기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Application Auto Scaling 자격 증명 기반 정책 예제
기본적으로 새로 가입한 사용자는 아무 것도 할 수 있는 AWS 계정 권한이 없습니다. IAM관리자는 IAM ID (예: 사용자 또는 역할) 에게 Application Auto Scaling API 작업을 수행할 수 있는 권한을 부여하는 IAM 정책을 생성하고 할당해야 합니다.
다음 예제 IAM JSON 정책 문서를 사용하여 정책을 생성하는 방법을 알아보려면 사용 IAM설명서의 JSON 탭에서 정책 생성을 참조하십시오.
내용
Application Auto Scaling API 작업에 필요한 권한
다음 정책은 Application Auto Scaling을 호출할 때 일반적인 사용 사례에 대한 권한을 API 부여합니다. 자격 증명 기반 정책을 작성할 때 이 섹션을 참조하세요. 각 정책은 전체 또는 일부 Application Auto Scaling API 작업에 권한을 부여합니다. 또한 최종 사용자에게 대상 서비스 및 CloudWatch (자세한 내용은 다음 섹션 참조) 에 대한 권한이 있는지 확인해야 합니다.
다음 ID 기반 정책은 모든 Application Auto Scaling API 작업에 권한을 부여합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "application-autoscaling:*" ], "Resource": "*" } ] }
다음 ID 기반 정책은 스케줄링된 API 작업이 아닌 조정 정책을 구성하는 데 필요한 모든 Application Auto Scaling 작업에 권한을 부여합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "application-autoscaling:RegisterScalableTarget", "application-autoscaling:DescribeScalableTargets", "application-autoscaling:DeregisterScalableTarget", "application-autoscaling:PutScalingPolicy", "application-autoscaling:DescribeScalingPolicies", "application-autoscaling:DescribeScalingActivities", "application-autoscaling:DeleteScalingPolicy" ], "Resource": "*" } ] }
다음 ID 기반 정책은 스케일링 정책이 아닌 스케줄링된 API 작업을 구성하는 데 필요한 모든 Application Auto Scaling 작업에 권한을 부여합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "application-autoscaling:RegisterScalableTarget", "application-autoscaling:DescribeScalableTargets", "application-autoscaling:DeregisterScalableTarget", "application-autoscaling:PutScheduledAction", "application-autoscaling:DescribeScheduledActions", "application-autoscaling:DescribeScalingActivities", "application-autoscaling:DeleteScheduledAction" ], "Resource": "*" } ] }
대상 서비스에서의 API 작업에 필요한 권한 및 CloudWatch
대상 서비스에서 Application Auto Scaling을 성공적으로 구성하고 사용하려면 최종 사용자에게 Amazon CloudWatch 및 조정을 구성할 각 대상 서비스에 대한 권한을 부여해야 합니다. 다음 정책을 사용하여 대상 서비스 및 작업에 필요한 최소 권한을 CloudWatch 부여하십시오.
내용
AppStream 2.0 플릿
다음 ID 기반 정책은 모든 AppStream 2.0 및 필요한 CloudWatch API 작업에 대한 권한을 부여합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "appstream:DescribeFleets", "appstream:UpdateFleet", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Aurora 복제본
다음 ID 기반 정책은 모든 Aurora에 대한 권한과 필요한 CloudWatch API 작업을 부여합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "rds:AddTagsToResource", "rds:CreateDBInstance", "rds:DeleteDBInstance", "rds:DescribeDBClusters", "rds:DescribeDBInstances", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Amazon Comprehend 문서 분류 및 엔터티 인식기 엔드포인트
다음 ID 기반 정책은 모든 Amazon CloudWatch API Comprehend에 대한 권한과 필요한 작업을 부여합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "comprehend:UpdateEndpoint", "comprehend:DescribeEndpoint", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
DynamoDB 테이블 및 글로벌 보조 인덱스
다음 ID 기반 정책은 필요한 모든 DynamoDB 및 작업에 대한 권한을 부여합니다. CloudWatch API
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "dynamodb:DescribeTable", "dynamodb:UpdateTable", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
ECS서비스
다음 ID 기반 정책은 필요한 모든 CloudWatch API 작업 ECS 및 작업에 권한을 부여합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeServices", "ecs:UpdateService", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
ElastiCache 복제 그룹
다음 ID 기반 정책은 필요한 모든 ElastiCache CloudWatch API 작업과 작업에 권한을 부여합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "elasticache:ModifyReplicationGroupShardConfiguration", "elasticache:IncreaseReplicaCount", "elasticache:DecreaseReplicaCount", "elasticache:DescribeReplicationGroups", "elasticache:DescribeCacheClusters", "elasticache:DescribeCacheParameters", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
아마존 EMR 클러스터
다음 ID 기반 정책은 모든 Amazon에 권한을 EMR 부여하고 필요한 CloudWatch API 작업을 수행합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "elasticmapreduce:ModifyInstanceGroups", "elasticmapreduce:ListInstanceGroups", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Amazon Keyspaces 테이블
다음 ID 기반 정책은 모든 Amazon Keyspace와 필요한 CloudWatch API 작업에 대한 권한을 부여합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cassandra:Select", "cassandra:Alter", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Lambda 함수
다음 ID 기반 정책은 모든 Lambda 및 필요한 작업에 권한을 부여합니다. CloudWatch API
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "lambda:PutProvisionedConcurrencyConfig", "lambda:GetProvisionedConcurrencyConfig", "lambda:DeleteProvisionedConcurrencyConfig", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
아파치 MSK Kafka () 브로커 스토리지용 아마존 매니지드 스트리밍
다음 ID 기반 정책은 모든 Amazon에 권한을 MSK 부여하고 필요한 CloudWatch API 작업을 수행합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kafka:DescribeCluster", "kafka:DescribeClusterOperation", "kafka:UpdateBrokerStorage", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Neptune 클러스터
다음 ID 기반 정책은 모든 Neptune에 대한 권한과 필요한 작업을 부여합니다. CloudWatch API
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "rds:AddTagsToResource", "rds:CreateDBInstance", "rds:DescribeDBInstances", "rds:DescribeDBClusters", "rds:DescribeDBClusterParameters", "rds:DeleteDBInstance", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
SageMaker 엔드포인트
다음 ID 기반 정책은 필요한 모든 SageMaker CloudWatch API 작업과 작업에 권한을 부여합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sagemaker:DescribeEndpoint", "sagemaker:DescribeEndpointConfig", "sagemaker:DescribeInferenceComponent", "sagemaker:UpdateEndpointWeightsAndCapacities", "sagemaker:UpdateInferenceComponentRuntimeConfig", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
스팟 플릿 (AmazonEC2)
다음 ID 기반 정책은 모든 스팟 플릿 및 필요한 CloudWatch API 작업에 권한을 부여합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeSpotFleetRequests", "ec2:ModifySpotFleetRequest", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
사용자 정의 리소스
다음 ID 기반 정책은 게이트웨이 실행 작업에 대한 권한을 부여합니다. API API 또한 이 정책은 필요한 모든 CloudWatch 작업에 대한 권한을 부여합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "execute-api:Invoke", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
에서 작업할 수 있는 권한 AWS Management Console
독립형 Application Auto Scaling 콘솔은 없습니다. Application Auto Scaling과 통합되는 대부분의 서비스에는 콘솔에서 조정을 구성하는 데 도움이 되는 전용 기능이 있습니다.
대부분의 경우 각 서비스는 Application Auto Scaling API 작업에 대한 권한을 포함하여 콘솔에 대한 액세스를 정의하는 AWS 관리형 (사전 정의된) IAM 정책을 제공합니다. 자세한 내용은 콘솔을 사용할 서비스에 대한 설명서를 참조하세요.
또한 사용자 지정 IAM 정책을 생성하여 사용자에게 에서 특정 Application Auto Scaling API 작업을 보고 작업할 수 있는 세분화된 권한을 부여할 수 있습니다. AWS Management Console이전 섹션의 예제 정책을 사용할 수 있지만, 이 예제는 또는 를 사용하여 이루어진 요청에 맞게 설계되었습니다. AWS CLI SDK 콘솔에서는 해당 기능에 추가 API 작업을 사용하기 때문에 이러한 정책이 예상대로 작동하지 않을 수 있습니다. 예를 들어 단계별 조정을 구성하려면 사용자에게 CloudWatch 경보를 만들고 관리할 수 있는 추가 권한이 필요할 수 있습니다.
작은 정보
콘솔에서 작업을 수행하는 데 필요한 작업을 파악하는 데 도움이 되도록 다음과 같은 AWS CloudTrail서비스를 사용할 수 있습니다. API 자세한 내용은 AWS CloudTrail 사용 설명서를 참조하십시오.
다음 자격 증명 기반 정책에서는 스팟 플릿에 대한 확장 정책을 구성하는 권한을 부여합니다. Amazon EC2 콘솔에서 플릿 조정 설정에 액세스하는 콘솔 사용자는 스팟 플릿에 대한 IAM 권한 외에도 동적 조정을 지원하는 서비스에 대한 적절한 권한을 가지고 있어야 합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "application-autoscaling:*", "ec2:DescribeSpotFleetRequests", "ec2:ModifySpotFleetRequest", "cloudwatch:DeleteAlarms", "cloudwatch:DescribeAlarmHistory", "cloudwatch:DescribeAlarms", "cloudwatch:DescribeAlarmsForMetric", "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics", "cloudwatch:PutMetricAlarm", "cloudwatch:DisableAlarmActions", "cloudwatch:EnableAlarmActions", "sns:CreateTopic", "sns:Subscribe", "sns:Get*", "sns:List*" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/ec2.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_EC2SpotFleetRequest", "Condition": { "StringLike": { "iam:AWSServiceName":"ec2.application-autoscaling.amazonaws.com" } } } ] }
이 정책을 통해 콘솔 사용자는 Amazon 콘솔에서 조정 정책을 확인 및 수정하고 EC2 콘솔에서 CloudWatch 경보를 생성 및 관리할 수 있습니다. CloudWatch
사용자 액세스를 제한하도록 API 작업을 조정할 수 있습니다. 예를 들어, application-autoscaling:*을 application-autoscaling:Describe*로 바꾸면 사용자는 읽기 전용 액세스 권한을 갖게 됩니다.
필요에 따라 CloudWatch 권한을 조정하여 CloudWatch 기능에 대한 사용자 액세스를 제한할 수도 있습니다. 자세한 내용은 Amazon 사용 설명서의 CloudWatch 콘솔에 필요한 CloudWatch 권한을 참조하십시오.
