Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Wie Application Auto Scaling mit IAM funktioniert
Anmerkung
Im Dezember 2017 gab es ein Update für Application Auto Scaling, das mehrere dienstverknüpfte Rollen für integrierte Dienste von Application Auto Scaling ermöglichte. Damit Benutzer die Skalierung konfigurieren können, sind spezielle IAM-Berechtigungen und eine mit dem Service Application Auto Scaling verknüpfte Rolle (oder eine Service-Rolle für Amazon EMR Auto Scaling) erforderlich.
Bevor Sie IAM verwenden, um den Zugriff auf Application Auto Scaling zu verwalten, lernen Sie, welche IAM-Funktionen für die Verwendung mit Application Auto Scaling verfügbar sind.
| IAM-Feature | Unterstützung für Auto Scaling von Anwendungen |
|---|---|
|
Ja |
|
|
Ja |
|
|
Ja |
|
|
Ja |
|
|
Nein |
|
|
Nein |
|
|
Teilweise |
|
|
Ja |
|
|
Ja |
|
|
Ja |
Einen allgemeinen Überblick darüber, wie Application Auto Scaling und andere Funktionen mit den meisten IAM-Funktionen AWS-Services funktionieren AWS-Services , finden Sie im IAM-Benutzerhandbuch unter Diese Funktionen mit IAM.
Application Auto Scaling identitätsbasierte Richtlinien
Unterstützt Richtlinien auf Identitätsbasis: Ja
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität anfügen können, wie z. B. IAM-Benutzern, -Benutzergruppen oder -Rollen. Diese Richtlinien steuern, welche Aktionen die Benutzer und Rollen für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien im IAM-Benutzerhandbuch.
Mit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen zugelassen oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. Sie können den Prinzipal nicht in einer identitätsbasierten Richtlinie angeben, da er für den Benutzer oder die Rolle gilt, dem er zugeordnet ist. Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der IAM-Referenz für JSON-Richtlinienelemente im IAM-Benutzerhandbuch.
Beispiele für identitätsbasierte Richtlinien für Application Auto Scaling
Beispiele für identitätsbasierte Richtlinien von Application Auto Scaling finden Sie unter Beispiele für identitätsbasierte Richtlinien für Application Auto Scaling.
Aktionen
Unterstützt Richtlinienaktionen: Ja
In einer IAM-Richtlinienanweisung können Sie jede API-Aktion von jedem Service, der IAM unterstützt, angeben. Bei Application Auto Scaling setzen Sie folgendes Präfix vor den Namen der API-Aktion: application-autoscaling:. Beispiel: application-autoscaling:RegisterScalableTarget, application-autoscaling:PutScalingPolicy und application-autoscaling:DeregisterScalableTarget.
Um mehrere Aktionen in einer einzelnen Anweisung anzugeben, trennen Sie sie durch Beistriche, wie im folgenden Beispiel gezeigt.
"Action": [ "application-autoscaling:DescribeScalingPolicies", "application-autoscaling:DescribeScalingActivities"
Sie können auch Platzhalter (*) verwenden, um mehrere Aktionen anzugeben. Beispielsweise können Sie alle Aktionen festlegen, die mit dem Wort Describe beginnen, einschließlich der folgenden Aktion:
"Action": "application-autoscaling:Describe*"
Eine Liste der Application Auto Scaling-Aktionen finden Sie unter Von AWS Application Auto Scaling definierte Aktionen in der Service Authorization Reference.
Ressourcen
Unterstützt Richtlinienressourcen: Ja
In einer IAM-Richtlinienanweisung gibt das Resource-Element das Objekt oder die Objekte an, für die die Anweisung gilt. Bei Application Auto Scaling gilt jede IAM-Richtlinienanweisung für die skalierbaren Ziele, die Sie mit ihren Amazon-Ressourcennamen (ARNs) angeben.
Das ARN-Ressourcenformat für skalierbare Ziele:
arn:aws:application-autoscaling:region:account-id:scalable-target/unique-identifierSie können zum Beispiel ein bestimmtes skalierbares Ziel in Ihrer Anweisung mit seinem ARN wie folgt angeben. Die eindeutige ID (1234abcd56ab78cd901ef1234567890ab123) ist ein Wert, der dem skalierbaren Ziel von Application Auto Scaling zugewiesen wird.
"Resource": "arn:aws:application-autoscaling:us-east-1:123456789012:scalable-target/1234abcd56ab78cd901ef1234567890ab123"Sie können alle Instances angeben, die zu einem bestimmten Konto gehören, indem Sie den eindeutigen Bezeichner wie folgt durch einen Platzhalter (*) ersetzen.
"Resource": "arn:aws:application-autoscaling:us-east-1:123456789012:scalable-target/*"Um alle Ressourcen anzugeben oder falls eine bestimmte API-Aktion dies nicht unterstützt ARNs, verwenden Sie einen Platzhalter (*) als Resource Element wie folgt.
"Resource": "*"Weitere Informationen finden Sie unter Von AWS Application Auto Scaling definierte Ressourcentypen in der Service Authorization Reference.
Bedingungsschlüssel
Unterstützt servicespezifische Richtlinienbedingungsschlüssel: Ja
Sie können in den IAM-Richtlinien Bedingungen festlegen, die den Zugriff auf Application Auto Scaling-Ressourcen steuern. Die Richtlinienanweisung ist nur wirksam, wenn diese Bedingungen erfüllt sind.
Application Auto Scaling unterstützt die folgenden servicedefinierten Bedingungsschlüssel, die Sie in identitätsbasierten Richtlinien verwenden können, um zu bestimmen, wer Application Auto Scaling-API-Aktionen durchführen darf.
-
application-autoscaling:scalable-dimension -
application-autoscaling:service-namespace
Informationen zu den API-Aktionen von Application Auto Scaling, mit denen Sie einen Bedingungsschlüssel verwenden können, finden Sie unter Von AWS Application Auto Scaling definierte Aktionen in der Service Authorization Reference. Weitere Informationen zur Verwendung von Application Auto Scaling-Bedingungsschlüsseln finden Sie unter Bedingungsschlüssel für AWS Application Auto Scaling.
Informationen zu den globalen Bedingungsschlüsseln, die für alle Dienste verfügbar sind, finden Sie unter globalen Bedingungskontextschlüsseln für AWS im IAM-Benutzerhandbuch.
Ressourcenbasierte Richtlinien
Unterstützt ressourcenbasierte Richtlinien: Nein
Andere AWS Dienste, wie Amazon Simple Storage Service, unterstützen ressourcenbasierte Berechtigungsrichtlinien. Beispielsweise können Sie einem S3-Bucket eine Berechtigungsrichtlinie zuweisen, um die Zugriffsberechtigungen für diesen Bucket zu verwalten.
Application Auto Scaling unterstützt keine ressourcenbasierten Richtlinien.
Zugriffskontrolllisten () ACLs
Unterstützt ACLs: Nein
Application Auto Scaling unterstützt keine Zugriffskontrolllisten (ACLs).
ABAC mit Application Auto Scaling
Unterstützt ABAC (Tags in Richtlinien): Teilweise
Die attributbasierte Zugriffskontrolle (ABAC) ist eine Autorisierungsstrategie, bei der Berechtigungen basierend auf Attributen definiert werden. In AWS werden diese Attribute als Tags bezeichnet. Sie können Tags an IAM-Entitäten (Benutzer oder Rollen) und an viele AWS Ressourcen anhängen. Das Markieren von Entitäten und Ressourcen ist der erste Schritt von ABAC. Anschließend entwerfen Sie ABAC-Richtlinien, um Operationen zuzulassen, wenn das Tag des Prinzipals mit dem Tag der Ressource übereinstimmt, auf die sie zugreifen möchten.
ABAC ist in Umgebungen hilfreich, die schnell wachsen, und unterstützt Sie in Situationen, in denen die Richtlinienverwaltung mühsam wird.
Um den Zugriff auf der Grundlage von Tags zu steuern, geben Sie im Bedingungselement einer Richtlinie Tag-Informationen an, indem Sie die Schlüssel aws:ResourceTag/, key-nameaws:RequestTag/, oder Bedingung key-nameaws:TagKeys verwenden.
ABAC ist für Ressourcen möglich, die Tags unterstützen. Tags werden jedoch nicht von allen Ressourcen unterstützt. Geplante Aktionen und Skalierungsrichtlinien unterstützen keine Tags, aber skalierbare Ziele unterstützen Tags. Weitere Informationen finden Sie unter Tagging-Unterstützung für Auto Scaling von Anwendungen.
Weitere Informationen zu ABAC finden Sie unter Was ist ABAC? im IAM-Benutzerhandbuch. Um ein Tutorial mit Schritten zur Einstellung von ABAC anzuzeigen, siehe Attributbasierte Zugriffskontrolle (ABAC) verwenden im IAM-Benutzerhandbuch.
Verwendung temporärer Anmeldeinformationen mit Application Auto Scaling
Unterstützt temporäre Anmeldeinformationen: Ja
Einige funktionieren AWS-Services nicht, wenn Sie sich mit temporären Anmeldeinformationen anmelden. Weitere Informationen, einschließlich Informationen, die mit temporären Anmeldeinformationen AWS-Services funktionieren AWS-Services , finden Sie im IAM-Benutzerhandbuch unter Diese Option funktioniert mit IAM.
Sie verwenden temporäre Anmeldeinformationen, wenn Sie sich mit einer anderen AWS Management Console Methode als einem Benutzernamen und einem Passwort anmelden. Wenn Sie beispielsweise AWS über den Single Sign-On-Link (SSO) Ihres Unternehmens darauf zugreifen, werden bei diesem Vorgang automatisch temporäre Anmeldeinformationen erstellt. Sie erstellen auch automatisch temporäre Anmeldeinformationen, wenn Sie sich als Benutzer bei der Konsole anmelden und dann die Rollen wechseln. Weitere Informationen zum Wechseln von Rollen finden Sie unter Wechseln von einer Benutzerrolle zu einer IAM-Rolle (Konsole) im IAM-Benutzerhandbuch.
Mithilfe der AWS API AWS CLI oder können Sie temporäre Anmeldeinformationen manuell erstellen. Sie können diese temporären Anmeldeinformationen dann für den Zugriff verwenden AWS. AWS empfiehlt, temporäre Anmeldeinformationen dynamisch zu generieren, anstatt langfristige Zugriffsschlüssel zu verwenden. Weitere Informationen finden Sie unter Temporäre Sicherheitsanmeldeinformationen in IAM.
Servicerollen
Unterstützt Servicerollen: Ja
Wenn Ihr Amazon EMR-Cluster automatische Skalierung verwendet, ermöglicht dieses Feature Application Auto Scaling, eine Service-Rolle in Ihrem Namen zu übernehmen. Ähnlich wie bei einer serviceverknüpften Rolle ermöglicht eine Servicerolle dem Service den Zugriff auf Ressourcen in anderen Services, um eine Aktion in Ihrem Namen durchzuführen. Servicerollen werden in Ihrem IAM-Konto angezeigt und gehören zum Konto. Dies bedeutet, dass ein IAM-Administrator die Berechtigungen für diese Rolle ändern kann. Dies kann jedoch die Funktionalität des Dienstes beeinträchtigen.
Application Auto Scaling unterstützt nur Service-Rollen für Amazon EMR. Die Dokumentation für die EMR-Service-Rolle finden Sie unter Verwendung der automatischen Skalierung mit einer benutzerdefinierten Richtlinie für Instance-Gruppe im Amazon EMR Management Leitfaden.
Anmerkung
Mit der Einführung von serviceverknüpften Rollen sind mehrere Legacy-Servicerollen nicht mehr erforderlich, beispielsweise für Amazon ECS und Spot-Flotte.
Service-verknüpfte Rollen
Unterstützt serviceverknüpfte Rollen: Ja
Eine serviceverknüpfte Rolle ist eine Art von Servicerolle, die mit einer verknüpft ist. AWS-Service Der Service kann die Rolle übernehmen, um eine Aktion in Ihrem Namen auszuführen. Dienstbezogene Rollen werden in Ihrem Dienst angezeigt AWS-Konto und gehören dem Dienst. Ein IAM-Administrator kann die Berechtigungen für Service-verknüpfte Rollen anzeigen, aber nicht bearbeiten.
Weitere Informationen zu serviceverknüpften Rollen für Application Auto Scaling finden Sie unter Servicegebundene Rollen für Application Auto Scaling.
