Vertrauenswürdiger Zugriff für AWS Organizations Richtlinie zur Anmeldung bei Compute Optimizer Zugriff für eigenständige Konten Zugriff für Verwaltungskonten Zugriff zur Verwaltung der Empfehlungseinstellungen Aktivieren Sie Lizenzempfehlungen Zugriffsverweigerung Weitere Ressourcen

Identity and Access Management für AWS Compute Optimizer

Sie können AWS Identity and Access Management (IAM) verwenden, um Identitäten (Benutzer, Gruppen oder Rollen) zu erstellen und diesen Identitäten Zugriffsberechtigungen für die AWS Compute Optimizer Konsole und zu erteilen. APIs

Standardmäßig haben IAM Benutzer keinen Zugriff auf die Compute Optimizer Optimizer-Konsole undAPIs. Sie gewähren Benutzern Zugriff, indem Sie IAM Richtlinien an einen einzelnen Benutzer, eine Benutzergruppe oder eine Rolle anhängen. Weitere Informationen finden Sie unter Identitäten (Benutzer, Gruppen und Rollen) und Überblick über IAM Richtlinien im IAM Benutzerhandbuch.

Nachdem Sie IAM Benutzer erstellt haben, können Sie diesen Benutzern individuelle Passwörter geben. Anschließend können sie sich über eine kontospezifische Anmeldeseite bei Ihrem Konto anmelden und Compute Optimizer Optimizer-Informationen einsehen. Weitere Informationen finden Sie unter Wie sich Benutzer bei Ihrem Konto anmelden.

Wichtig

Um Empfehlungen für EC2 Instanzen anzeigen zu können, benötigt ein IAM Benutzer die entsprechende Genehmigung. ec2:DescribeInstances
Um Empfehlungen für EBS Volumes anzeigen zu können, benötigt ein IAM Benutzer die ec2:DescribeVolumes entsprechende Genehmigung.
Um Empfehlungen für Auto Scaling Scaling-Gruppen anzuzeigen, benötigt ein IAM Benutzer die autoscaling:DescribeAutoScalingInstances Berechtigungen autoscaling:DescribeAutoScalingGroups und.
Um Empfehlungen für Lambda-Funktionen anzuzeigen, benötigt ein IAM Benutzer die lambda:ListProvisionedConcurrencyConfigs Berechtigungen lambda:ListFunctions und.
Um Empfehlungen für ECS Amazon-Dienste auf Fargate zu sehen, benötigt ein IAM Benutzer die ecs:ListClusters Berechtigungen ecs:ListServices und.
Um aktuelle CloudWatch Metrikdaten in der Compute Optimizer Optimizer-Konsole anzuzeigen, benötigt ein IAM Benutzer die cloudwatch:GetMetricData entsprechende Genehmigung.
Um Empfehlungen für kommerzielle Softwarelizenzen anzuzeigen, sind bestimmte EC2 Amazon-Instanzrollen und IAM Benutzerberechtigungen erforderlich. Weitere Informationen finden Sie unter Richtlinien zur Aktivierung von Empfehlungen für kommerzielle Softwarelizenzen.
Um Empfehlungen für Amazon anzuzeigenRDS, benötigt ein IAM Benutzer die rds:DescribeDBClusters Berechtigungen rds:DescribeDBInstances und.

Wenn der Benutzer oder die Gruppe, dem Sie Berechtigungen erteilen möchten, bereits über eine Richtlinie verfügt, können Sie dieser Richtlinie eine der Compute Optimizer Optimizer-spezifischen Richtlinienaussagen hinzufügen, die hier abgebildet sind.

Themen

Vertrauenswürdiger Zugriff für AWS Organizations
Richtlinie zur Anmeldung bei Compute Optimizer
Richtlinien zur Gewährung des Zugriffs auf Compute Optimizer for Standalone AWS-Konten
Richtlinien zur Gewährung des Zugriffs auf Compute Optimizer für ein Verwaltungskonto einer Organisation
Richtlinien zur Gewährung des Zugriffs auf die Verwaltung der Compute Optimizer Optimizer-Empfehlungseinstellungen
Richtlinien zur Aktivierung von Empfehlungen für kommerzielle Softwarelizenzen
Richtlinie zur Verweigerung des Zugriffs auf Compute Optimizer
Weitere Ressourcen

Vertrauenswürdiger Zugriff für AWS Organizations

Wenn Sie sich für die Verwendung des Verwaltungskontos Ihrer Organisation entscheiden und alle Mitgliedskonten innerhalb der Organisation einbeziehen, wird der vertrauenswürdige Zugriff für Compute Optimizer automatisch in Ihrem Organisationskonto aktiviert. Auf diese Weise kann Compute Optimizer die Rechenressourcen in diesen Mitgliedskonten analysieren und Empfehlungen für sie generieren.

Jedes Mal, wenn Sie auf Empfehlungen für Mitgliedskonten zugreifen, überprüft Compute Optimizer, ob der vertrauenswürdige Zugriff in Ihrem Organisationskonto aktiviert ist. Wenn Sie den vertrauenswürdigen Compute Optimizer-Zugriff deaktivieren, nachdem Sie sich angemeldet haben, verweigert Compute Optimizer den Zugriff auf Empfehlungen für die Mitgliedskonten Ihrer Organisation. Darüber hinaus sind die Mitgliedskonten innerhalb der Organisation nicht für Compute Optimizer angemeldet. Um den vertrauenswürdigen Zugriff wieder zu aktivieren, melden Sie sich erneut mit dem Verwaltungskonto Ihrer Organisation für Compute Optimizer an und schließen Sie alle Mitgliedskonten innerhalb der Organisation ein. Weitere Informationen finden Sie unter Melden Sie sich an für AWS Compute Optimizer. Weitere Informationen zum AWS Organizations vertrauenswürdigen Zugriff finden Sie im AWS Organizations Benutzerhandbuch unter Verwendung AWS Organizations mit anderen AWS Diensten.

Richtlinie zur Anmeldung bei Compute Optimizer

Diese Grundsatzerklärung gewährt Folgendes:

Zugriff, um sich für Compute Optimizer anzumelden.
Zugriff zum Erstellen einer serviceverknüpften Rolle für Compute Optimizer. Weitere Informationen finden Sie unter Verwenden von serviceverknüpften Rollen für AWS Compute Optimizer.
Zugriff, um den Registrierungsstatus für den Compute Optimizer Optimizer-Dienst zu aktualisieren.

Wichtig

Diese IAM Rolle ist erforderlich, um sich für diese Rolle anzumelden. AWS Compute Optimizer


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "arn:aws:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer*",
            "Condition": {"StringLike": {"iam:AWSServiceName": "compute-optimizer.amazonaws.com"}}
        },
        {
            "Effect": "Allow",
            "Action": "iam:PutRolePolicy",
            "Resource": "arn:aws:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer"
        },
        {
            "Effect": "Allow",
            "Action": "compute-optimizer:UpdateEnrollmentStatus",
            "Resource": "*"
        }
    ]
}

Richtlinien zur Gewährung des Zugriffs auf Compute Optimizer for Standalone AWS-Konten

Die folgende Richtlinienerklärung gewährt vollen Zugriff auf Compute Optimizer for Standalone AWS-Konten.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "compute-optimizer:*",
                "ec2:DescribeInstances",
                "ec2:DescribeVolumes",
                "ecs:ListServices",
                "ecs:ListClusters",
                "autoscaling:DescribeAutoScalingGroups",
                "autoscaling:DescribeAutoScalingInstances",
                "lambda:ListFunctions",
                "lambda:ListProvisionedConcurrencyConfigs",
                "cloudwatch:GetMetricData"
            ],
            "Resource": "*"
        }
    ]
}

Die folgende Richtlinienanweisung gewährt Nur-Lese-Zugriff auf Compute Optimizer for Standalone. AWS-Konten


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "compute-optimizer:GetEnrollmentStatus",
                "compute-optimizer:GetEffectiveRecommendationPreferences",
                "compute-optimizer:GetRecommendationPreferences",
                "compute-optimizer:GetRecommendationSummaries",
                "compute-optimizer:GetEC2InstanceRecommendations",
                "compute-optimizer:GetEC2RecommendationProjectedMetrics",
                "compute-optimizer:GetAutoScalingGroupRecommendations",
                "compute-optimizer:GetEBSVolumeRecommendations",
                "compute-optimizer:GetLambdaFunctionRecommendations",
                "compute-optimizer:DescribeRecommendationExportJobs",
                "compute-optimizer:GetEffectiveRecommendationPreferences",
                "compute-optimizer:GetRecommendationPreferences",
                "compute-optimizer:GetECSServiceRecommendations",
                "compute-optimizer:GetECSServiceRecommendationProjectedMetrics",
                "compute-optimizer:GetRDSDatabaseRecommendations",
                "compute-optimizer:GetRDSDatabaseRecommendationProjectedMetrics",
                "ec2:DescribeInstances",
                "ec2:DescribeVolumes",
                "ecs:ListServices",
                "ecs:ListClusters",
                "autoscaling:DescribeAutoScalingGroups",
                "autoscaling:DescribeAutoScalingInstances",
                "lambda:ListFunctions",
                "lambda:ListProvisionedConcurrencyConfigs",
                "cloudwatch:GetMetricData",
                "rds:DescribeDBInstances",
                "rds:DescribeDBClusters"
            ],
            "Resource": "*"
        }
    ]
}

Richtlinien zur Gewährung des Zugriffs auf Compute Optimizer für ein Verwaltungskonto einer Organisation

Die folgende Datenschutzerklärung gewährt vollen Zugriff auf Compute Optimizer für ein Verwaltungskonto Ihrer Organisation.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "compute-optimizer:*",
                "ec2:DescribeInstances",
                "ec2:DescribeVolumes",
                "ecs:ListServices",
                "ecs:ListClusters",
                "autoscaling:DescribeAutoScalingGroups",
                "autoscaling:DescribeAutoScalingInstances",
                "lambda:ListFunctions",
                "lambda:ListProvisionedConcurrencyConfigs",
                "cloudwatch:GetMetricData",
                "organizations:ListAccounts",
                "organizations:DescribeOrganization",
                "organizations:DescribeAccount",
                "organizations:EnableAWSServiceAccess",
                "organizations:ListDelegatedAdministrators",
                "organizations:RegisterDelegatedAdministrator",
                "organizations:DeregisterDelegatedAdministrator"
            ],
            "Resource": "*"
        }
    ]
}

Die folgende Richtlinienerklärung gewährt einem Verwaltungskonto einer Organisation schreibgeschützten Zugriff auf Compute Optimizer.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "compute-optimizer:GetEnrollmentStatus",
                "compute-optimizer:GetEnrollmentStatusesForOrganization",
                "compute-optimizer:GetRecommendationSummaries",
                "compute-optimizer:GetEC2InstanceRecommendations",
                "compute-optimizer:GetEC2RecommendationProjectedMetrics",
                "compute-optimizer:GetAutoScalingGroupRecommendations",
                "compute-optimizer:GetEBSVolumeRecommendations",
                "compute-optimizer:GetLambdaFunctionRecommendations",
                "compute-optimizer:GetEffectiveRecommendationPreferences",
                "compute-optimizer:GetRecommendationPreferences",
                "compute-optimizer:GetECSServiceRecommendations",
                "compute-optimizer:GetECSServiceRecommendationProjectedMetrics",
                "compute-optimizer:GetRDSDatabaseRecommendations",
                "compute-optimizer:GetRDSDatabaseRecommendationProjectedMetrics",
                "ec2:DescribeInstances",
                "ec2:DescribeVolumes",
                "ecs:ListServices",
                "ecs:ListClusters",
                "autoscaling:DescribeAutoScalingGroups",
                "autoscaling:DescribeAutoScalingInstances",
                "lambda:ListFunctions",
                "lambda:ListProvisionedConcurrencyConfigs",
                "cloudwatch:GetMetricData",
                "organizations:ListAccounts",
                "organizations:DescribeOrganization",
                "organizations:DescribeAccount",
                "organizations:ListDelegatedAdministrators",
                "rds:DescribeDBInstances",
                "rds:DescribeDBClusters"
            ],
            "Resource": "*"
        }
    ]
}

Richtlinien zur Gewährung des Zugriffs auf die Verwaltung der Compute Optimizer Optimizer-Empfehlungseinstellungen

Die folgenden Richtlinienerklärungen gewähren Zugriff auf das Anzeigen und Bearbeiten von Empfehlungseinstellungen.

Gewähren Sie Zugriff auf die Verwaltung von Empfehlungseinstellungen nur für EC2 Instances


{
	"Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "compute-optimizer:DeleteRecommendationPreferences",
                "compute-optimizer:GetEffectiveRecommendationPreferences",
                "compute-optimizer:GetRecommendationPreferences",
                "compute-optimizer:PutRecommendationPreferences"
            ],
            "Resource": "*",
            "Condition" :  {
                "StringEquals" : {
                    "compute-optimizer:ResourceType" : "Ec2Instance"
                }
            }            
        }
    ]
}

Gewähren Sie Zugriff auf die Verwaltung von Empfehlungseinstellungen nur für Auto Scaling Scaling-Gruppen


{
	"Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "compute-optimizer:DeleteRecommendationPreferences",
                "compute-optimizer:GetEffectiveRecommendationPreferences",
                "compute-optimizer:GetRecommendationPreferences",
                "compute-optimizer:PutRecommendationPreferences"
            ],
            "Resource": "*",
            "Condition" :  {
                "StringEquals" : {
                    "compute-optimizer:ResourceType" : "AutoScalingGroup"
                }
            }            
        }
    ]
}

Gewähren Sie Zugriff auf die Verwaltung von Empfehlungseinstellungen nur für RDS Instances


{
	"Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "compute-optimizer:DeleteRecommendationPreferences",
                "compute-optimizer:GetEffectiveRecommendationPreferences",
                "compute-optimizer:GetRecommendationPreferences",
                "compute-optimizer:PutRecommendationPreferences"
            ],
            "Resource": "*",
            "Condition" :  {
                "StringEquals" : {
                    "compute-optimizer:ResourceType" : "RdsDBInstance"
                }
            }            
        }
    ]
}

Richtlinien zur Aktivierung von Empfehlungen für kommerzielle Softwarelizenzen

Damit Compute Optimizer Lizenzempfehlungen generieren kann, fügen Sie die folgenden EC2 Amazon-Instance-Rollen und -Richtlinien hinzu.

Die AmazonSSMManagedInstanceCore Rolle zur Aktivierung von Systems Manager. Weitere Informationen finden Sie in den Beispielen für AWS Systems Manager identitätsbasierte Richtlinien im AWS Systems Manager Benutzerhandbuch.
Die CloudWatchAgentServerPolicy Richtlinie, für die die Veröffentlichung von Instanz-Metriken und Protokollen aktiviert werden soll. CloudWatch Weitere Informationen finden Sie im CloudWatch Amazon-Benutzerhandbuch unter IAMRollen und Benutzer für die Verwendung mit dem CloudWatch Agenten erstellen.
Die folgende IAM Inline-Richtlinienanweisung zum Lesen der geheimen Microsoft SQL Server-Verbindungszeichenfolge, die in gespeichert ist AWS Systems Manager. Weitere Informationen zu Inline-Richtlinien finden Sie unter Verwaltete Richtlinien und Inline-Richtlinien im AWS Identity and Access Management Benutzerhandbuch.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue*"
            ],
            "Resource": "arn:aws:secretsmanager:*:*:secret:ApplicationInsights-*"
        }
    ]
}

Um Lizenzempfehlungen zu aktivieren und zu erhalten, fügen Sie Ihrem Benutzer, Ihrer Gruppe oder Rolle außerdem die folgende IAM Richtlinie bei. Weitere Informationen finden Sie in den IAMRichtlinien im CloudWatch Amazon-Benutzerhandbuch.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "applicationinsights:*",
                "iam:CreateServiceLinkedRole",
                "iam:ListRoles",
                "resource-groups:ListGroups"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

Richtlinie zur Verweigerung des Zugriffs auf Compute Optimizer

Die folgende Richtlinienerklärung verweigert den Zugriff auf Compute Optimizer.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "compute-optimizer:*",
            "Resource": "*"
        }
    ]
}

Weitere Ressourcen

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Abmeldung

AWS verwaltete Richtlinien