはロールにアタッチすることで、ユーザーにアクセス権を付与します。詳細については、「ID (ユーザー、グループ、ロール)」と「IAM ユーザーガイドの IAM ポリシーの概要」を参照してください。

IAM ユーザーを作成したら、これらのユーザーに個別のパスワードを付与できます。ユーザーは、アカウント固有のサインインページを使用して、アカウントにサインインし、Compute Optimizer の情報を表示できます。詳細については、「ユーザーがアカウントにサインインする方法」を参照してください。

重要

EC2 インスタンスのレコメンデーションを表示するには、IAM ユーザーの ec2:DescribeInstances アクセス許可が必要です。EBS ボリュームに関するレコメンデーションを表示するには、IAM ユーザーの ec2:DescribeVolumes アクセス許可が必要です。Auto Scaling グループのレコメンデーションを表示するには、IAM ユーザーの autoscaling:DescribeAutoScalingGroups および autoscaling:DescribeAutoScalingInstances アクセス許可が必要です。Lambda 関数のレコメンデーションを表示するには、IAM ユーザーの lambda:ListFunctions および lambda:ListProvisionedConcurrencyConfigs アクセス許可が必要です。現在のを表示するには CloudWatch Compute Optimizer コンソールにあるメトリクスデータ。cloudwatch:GetMetricDataアクセス許可。

アクセス許可を付与するユーザーまたはグループにポリシーがすでにある場合は、そのポリシーに対して、ここに示した Compute Optimizer 固有のポリシーステートメントを追加できます。

Compute Optimizer および AWS Organizations の信頼されたアクセス

組織の管理アカウントを使用してオプトインし、組織のすべてのメンバーアカウントを含めると、Compute Optimizer の信頼されたアクセスが組織アカウントで自動的に有効になります。これにより、Compute Optimizer がメンバーアカウントのコンピューティングリソースを分析し、レコメンデーションを生成することができます。

メンバーアカウントのレコメンデーションにアクセスするたびに、Compute Optimizer は組織アカウントで信頼されたアクセスが有効になっていることを確認します。オプトイン後に Compute Optimizer の信頼されたアクセスを無効にした場合、Compute Optimizer は組織のメンバーアカウントのレコメンデーションへのアクセスを拒否します。さらに、組織内のメンバーアカウントは Compute Optimizer にオプトインされていません。信頼されたアクセスを再度有効にするには、組織の管理アカウントを使用して Compute Optimizer に再度オプトインし、組織のすべてのメンバーアカウントを含めてください。詳細については、「アカウントにオプトインする」を参照してください。AWS Organizations 信頼されたアクセスの詳細については、「AWS Organizations ユーザーガイド」の「AWS と AWS Organizations の他のサービスを併用する」を参照してください。

Compute Optimizer へのオプトインに関するポリシー

次のポリシーステートメントで、Compute Optimizer へオプトインするアクセス権を付与します。Compute Optimizer のサービスにリンクされたロールを作成するアクセス権を付与します。このロールはオプトインする必要があります。詳細については、「AWS Compute Optimizer のサービスにリンクされたロールの使用」を参照してください。また、Compute Optimizer サービスへの登録ステータスを更新するアクセス権も付与します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer*", "Condition": {"StringLike": {"iam:AWSServiceName": "compute-optimizer.amazonaws.com"}} }, { "Effect": "Allow", "Action": "iam:PutRolePolicy", "Resource": "arn:aws:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer" }, { "Effect": "Allow", "Action": "compute-optimizer:UpdateEnrollmentStatus", "Resource": "*" } ] }

スタンドアロン AWS アカウントに Compute Optimizer へのアクセス権を付与するポリシー

次のポリシーステートメントは、スタンドアロン用 Compute Optimizer へのフルアクセスAWS アカウント。レコメンデーションの設定を管理するポリシーステートメントについては、Compute Optimizer のレコメンデーション設定を管理するアクセス権を付与するポリシー

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "compute-optimizer:*", "ec2:DescribeInstances", "ec2:DescribeVolumes", "autoscaling:DescribeAutoScalingGroups", "autoscaling:DescribeAutoScalingInstances", "lambda:ListFunctions", "lambda:ListProvisionedConcurrencyConfigs", "cloudwatch:GetMetricData" ], "Resource": "*" } ] }

次のポリシーステートメントは、スタンドアロン用 Compute Optimizer への読み取り専用AWS アカウント。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "compute-optimizer:GetEnrollmentStatus", "compute-optimizer:GetEffectiveRecommendationPreferences", "compute-optimizer:GetRecommendationPreferences", "compute-optimizer:GetRecommendationSummaries", "compute-optimizer:GetEC2InstanceRecommendations", "compute-optimizer:GetEC2RecommendationProjectedMetrics", "compute-optimizer:GetAutoScalingGroupRecommendations", "compute-optimizer:GetEBSVolumeRecommendations", "compute-optimizer:GetLambdaFunctionRecommendations", "compute-optimizer:DescribeRecommendationExportJobs", "compute-optimizer:GetEffectiveRecommendationPreferences", "compute-optimizer:GetRecommendationPreferences", "ec2:DescribeInstances", "ec2:DescribeVolumes", "autoscaling:DescribeAutoScalingGroups", "autoscaling:DescribeAutoScalingInstances", "lambda:ListFunctions", "lambda:ListProvisionedConcurrencyConfigs", "cloudwatch:GetMetricData" ], "Resource": "*" } ] }

組織の管理アカウントに Compute Optimizer へのアクセス権を付与するポリシー

次のポリシーステートメントは、組織の管理アカウントに Compute Optimizer へのフルアクセス権を付与します。レコメンデーションの設定を管理するポリシーステートメントについては、Compute Optimizer のレコメンデーション設定を管理するアクセス権を付与するポリシー

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "compute-optimizer:*", "ec2:DescribeInstances", "ec2:DescribeVolumes", "autoscaling:DescribeAutoScalingGroups", "autoscaling:DescribeAutoScalingInstances", "lambda:ListFunctions", "lambda:ListProvisionedConcurrencyConfigs", "cloudwatch:GetMetricData", "organizations:ListAccounts", "organizations:DescribeOrganization", "organizations:DescribeAccount", "organizations:EnableAWSServiceAccess", "organizations:ListDelegatedAdministrators", "organizations:RegisterDelegatedAdministrator", "organizations:DeregisterDelegatedAdministrator ], "Resource": "*" } ] }

次のポリシーステートメントは、組織のマスターアカウントに Compute Optimizer への読み取り専用アクセス権を付与します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "compute-optimizer:GetEnrollmentStatus", "compute-optimizer:GetEnrollmentStatusesForOrganization", "compute-optimizer:GetRecommendationSummaries", "compute-optimizer:GetEC2InstanceRecommendations", "compute-optimizer:GetEC2RecommendationProjectedMetrics", "compute-optimizer:GetAutoScalingGroupRecommendations", "compute-optimizer:GetEBSVolumeRecommendations", "compute-optimizer:GetLambdaFunctionRecommendations", "compute-optimizer:GetEffectiveRecommendationPreferences", "compute-optimizer:GetRecommendationPreferences", "ec2:DescribeInstances", "ec2:DescribeVolumes", "autoscaling:DescribeAutoScalingGroups", "autoscaling:DescribeAutoScalingInstances", "lambda:ListFunctions", "lambda:ListProvisionedConcurrencyConfigs", "cloudwatch:GetMetricData", "organizations:ListAccounts", "organizations:DescribeOrganization", "organizations:DescribeAccount", "organizations:ListDelegatedAdministrators", ], "Resource": "*" } ] }

Compute Optimizer のレコメンデーション設定を管理するアクセス権を付与するポリシー

次のポリシーステートメントは、拡張インフラストラクチャメトリクス有料機能など、レコメンデーションの設定を表示および編集するためのアクセス権を付与します。詳細については、「推奨設定のアクティブ化」を参照してください。

EC2 インスタンスのレコメンデーション設定のみを管理するアクセス権を付与する

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "compute-optimizer:DeleteRecommendationPreferences", "compute-optimizer:GetEffectiveRecommendationPreferences", "compute-optimizer:GetRecommendationPreferences", "compute-optimizer:PutRecommendationPreferences" ], "Resource": "*", "Condition" : { "StringEquals" : { "compute-optimizer:ResourceType" : "Ec2Instance" } } } ] }

Auto Scaling グループのレコメンデーション設定のみを管理するアクセス権を付与する

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "compute-optimizer:DeleteRecommendationPreferences", "compute-optimizer:GetEffectiveRecommendationPreferences", "compute-optimizer:GetRecommendationPreferences", "compute-optimizer:PutRecommendationPreferences" ], "Resource": "*", "Condition" : { "StringEquals" : { "compute-optimizer:ResourceType" : "AutoScalingGroup" } } } ] }

Compute Optimizer へのアクセスを拒否するポリシー

次のポリシーステートメントは Compute Optimizer へのアクセスを拒否します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "compute-optimizer:*", "Resource": "*" } ] }