Permisos de IAM necesarios para el escalado automático del servicio de Amazon ECS
Service Auto Scaling es posible gracias a la combinación de las API de Amazon ECS, CloudWatch y Application Auto Scaling. Los servicios se crean con Amazon ECS, las alarmas, con CloudWatch y las políticas de escalado, con Application Auto Scaling.
Además de los permisos estándar de IAM para la creación y actualización de los servicios, los siguientes permisos son necesarios para poder interactuar con la configuración de Service Auto Scaling, tal como se muestra en la siguiente política de ejemplo.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "application-autoscaling:*", "ecs:DescribeServices", "ecs:UpdateService", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms", "cloudwatch:DescribeAlarmHistory", "cloudwatch:DescribeAlarmsForMetric", "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics", "cloudwatch:DisableAlarmActions", "cloudwatch:EnableAlarmActions", "iam:CreateServiceLinkedRole", "sns:CreateTopic", "sns:Subscribe", "sns:Get*", "sns:List*" ], "Resource": ["*"] } ] }
En las políticas de IAM Ejemplo de creación de servicios de Amazon ECS y Ejemplo de actualización de servicios de Amazon ECS de ejemplo, se muestran los permisos requeridos para utilizar Service Auto Scaling desde la AWS Management Console.
El servicio de Application Auto Scaling también necesita permiso para describir los servicios de Amazon ECS y las alarmas de CloudWatch, así como permisos para modificar el recuento deseado del servicio en su nombre. Los permisos sns:
corresponden a las notificaciones que CloudWatch envía a un tema de Amazon SNS cuando se ha superado un umbral. Si usa el escalado automático para los servicios de Amazon ECS, se crea un rol vinculado a servicio con el nombre AWSServiceRoleForApplicationAutoScaling_ECSService
. Este rol vinculado al servicio concede a Application Auto Scaling permiso para describir las alarmas de las políticas, monitorear el recuento de tareas actuales en ejecución del servicio y modificar el recuento deseado del servicio. El rol de Amazon ECS original administrado para Application Auto Scaling era ecsAutoscaleRole
, pero ya no es necesario. El rol vinculado al servicio es el rol predeterminado para Auto Scaling de aplicaciones. Para obtener más información, consulte Roles vinculados a servicios de Application Auto Scaling en la Guía del usuario de Application Auto Scaling.
Si creó el rol de instancia de contenedor de Amazon ECS antes de que las métricas de CloudWatch estén disponibles para Amazon ECS, es posible que tenga que agregar el permiso ecs:StartTelemetrySession
. Para obtener más información, consulte Consideraciones.