Políticas baseadas em identidade do Application Auto Scaling - Application Auto Scaling
Permissões necessárias para ações da API do Application Auto Scaling Permissões necessárias para ações de API nos serviços de destino e CloudWatchPermissões para trabalhar no AWS Management Console

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Políticas baseadas em identidade do Application Auto Scaling

Por padrão, um novo usuário não Conta da AWS tem permissão para fazer nada. Um administrador do IAM deve criar e atribuir políticas do IAM que concedam a uma identidade do IAM (como um usuário ou perfil) permissão para executar ações de API do Application Auto Scaling.

Para saber como criar uma política do IAM usando os exemplos de documentos de política JSON a seguir, consulte Criar políticas na aba JSON no Manual do usuário do IAM.

Permissões necessárias para ações da API do Application Auto Scaling

As políticas a seguir concedem permissões para casos de uso comuns ao chamar a API do Application Auto Scaling. Consulte esta seção ao escrever políticas baseadas em identidade. Cada política concede permissões para todas ou para algumas ações de API do Application Auto Scaling. Você também precisa garantir que os usuários finais tenham permissões para o serviço de destino e CloudWatch (consulte a próxima seção para obter detalhes).

A política baseada em identidade a seguir concede permissões para todas as ações de API do Application Auto Scaling.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
              "application-autoscaling:*"
            ],
            "Resource": "*"
        }
    ]
}

A política baseada em identidade a seguir concede permissões para todas as ações de API do Application Auto Scaling que são necessárias para configurar políticas de escalação e ações não agendadas.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
              "application-autoscaling:RegisterScalableTarget",
              "application-autoscaling:DescribeScalableTargets",
              "application-autoscaling:DeregisterScalableTarget",
              "application-autoscaling:PutScalingPolicy",
              "application-autoscaling:DescribeScalingPolicies",
              "application-autoscaling:DescribeScalingActivities",
              "application-autoscaling:DeleteScalingPolicy"
            ],
            "Resource": "*"
        }
    ]
}

A política baseada em identidade a seguir concede permissões para todas as ações de API do Application Auto Scaling que são necessárias para configurar ações programadas e políticas de não escalação.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
              "application-autoscaling:RegisterScalableTarget",
              "application-autoscaling:DescribeScalableTargets",
              "application-autoscaling:DeregisterScalableTarget",
              "application-autoscaling:PutScheduledAction",
              "application-autoscaling:DescribeScheduledActions",
              "application-autoscaling:DescribeScalingActivities",
              "application-autoscaling:DeleteScheduledAction"
            ],
            "Resource": "*"
        }
    ]
}

Permissões necessárias para ações de API nos serviços de destino e CloudWatch

Para configurar e usar com sucesso o Application Auto Scaling com o serviço de destino, os usuários finais devem receber permissões para a Amazon CloudWatch e para cada serviço de destino para o qual eles configurarão a escalabilidade. Use as políticas a seguir para conceder as permissões mínimas necessárias para trabalhar com os serviços de destino CloudWatch e.

AppStream 2.0 frotas

A política baseada em identidade a seguir concede permissões para todas as ações AppStream 2.0 e de CloudWatch API necessárias.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
              "appstream:DescribeFleets",
              "appstream:UpdateFleet",
              "cloudwatch:DescribeAlarms",
              "cloudwatch:PutMetricAlarm",
              "cloudwatch:DeleteAlarms"
            ],
            "Resource": "*"
        }
    ]
}

Réplicas do Aurora

A política baseada em identidade a seguir concede permissões para todas as ações do Aurora e CloudWatch da API que são necessárias.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
              "rds:AddTagsToResource",
              "rds:CreateDBInstance",
              "rds:DeleteDBInstance",
              "rds:DescribeDBClusters",
              "rds:DescribeDBInstances",              
              "cloudwatch:DescribeAlarms",
              "cloudwatch:PutMetricAlarm",
              "cloudwatch:DeleteAlarms"
            ],
            "Resource": "*"
        }
    ]
}

Classificação de documentos e endpoints de reconhecimento de entidade do Amazon Comprehend

A política baseada em identidade a seguir concede permissões para todas as ações de API CloudWatch e Amazon Comprehend necessárias.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
              "comprehend:UpdateEndpoint",
              "comprehend:DescribeEndpoint",           
              "cloudwatch:DescribeAlarms",
              "cloudwatch:PutMetricAlarm",
              "cloudwatch:DeleteAlarms"
            ],
            "Resource": "*"
        }
    ]
}

Tabelas e índices secundários globais do DynamoDB

A política baseada em identidade a seguir concede permissões para todas as ações necessárias do DynamoDB e CloudWatch da API.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
              "dynamodb:DescribeTable",
              "dynamodb:UpdateTable",
              "cloudwatch:DescribeAlarms",
              "cloudwatch:PutMetricAlarm",
              "cloudwatch:DeleteAlarms"
            ],
            "Resource": "*"
        }
    ]
}

serviços da ECS

A política baseada em identidade a seguir concede permissões para todas as ações do ECS e CloudWatch da API que são necessárias.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
              "ecs:DescribeServices",
              "ecs:UpdateService",
              "cloudwatch:DescribeAlarms",
              "cloudwatch:PutMetricAlarm",
              "cloudwatch:DeleteAlarms"
            ],
            "Resource": "*"
        }
    ]
}

ElastiCache grupos de replicação

A política baseada em identidade a seguir concede permissões para todas ElastiCache as ações de CloudWatch API necessárias.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
              "elasticache:ModifyReplicationGroupShardConfiguration",
              "elasticache:IncreaseReplicaCount",
              "elasticache:DecreaseReplicaCount",
              "elasticache:DescribeReplicationGroups",
              "elasticache:DescribeCacheClusters",
              "elasticache:DescribeCacheParameters",
              "cloudwatch:DescribeAlarms",
              "cloudwatch:PutMetricAlarm",
              "cloudwatch:DeleteAlarms"
            ],
            "Resource": "*"
        }
    ]
}

Clusters do Amazon EMR

A política baseada em identidade a seguir concede permissões para todas as ações de CloudWatch API e Amazon EMR necessárias.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
              "elasticmapreduce:ModifyInstanceGroups",
              "elasticmapreduce:ListInstanceGroups",
              "cloudwatch:DescribeAlarms",
              "cloudwatch:PutMetricAlarm",
              "cloudwatch:DeleteAlarms"
            ],
            "Resource": "*"
        }
    ]
}

Tabelas do Amazon Keyspaces

A política baseada em identidade a seguir concede permissões para todas as ações de CloudWatch API e Amazon Keyspaces necessárias.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
              "cassandra:Select",
              "cassandra:Alter",             
              "cloudwatch:DescribeAlarms",
              "cloudwatch:PutMetricAlarm",
              "cloudwatch:DeleteAlarms"
            ],
            "Resource": "*"
        }
    ]
}

Funções do Lambda

A política baseada em identidade a seguir concede permissões para todas as ações do Lambda e da CloudWatch API que são necessárias.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
              "lambda:PutProvisionedConcurrencyConfig",
              "lambda:GetProvisionedConcurrencyConfig",
              "lambda:DeleteProvisionedConcurrencyConfig",             
              "cloudwatch:DescribeAlarms",
              "cloudwatch:PutMetricAlarm",
              "cloudwatch:DeleteAlarms"
            ],
            "Resource": "*"
        }
    ]
}

Armazenamento de agente do Amazon Managed Streaming for Apache Kafka (MSK)

A política baseada em identidade a seguir concede permissões para todas as ações de CloudWatch API e MSK da Amazon que são necessárias.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
              "kafka:DescribeCluster",
              "kafka:DescribeClusterOperation",
              "kafka:UpdateBrokerStorage",
              "cloudwatch:DescribeAlarms",
              "cloudwatch:PutMetricAlarm",
              "cloudwatch:DeleteAlarms"
            ],
            "Resource": "*"
        }
    ]
}

Clusters do Neptune

A política baseada em identidade a seguir concede permissões para todas as ações do Neptune e CloudWatch da API que são necessárias.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
              "rds:AddTagsToResource",
              "rds:CreateDBInstance",
              "rds:DescribeDBInstances",
              "rds:DescribeDBClusters",
              "rds:DescribeDBClusterParameters",
              "rds:DeleteDBInstance",
              "cloudwatch:DescribeAlarms",
              "cloudwatch:PutMetricAlarm",
              "cloudwatch:DeleteAlarms"
            ],
            "Resource": "*"
        }
    ]
}

SageMaker endpoints

A política baseada em identidade a seguir concede permissões para todas SageMaker as ações de CloudWatch API necessárias.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
              "sagemaker:DescribeEndpoint",
              "sagemaker:DescribeEndpointConfig",
              "sagemaker:DescribeInferenceComponent",
              "sagemaker:UpdateEndpointWeightsAndCapacities",
              "sagemaker:UpdateInferenceComponentRuntimeConfig",
              "cloudwatch:DescribeAlarms",
              "cloudwatch:PutMetricAlarm",
              "cloudwatch:DeleteAlarms"
            ],
            "Resource": "*"
        }
    ]
}

Frotas spot (Amazon EC2)

A política baseada em identidade a seguir concede permissões para todas as ações da Spot Fleet e CloudWatch da API que são necessárias.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
              "ec2:DescribeSpotFleetRequests",
              "ec2:ModifySpotFleetRequest",
              "cloudwatch:DescribeAlarms",
              "cloudwatch:PutMetricAlarm",
              "cloudwatch:DeleteAlarms"
            ],
            "Resource": "*"
        }
    ]
}

Recursos personalizados

A política baseada em identidade a seguir concede permissão para a ação de execução de API do serviço API Gateway. Essa política também concede permissões para todas CloudWatch as ações necessárias.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
              "execute-api:Invoke",          
              "cloudwatch:DescribeAlarms",
              "cloudwatch:PutMetricAlarm",
              "cloudwatch:DeleteAlarms"
            ],
            "Resource": "*"
        }
    ]
}

Permissões para trabalhar no AWS Management Console

Não há console autônomo do Application Auto Scaling. A maioria dos serviços que se integram ao Application Auto Scaling tem recursos dedicados para ajudar você a configurar a escalabilidade com seu console.

Na maioria dos casos, cada serviço fornece políticas AWS gerenciadas (predefinidas) do IAM que definem o acesso ao console, o que inclui permissões para as ações da API Application Auto Scaling. Para obter mais informações, consulte a documentação do serviço do qual você deseja usar o console.

Também é possível criar suas próprias políticas personalizadas do IAM para conceder aos usuários permissões refinadas para visualizar e trabalhar com ações da API do Application Auto Scaling específicas no AWS Management Console. Você pode usar as políticas de exemplo nas seções anteriores; no entanto, elas foram projetadas para solicitações feitas com o AWS CLI ou com um SDK. O console usa ações de API adicionais para seus recursos, portanto, essas políticas talvez não funcionem como esperado. Por exemplo, para configurar o escalonamento de etapas, os usuários podem precisar de permissões adicionais para criar e gerenciar CloudWatch alarmes.

dica

Para ajudar a descobrir quais ações de API são necessárias para realizar tarefas no console, é possível usar um serviço como o AWS CloudTrail. Para mais informações, consulte o Guia do usuário do AWS CloudTrail.

A política baseada em identidade a seguir concede permissões para configurar políticas de escalação para o Spot Fleet. Além das permissões do IAM para o Spot Fleet, o usuário do console que acessa as configurações de escalação de frota no console do Amazon EC2 deve ter as permissões adequadas para os serviços compatíveis com escalação dinâmica. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "application-autoscaling:*",
                "ec2:DescribeSpotFleetRequests",
                "ec2:ModifySpotFleetRequest",
                "cloudwatch:DeleteAlarms",
                "cloudwatch:DescribeAlarmHistory",
                "cloudwatch:DescribeAlarms",
                "cloudwatch:DescribeAlarmsForMetric",
                "cloudwatch:GetMetricStatistics",
                "cloudwatch:ListMetrics",
                "cloudwatch:PutMetricAlarm",
                "cloudwatch:DisableAlarmActions",
                "cloudwatch:EnableAlarmActions",
                "sns:CreateTopic",
                "sns:Subscribe",
                "sns:Get*",
                "sns:List*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "arn:aws:iam::*:role/aws-service-role/ec2.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_EC2SpotFleetRequest",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName":"ec2.application-autoscaling.amazonaws.com"
                }
            }
        }
    ]
}

Essa política permite que os usuários do console visualizem e modifiquem políticas de escalabilidade no console do Amazon EC2 e criem e CloudWatch gerenciem alarmes no console. CloudWatch

É possível ajustar as ações da API para limitar o acesso do usuário. Por exemplo, substituir application-autoscaling:* por application-autoscaling:Describe* significa que o usuário terá acesso somente leitura.

Você também pode ajustar as CloudWatch permissões conforme necessário para limitar o acesso do usuário aos CloudWatch recursos. Para obter mais informações, consulte Permissões necessárias para usar o CloudWatch console no Guia CloudWatch do usuário da Amazon.