As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Como o Application Auto Scaling funciona com o IAM
nota
Em dezembro de 2017, houve uma atualização do Application Auto Scaling, habilitando várias funções vinculadas a serviços para os serviços integrados do Application Auto Scaling. Permissões específicas do IAM e uma função vinculada ao serviço do Application Auto Scaling (ou uma função de serviço para a escalabilidade automática do Amazon EMR) são necessárias para que os usuários possam configurar a escalabilidade.
Antes de usar o IAM para gerenciar o acesso ao Application Auto Scaling, aprenda quais recursos do IAM estão disponíveis para uso com o Application Auto Scaling.
Recursos do IAM que você pode usar com o Application Auto Scaling | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Atributo do IAM | Compatibilidade com o aplicativo Auto Scaling | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Sim |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Sim |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Sim |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Sim |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Não |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Não |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Parcial |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Sim |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Sim |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Sim |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Para ter uma visão de alto nível de como o Application Auto Scaling e Serviços da AWS outros funcionam com a maioria dos recursos do IAM, Serviços da AWS consulte esse trabalho com o IAM no Guia do usuário do IAM.
Políticas baseadas em identidade do Application Auto Scaling
|
Suporta com políticas baseadas em identidade |
Sim |
As políticas baseadas em identidade são documentos de políticas de permissões JSON que você pode anexar a uma identidade, como usuário IAM, grupo de usuários ou perfil do IAM. Essas políticas controlam quais ações os usuários e funções podem realizar, em quais recursos e em quais condições. Saiba como criar uma política baseada em identidade consultando Criando Políticas do IAM no Guia do Usuário do IAM.
Com as políticas baseadas em identidade do IAM, é possível especificar ações ou recursos permitidos ou negados, assim como as condições sob as quais as ações são permitidas ou negadas. Você não pode especificar a entidade principal em uma política baseada em identidade porque ela se aplica ao usuário ou função à qual ela está anexada. Para saber mais sobre todos os elementos que podem ser usados em uma política JSON, consulte Referência de elementos da política JSON do IAM no Guia do Usuário do IAM.
Exemplos de políticas baseadas em identidade do Application Auto Scaling
Para visualizar exemplos de políticas baseadas em identidade do , Application Auto Scaling consulte Políticas baseadas em identidade do Application Auto Scaling.
Ações
|
Oferece suporte a ações de políticas |
Sim |
Em uma declaração de política do IAM, é possível especificar qualquer ação de API de qualquer serviço que dê suporte ao IAM. Para o Application Auto Scaling, use o seguinte prefixo com o nome da ação da API: application-autoscaling:. Por exemplo: application-autoscaling:RegisterScalableTarget, application-autoscaling:PutScalingPolicy e application-autoscaling:DeregisterScalableTarget.
Para especificar várias ações em uma única declaração, separe-as com vírgulas, conforme exibido no exemplo a seguir.
"Action": [ "application-autoscaling:DescribeScalingPolicies", "application-autoscaling:DescribeScalingActivities"
Você também pode especificar várias ações usando caracteres curinga (*). Por exemplo, para especificar todas as ações que começam com a palavra Describe, inclua a ação a seguir:
"Action": "application-autoscaling:Describe*"
Para obter uma lista de ações do Application Auto Scaling, consulte Ações definidas pelo AWS Application Auto Scaling na Referência de Autorização de Serviço.
Recursos
|
Oferece suporte a atributos de políticas |
Sim |
Em uma instrução de política do IAM, o elemento Resource especifica o objeto ou os objetos abrangidos pela instrução. Para o Application Auto Scaling, cada instrução de política do IAM se aplica aos destinos escaláveis especificados usando os nomes dos recursos da Amazon (ARNs).
O formato de recurso do ARN para destinos escaláveis:
arn:aws:application-autoscaling:region:account-id:scalable-target/unique-identifierPor exemplo, é possível indicar um destino escalável específico em sua instrução usando o ARN da maneira descrita a seguir. O ID exclusivo (1234abcd56ab78cd901ef1234567890ab123) é um valor atribuído pelo Application Auto Scaling ao destino escalável.
"Resource": "arn:aws:application-autoscaling:us-east-1:123456789012:scalable-target/1234abcd56ab78cd901ef1234567890ab123"É possível especificar todas as instâncias pertencentes a uma conta específica ao substituir o identificador exclusivo por um curinga (*), conforme descrito a seguir.
"Resource": "arn:aws:application-autoscaling:us-east-1:123456789012:scalable-target/*"Para especificar todos os recursos, ou caso uma ação de API específica não ofereça suporte a ARNs, use um curinga (*) como o elemento Resource, conforme descrito a seguir.
"Resource": "*"Para obter mais informações, consulte Tipos de recursos definidos pelo AWS Application Auto Scaling na Referência de Autorização de Serviço.
Chaves de condição
|
Suporta chaves de condição de política específicas de serviço |
Sim |
É possível especificar condições nas políticas do IAM que controlam o acesso aos recursos do Application Auto Scaling. A declaração de política é efetiva apenas quando as condições forem verdadeiras.
O Application Auto Scaling oferece suporte às chaves de condição a seguir definidas pelo serviço que você pode usar em políticas baseadas em identidade para determinar quem pode executar ações de API do Application Auto Scaling.
-
application-autoscaling:scalable-dimension -
application-autoscaling:service-namespace
Para saber com quais ações da API Application Auto Scaling você pode usar uma chave de condição, consulte Ações definidas pelo AWS Application Auto Scaling na Referência de Autorização de Serviço. Para obter mais informações sobre o uso das chaves de condição do Application Auto Scaling, consulte Chaves de condição do AWS Application Auto Scaling.
Para visualizar as chaves de condição globais disponíveis para todos os serviços, consulte Chaves de contexto de condição globais da AWS no Guia do usuário do IAM.
Políticas baseadas em recursos
|
Oferece suporte a políticas baseadas em recursos |
Não |
Outros AWS serviços, como o Amazon Simple Storage Service, oferecem suporte a políticas de permissões baseadas em recursos. Por exemplo: você pode anexar uma política de permissões a um bucket do S3 para gerenciar permissões de acesso a esse bucket.
O Application Auto Scaling não é compatível com políticas baseadas em recurso.
Listas de controle de acesso (ACLs)
|
Oferece suporte a ACLs |
Não |
O Application Auto Scaling não é compatível com listas de controla de acesso (ACLs).
ABAC com o Application Auto Scaling
|
Oferece suporte a ABAC (tags em políticas) |
Parcial |
O controle de acesso baseado em recurso (ABAC) é uma estratégia de autorização que define permissões com base em recursos. Em AWS, esses atributos são chamados de tags. Você pode anexar tags a entidades do IAM (usuários ou funções) e a vários AWS recursos. A marcação de entidades e atributos é a primeira etapa do ABAC. Em seguida, você cria políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag do recurso que ela estiver tentando acessar.
O ABAC é útil em ambientes que estão crescendo rapidamente e ajuda em situações em que o gerenciamento de políticas se torna um problema.
Para controlar o acesso baseado em tags, forneça informações sobre a tag no elemento de condição de uma política usando as chaves de condição aws:ResourceTag/, key-nameaws:RequestTag/ ou key-nameaws:TagKeys.
É possível usar o ABAC em recursos compatíveis com tags, mas nem tudo é compatível com tags. As ações programadas e as políticas de escalabilidade não oferecem suporte para etiquetas, mas os destinos escaláveis oferecem suporte para etiquetas. Para ter mais informações, consulte Suporte de marcação para o Application Auto Scaling.
Para obter mais informações sobre o ABAC, consulte O que é ABAC? no Guia do Usuário do IAM. Para visualizar um tutorial com etapas para configurar o ABAC, consulte Usar Controle de Acesso Baseado em Atributos (ABAC) no Guia do Usuário do IAM.
Usar credenciais temporárias com o Application Auto Scaling
|
Oferece suporte a credenciais temporárias |
Sim |
Alguns Serviços da AWS não funcionam quando você faz login usando credenciais temporárias. Para obter informações adicionais, incluindo quais Serviços da AWS funcionam com credenciais temporárias, consulte Serviços da AWS “Trabalhe com o IAM” no Guia do usuário do IAM.
Você está usando credenciais temporárias se fizer login AWS Management Console usando qualquer método, exceto um nome de usuário e senha. Por exemplo, quando você acessa AWS usando o link de login único (SSO) da sua empresa, esse processo cria automaticamente credenciais temporárias. Você também cria automaticamente credenciais temporárias quando faz login no console como usuário e, em seguida, alterna perfis. Para obter mais informações sobre como alternar funções, consulte Alternar para uma Função (Console) no Guia do Usuário do IAM.
Você pode criar manualmente credenciais temporárias usando a AWS API AWS CLI ou. Em seguida, você pode usar essas credenciais temporárias para acessar AWS. AWS recomenda que você gere credenciais temporárias dinamicamente em vez de usar chaves de acesso de longo prazo. Para mais informações, consulte Credenciais de segurança temporárias no IAM.
Perfis de serviço
|
Suporta perfis de serviço |
Sim |
Se o cluster do Amazon EMR usa escalabilidade automática. Esse recurso permite que o Application Auto Scaling assuma uma função de serviço em seu nome. Semelhante a uma função vinculada ao serviço, uma função de serviço permite que o serviço acesse recursos em outros serviços para concluir uma ação em seu nome. Os perfis de serviço aparecem em sua conta do IAM e são de propriedade da conta. Isso indica que um administrador do IAM pode alterar as permissões para essa função. Porém, fazer isso pode alterar a funcionalidade do serviço.
O Application Auto Scaling é compatível com funções de serviço apenas para o Amazon EMR. Para obter a documentação sobre a função de serviço do EMR, consulte Usar escalabilidade automática com uma política personalizada para grupos de instâncias no Guia de gerenciamento do Amazon EMR.
nota
Com a introdução de funções vinculadas ao serviço, várias funções de serviço herdadas não são mais necessárias, por exemplo, para Amazon ECS e Frota spot.
Perfis vinculados ao serviço
|
Oferece suporte a perfis vinculados ao serviço |
Sim |
Uma função vinculada ao serviço é um tipo de função de serviço vinculada a um. AWS service (Serviço da AWS) O serviço pode assumir o perfil de executar uma ação em seu nome. As funções vinculadas ao serviço aparecem em você Conta da AWS e são de propriedade do serviço. Um administrador do IAM pode visualizar, mas não pode editar as permissões para funções vinculadas a serviço.
Para obter mais informações sobre funções vinculadas ao serviço para o Application Auto Scaling, consulte Funções vinculadas ao serviço necessárias para o Application Auto Scaling.
