Vertrauenswürdiger Zugriff für AWS Organizations Richtlinie zur Anmeldung bei Compute Optimizer Zugriff für eigenständige Konten Zugriff für Verwaltungskonten Zugriff zur Verwaltung der Empfehlungseinstellungen Lizenzempfehlungen aktivieren Zugriffsverweigerung Weitere Ressourcen

Identity and Access Management für AWS Compute Optimizer

Sie können AWS Identity and Access Management (IAM) verwenden, um Identitäten (Benutzer, Gruppen oder Rollen) zu erstellen und diesen Identitäten Zugriffsberechtigungen für die Konsole und zu erteilen. AWS Compute Optimizer APIs

Standardmäßig haben IAM-Benutzer keinen Zugriff auf die Compute Optimizer Optimizer-Konsole und. APIs Sie gewähren Benutzern Zugriff, indem Sie IAM-Richtlinien einem einzelnen Benutzer, einer Benutzergruppe oder einer Rolle zuordnen. Weitere Informationen finden Sie unter Identitäten (Benutzer, Gruppen und Rollen) und Überblick über IAM-Richtlinien im IAM-Benutzerhandbuch.

Nachdem Sie die IAM-Benutzer erstellt haben, können Sie diesen individuelle Passwörter zuordnen. Anschließend können sie sich über eine kontospezifische Anmeldeseite bei Ihrem Konto anmelden und Compute Optimizer Optimizer-Informationen einsehen. Weitere Informationen finden Sie unter Wie sich Benutzer bei Ihrem Konto anmelden.

Wichtig

Um Empfehlungen für EC2 Instanzen anzeigen zu können, benötigt ein IAM-Benutzer die entsprechende Genehmigung. ec2:DescribeInstances
Um Empfehlungen für EBS-Volumes anzeigen zu können, benötigt ein IAM-Benutzer die entsprechende Genehmigung. ec2:DescribeVolumes
Um Empfehlungen für EC2 Auto Scaling Scaling-Gruppen anzuzeigen, benötigt ein IAM-Benutzer die autoscaling:DescribeAutoScalingInstances Berechtigungen autoscaling:DescribeAutoScalingGroups und.
Um Empfehlungen für Lambda-Funktionen anzuzeigen, benötigt ein IAM-Benutzer die Berechtigungen lambda:ListFunctions undlambda:ListProvisionedConcurrencyConfigs.
Um Empfehlungen für Amazon ECS-Services auf Fargate anzuzeigen, benötigt ein IAM-Benutzer die Berechtigungen ecs:ListServices undecs:ListClusters.
Um aktuelle CloudWatch Metrikdaten in der Compute Optimizer Optimizer-Konsole anzuzeigen, benötigt ein IAM-Benutzer die cloudwatch:GetMetricData entsprechende Genehmigung.
Um Empfehlungen anzuzeigen, sind kommerzielle Softwarelizenzen, bestimmte EC2 Amazon-Instance-Rollen und IAM-Benutzerberechtigungen erforderlich. Weitere Informationen finden Sie unter Richtlinien zur Aktivierung von Empfehlungen für kommerzielle Softwarelizenzen.
Um Empfehlungen für Amazon RDS anzuzeigen, benötigt ein IAM-Benutzer die rds:DescribeDBClusters Berechtigungen rds:DescribeDBInstances und.

Wenn der Benutzer oder die Gruppe, dem Sie Berechtigungen erteilen möchten, bereits über eine Richtlinie verfügt, können Sie dieser Richtlinie eine der hier abgebildeten Compute Optimizer Optimizer-spezifischen Richtlinienaussagen hinzufügen.

Themen

Vertrauenswürdiger Zugriff für AWS Organizations
Richtlinie zur Anmeldung bei Compute Optimizer
Richtlinien zur Gewährung des Zugriffs auf Compute Optimizer for Standalone AWS-Konten
Richtlinien zur Gewährung des Zugriffs auf Compute Optimizer für ein Verwaltungskonto einer Organisation
Richtlinien zur Gewährung des Zugriffs auf die Verwaltung der Compute Optimizer Optimizer-Empfehlungseinstellungen
Richtlinien zur Aktivierung von Empfehlungen für kommerzielle Softwarelizenzen
Richtlinie zur Verweigerung des Zugriffs auf Compute Optimizer
Weitere Ressourcen

Vertrauenswürdiger Zugriff für AWS Organizations

Wenn Sie sich für die Verwendung des Verwaltungskontos Ihrer Organisation entscheiden und alle Mitgliedskonten innerhalb der Organisation einbeziehen, wird der vertrauenswürdige Zugriff für Compute Optimizer automatisch in Ihrem Organisationskonto aktiviert. Auf diese Weise kann Compute Optimizer die Rechenressourcen in diesen Mitgliedskonten analysieren und Empfehlungen für sie generieren.

Jedes Mal, wenn Sie auf Empfehlungen für Mitgliedskonten zugreifen, überprüft Compute Optimizer, ob vertrauenswürdiger Zugriff in Ihrem Organisationskonto aktiviert ist. Wenn Sie den vertrauenswürdigen Compute Optimizer-Zugriff deaktivieren, nachdem Sie sich angemeldet haben, verweigert Compute Optimizer den Zugriff auf Empfehlungen für die Mitgliedskonten Ihrer Organisation. Darüber hinaus sind die Mitgliedskonten innerhalb der Organisation nicht für Compute Optimizer angemeldet. Um den vertrauenswürdigen Zugriff wieder zu aktivieren, melden Sie sich erneut mit dem Verwaltungskonto Ihrer Organisation für Compute Optimizer an und schließen Sie alle Mitgliedskonten innerhalb der Organisation ein. Weitere Informationen finden Sie unter Melden Sie sich an für AWS Compute Optimizer. Weitere Informationen zum AWS Organizations vertrauenswürdigen Zugriff finden Sie im AWS Organizations Benutzerhandbuch unter Verwendung AWS Organizations mit anderen AWS Diensten.

Richtlinie zur Anmeldung bei Compute Optimizer

Diese Grundsatzerklärung gewährt Folgendes:

Zugang zur Anmeldung bei Compute Optimizer.
Zugriff zum Erstellen einer dienstbezogenen Rolle für Compute Optimizer. Weitere Informationen finden Sie unter Verwenden von serviceverknüpften Rollen für AWS Compute Optimizer.
Zugriff, um den Registrierungsstatus für den Compute Optimizer Optimizer-Dienst zu aktualisieren.

Wichtig

Diese IAM-Rolle ist erforderlich, um sich dafür anzumelden. AWS Compute Optimizer


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "arn:aws:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer*",
            "Condition": {"StringLike": {"iam:AWSServiceName": "compute-optimizer.amazonaws.com"}}
        },
        {
            "Effect": "Allow",
            "Action": "iam:PutRolePolicy",
            "Resource": "arn:aws:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer"
        },
        {
            "Effect": "Allow",
            "Action": "compute-optimizer:UpdateEnrollmentStatus",
            "Resource": "*"
        }
    ]
}

Richtlinien zur Gewährung des Zugriffs auf Compute Optimizer for Standalone AWS-Konten

Die folgende Richtlinienerklärung gewährt vollen Zugriff auf Compute Optimizer for Standalone AWS-Konten.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "compute-optimizer:*",
                "ec2:DescribeInstances",
                "ec2:DescribeVolumes",
                "ecs:ListServices",
                "ecs:ListClusters",
                "autoscaling:DescribeAutoScalingGroups",
                "autoscaling:DescribeAutoScalingInstances",
                "lambda:ListFunctions",
                "lambda:ListProvisionedConcurrencyConfigs",
                "cloudwatch:GetMetricData"
            ],
            "Resource": "*"
        }
    ]
}

Die folgende Richtlinienanweisung gewährt Nur-Lesezugriff auf Compute Optimizer for Standalone. AWS-Konten


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "compute-optimizer:GetEnrollmentStatus",
                "compute-optimizer:GetEffectiveRecommendationPreferences",
                "compute-optimizer:GetRecommendationPreferences",
                "compute-optimizer:GetRecommendationSummaries",
                "compute-optimizer:GetEC2InstanceRecommendations",
                "compute-optimizer:GetEC2RecommendationProjectedMetrics",
                "compute-optimizer:GetAutoScalingGroupRecommendations",
                "compute-optimizer:GetEBSVolumeRecommendations",
                "compute-optimizer:GetLambdaFunctionRecommendations",
                "compute-optimizer:DescribeRecommendationExportJobs",
                "compute-optimizer:GetEffectiveRecommendationPreferences",
                "compute-optimizer:GetRecommendationPreferences",
                "compute-optimizer:GetECSServiceRecommendations",
                "compute-optimizer:GetECSServiceRecommendationProjectedMetrics",
                "compute-optimizer:GetRDSDatabaseRecommendations",
                "compute-optimizer:GetRDSDatabaseRecommendationProjectedMetrics",
                "compute-optimizer:GetIdleRecommendations",
                "ec2:DescribeInstances",
                "ec2:DescribeVolumes",
                "ecs:ListServices",
                "ecs:ListClusters",
                "autoscaling:DescribeAutoScalingGroups",
                "autoscaling:DescribeAutoScalingInstances",
                "lambda:ListFunctions",
                "lambda:ListProvisionedConcurrencyConfigs",
                "cloudwatch:GetMetricData",
                "rds:DescribeDBInstances",
                "rds:DescribeDBClusters"
            ],
            "Resource": "*"
        }
    ]
}

Richtlinien zur Gewährung des Zugriffs auf Compute Optimizer für ein Verwaltungskonto einer Organisation

Die folgende Datenschutzerklärung gewährt vollen Zugriff auf Compute Optimizer für ein Verwaltungskonto Ihrer Organisation.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "compute-optimizer:*",
                "ec2:DescribeInstances",
                "ec2:DescribeVolumes",
                "ecs:ListServices",
                "ecs:ListClusters",
                "autoscaling:DescribeAutoScalingGroups",
                "autoscaling:DescribeAutoScalingInstances",
                "lambda:ListFunctions",
                "lambda:ListProvisionedConcurrencyConfigs",
                "cloudwatch:GetMetricData",
                "organizations:ListAccounts",
                "organizations:DescribeOrganization",
                "organizations:DescribeAccount",
                "organizations:EnableAWSServiceAccess",
                "organizations:ListDelegatedAdministrators",
                "organizations:RegisterDelegatedAdministrator",
                "organizations:DeregisterDelegatedAdministrator"
            ],
            "Resource": "*"
        }
    ]
}

Die folgende Richtlinienerklärung gewährt einem Verwaltungskonto einer Organisation schreibgeschützten Zugriff auf Compute Optimizer.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "compute-optimizer:GetEnrollmentStatus",
                "compute-optimizer:GetEnrollmentStatusesForOrganization",
                "compute-optimizer:GetRecommendationSummaries",
                "compute-optimizer:GetEC2InstanceRecommendations",
                "compute-optimizer:GetEC2RecommendationProjectedMetrics",
                "compute-optimizer:GetAutoScalingGroupRecommendations",
                "compute-optimizer:GetEBSVolumeRecommendations",
                "compute-optimizer:GetLambdaFunctionRecommendations",
                "compute-optimizer:GetEffectiveRecommendationPreferences",
                "compute-optimizer:GetRecommendationPreferences",
                "compute-optimizer:GetECSServiceRecommendations",
                "compute-optimizer:GetECSServiceRecommendationProjectedMetrics",
                "compute-optimizer:GetRDSDatabaseRecommendations",
                "compute-optimizer:GetRDSDatabaseRecommendationProjectedMetrics",
                "compute-optimizer:GetIdleRecommendations",
                "ec2:DescribeInstances",
                "ec2:DescribeVolumes",
                "ecs:ListServices",
                "ecs:ListClusters",
                "autoscaling:DescribeAutoScalingGroups",
                "autoscaling:DescribeAutoScalingInstances",
                "lambda:ListFunctions",
                "lambda:ListProvisionedConcurrencyConfigs",
                "cloudwatch:GetMetricData",
                "organizations:ListAccounts",
                "organizations:DescribeOrganization",
                "organizations:DescribeAccount",
                "organizations:ListDelegatedAdministrators",
                "rds:DescribeDBInstances",
                "rds:DescribeDBClusters"
            ],
            "Resource": "*"
        }
    ]
}

Richtlinien zur Gewährung des Zugriffs auf die Verwaltung der Compute Optimizer Optimizer-Empfehlungseinstellungen

Die folgenden Richtlinienerklärungen gewähren Zugriff auf das Anzeigen und Bearbeiten von Empfehlungseinstellungen.

Gewähren Sie Zugriff auf die Verwaltung von Empfehlungseinstellungen nur für EC2 Instanzen


{
	"Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "compute-optimizer:DeleteRecommendationPreferences",
                "compute-optimizer:GetEffectiveRecommendationPreferences",
                "compute-optimizer:GetRecommendationPreferences",
                "compute-optimizer:PutRecommendationPreferences"
            ],
            "Resource": "*",
            "Condition" :  {
                "StringEquals" : {
                    "compute-optimizer:ResourceType" : "Ec2Instance"
                }
            }            
        }
    ]
}

Gewähren Sie Zugriff auf die Verwaltung von Empfehlungseinstellungen nur für EC2 Auto Scaling Scaling-Gruppen


{
	"Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "compute-optimizer:DeleteRecommendationPreferences",
                "compute-optimizer:GetEffectiveRecommendationPreferences",
                "compute-optimizer:GetRecommendationPreferences",
                "compute-optimizer:PutRecommendationPreferences"
            ],
            "Resource": "*",
            "Condition" :  {
                "StringEquals" : {
                    "compute-optimizer:ResourceType" : "AutoScalingGroup"
                }
            }            
        }
    ]
}

Gewähren Sie Zugriff auf die Verwaltung der Empfehlungseinstellungen nur für RDS-Instances


{
	"Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "compute-optimizer:DeleteRecommendationPreferences",
                "compute-optimizer:GetEffectiveRecommendationPreferences",
                "compute-optimizer:GetRecommendationPreferences",
                "compute-optimizer:PutRecommendationPreferences"
            ],
            "Resource": "*",
            "Condition" :  {
                "StringEquals" : {
                    "compute-optimizer:ResourceType" : "RdsDBInstance"
                }
            }            
        }
    ]
}

Richtlinien zur Aktivierung von Empfehlungen für kommerzielle Softwarelizenzen

Damit Compute Optimizer Lizenzempfehlungen generieren kann, fügen Sie die folgenden EC2 Amazon-Instance-Rollen und -Richtlinien hinzu.

Die AmazonSSMManagedInstanceCore Rolle zur Aktivierung von Systems Manager. Weitere Informationen finden Sie in den Beispielen für AWS Systems Manager identitätsbasierte Richtlinien im AWS Systems Manager Benutzerhandbuch.
Die CloudWatchAgentServerPolicy Richtlinie, für die die Veröffentlichung von Instanz-Metriken und Protokollen aktiviert werden soll. CloudWatch Weitere Informationen finden Sie im CloudWatch Amazon-Benutzerhandbuch unter Erstellen von IAM-Rollen und -Benutzern zur Verwendung mit dem CloudWatch Agenten.
Die folgende IAM-Inline-Richtlinienanweisung zum Lesen der geheimen Microsoft SQL Server-Verbindungszeichenfolge, die in AWS Systems Manager gespeichert ist. Weitere Informationen zu Inline-Richtlinien finden Sie unter Verwaltete Richtlinien und Inline-Richtlinien im AWS Identity and Access Management Benutzerhandbuch.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue*"
            ],
            "Resource": "arn:aws:secretsmanager:*:*:secret:ApplicationInsights-*"
        }
    ]
}

Um Lizenzempfehlungen zu aktivieren und zu erhalten, fügen Sie Ihrem Benutzer, Ihrer Gruppe oder Rolle außerdem die folgende IAM-Richtlinie bei. Weitere Informationen finden Sie unter IAM-Richtlinie im CloudWatch Amazon-Benutzerhandbuch.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "applicationinsights:*",
                "iam:CreateServiceLinkedRole",
                "iam:ListRoles",
                "resource-groups:ListGroups"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

Richtlinie zur Verweigerung des Zugriffs auf Compute Optimizer

Die folgende Richtlinienerklärung verweigert den Zugriff auf Compute Optimizer.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "compute-optimizer:*",
            "Resource": "*"
        }
    ]
}

Weitere Ressourcen

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Abmeldung

AWS verwaltete Richtlinien