Controlar o acesso com o AWS Identity and Access Management - AWS Compute Optimizer

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Controlar o acesso com o AWS Identity and Access Management

Você pode usarAWS Identity and Access Management(IAM) Para criar identidades (usuários, grupos ou funções) e conceda permissões para essas identidades acessarem oAWS Compute Optimizerconsole e APIs.

Por padrão, os usuários do IAM não têm acesso ao console do Compute Optimizer e às APIs do. Você concede acesso aos usuários anexando políticas do IAM a um único usuário, um grupo de usuários ou uma função. Para obter mais informações, consulteIdentidades (usuários, grupos e funções)eVisão geral das políticas do IAM no Guia do usuário do IAM.

Depois de criar usuários do IAM, é possível oferecer a esses usuários senhas individuais. Em seguida, eles poderão fazer login em sua conta e exibir as informações do Compute Optimizer usando uma página de login específica da conta. Para obter mais informações, consulte Como usuários fazem login na conta.

Importante

Para exibir recomendações para instâncias do EC2, um usuário do IAM deve terec2:DescribeInstancesPermissão Para exibir recomendações para volumes do EBS, um usuário do IAM deve terec2:DescribeVolumesPermissão Para exibir recomendações para grupos de Auto Scaling, um usuário do IAM deve terautoscaling:DescribeAutoScalingGroupseautoscaling:DescribeAutoScalingInstancesPermissão Para exibir recomendações para funções do Lambda, um usuário do IAM deve terlambda:ListFunctionselambda:ListProvisionedConcurrencyConfigsPermissão Para visualizar o atualCloudWatchdados de métricas no console do Compute Optimizer, um usuário do IAM deve tercloudwatch:GetMetricDataPermissões

Se o usuário ou grupo ao qual você deseja conceder permissões já tiver uma política, é possível adicionar uma das declarações de política específicas do Compute Optimizer demonstradas aqui a essa política.

Compute Optimizer eAWS OrganizationsAcesso confiável

O acesso confiável para o Compute Optimizer é ativado automaticamente na conta da sua organização quando você opta por usar a conta de gerenciamento da sua organização e inclui todas as contas de membro dentro da organização. Isso permite que o Compute Optimizer analise recursos de computação nessas contas de membros e gere recomendações para eles.

O Compute Optimizer verifica se o acesso confiável está habilitado em sua conta da organização toda vez que você acessa recomendações para contas de membros. Se você desabilitar o acesso confiável do Compute Optimizer após a opção, o Compute Optimizer negará acesso às recomendações para as contas de membros da sua organização e as contas de membro dentro da organização não serão optadas pelo Compute Optimizer. Para reativar o acesso confiável, opte pelo Compute Optimizer novamente usando a conta de gerenciamento da sua organização e inclua todas as contas de membro dentro da organização. Para obter mais informações, consulte Optar por sua conta da. Para obter mais informações sobreAWS OrganizationsAcesso confiável, consulteO uso doAWS OrganizationsCom outroAWSserviçosnoAWS OrganizationsGuia do usuário do.

Política para optar pelo Compute Optimizer

A declaração de política a seguir concede acesso ao optar pelo Compute Optimizer. Ele concede acesso para criar uma função vinculada a serviços para o Compute Optimizer, que é necessário para participar. Para obter mais informações, consulte Usar funções vinculadas ao serviço do AWS Compute Optimizer. Ele também concede acesso para atualizar o status de inscrição para o serviço Compute Optimizer.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer*", "Condition": {"StringLike": {"iam:AWSServiceName": "compute-optimizer.amazonaws.com"}} }, { "Effect": "Allow", "Action": "iam:PutRolePolicy", "Resource": "arn:aws:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer" }, { "Effect": "Allow", "Action": "compute-optimizer:UpdateEnrollmentStatus", "Resource": "*" } ] }

Políticas para conceder acesso ao Compute Optimizer para autônomoAWScontas

A declaração de política a seguir concede acesso total ao Compute Optimizer para autônomoAWScontas. Para obter as instruções de política para gerenciar as preferências de recomendação, consultePolíticas para conceder acesso para gerenciar preferências de recomendação do Compute Optimizer.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "compute-optimizer:*", "ec2:DescribeInstances", "ec2:DescribeVolumes", "autoscaling:DescribeAutoScalingGroups", "autoscaling:DescribeAutoScalingInstances", "lambda:ListFunctions", "lambda:ListProvisionedConcurrencyConfigs", "cloudwatch:GetMetricData" ], "Resource": "*" } ] }

A declaração de política a seguir concede acesso somente leitura ao Compute Optimizer para autônomoAWScontas.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "compute-optimizer:GetEnrollmentStatus", "compute-optimizer:GetEffectiveRecommendationPreferences", "compute-optimizer:GetRecommendationPreferences", "compute-optimizer:GetRecommendationSummaries", "compute-optimizer:GetEC2InstanceRecommendations", "compute-optimizer:GetEC2RecommendationProjectedMetrics", "compute-optimizer:GetAutoScalingGroupRecommendations", "compute-optimizer:GetEBSVolumeRecommendations", "compute-optimizer:GetLambdaFunctionRecommendations", "compute-optimizer:DescribeRecommendationExportJobs", "compute-optimizer:GetEffectiveRecommendationPreferences", "compute-optimizer:GetRecommendationPreferences", "ec2:DescribeInstances", "ec2:DescribeVolumes", "autoscaling:DescribeAutoScalingGroups", "autoscaling:DescribeAutoScalingInstances", "lambda:ListFunctions", "lambda:ListProvisionedConcurrencyConfigs", "cloudwatch:GetMetricData" ], "Resource": "*" } ] }

Políticas para conceder acesso ao Compute Optimizer para uma conta de gerenciamento de uma organização

A declaração de política a seguir concede acesso total ao Compute Optimizer para uma conta de gerenciamento de uma organização.Para obter instruções de política para gerenciar preferências de recomendação, consultePolíticas para conceder acesso para gerenciar preferências de recomendação do Compute Optimizer.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "compute-optimizer:*", "ec2:DescribeInstances", "ec2:DescribeVolumes", "autoscaling:DescribeAutoScalingGroups", "autoscaling:DescribeAutoScalingInstances", "lambda:ListFunctions", "lambda:ListProvisionedConcurrencyConfigs", "cloudwatch:GetMetricData", "organizations:ListAccounts", "organizations:DescribeOrganization", "organizations:DescribeAccount", "organizations:EnableAWSServiceAccess", ], "Resource": "*" } ] }

A declaração de política a seguir concede acesso somente leitura ao Compute Optimizer para uma conta de gerenciamento de uma organização.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "compute-optimizer:GetEnrollmentStatus", "compute-optimizer:GetEnrollmentStatusesForOrganization", "compute-optimizer:GetRecommendationSummaries", "compute-optimizer:GetEC2InstanceRecommendations", "compute-optimizer:GetEC2RecommendationProjectedMetrics", "compute-optimizer:GetAutoScalingGroupRecommendations", "compute-optimizer:GetEBSVolumeRecommendations", "compute-optimizer:GetLambdaFunctionRecommendations", "compute-optimizer:GetEffectiveRecommendationPreferences", "compute-optimizer:GetRecommendationPreferences", "ec2:DescribeInstances", "ec2:DescribeVolumes", "autoscaling:DescribeAutoScalingGroups", "autoscaling:DescribeAutoScalingInstances", "lambda:ListFunctions", "lambda:ListProvisionedConcurrencyConfigs", "cloudwatch:GetMetricData", "organizations:ListAccounts", "organizations:DescribeOrganization", "organizations:DescribeAccount" ], "Resource": "*" } ] }

Políticas para conceder acesso para gerenciar preferências de recomendação do Compute Optimizer

As declarações de política a seguir concedem acesso para visualizar e editar preferências de recomendação, como o recurso de métricas de infraestrutura aprimoradas pagas. Para obter mais informações, consulte Ativando preferências de recomendação.

Conceda acesso para gerenciar preferências de recomendação somente para instâncias do EC2

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "compute-optimizer:DeleteRecommendationPreferences", "compute-optimizer:GetEffectiveRecommendationPreferences", "compute-optimizer:GetRecommendationPreferences", "compute-optimizer:PutRecommendationPreferences" ], "Resource": "*", "Condition" : { "StringEquals" : { "compute-optimizer:ResourceType" : "Ec2Instance" } } } ] }

Conceda acesso para gerenciar preferências de recomendação somente para grupos de Auto Scaling

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "compute-optimizer:DeleteRecommendationPreferences", "compute-optimizer:GetEffectiveRecommendationPreferences", "compute-optimizer:GetRecommendationPreferences", "compute-optimizer:PutRecommendationPreferences" ], "Resource": "*", "Condition" : { "StringEquals" : { "compute-optimizer:ResourceType" : "AutoScalingGroup" } } } ] }

Política para negar acesso ao Compute Optimizer

A declaração de política a seguir nega o acesso ao Compute Optimizer.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "compute-optimizer:*", "Resource": "*" } ] }