Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Beispiele für identitätsbasierte Richtlinien für Application Auto Scaling
Standardmäßig AWS-Konto hat ein brandneuer Benutzer in Ihrem Bereich keine Rechte, etwas zu tun. Ein IAM Administrator muss IAM Richtlinien erstellen und zuweisen, die einer IAM Identität (z. B. einem Benutzer oder einer Rolle) die Berechtigung zur Ausführung von Application Auto Scaling API Scaling-Aktionen erteilen.
Informationen zum Erstellen einer IAM Richtlinie anhand der folgenden JSON Beispieldokumente finden Sie unter Richtlinien erstellen auf der JSON Registerkarte im IAMBenutzerhandbuch.
Inhalt
Erforderliche Berechtigungen für Application Auto Scaling API Scaling-Aktionen
Die folgenden Richtlinien gewähren Berechtigungen für allgemeine Anwendungsfälle beim Aufrufen von Application Auto ScalingAPI. Lesen Sie diesen Abschnitt beim Schreiben von identitätsbasierten Richtlinien. Jede Richtlinie gewährt Berechtigungen für alle oder einige der Application Auto Scaling API Scaling-Aktionen. Sie müssen außerdem sicherstellen, dass Endbenutzer über Berechtigungen für den Zieldienst und verfügen CloudWatch (Einzelheiten finden Sie im nächsten Abschnitt).
Die folgende identitätsbasierte Richtlinie gewährt Berechtigungen für alle Application Auto Scaling API Scaling-Aktionen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "application-autoscaling:*" ], "Resource": "*" } ] }
Die folgende identitätsbasierte Richtlinie gewährt Berechtigungen für alle Application Auto Scaling API Scaling-Aktionen, die für die Konfiguration von Skalierungsrichtlinien erforderlich sind, und nicht für geplante Aktionen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "application-autoscaling:RegisterScalableTarget", "application-autoscaling:DescribeScalableTargets", "application-autoscaling:DeregisterScalableTarget", "application-autoscaling:PutScalingPolicy", "application-autoscaling:DescribeScalingPolicies", "application-autoscaling:DescribeScalingActivities", "application-autoscaling:DeleteScalingPolicy" ], "Resource": "*" } ] }
Die folgende identitätsbasierte Richtlinie gewährt Berechtigungen für alle Application Auto Scaling API Scaling-Aktionen, die für die Konfiguration von geplanten Aktionen und nicht für Skalierungsrichtlinien erforderlich sind.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "application-autoscaling:RegisterScalableTarget", "application-autoscaling:DescribeScalableTargets", "application-autoscaling:DeregisterScalableTarget", "application-autoscaling:PutScheduledAction", "application-autoscaling:DescribeScheduledActions", "application-autoscaling:DescribeScalingActivities", "application-autoscaling:DeleteScheduledAction" ], "Resource": "*" } ] }
Erforderliche Berechtigungen für API Aktionen auf Zieldiensten und CloudWatch
Um Application Auto Scaling erfolgreich mit dem Zielservice zu konfigurieren und zu verwenden, müssen Endbenutzern Berechtigungen für Amazon CloudWatch und für jeden Zielservice, für den sie die Skalierung konfigurieren, erteilt werden. Verwenden Sie die folgenden Richtlinien, um die Mindestberechtigungen zu gewähren, die für die Arbeit mit den Zieldiensten und erforderlich sind CloudWatch.
Inhalt
- AppStream 2.0-Flotten
- Aurora-Replikate
- Amazon Comprehend-Dokumentklassifizierungs- und Entitätserkennungs-Endpunkte
- DynamoDB-Tabellen und globale sekundäre Indizes
- ECSDienste
- ElastiCache Replikationsgruppen
- EMRAmazon-Cluster
- Amazon Keyspace-Tabellen
- Lambda-Funktionen
- Amazon Managed Streaming for Apache Kafka (MSK) Brokerspeicher
- Neptune-Cluster
- SageMaker Endpunkte
- Spot-Flotten (AmazonEC2)
- Benutzerdefinierte Ressourcen
AppStream 2.0-Flotten
Die folgende identitätsbasierte Richtlinie gewährt Berechtigungen für alle AppStream 2.0-Versionen und alle erforderlichen CloudWatch API Aktionen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "appstream:DescribeFleets", "appstream:UpdateFleet", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Aurora-Replikate
Die folgende identitätsbasierte Richtlinie gewährt Berechtigungen für alle Aurora und alle erforderlichen CloudWatch API Aktionen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "rds:AddTagsToResource", "rds:CreateDBInstance", "rds:DeleteDBInstance", "rds:DescribeDBClusters", "rds:DescribeDBInstances", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Amazon Comprehend-Dokumentklassifizierungs- und Entitätserkennungs-Endpunkte
Die folgende identitätsbasierte Richtlinie gewährt Berechtigungen für alle Amazon Comprehend und alle erforderlichen CloudWatch API Aktionen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "comprehend:UpdateEndpoint", "comprehend:DescribeEndpoint", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
DynamoDB-Tabellen und globale sekundäre Indizes
Die folgende identitätsbasierte Richtlinie gewährt Berechtigungen für alle DynamoDB und CloudWatch API Aktionen, die erforderlich sind.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "dynamodb:DescribeTable", "dynamodb:UpdateTable", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
ECSDienste
Die folgende identitätsbasierte Richtlinie gewährt allen Berechtigungen ECS und CloudWatch API Aktionen, die erforderlich sind.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeServices", "ecs:UpdateService", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
ElastiCache Replikationsgruppen
Die folgende identitätsbasierte Richtlinie gewährt allen Benutzern Berechtigungen ElastiCache und die erforderlichen CloudWatch API Aktionen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "elasticache:ModifyReplicationGroupShardConfiguration", "elasticache:IncreaseReplicaCount", "elasticache:DecreaseReplicaCount", "elasticache:DescribeReplicationGroups", "elasticache:DescribeCacheClusters", "elasticache:DescribeCacheParameters", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
EMRAmazon-Cluster
Die folgende identitätsbasierte Richtlinie gewährt allen Amazon Berechtigungen EMR und die erforderlichen CloudWatch API Aktionen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "elasticmapreduce:ModifyInstanceGroups", "elasticmapreduce:ListInstanceGroups", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Amazon Keyspace-Tabellen
Die folgende identitätsbasierte Richtlinie gewährt Berechtigungen für alle Amazon Keyspaces und CloudWatch API Aktionen, die erforderlich sind.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cassandra:Select", "cassandra:Alter", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Lambda-Funktionen
Die folgende identitätsbasierte Richtlinie gewährt Berechtigungen für alle Lambda und CloudWatch API Aktionen, die erforderlich sind.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "lambda:PutProvisionedConcurrencyConfig", "lambda:GetProvisionedConcurrencyConfig", "lambda:DeleteProvisionedConcurrencyConfig", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Amazon Managed Streaming for Apache Kafka (MSK) Brokerspeicher
Die folgende identitätsbasierte Richtlinie gewährt allen Amazon Berechtigungen MSK und die erforderlichen CloudWatch API Aktionen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kafka:DescribeCluster", "kafka:DescribeClusterOperation", "kafka:UpdateBrokerStorage", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Neptune-Cluster
Die folgende identitätsbasierte Richtlinie gewährt Berechtigungen für alle Neptune und die erforderlichen CloudWatch API Aktionen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "rds:AddTagsToResource", "rds:CreateDBInstance", "rds:DescribeDBInstances", "rds:DescribeDBClusters", "rds:DescribeDBClusterParameters", "rds:DeleteDBInstance", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
SageMaker Endpunkte
Die folgende identitätsbasierte Richtlinie gewährt allen Benutzern Berechtigungen SageMaker und die erforderlichen CloudWatch API Aktionen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sagemaker:DescribeEndpoint", "sagemaker:DescribeEndpointConfig", "sagemaker:DescribeInferenceComponent", "sagemaker:UpdateEndpointWeightsAndCapacities", "sagemaker:UpdateInferenceComponentRuntimeConfig", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Spot-Flotten (AmazonEC2)
Die folgende identitätsbasierte Richtlinie gewährt Berechtigungen für alle Spot-Flotten und CloudWatch API Aktionen, die erforderlich sind.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeSpotFleetRequests", "ec2:ModifySpotFleetRequest", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Benutzerdefinierte Ressourcen
Die folgende identitätsbasierte Richtlinie erteilt dem Gateway die Erlaubnis, die API Aktion auszuführen. API Diese Richtlinie gewährt auch Berechtigungen für alle erforderlichen CloudWatch Aktionen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "execute-api:Invoke", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Berechtigungen für die Arbeit in AWS Management Console
Es gibt keine eigenständige Konsole für Application Auto Scaling. Die meisten Dienste, die in Application Auto Scaling integriert sind, verfügen über Funktionen, die Sie bei der Konfiguration der Skalierung über ihre Konsole unterstützen.
In den meisten Fällen stellt jeder Dienst AWS verwaltete (vordefinierte) IAM Richtlinien bereit, die den Zugriff auf seine Konsole definieren, was auch Berechtigungen für die Application Auto Scaling API Scaling-Aktionen beinhaltet. Weitere Informationen finden Sie in der Dokumentation des Service, dessen Konsole Sie verwenden möchten.
Sie können auch Ihre eigenen benutzerdefinierten IAM Richtlinien erstellen, um Benutzern detaillierte Berechtigungen zum Anzeigen und Arbeiten mit bestimmten Application Auto Scaling API Scaling-Aktionen in der zu gewähren. AWS Management Console Sie können die Beispielrichtlinien aus den vorherigen Abschnitten verwenden. Sie sind jedoch für Anfragen konzipiert, die mit AWS CLI oder an gestellt werden. SDK Die Konsole verwendet zusätzliche API Aktionen für ihre Funktionen, sodass diese Richtlinien möglicherweise nicht wie erwartet funktionieren. Um beispielsweise die schrittweise Skalierung zu konfigurieren, benötigen Benutzer möglicherweise zusätzliche Berechtigungen zum Erstellen und Verwalten von CloudWatch Alarmen.
Tipp
Um herauszufinden, welche API Aktionen zur Ausführung von Aufgaben in der Konsole erforderlich sind, können Sie einen Dienst wie verwenden AWS CloudTrail. Weitere Informationen finden Sie im AWS CloudTrail -Benutzerhandbuch.
Die folgende identitätsbasierte Richtlinie gewährt Berechtigungen zum Konfigurieren von Skalierungsrichtlinien für die Spot-Flotte. Zusätzlich zu den IAM Berechtigungen für Spot Fleet muss der Konsolenbenutzer, der über die EC2 Amazon-Konsole auf die Flottenskalierungseinstellungen zugreift, über die entsprechenden Berechtigungen für die Dienste verfügen, die dynamische Skalierung unterstützen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "application-autoscaling:*", "ec2:DescribeSpotFleetRequests", "ec2:ModifySpotFleetRequest", "cloudwatch:DeleteAlarms", "cloudwatch:DescribeAlarmHistory", "cloudwatch:DescribeAlarms", "cloudwatch:DescribeAlarmsForMetric", "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics", "cloudwatch:PutMetricAlarm", "cloudwatch:DisableAlarmActions", "cloudwatch:EnableAlarmActions", "sns:CreateTopic", "sns:Subscribe", "sns:Get*", "sns:List*" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/ec2.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_EC2SpotFleetRequest", "Condition": { "StringLike": { "iam:AWSServiceName":"ec2.application-autoscaling.amazonaws.com" } } } ] }
Diese Richtlinie ermöglicht es Konsolenbenutzern, Skalierungsrichtlinien in der EC2 Amazon-Konsole einzusehen und zu ändern sowie CloudWatch Alarme in der CloudWatch Konsole zu erstellen und zu verwalten.
Sie können die API Aktionen anpassen, um den Benutzerzugriff einzuschränken. Beispielsweise bedeutet das Ersetzen von application-autoscaling:* durch application-autoscaling:Describe*, dass der Benutzer schreibgeschützten Zugriff hat.
Sie können die CloudWatch Berechtigungen auch nach Bedarf anpassen, um den Benutzerzugriff auf CloudWatch Funktionen einzuschränken. Weitere Informationen finden Sie unter Für die CloudWatch Konsole benötigte Berechtigungen im CloudWatch Amazon-Benutzerhandbuch.
