Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Ejemplos de políticas basadas en identidad de Application Auto Scaling
De forma predeterminada, un usuario nuevo no Cuenta de AWS tiene permisos para hacer nada. Un IAM administrador debe crear y asignar IAM políticas que otorguen permiso a una IAM identidad (como un usuario o un rol) para realizar API acciones de Application Auto Scaling.
Para obtener información sobre cómo crear una IAM política mediante los siguientes documentos de JSON política de ejemplo, consulte Creación de políticas en la JSON pestaña de la Guía del IAM usuario.
Contenido
Permisos necesarios para las API acciones de Application Auto Scaling
Las siguientes políticas otorgan permisos para casos de uso comunes al llamar a Application Auto ScalingAPI. Consulte esta sección cuando escriba políticas basadas en identidades. Cada política otorga permisos a todas o algunas de las API acciones de Application Auto Scaling. También debe asegurarse de que los usuarios finales tengan permisos para el servicio de destino y CloudWatch (consulte la siguiente sección para obtener más información).
La siguiente política basada en la identidad otorga permisos a todas las acciones de Application Auto ScalingAPI.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "application-autoscaling:*" ], "Resource": "*" } ] }
La siguiente política basada en la identidad otorga permisos a todas las API acciones de Application Auto Scaling necesarias para configurar las políticas de escalado y no a las acciones programadas.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "application-autoscaling:RegisterScalableTarget", "application-autoscaling:DescribeScalableTargets", "application-autoscaling:DeregisterScalableTarget", "application-autoscaling:PutScalingPolicy", "application-autoscaling:DescribeScalingPolicies", "application-autoscaling:DescribeScalingActivities", "application-autoscaling:DeleteScalingPolicy" ], "Resource": "*" } ] }
La siguiente política basada en la identidad otorga permisos a todas las API acciones de Application Auto Scaling necesarias para configurar las acciones programadas y no las políticas de escalado.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "application-autoscaling:RegisterScalableTarget", "application-autoscaling:DescribeScalableTargets", "application-autoscaling:DeregisterScalableTarget", "application-autoscaling:PutScheduledAction", "application-autoscaling:DescribeScheduledActions", "application-autoscaling:DescribeScalingActivities", "application-autoscaling:DeleteScheduledAction" ], "Resource": "*" } ] }
Los permisos necesarios para realizar API acciones en los servicios de destino y CloudWatch
Para configurar y utilizar correctamente Application Auto Scaling con el servicio de destino, los usuarios finales deben tener permisos para Amazon CloudWatch y para cada servicio de destino para el que vayan a configurar el escalado. Utilice las siguientes políticas para conceder los permisos mínimos necesarios para trabajar con los servicios de destino y CloudWatch.
Contenido
- AppStream Flotas 2.0
- Réplicas de Aurora
- Puntos de conexión de reconocedor de identidades y clasificación de documentos de Amazon Comprehend
- Tablas de DynamoDB e índices secundarios globales
- ECSservicios
- ElastiCache grupos de replicación
- EMRClústeres de Amazon
- Tablas de Amazon Keyspaces
- Funciones de Lambda
- Amazon Managed Streaming for Apache Kafka (MSK) broker Storage
- Clústeres de Neptune
- SageMaker puntos finales
- Flotas puntuales (AmazonEC2)
- Recursos personalizados
AppStream Flotas 2.0
La siguiente política basada en la identidad concede permisos a todos los AppStream 2.0 y a CloudWatch API las acciones necesarias.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "appstream:DescribeFleets", "appstream:UpdateFleet", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Réplicas de Aurora
La siguiente política basada en la identidad otorga permisos a todas las Aurora y a CloudWatch API las acciones que sean necesarias.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "rds:AddTagsToResource", "rds:CreateDBInstance", "rds:DeleteDBInstance", "rds:DescribeDBClusters", "rds:DescribeDBInstances", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Puntos de conexión de reconocedor de identidades y clasificación de documentos de Amazon Comprehend
La siguiente política basada en la identidad otorga permisos a todas las acciones CloudWatch API y acciones de Amazon Comprehend que sean necesarias.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "comprehend:UpdateEndpoint", "comprehend:DescribeEndpoint", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Tablas de DynamoDB e índices secundarios globales
La siguiente política basada en la identidad concede permisos a todas las acciones y DynamoDB que sean necesarias. CloudWatch API
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "dynamodb:DescribeTable", "dynamodb:UpdateTable", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
ECSservicios
La siguiente política basada en la identidad concede los permisos a todos los usuarios ECS y CloudWatch API las acciones necesarias.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeServices", "ecs:UpdateService", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
ElastiCache grupos de replicación
La siguiente política basada en la identidad concede los permisos ElastiCache y las acciones necesarias a todas CloudWatch API las acciones necesarias.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "elasticache:ModifyReplicationGroupShardConfiguration", "elasticache:IncreaseReplicaCount", "elasticache:DecreaseReplicaCount", "elasticache:DescribeReplicationGroups", "elasticache:DescribeCacheClusters", "elasticache:DescribeCacheParameters", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
EMRClústeres de Amazon
La siguiente política basada en la identidad concede permisos a todos los Amazon EMR y CloudWatch API las acciones necesarias.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "elasticmapreduce:ModifyInstanceGroups", "elasticmapreduce:ListInstanceGroups", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Tablas de Amazon Keyspaces
La siguiente política basada en la identidad concede permisos a todos los Amazon Keyspaces y CloudWatch API las acciones que sean necesarios.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cassandra:Select", "cassandra:Alter", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Funciones de Lambda
La siguiente política basada en la identidad concede permisos a todas las CloudWatch API acciones y Lambda necesarias.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "lambda:PutProvisionedConcurrencyConfig", "lambda:GetProvisionedConcurrencyConfig", "lambda:DeleteProvisionedConcurrencyConfig", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Amazon Managed Streaming for Apache Kafka (MSK) broker Storage
La siguiente política basada en la identidad concede permisos a todos los Amazon MSK y CloudWatch API las acciones necesarias.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kafka:DescribeCluster", "kafka:DescribeClusterOperation", "kafka:UpdateBrokerStorage", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Clústeres de Neptune
La siguiente política basada en la identidad otorga permisos a todos los Neptune y CloudWatch API las acciones que sean necesarios.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "rds:AddTagsToResource", "rds:CreateDBInstance", "rds:DescribeDBInstances", "rds:DescribeDBClusters", "rds:DescribeDBClusterParameters", "rds:DeleteDBInstance", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
SageMaker puntos finales
La siguiente política basada en la identidad concede los permisos a todos los usuarios SageMaker y CloudWatch API las acciones necesarias.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sagemaker:DescribeEndpoint", "sagemaker:DescribeEndpointConfig", "sagemaker:DescribeInferenceComponent", "sagemaker:UpdateEndpointWeightsAndCapacities", "sagemaker:UpdateInferenceComponentRuntimeConfig", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Flotas puntuales (AmazonEC2)
La siguiente política basada en la identidad otorga permisos a todas las flotas de Spot y a CloudWatch API las acciones necesarias.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeSpotFleetRequests", "ec2:ModifySpotFleetRequest", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Recursos personalizados
La siguiente política basada en la identidad otorga permiso a Gateway para ejecutar la API acción. API Esta política también otorga permisos para todas las CloudWatch acciones que sean necesarias.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "execute-api:Invoke", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Permisos para trabajar en el AWS Management Console
No existe una consola independiente para Application Auto Scaling. La mayoría de los servicios que se integran con Application Auto Scaling tienen características dedicadas que le ayudarán a configurar el escalado a través de su consola.
En la mayoría de los casos, cada servicio proporciona IAM políticas AWS administradas (predefinidas) que definen el acceso a su consola, lo que incluye permisos para las API acciones de Application Auto Scaling. Para obtener más información, consulte la documentación del servicio cuya consola desee utilizar.
También puede crear sus propias IAM políticas personalizadas para conceder a los usuarios permisos detallados para ver y trabajar con API acciones específicas de Application Auto Scaling en. AWS Management Console Puede utilizar las políticas de ejemplo de las secciones anteriores; sin embargo, están diseñadas para las solicitudes que se realizan con o una. AWS CLI SDK La consola utiliza API acciones adicionales para sus funciones, por lo que es posible que estas políticas no funcionen como se esperaba. Por ejemplo, para configurar el escalado por pasos, es posible que los usuarios necesiten permisos adicionales para crear y administrar CloudWatch las alarmas.
sugerencia
Para ayudarle a determinar qué API acciones son necesarias para realizar las tareas en la consola, puede utilizar un servicio como AWS CloudTrail. Para obtener más información, consulte la AWS CloudTrail Guía del usuario de .
La siguiente política basada en identidades concede permisos para configurar políticas de escalado para la flota de Spot. Además de los IAM permisos para Spot Fleet, el usuario de la consola que accede a la configuración de escalado de flotas desde la EC2 consola de Amazon debe tener los permisos adecuados para los servicios que admiten el escalado dinámico.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "application-autoscaling:*", "ec2:DescribeSpotFleetRequests", "ec2:ModifySpotFleetRequest", "cloudwatch:DeleteAlarms", "cloudwatch:DescribeAlarmHistory", "cloudwatch:DescribeAlarms", "cloudwatch:DescribeAlarmsForMetric", "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics", "cloudwatch:PutMetricAlarm", "cloudwatch:DisableAlarmActions", "cloudwatch:EnableAlarmActions", "sns:CreateTopic", "sns:Subscribe", "sns:Get*", "sns:List*" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/ec2.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_EC2SpotFleetRequest", "Condition": { "StringLike": { "iam:AWSServiceName":"ec2.application-autoscaling.amazonaws.com" } } } ] }
Esta política permite a los usuarios de la consola ver y modificar las políticas de escalado en la EC2 consola de Amazon y crear y gestionar CloudWatch alarmas en la CloudWatch consola.
Puede ajustar las API acciones para limitar el acceso de los usuarios. Por ejemplo, si sustituye application-autoscaling:* por application-autoscaling:Describe*, el usuario tendrá acceso de solo lectura.
También puede ajustar los CloudWatch permisos según sea necesario para limitar el acceso de los usuarios a CloudWatch las funciones. Para obtener más información, consulta los permisos necesarios para la CloudWatch consola en la Guía del CloudWatch usuario de Amazon.
