AWS Identity and Access Management によるアクセスの制御 - AWS Compute Optimizer

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Identity and Access Management によるアクセスの制御

を使用できます。AWS Identity and Access Management(IAM) を使用してアイデンティティ (ユーザ、グループ、ロール) を作成し、それらの ID にアクセス権限を付与します。AWS Compute Optimizerコンソールと API。

デフォルトでは、IAM ユーザーはコンピュートオプティマイザーコンソールと API にアクセスできません。IAM ポリシーを単一のユーザー、ユーザーのグループ、またはロールにアタッチすることで、ユーザーにアクセス権を付与します。詳細については、「ID (ユーザー、グループ、ロール)」と「IAM ユーザーガイドの IAM ポリシーの概要」を参照してください。

IAM ユーザーを作成したら、これらのユーザーに個別のパスワードを付与できます。ユーザーは、アカウント固有のサインインページを使用して、アカウントにサインインし、Compute Optimizer の情報を表示できます。詳細については、「ユーザーがアカウントにサインインする方法」を参照してください。

重要
  • EC2 インスタンスの推奨事項を表示するには、IAM ユーザーは次の条件を満たす必要があります。ec2:DescribeInstances権限。

  • EBS ボリュームの推奨事項を表示するには、IAM ユーザーは次の条件を満たす必要があります。ec2:DescribeVolumes権限。

  • Auto Scaling グループの推奨事項を表示するには、IAM ユーザーは次の要件を満たす必要があります。autoscaling:DescribeAutoScalingGroupsそしてautoscaling:DescribeAutoScalingInstances権限。

  • Lambda 関数の推奨事項を表示するには、IAM ユーザーは次の条件を満たす必要があります。lambda:ListFunctionsそしてlambda:ListProvisionedConcurrencyConfigs権限。

  • Fargate で Amazon ECS サービスの推奨事項を表示するには、IAM ユーザーは次の条件を満たす必要があります。ecs:ListServicesそしてecs:ListClusters権限。

  • 現在の情報を表示するにはCloudWatchコンピュートオプティマイザーコンソールのメトリクスデータを IAM ユーザーが必要としているのはcloudwatch:GetMetricData権限。

  • 推奨商用ソフトウェアライセンスを表示するには、特定の Amazon EC2 インスタンスロールと IAM ユーザー権限が必要です。詳細については、「商用ソフトウェアライセンスの推奨を有効にするポリシー」を参照してください。

アクセス権限を付与したいユーザーまたはグループにすでにポリシーがある場合は、以下に示す Compute Optimizer 固有のポリシーステートメントのいずれかをそのポリシーに追加できます。

Compute Optimizer および AWS Organizations の信頼されたアクセス

組織の管理アカウントを使用してオプトインし、組織内のすべてのメンバーアカウントを含めると、Compute Optimizer への信頼できるアクセスが組織アカウントで自動的に有効になります。これにより、Compute Optimizer がメンバーアカウントのコンピューティングリソースを分析し、レコメンデーションを生成することができます。

メンバーアカウント向けの推奨事項にアクセスするたびに、Compute Optimizer は組織アカウントで信頼できるアクセスが有効になっていることを確認します。オプトインした後に Compute Optimizer の信頼済みアクセスを無効にすると、Compute Optimizer は組織のメンバーアカウントのレコメンデーションへのアクセスを拒否します。さらに、組織内のメンバーアカウントは Compute Optimizer にオプトインされません。信頼できるアクセスを再び有効にするには、組織の管理アカウントを使用して Compute Optimizer に再度オプトインし、組織内のすべてのメンバーアカウントを含めてください。詳細については、「アカウントにオプトインする」を参照してください。AWS Organizations 信頼されたアクセスの詳細については、「AWS Organizations ユーザーガイド」の「AWS と AWS Organizations の他のサービスを併用する」を参照してください。

Compute Optimizer へのオプトインに関するポリシー

次のポリシーステートメントで、Compute Optimizer へオプトインするアクセス権を付与します。これにより、Compute Optimizer のサービスにリンクされたロールを作成するためのアクセス権限が付与されます。オプトインするにはこのロールが必要です。詳細については、「AWS Compute Optimizer のサービスにリンクされたロールの使用」を参照してください。また、Compute Optimizer サービスへの登録ステータスを更新するアクセス権も付与します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer*", "Condition": {"StringLike": {"iam:AWSServiceName": "compute-optimizer.amazonaws.com"}} }, { "Effect": "Allow", "Action": "iam:PutRolePolicy", "Resource": "arn:aws:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer" }, { "Effect": "Allow", "Action": "compute-optimizer:UpdateEnrollmentStatus", "Resource": "*" } ] }

スタンドアロン AWS アカウントに Compute Optimizer へのアクセス権を付与するポリシー

以下のポリシーステートメントでは、スタンドアロン用 Compute Optimizer へのフルアクセスを許可しています。AWS アカウント。推奨設定を管理するためのポリシーステートメントについては、を参照してください。Compute Optimizer のレコメンデーション設定を管理するアクセス権を付与するポリシー

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "compute-optimizer:*", "ec2:DescribeInstances", "ec2:DescribeVolumes", "ecs:ListServices", "ecs:ListClusters", "autoscaling:DescribeAutoScalingGroups", "autoscaling:DescribeAutoScalingInstances", "lambda:ListFunctions", "lambda:ListProvisionedConcurrencyConfigs", "cloudwatch:GetMetricData" ], "Resource": "*" } ] }

次のポリシーステートメントは、スタンドアロン用 Compute Optimizer への読み取り専用アクセスを許可します。AWS アカウント。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "compute-optimizer:GetEnrollmentStatus", "compute-optimizer:GetEffectiveRecommendationPreferences", "compute-optimizer:GetRecommendationPreferences", "compute-optimizer:GetRecommendationSummaries", "compute-optimizer:GetEC2InstanceRecommendations", "compute-optimizer:GetEC2RecommendationProjectedMetrics", "compute-optimizer:GetAutoScalingGroupRecommendations", "compute-optimizer:GetEBSVolumeRecommendations", "compute-optimizer:GetLambdaFunctionRecommendations", "compute-optimizer:DescribeRecommendationExportJobs", "compute-optimizer:GetEffectiveRecommendationPreferences", "compute-optimizer:GetRecommendationPreferences", "compute-optimizer:GetECSServiceRecommendations", "compute-optimizer:GetECSServiceRecommendationProjectedMetrics", "ec2:DescribeInstances", "ec2:DescribeVolumes", "ecs:ListServices", "ecs:ListClusters", "autoscaling:DescribeAutoScalingGroups", "autoscaling:DescribeAutoScalingInstances", "lambda:ListFunctions", "lambda:ListProvisionedConcurrencyConfigs", "cloudwatch:GetMetricData" ], "Resource": "*" } ] }

組織の管理アカウントに Compute Optimizer へのアクセス権を付与するポリシー

以下のポリシーステートメントは、組織の管理アカウントに Compute Optimizer へのフルアクセスを許可します。推奨設定を管理するポリシーステートメントについては、以下を参照してください。Compute Optimizer のレコメンデーション設定を管理するアクセス権を付与するポリシー

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "compute-optimizer:*", "ec2:DescribeInstances", "ec2:DescribeVolumes", "ecs:ListServices", "ecs:ListClusters", "autoscaling:DescribeAutoScalingGroups", "autoscaling:DescribeAutoScalingInstances", "lambda:ListFunctions", "lambda:ListProvisionedConcurrencyConfigs", "cloudwatch:GetMetricData", "organizations:ListAccounts", "organizations:DescribeOrganization", "organizations:DescribeAccount", "organizations:EnableAWSServiceAccess", "organizations:ListDelegatedAdministrators", "organizations:RegisterDelegatedAdministrator", "organizations:DeregisterDelegatedAdministrator" ], "Resource": "*" } ] }

次のポリシーステートメントは、組織のマスターアカウントに Compute Optimizer への読み取り専用アクセス権を付与します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "compute-optimizer:GetEnrollmentStatus", "compute-optimizer:GetEnrollmentStatusesForOrganization", "compute-optimizer:GetRecommendationSummaries", "compute-optimizer:GetEC2InstanceRecommendations", "compute-optimizer:GetEC2RecommendationProjectedMetrics", "compute-optimizer:GetAutoScalingGroupRecommendations", "compute-optimizer:GetEBSVolumeRecommendations", "compute-optimizer:GetLambdaFunctionRecommendations", "compute-optimizer:GetEffectiveRecommendationPreferences", "compute-optimizer:GetRecommendationPreferences", "compute-optimizer:GetECSServiceRecommendations", "compute-optimizer:GetECSServiceRecommendationProjectedMetrics", "ec2:DescribeInstances", "ec2:DescribeVolumes", "ecs:ListServices", "ecs:ListClusters", "autoscaling:DescribeAutoScalingGroups", "autoscaling:DescribeAutoScalingInstances", "lambda:ListFunctions", "lambda:ListProvisionedConcurrencyConfigs", "cloudwatch:GetMetricData", "organizations:ListAccounts", "organizations:DescribeOrganization", "organizations:DescribeAccount", "organizations:ListDelegatedAdministrators" ], "Resource": "*" } ] }

Compute Optimizer のレコメンデーション設定を管理するアクセス権を付与するポリシー

次のポリシーステートメントは、拡張インフラストラクチャメトリクス有料機能など、レコメンデーションの設定を表示および編集するためのアクセス権を付与します。詳細については、「レコメンデーション設定をアクティブ化」を参照してください。

EC2 インスタンスのレコメンデーション設定のみを管理するアクセス権を付与する

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "compute-optimizer:DeleteRecommendationPreferences", "compute-optimizer:GetEffectiveRecommendationPreferences", "compute-optimizer:GetRecommendationPreferences", "compute-optimizer:PutRecommendationPreferences" ], "Resource": "*", "Condition" : { "StringEquals" : { "compute-optimizer:ResourceType" : "Ec2Instance" } } } ] }

Auto Scaling グループのレコメンデーション設定のみを管理するアクセス権を付与する

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "compute-optimizer:DeleteRecommendationPreferences", "compute-optimizer:GetEffectiveRecommendationPreferences", "compute-optimizer:GetRecommendationPreferences", "compute-optimizer:PutRecommendationPreferences" ], "Resource": "*", "Condition" : { "StringEquals" : { "compute-optimizer:ResourceType" : "AutoScalingGroup" } } } ] }

商用ソフトウェアライセンスの推奨を有効にするポリシー

Compute Optimizer がライセンス推奨を生成できるようにするには、以下の Amazon EC2 インスタンスロールとポリシーをアタッチします。

  • AmazonSSMManagedInstanceCoreシステムマネージャーを有効にするロール。詳細については、を参照してください。AWS Systems ManagerID ベースのポリシーの例AWS Systems Managerユーザーガイド

  • ザ・CloudWatchAgentServerPolicyインスタンスメトリクスとログのリリースを有効にするポリシーCloudWatch。詳細については、を参照してください。で使用する IAM ロールとユーザーを作成します。CloudWatchエージェントアマゾンCloudWatchユーザーガイド

  • 次の IAM インラインポリシーステートメントは、に格納されているシークレットの Microsoft SQL Server 接続文字列を読み取るためのものです。AWS Systems Manager。インラインポリシーの詳細については、を参照してください。管理ポリシーとインラインポリシーAWS Identity and Access Managementユーザーガイド

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue*" ] "Resource": "arn:aws:secretsmanager:*:*:secret:ApplicationInsights-*" } ] }

さらに、ライセンスを有効にして推奨を受けるには、次の IAM ポリシーをユーザー、グループ、またはロールに添付してください。詳細については、IAM ポリシーアマゾンCloudWatchユーザーガイド

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "applicationinsights:*", "iam:CreateServiceLinkedRole", "iam:ListRoles", "resource-groups:ListGroups" ] "Effect": "Allow", "Resource": "*" } ] }

Compute Optimizer へのアクセスを拒否するポリシー

次のポリシーステートメントは Compute Optimizer へのアクセスを拒否します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "compute-optimizer:*", "Resource": "*" } ] }