Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
So funktioniert Application Auto Scaling mit IAM
Anmerkung
Im Dezember 2017 gab es ein Update für Application Auto Scaling, das mehrere dienstverknüpfte Rollen für integrierte Dienste von Application Auto Scaling ermöglichte. Spezifische IAM Berechtigungen und eine mit dem Service verknüpfte Rolle mit Application Auto Scaling (oder eine Servicerolle für Amazon EMR Auto Scaling) sind erforderlich, damit Benutzer die Skalierung konfigurieren können.
Bevor Sie IAM den Zugriff auf Application Auto Scaling verwalten, sollten Sie sich darüber informieren, welche IAM Funktionen für Application Auto Scaling verfügbar sind.
IAMMerkmal | Unterstützung für Auto Scaling von Anwendungen |
---|---|
Ja |
|
Ja |
|
Ja |
|
Ja |
|
Nein |
|
Nein |
|
Teilweise |
|
Ja |
|
Ja |
|
Ja |
Einen allgemeinen Überblick darüber, wie Application Auto Scaling und andere AWS-Services IAM Funktionen mit den meisten Funktionen funktionieren AWS-Services , finden Sie IAM im IAMBenutzerhandbuch.
Application Auto Scaling identitätsbasierte Richtlinien
Unterstützt Richtlinien auf Identitätsbasis: Ja
Identitätsbasierte Richtlinien sind Dokumente mit JSON Berechtigungsrichtlinien, die Sie an eine Identität anhängen können, z. B. an einen IAM Benutzer, eine Benutzergruppe oder eine Rolle. Diese Richtlinien steuern, welche Aktionen die Benutzer und Rollen für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen einer identitätsbasierten Richtlinie finden Sie unter IAMRichtlinien erstellen im Benutzerhandbuch. IAM
Mit IAM identitätsbasierten Richtlinien können Sie zulässige oder verweigerte Aktionen und Ressourcen sowie die Bedingungen angeben, unter denen Aktionen zulässig oder verweigert werden. Sie können den Prinzipal nicht in einer identitätsbasierten Richtlinie angeben, da er für den Benutzer oder die Rolle gilt, dem er zugeordnet ist. Weitere Informationen zu allen Elementen, die Sie in einer JSON Richtlinie verwenden können, finden Sie im IAMBenutzerhandbuch unter Referenz zu IAM JSON Richtlinienelementen.
Beispiele für identitätsbasierte Richtlinien für Application Auto Scaling
Beispiele für identitätsbasierte Richtlinien von Application Auto Scaling finden Sie unter Beispiele für identitätsbasierte Richtlinien für Application Auto Scaling.
Aktionen
Unterstützt Richtlinienaktionen: Ja
In einer IAM Richtlinienerklärung können Sie jede API Aktion eines beliebigen Dienstes angeben, der dies unterstütztIAM. Verwenden Sie für Application Auto Scaling das folgende Präfix mit dem Namen der API Aktion:application-autoscaling:
. Beispiel: application-autoscaling:RegisterScalableTarget
, application-autoscaling:PutScalingPolicy
und application-autoscaling:DeregisterScalableTarget
.
Um mehrere Aktionen in einer einzelnen Anweisung anzugeben, trennen Sie sie durch Beistriche, wie im folgenden Beispiel gezeigt.
"Action": [ "application-autoscaling:DescribeScalingPolicies", "application-autoscaling:DescribeScalingActivities"
Sie können auch Platzhalter (*) verwenden, um mehrere Aktionen anzugeben. Beispielsweise können Sie alle Aktionen festlegen, die mit dem Wort Describe
beginnen, einschließlich der folgenden Aktion:
"Action": "application-autoscaling:Describe*"
Eine Liste der Application Auto Scaling-Aktionen finden Sie unter Von AWS Application Auto Scaling definierte Aktionen in der Service Authorization Reference.
Ressourcen
Unterstützt Richtlinienressourcen: Ja
In einer IAM Richtlinienanweisung gibt das Resource
Element das Objekt oder die Objekte an, auf die sich die Anweisung bezieht. Bei Application Auto Scaling gilt jede IAM Richtlinienerklärung für die skalierbaren Ziele, die Sie mit ihren Amazon-Ressourcennamen (ARNs) angeben.
Das ARN Ressourcenformat für skalierbare Ziele:
arn:aws:application-autoscaling:region
:account-id
:scalable-target/unique-identifier
Sie können in Ihrer Aussage beispielsweise ein bestimmtes skalierbares Ziel angeben, indem Sie es ARN wie folgt verwenden. Die eindeutige ID (1234abcd56ab78cd901ef1234567890ab123) ist ein Wert, der dem skalierbaren Ziel von Application Auto Scaling zugewiesen wird.
"Resource": "arn:aws:application-autoscaling:us-east-1:123456789012:scalable-target/1234abcd56ab78cd901ef1234567890ab123"
Sie können alle Instances angeben, die zu einem bestimmten Konto gehören, indem Sie den eindeutigen Bezeichner wie folgt durch einen Platzhalter (*) ersetzen.
"Resource": "arn:aws:application-autoscaling:us-east-1:123456789012:scalable-target/*"
Um alle Ressourcen anzugeben oder falls eine bestimmte API Aktion dies nicht unterstütztARNs, verwenden Sie einen Platzhalter (*) als Resource
Element wie folgt.
"Resource": "*"
Weitere Informationen finden Sie unter Von AWS Application Auto Scaling definierte Ressourcentypen in der Service Authorization Reference.
Bedingungsschlüssel
Unterstützt servicespezifische Richtlinienbedingungsschlüssel: Ja
Sie können Bedingungen in den IAM Richtlinien angeben, die den Zugriff auf Application Auto Scaling Scaling-Ressourcen steuern. Die Richtlinienanweisung ist nur wirksam, wenn diese Bedingungen erfüllt sind.
Application Auto Scaling unterstützt die folgenden dienstdefinierten Bedingungsschlüssel, die Sie in identitätsbasierten Richtlinien verwenden können, um zu bestimmen, wer Application Auto Scaling Scaling-Aktionen ausführen kann. API
-
application-autoscaling:scalable-dimension
-
application-autoscaling:service-namespace
Informationen zu den API Aktionen von Application Auto Scaling, mit denen Sie einen Bedingungsschlüssel verwenden können, finden Sie unter Von AWS Application Auto Scaling definierte Aktionen in der Service Authorization Reference. Weitere Informationen zur Verwendung von Application Auto Scaling-Bedingungsschlüsseln finden Sie unter Bedingungsschlüssel für AWS Application Auto Scaling.
Informationen zu den globalen Bedingungsschlüsseln, die für alle Dienste verfügbar sind, finden Sie im IAMBenutzerhandbuch unter Kontext-Schlüssel für AWS globale Bedingungen.
Ressourcenbasierte Richtlinien
Unterstützt ressourcenbasierte Richtlinien: Nein
Andere AWS Dienste, wie Amazon Simple Storage Service, unterstützen ressourcenbasierte Berechtigungsrichtlinien. Beispielsweise können Sie einem S3-Bucket eine Berechtigungsrichtlinie zuweisen, um die Zugriffsberechtigungen für diesen Bucket zu verwalten.
Application Auto Scaling unterstützt keine ressourcenbasierten Richtlinien.
Zugriffskontrolllisten () ACLs
UnterstütztACLs: Nein
Application Auto Scaling unterstützt keine Zugriffskontrolllisten (ACLs).
ABACmit Application Auto Scaling
Unterstützungen ABAC (Tags in Richtlinien): Teilweise
Die attributbasierte Zugriffskontrolle (ABAC) ist eine Autorisierungsstrategie, bei der Berechtigungen auf der Grundlage von Attributen definiert werden. In werden AWS diese Attribute als Tags bezeichnet. Sie können Tags an IAM Entitäten (Benutzer oder Rollen) und an viele AWS Ressourcen anhängen. Das Markieren von Entitäten und Ressourcen ist der erste Schritt vonABAC. Anschließend entwerfen Sie ABAC Richtlinien, die Operationen zulassen, wenn das Tag des Prinzipals mit dem Tag auf der Ressource übereinstimmt, auf die er zugreifen möchte.
ABACist hilfreich in Umgebungen, die schnell wachsen, und hilft in Situationen, in denen die Richtlinienverwaltung umständlich wird.
Um den Zugriff auf der Grundlage von Tags zu steuern, geben Sie im Bedingungselement einer Richtlinie Tag-Informationen an, indem Sie die Schlüssel aws:ResourceTag/
, key-name
aws:RequestTag/
, oder Bedingung key-name
aws:TagKeys
verwenden.
ABACist für Ressourcen möglich, die Tags unterstützen, aber nicht alles unterstützt Tags. Geplante Aktionen und Skalierungsrichtlinien unterstützen keine Tags, aber skalierbare Ziele unterstützen Tags. Weitere Informationen finden Sie unter Tagging-Unterstützung für Auto Scaling von Anwendungen.
Weitere Informationen zu ABAC finden Sie unter Was istABAC? im IAMBenutzerhandbuch. Ein Tutorial mit Schritten zur Einrichtung finden Sie im ABAC Benutzerhandbuch unter Verwenden der attributebasierten Zugriffskontrolle (ABAC). IAM
Verwendung temporärer Anmeldeinformationen mit Application Auto Scaling
Unterstützt temporäre Anmeldeinformationen: Ja
Einige funktionieren AWS-Services nicht, wenn Sie sich mit temporären Anmeldeinformationen anmelden. Weitere Informationen, einschließlich Informationen darüber, AWS-Services wie Sie mit temporären Anmeldeinformationen arbeiten können AWS-Services , finden Sie IAM im IAMBenutzerhandbuch unter Diese Informationen.
Sie verwenden temporäre Anmeldeinformationen, wenn Sie sich mit einer anderen AWS Management Console Methode als einem Benutzernamen und einem Kennwort anmelden. Wenn Sie beispielsweise AWS über den Single Sign-On-Link (SSO) Ihres Unternehmens darauf zugreifen, werden bei diesem Vorgang automatisch temporäre Anmeldeinformationen erstellt. Sie erstellen auch automatisch temporäre Anmeldeinformationen, wenn Sie sich als Benutzer bei der Konsole anmelden und dann die Rollen wechseln. Weitere Informationen zum Rollenwechsel finden Sie unter Wechseln zu einer Rolle (Konsole) im IAMBenutzerhandbuch.
Mit dem AWS CLI oder können Sie manuell temporäre Anmeldeinformationen erstellen AWS API. Sie können diese temporären Anmeldeinformationen dann für den Zugriff verwenden AWS. AWS empfiehlt, temporäre Anmeldeinformationen dynamisch zu generieren, anstatt langfristige Zugriffsschlüssel zu verwenden. Weitere Informationen finden Sie unter Temporäre Sicherheitsanmeldeinformationen unter IAM.
Servicerollen
Unterstützt Servicerollen: Ja
Wenn Ihr EMR Amazon-Cluster automatische Skalierung verwendet, ermöglicht diese Funktion Application Auto Scaling, in Ihrem Namen eine Servicerolle zu übernehmen. Ähnlich wie bei einer serviceverknüpften Rolle ermöglicht eine Servicerolle dem Service den Zugriff auf Ressourcen in anderen Services, um eine Aktion in Ihrem Namen durchzuführen. Servicerollen werden in Ihrem IAM Konto angezeigt und gehören dem Konto. Das bedeutet, dass ein IAM Administrator die Berechtigungen für diese Rolle ändern kann. Dies kann jedoch die Funktionalität des Dienstes beeinträchtigen.
Application Auto Scaling unterstützt Servicerollen nur für AmazonEMR. Die Dokumentation zur EMR Servicerolle finden Sie unter Automatische Skalierung mit einer benutzerdefinierten Richtlinie für Instanzgruppen verwenden im Amazon EMR Management Guide.
Anmerkung
Mit der Einführung von serviceverknüpften Rollen sind mehrere ältere Servicerollen nicht mehr erforderlich, z. B. für Amazon ECS und Spot Fleet.
Service-verknüpfte Rollen
Unterstützt serviceverknüpfte Rollen: Ja
Eine serviceverknüpfte Rolle ist eine Art von Servicerolle, die mit einer verknüpft ist. AWS-Service Der Service kann die Rolle übernehmen, um eine Aktion in Ihrem Namen auszuführen. Dienstbezogene Rollen werden in Ihrem Dienst angezeigt AWS-Konto und gehören dem Dienst. Ein IAM Administrator kann die Berechtigungen für dienstbezogene Rollen anzeigen, aber nicht bearbeiten.
Weitere Informationen zu serviceverknüpften Rollen für Application Auto Scaling finden Sie unter Servicegebundene Rollen für Application Auto Scaling.