Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Beispiele für identitätsbasierte Richtlinien für Application Auto Scaling
Standardmäßig AWS-Konto hat ein brandneuer Benutzer in Ihrem Bereich keine Rechte, etwas zu tun. Ein IAM-Administrator muss IAM-Richtlinien erstellen und zuweisen, die einer IAM-Identität (etwa einem Benutzer oder einer Rolle) die Berechtigung zum Ausführen von API-Aktionen von Application Auto Scaling erteilen.
Wie Sie eine IAM-Richtlinie anhand der folgenden JSON-Beispielrichtliniendokumente erstellen, erfahren Sie unter Erstellen von Richtlinien auf der Registerkarte JSON im IAM-Benutzerhandbuch.
Inhalt
Erforderliche Berechtigungen für Application Auto Scaling API-Aktionen
Die folgenden Richtlinien gewähren Berechtigungen für häufige Anwendungsfälle beim Aufruf der Application Auto Scaling API. Lesen Sie diesen Abschnitt beim Schreiben von identitätsbasierten Richtlinien. Jede Richtlinie gewährt Berechtigungen für alle oder einige der API-Aktionen von Application Auto Scaling. Sie müssen außerdem sicherstellen, dass Endbenutzer über Berechtigungen für den Zieldienst und verfügen CloudWatch (Einzelheiten finden Sie im nächsten Abschnitt).
Die folgende identitätsbasierte Richtlinie gewährt Berechtigungen für alle API-Aktionen von Application Auto Scaling.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "application-autoscaling:*" ], "Resource": "*" } ] }
Die folgende identitätsbasierte Richtlinie gewährt Berechtigungen für alle API-Aktionen von Application Auto Scaling, die zum Konfigurieren von Skalierungsrichtlinien erforderlich sind, und nicht für geplante Aktionen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "application-autoscaling:RegisterScalableTarget", "application-autoscaling:DescribeScalableTargets", "application-autoscaling:DeregisterScalableTarget", "application-autoscaling:PutScalingPolicy", "application-autoscaling:DescribeScalingPolicies", "application-autoscaling:DescribeScalingActivities", "application-autoscaling:DeleteScalingPolicy" ], "Resource": "*" } ] }
Die folgende identitätsbasierte Richtlinie gewährt Berechtigungen für alle API-Aktionen von Application Auto Scaling, die zum Konfigurieren von geplanten Aktionen und nicht von Skalierungsrichtlinien erforderlich sind.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "application-autoscaling:RegisterScalableTarget", "application-autoscaling:DescribeScalableTargets", "application-autoscaling:DeregisterScalableTarget", "application-autoscaling:PutScheduledAction", "application-autoscaling:DescribeScheduledActions", "application-autoscaling:DescribeScalingActivities", "application-autoscaling:DeleteScheduledAction" ], "Resource": "*" } ] }
Erforderliche Berechtigungen für API-Aktionen auf Zieldiensten und CloudWatch
Um Application Auto Scaling erfolgreich mit dem Zielservice zu konfigurieren und zu verwenden, müssen Endbenutzern Berechtigungen für Amazon CloudWatch und für jeden Zielservice, für den sie die Skalierung konfigurieren, erteilt werden. Verwenden Sie die folgenden Richtlinien, um die Mindestberechtigungen zu gewähren, die für die Arbeit mit den Zieldiensten und erforderlich sind CloudWatch.
Inhalt
- AppStream 2.0-Flotten
- Aurora-Replikate
- Amazon Comprehend-Dokumentklassifizierungs- und Entitätserkennungs-Endpunkte
- DynamoDB-Tabellen und globale sekundäre Indizes
- ECS-Services
- ElastiCache Replikationsgruppen
- Amazon EMR-Cluster
- Amazon Keyspace-Tabellen
- Lambda-Funktionen
- Amazon Managed Streaming for Apache Kafka (MSK) Broker-Speicher
- Neptune-Cluster
- SageMaker Endpunkte
- Amazon EC2-Spot-Flotte
- Benutzerdefinierte Ressourcen
AppStream 2.0-Flotten
Die folgende identitätsbasierte Richtlinie gewährt Berechtigungen für alle AppStream 2.0- und CloudWatch API-Aktionen, die erforderlich sind.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "appstream:DescribeFleets", "appstream:UpdateFleet", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Aurora-Replikate
Die folgende identitätsbasierte Richtlinie gewährt Berechtigungen für alle Aurora- und CloudWatch API-Aktionen, die erforderlich sind.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "rds:AddTagsToResource", "rds:CreateDBInstance", "rds:DeleteDBInstance", "rds:DescribeDBClusters", "rds:DescribeDBInstances", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Amazon Comprehend-Dokumentklassifizierungs- und Entitätserkennungs-Endpunkte
Die folgende identitätsbasierte Richtlinie gewährt Berechtigungen für alle Amazon Comprehend- und CloudWatch API-Aktionen, die erforderlich sind.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "comprehend:UpdateEndpoint", "comprehend:DescribeEndpoint", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
DynamoDB-Tabellen und globale sekundäre Indizes
Die folgende identitätsbasierte Richtlinie gewährt Berechtigungen für alle erforderlichen DynamoDB- und CloudWatch API-Aktionen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "dynamodb:DescribeTable", "dynamodb:UpdateTable", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
ECS-Services
Die folgende identitätsbasierte Richtlinie gewährt Berechtigungen für alle erforderlichen ECS- und CloudWatch API-Aktionen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeServices", "ecs:UpdateService", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
ElastiCache Replikationsgruppen
Die folgende identitätsbasierte Richtlinie gewährt Berechtigungen für alle ElastiCache und CloudWatch API-Aktionen, die erforderlich sind.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "elasticache:ModifyReplicationGroupShardConfiguration", "elasticache:IncreaseReplicaCount", "elasticache:DecreaseReplicaCount", "elasticache:DescribeReplicationGroups", "elasticache:DescribeCacheClusters", "elasticache:DescribeCacheParameters", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Amazon EMR-Cluster
Die folgende identitätsbasierte Richtlinie gewährt Berechtigungen für alle erforderlichen Amazon EMR- und CloudWatch API-Aktionen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "elasticmapreduce:ModifyInstanceGroups", "elasticmapreduce:ListInstanceGroups", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Amazon Keyspace-Tabellen
Die folgende identitätsbasierte Richtlinie gewährt Berechtigungen für alle Amazon Keyspaces und CloudWatch API-Aktionen, die erforderlich sind.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cassandra:Select", "cassandra:Alter", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Lambda-Funktionen
Die folgende identitätsbasierte Richtlinie gewährt Berechtigungen für alle erforderlichen Lambda- und CloudWatch API-Aktionen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "lambda:PutProvisionedConcurrencyConfig", "lambda:GetProvisionedConcurrencyConfig", "lambda:DeleteProvisionedConcurrencyConfig", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Amazon Managed Streaming for Apache Kafka (MSK) Broker-Speicher
Die folgende identitätsbasierte Richtlinie gewährt Berechtigungen für alle Amazon MSK- und CloudWatch API-Aktionen, die erforderlich sind.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kafka:DescribeCluster", "kafka:DescribeClusterOperation", "kafka:UpdateBrokerStorage", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Neptune-Cluster
Die folgende identitätsbasierte Richtlinie gewährt Berechtigungen für alle erforderlichen Neptune- und CloudWatch API-Aktionen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "rds:AddTagsToResource", "rds:CreateDBInstance", "rds:DescribeDBInstances", "rds:DescribeDBClusters", "rds:DescribeDBClusterParameters", "rds:DeleteDBInstance", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
SageMaker Endpunkte
Die folgende identitätsbasierte Richtlinie gewährt Berechtigungen für alle SageMaker erforderlichen CloudWatch API-Aktionen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sagemaker:DescribeEndpoint", "sagemaker:DescribeEndpointConfig", "sagemaker:DescribeInferenceComponent", "sagemaker:UpdateEndpointWeightsAndCapacities", "sagemaker:UpdateInferenceComponentRuntimeConfig", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Amazon EC2-Spot-Flotte
Die folgende identitätsbasierte Richtlinie gewährt Berechtigungen für alle erforderlichen Spot-Flotten- und CloudWatch API-Aktionen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeSpotFleetRequests", "ec2:ModifySpotFleetRequest", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Benutzerdefinierte Ressourcen
Die folgende identitätsbasierte Richtlinie gewährt die Berechtigung für die API-Ausführungsaktion des API-Gateways. Diese Richtlinie gewährt auch Berechtigungen für alle erforderlichen CloudWatch Aktionen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "execute-api:Invoke", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Berechtigungen für die Arbeit in der AWS Management Console
Es gibt keine eigenständige Konsole für Application Auto Scaling. Die meisten Dienste, die in Application Auto Scaling integriert sind, verfügen über Funktionen, die Sie bei der Konfiguration der Skalierung über ihre Konsole unterstützen.
In den meisten Fällen stellt jeder Dienst AWS verwaltete (vordefinierte) IAM-Richtlinien bereit, die den Zugriff auf seine Konsole definieren, einschließlich Berechtigungen für die Application Auto Scaling API-Aktionen. Weitere Informationen finden Sie in der Dokumentation des Service, dessen Konsole Sie verwenden möchten.
Sie können auch Ihre eigenen benutzerdefinierten IAM-Richtlinien erstellen, um Benutzern fein abgestufte Berechtigungen zum Anzeigen und Arbeiten mit bestimmten Application Auto Scaling API-Aktionen in der AWS Management Console. Sie können die Beispielrichtlinien in den vorherigen Abschnitten verwenden. Sie sind jedoch für Anfragen konzipiert, die mit dem AWS CLI oder einem SDK gestellt werden. Für die Konsole werden zusätzliche API-Aktionen für bestimmte Features verwendet, was bei diesen Richtlinien zu unerwarteten Ergebnissen führen kann. Um beispielsweise Step Scaling zu konfigurieren, benötigen Benutzer möglicherweise zusätzliche Berechtigungen, um CloudWatch Alarme zu erstellen und zu verwalten.
Tipp
Verwenden Sie einen Service wie , um einfacher herauszufinden, welche API-Aktionen zum Ausführen von Aufgaben in der Konsole erforderlich sind AWS CloudTrail. Weitere Informationen finden Sie im AWS CloudTrail -Benutzerhandbuch.
Die folgende identitätsbasierte Richtlinie gewährt Berechtigungen zum Konfigurieren von Skalierungsrichtlinien für die Spot-Flotte. Zusätzlich zu den IAM-Berechtigungen für Spot-Flotte muss der Konsolenbenutzer, der über die Amazon-EC2-Konsole auf Flottenskalierungseinstellungen zugreift, über die entsprechenden Berechtigungen für die Services verfügen, die dynamische Skalierung unterstützen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "application-autoscaling:*", "ec2:DescribeSpotFleetRequests", "ec2:ModifySpotFleetRequest", "cloudwatch:DeleteAlarms", "cloudwatch:DescribeAlarmHistory", "cloudwatch:DescribeAlarms", "cloudwatch:DescribeAlarmsForMetric", "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics", "cloudwatch:PutMetricAlarm", "cloudwatch:DisableAlarmActions", "cloudwatch:EnableAlarmActions", "sns:CreateTopic", "sns:Subscribe", "sns:Get*", "sns:List*" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/ec2.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_EC2SpotFleetRequest", "Condition": { "StringLike": { "iam:AWSServiceName":"ec2.application-autoscaling.amazonaws.com" } } } ] }
Diese Richtlinie ermöglicht es Konsolenbenutzern, Skalierungsrichtlinien in der Amazon EC2 EC2-Konsole anzuzeigen und zu ändern sowie CloudWatch Alarme in der CloudWatch Konsole zu erstellen und zu verwalten.
Sie können die API-Aktionen anpassen, um den Benutzerzugriff zu beschränken. Beispielsweise bedeutet das Ersetzen von application-autoscaling:* durch application-autoscaling:Describe*, dass der Benutzer schreibgeschützten Zugriff hat.
Sie können die CloudWatch Berechtigungen auch nach Bedarf anpassen, um den Benutzerzugriff auf CloudWatch Funktionen einzuschränken. Weitere Informationen finden Sie unter Für die CloudWatch Konsole benötigte Berechtigungen im CloudWatch Amazon-Benutzerhandbuch.
