기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
다음을 통한 AWS Identity and Access Management액세스 제어
AWS Identity and Access Management (IAM) 을 사용하여 자격 증명 (사용자, 그룹 또는 역할) 을 생성하고 해당 ID에 AWS Compute Optimizer 콘솔 및 API에 액세스할 수 있는 권한을 부여할 수 있습니다.
기본적으로 IAM 사용자는 Compute Optimizer 콘솔 및 API에 대한 액세스 권한이 없습니다. 단일 사용자, 사용자 그룹 또는 단일 역할에 IAM 정책을 연결하여 사용자에게 액세스 권한을 부여할 수 있습니다. 자세한 내용은 IAM 사용 설명서의 자격 증명(사용자, 그룹 및 역할) 및 IAM 정책 개요를 참조하세요.
IAM 사용자를 만든 후 그 사용자에게 개별 암호를 부여할 수 있습니다. 그러면 해당 사용자는 계정별 로그인 페이지에서 계정에 로그인하여 Compute Optimizer 정보를 볼 수 있습니다. 자세한 내용은 사용자의 계정 로그인 방법 단원을 참조하십시오.
중요
-
EC2 인스턴스에 대한 권장 사항을 보려면 IAM 사용자에게
ec2:DescribeInstances권한이 필요합니다. -
EBS 볼륨에 대한 권장 사항을 보려면 IAM 사용자에게
ec2:DescribeVolumes권한이 필요합니다. -
오토 스케일링 그룹에 대한 권장 사항을 보려면 IAM 사용자에게
autoscaling:DescribeAutoScalingGroups및autoscaling:DescribeAutoScalingInstances권한이 필요합니다. -
Lambda 함수에 대한 권장 사항을 보려면 IAM 사용자에게
lambda:ListFunctions및lambda:ListProvisionedConcurrencyConfigs권한이 필요합니다. -
Fargate의 Amazon ECS 서비스에 대한 권장 사항을 보려면 IAM 사용자에게
ecs:ListServices및ecs:ListClusters권한이 필요합니다. -
Compute Optimizer 콘솔에서 현재 CloudWatch 지표 데이터를 보려면 IAM 사용자에게 권한이 필요합니다.
cloudwatch:GetMetricData -
상용 소프트웨어 라이선스에 대한 권장 사항을 보려면 특정 Amazon EC2 인스턴스 역할 및 IAM 사용자 권한이 필요합니다. 자세한 내용은 상용 소프트웨어 라이선스 권장 사항을 활성화하기 위한 정책 단원을 참조하십시오.
-
Amazon RDS에 대한 권장 사항을 보려면 IAM 사용자에게
rds:DescribeDBInstances및rds:DescribeDBClusters권한이 필요합니다.
권한을 부여하려는 사용자 또는 그룹에 이미 정책이 있는 경우, 여기에 설명된 Compute Optimizer 관련 정책문을 해당 정책에 추가할 수 있습니다.
내용
- Compute Optimizer 및 신뢰할 수 있는 액세스 AWS Organizations
- Compute Optimizer를 옵트인하기 위한 정책
- 독립형 계정에 Compute Optimizer에 대한 액세스 권한을 부여하는 정책 AWS
- 조직의 관리 계정에 Compute Optimizer에 대한 액세스 권한을 부여하기 위한 정책
- Compute Optimizer 권장 사항 기본 설정을 관리할 수 있는 액세스 권한을 부여하기 위한 정책
- 상용 소프트웨어 라이선스 권장 사항을 활성화하기 위한 정책
- Compute Optimizer에 대한 액세스를 거부하기 위한 정책
Compute Optimizer 및 신뢰할 수 있는 액세스 AWS Organizations
조직의 관리 계정을 사용하여 옵트인하고 조직의 모든 멤버 계정을 포함하면 조직 계정에서 Compute Optimizer에 대한 신뢰할 수 있는 액세스가 자동으로 활성화됩니다. 그러면 Compute Optimizer는 해당 멤버 계정의 컴퓨팅 리소스를 분석하고 해당 멤버 계정에 대한 권장 사항을 생성할 수 있습니다.
Compute Optimizer는 멤버 계정의 권장 사항에 액세스할 때마다 조직 계정에 신뢰할 수 있는 액세스가 활성화되어 있는지 확인합니다. 옵트인 후에 Compute Optimizer 신뢰할 수 있는 액세스를 비활성화하면 Compute Optimizer는 조직의 멤버 계정에 대한 권장 사항에 대한 액세스를 거부합니다. 또한 조직 내 멤버 계정이 Compute Optimizer에서 옵트인되지 않습니다. 신뢰할 수 있는 액세스를 다시 활성화하려면 조직의 관리 계정을 사용하여 Compute Optimizer를 다시 옵트인하고 조직의 모든 멤버 계정을 포함시키세요. 자세한 정보는 계정 옵트인을 참조하세요. AWS Organizations 신뢰할 수 있는 액세스에 대한 자세한 내용은 사용 설명서의AWS Organizations 다른 AWS 서비스와 AWS Organizations 함께 사용을 참조하십시오.
Compute Optimizer를 옵트인하기 위한 정책
다음 정책문은 Compute Optimizer를 옵트인할 수 있는 액세스 권한을 부여합니다. Compute Optimizer용 서비스 연결 역할을 생성할 수 있는 액세스 권한을 부여합니다. 옵트인하려면 이 역할이 필요합니다. 자세한 정보는 서비스 연결 역할 사용 AWS Compute Optimizer을 참조하세요. 또한 Compute Optimizer 서비스의 등록 상태를 업데이트할 수 있는 액세스 권한을 부여합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer*", "Condition": {"StringLike": {"iam:AWSServiceName": "compute-optimizer.amazonaws.com"}} }, { "Effect": "Allow", "Action": "iam:PutRolePolicy", "Resource": "arn:aws:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer" }, { "Effect": "Allow", "Action": "compute-optimizer:UpdateEnrollmentStatus", "Resource": "*" } ] }
독립형 계정에 Compute Optimizer에 대한 액세스 권한을 부여하는 정책 AWS
다음 정책문은 독립 실행형 AWS 계정에 Compute Optimizer에 대한 전체 액세스 권한을 부여합니다. 권장 사항 기본 설정을 관리하기 위한 정책문은 Compute Optimizer 권장 사항 기본 설정을 관리할 수 있는 액세스 권한을 부여하기 위한 정책 섹션을 참조하세요.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "compute-optimizer:*", "ec2:DescribeInstances", "ec2:DescribeVolumes", "ecs:ListServices", "ecs:ListClusters", "autoscaling:DescribeAutoScalingGroups", "autoscaling:DescribeAutoScalingInstances", "lambda:ListFunctions", "lambda:ListProvisionedConcurrencyConfigs", "cloudwatch:GetMetricData" ], "Resource": "*" } ] }
다음 정책문은 독립 실행형 AWS 계정에 Compute Optimizer에 대한 읽기 전용 액세스 권한을 부여합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "compute-optimizer:GetEnrollmentStatus", "compute-optimizer:GetEffectiveRecommendationPreferences", "compute-optimizer:GetRecommendationPreferences", "compute-optimizer:GetRecommendationSummaries", "compute-optimizer:GetEC2InstanceRecommendations", "compute-optimizer:GetEC2RecommendationProjectedMetrics", "compute-optimizer:GetAutoScalingGroupRecommendations", "compute-optimizer:GetEBSVolumeRecommendations", "compute-optimizer:GetLambdaFunctionRecommendations", "compute-optimizer:DescribeRecommendationExportJobs", "compute-optimizer:GetEffectiveRecommendationPreferences", "compute-optimizer:GetRecommendationPreferences", "compute-optimizer:GetECSServiceRecommendations", "compute-optimizer:GetECSServiceRecommendationProjectedMetrics", "compute-optimizer:GetRDSDatabaseRecommendations", "compute-optimizer:GetRDSDatabaseRecommendationProjectedMetrics", "ec2:DescribeInstances", "ec2:DescribeVolumes", "ecs:ListServices", "ecs:ListClusters", "autoscaling:DescribeAutoScalingGroups", "autoscaling:DescribeAutoScalingInstances", "lambda:ListFunctions", "lambda:ListProvisionedConcurrencyConfigs", "cloudwatch:GetMetricData", "rds:DescribeDBInstances", "rds:DescribeDBClusters" ], "Resource": "*" } ] }
조직의 관리 계정에 Compute Optimizer에 대한 액세스 권한을 부여하기 위한 정책
다음 정책문은 조직의 관리 계정에 Compute Optimizer에 대한 전체 액세스 권한을 부여합니다. 권장 사항 기본 설정을 관리하기 위한 정책문은 Compute Optimizer 권장 사항 기본 설정을 관리할 수 있는 액세스 권한을 부여하기 위한 정책 섹션을 참조하세요.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "compute-optimizer:*", "ec2:DescribeInstances", "ec2:DescribeVolumes", "ecs:ListServices", "ecs:ListClusters", "autoscaling:DescribeAutoScalingGroups", "autoscaling:DescribeAutoScalingInstances", "lambda:ListFunctions", "lambda:ListProvisionedConcurrencyConfigs", "cloudwatch:GetMetricData", "organizations:ListAccounts", "organizations:DescribeOrganization", "organizations:DescribeAccount", "organizations:EnableAWSServiceAccess", "organizations:ListDelegatedAdministrators", "organizations:RegisterDelegatedAdministrator", "organizations:DeregisterDelegatedAdministrator" ], "Resource": "*" } ] }
다음 정책문은 조직의 관리 계정에 Compute Optimizer에 대한 일기 전용 액세스 권한을 부여합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "compute-optimizer:GetEnrollmentStatus", "compute-optimizer:GetEnrollmentStatusesForOrganization", "compute-optimizer:GetRecommendationSummaries", "compute-optimizer:GetEC2InstanceRecommendations", "compute-optimizer:GetEC2RecommendationProjectedMetrics", "compute-optimizer:GetAutoScalingGroupRecommendations", "compute-optimizer:GetEBSVolumeRecommendations", "compute-optimizer:GetLambdaFunctionRecommendations", "compute-optimizer:GetEffectiveRecommendationPreferences", "compute-optimizer:GetRecommendationPreferences", "compute-optimizer:GetECSServiceRecommendations", "compute-optimizer:GetECSServiceRecommendationProjectedMetrics", "compute-optimizer:GetRDSDatabaseRecommendations", "compute-optimizer:GetRDSDatabaseRecommendationProjectedMetrics", "ec2:DescribeInstances", "ec2:DescribeVolumes", "ecs:ListServices", "ecs:ListClusters", "autoscaling:DescribeAutoScalingGroups", "autoscaling:DescribeAutoScalingInstances", "lambda:ListFunctions", "lambda:ListProvisionedConcurrencyConfigs", "cloudwatch:GetMetricData", "organizations:ListAccounts", "organizations:DescribeOrganization", "organizations:DescribeAccount", "organizations:ListDelegatedAdministrators", "rds:DescribeDBInstances", "rds:DescribeDBClusters" ], "Resource": "*" } ] }
Compute Optimizer 권장 사항 기본 설정을 관리할 수 있는 액세스 권한을 부여하기 위한 정책
다음 정책문은 향상된 인프라 지표 유료 기능과 같은 권장 사항 기본 설정을 보고 편집할 수 있는 액세스 권한을 부여합니다. 자세한 정보는 권장 사항 기본 설정을 참조하세요.
EC2 인스턴스에 대한 권장 사항 기본 설정만 관리할 수 있는 액세스 권한 부여
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "compute-optimizer:DeleteRecommendationPreferences", "compute-optimizer:GetEffectiveRecommendationPreferences", "compute-optimizer:GetRecommendationPreferences", "compute-optimizer:PutRecommendationPreferences" ], "Resource": "*", "Condition" : { "StringEquals" : { "compute-optimizer:ResourceType" : "Ec2Instance" } } } ] }
오토 스케일링 그룹에 대한 권장 사항 기본 설정만 관리할 수 있는 액세스 권한 부여
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "compute-optimizer:DeleteRecommendationPreferences", "compute-optimizer:GetEffectiveRecommendationPreferences", "compute-optimizer:GetRecommendationPreferences", "compute-optimizer:PutRecommendationPreferences" ], "Resource": "*", "Condition" : { "StringEquals" : { "compute-optimizer:ResourceType" : "AutoScalingGroup" } } } ] }
RDS 인스턴스의 권장 사항 기본 설정을 관리할 수 있는 액세스 권한만 부여합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "compute-optimizer:DeleteRecommendationPreferences", "compute-optimizer:GetEffectiveRecommendationPreferences", "compute-optimizer:GetRecommendationPreferences", "compute-optimizer:PutRecommendationPreferences" ], "Resource": "*", "Condition" : { "StringEquals" : { "compute-optimizer:ResourceType" : "RdsDBInstance" } } } ] }
상용 소프트웨어 라이선스 권장 사항을 활성화하기 위한 정책
Compute Optimizer가 라이선스 권장 사항을 생성하려면 다음 Amazon EC2 인스턴스 역할 및 정책을 연결해야 합니다.
-
Systems Manager를 활성화하기 위한
AmazonSSMManagedInstanceCore역할입니다. 자세한 내용은 AWS Systems Manager 사용 설명서에서 AWS Systems Manager 자격 증명 기반 정책 예제를 참조하세요. -
인스턴스 지표 및 로그 릴리스를 활성화하기 위한
CloudWatchAgentServerPolicyCloudWatch 정책. 자세한 내용은 Amazon 사용 설명서에서 CloudWatch 에이전트와 함께 사용할 IAM 역할 및 CloudWatch 사용자 생성을 참조하십시오. -
다음은 AWS Systems Manager에 저장된 비밀 Microsoft SQL Server 연결 문자열을 읽기 위한 IAM 인라인 정책문입니다. 인라인 정책에 대한 자세한 내용은 AWS Identity and Access Management 사용 설명서에서 관리형 정책과 인라인 정책을 참조하세요.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue*" ], "Resource": "arn:aws:secretsmanager:*:*:secret:ApplicationInsights-*" } ] }
또한 라이선스 권장 사항을 활성화하고 받으려면 다음 IAM 정책을 사용자, 그룹 또는 역할에 연결해야 합니다. 자세한 내용은 Amazon CloudWatch 사용 설명서의 IAM 정책을 참조하십시오.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "applicationinsights:*", "iam:CreateServiceLinkedRole", "iam:ListRoles", "resource-groups:ListGroups" ], "Effect": "Allow", "Resource": "*" } ] }
Compute Optimizer에 대한 액세스를 거부하기 위한 정책
다음 정책문은 Compute Optimizer에 대한 액세스를 거부합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "compute-optimizer:*", "Resource": "*" } ] }
