Cómo funciona Application Auto Scaling con IAM - Aplicación de escalado automático

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cómo funciona Application Auto Scaling con IAM

nota

En diciembre de 2017, hubo una actualización de Application Auto Scaling que permitía utilizar varios roles vinculados a servicios con servicios integrados en Application Auto Scaling. Se requieren IAM permisos específicos y un rol vinculado al servicio Application Auto Scaling (o un rol de servicio para el escalado EMR automático de Amazon) para que los usuarios puedan configurar el escalado.

Antes de administrar el acceso IAM a Application Auto Scaling, conozca qué IAM funciones están disponibles para usar con Application Auto Scaling.

Para obtener una visión general de cómo Servicios de AWS funcionan Application Auto Scaling y otras funciones con la mayoría de IAM las funciones, consulte Servicios de AWS esa función IAM en la Guía del IAM usuario.

Políticas Application Auto Scaling basadas en identidades

Compatibilidad con las políticas basadas en identidad:

Las políticas basadas en la identidad son documentos de política de JSON permisos que se pueden adjuntar a una identidad, como un IAM usuario, un grupo de usuarios o un rol. Estas políticas controlan qué acciones pueden realizar los usuarios y los roles, en qué recursos y en qué condiciones. Para obtener información sobre cómo crear una política basada en la identidad, consulte Creación de IAM políticas en la Guía del usuario. IAM

Con las políticas IAM basadas en la identidad, puede especificar las acciones y los recursos permitidos o denegados, así como las condiciones en las que se permiten o deniegan las acciones. No es posible especificar la entidad principal en una política basada en identidad porque se aplica al usuario o rol al que está adjunto. Para obtener más información sobre todos los elementos que puede utilizar en una JSON política, consulte la referencia sobre los elementos de la IAM JSON política en la Guía del IAMusuario.

Ejemplos de políticas basadas en identidad de Application Auto Scaling

Para ver ejemplos de políticas basadas en identidad de Application Auto Scaling, consulte Ejemplos de políticas basadas en identidad de Application Auto Scaling.

Acciones

Compatibilidad con las acciones de política:

En una declaración de IAM política, puede especificar cualquier API acción de cualquier servicio compatibleIAM. Para Application Auto Scaling, utilice el siguiente prefijo con el nombre de la API acción:application-autoscaling:. Por ejemplo, application-autoscaling:RegisterScalableTarget, application-autoscaling:PutScalingPolicy y application-autoscaling:DeregisterScalableTarget.

Para especificar varias acciones en una única instrucción, sepárelas con comas como se muestra en el siguiente ejemplo.

"Action": [ "application-autoscaling:DescribeScalingPolicies", "application-autoscaling:DescribeScalingActivities"

Puede utilizar caracteres comodín para especificar varias acciones (*). Por ejemplo, para especificar todas las acciones que comiencen con la palabra Describe, incluya la siguiente acción.

"Action": "application-autoscaling:Describe*"

Para obtener una lista de las acciones de Application Auto Scaling, consulte Acciones definidas por AWS Application Auto Scaling en la Referencia de autorización del servicio.

Recursos

Compatibilidad con los recursos de políticas:

En una declaración IAM de política, el Resource elemento especifica el objeto o los objetos que cubre la declaración. En el caso de Application Auto Scaling, cada declaración de IAM política se aplica a los objetivos escalables que especifique mediante sus nombres de recursos de Amazon (ARNs).

El formato ARN de recursos para los objetivos escalables:

arn:aws:application-autoscaling:region:account-id:scalable-target/unique-identifier

Por ejemplo, puede indicar un objetivo escalable específico en su declaración de la ARN siguiente manera. El ID único (1234abcd56ab78cd901ef1234567890ab123) es un valor que Application Auto Scaling asigna al objetivo escalable.

"Resource": "arn:aws:application-autoscaling:us-east-1:123456789012:scalable-target/1234abcd56ab78cd901ef1234567890ab123"

También puede especificar todas las instancias que pertenecen a una cuenta específica si sustituye el identificador único por el carácter comodín (*) del siguiente modo.

"Resource": "arn:aws:application-autoscaling:us-east-1:123456789012:scalable-target/*"

Para especificar todos los recursos, o si una API acción específica no es compatibleARNs, utilice un comodín (*) como Resource elemento de la siguiente manera.

"Resource": "*"

Para obtener más información, consulte Tipos de recursos definidos por AWS Application Auto Scaling en la Referencia de autorización de servicios.

Claves de condición

Compatibilidad con claves de condición de políticas específicas del servicio:

Puede especificar condiciones en las IAM políticas que controlan el acceso a los recursos de Application Auto Scaling. La declaración de política solo será efectiva si se cumplen las condiciones.

Application Auto Scaling admite las siguientes claves de condición definidas por el servicio que puede utilizar en políticas basadas en la identidad para determinar quién puede realizar las acciones de Application Auto Scaling. API

  • application-autoscaling:scalable-dimension

  • application-autoscaling:service-namespace

Para saber con qué API acciones de Application Auto Scaling puede utilizar una clave de condición, consulte Acciones definidas por AWS Application Auto Scaling en la Referencia de autorización del servicio. Para obtener más información sobre el uso de las claves de condición de Application Auto Scaling, consulte Claves de condición de AWS Application Auto Scaling.

Para ver las claves de condición globales que están disponibles para todos los servicios, consulte las claves de contexto de condición AWS globales en la Guía del IAM usuario.

Políticas basadas en recursos

Admite políticas basadas en recursos: no

Otros AWS servicios, como Amazon Simple Storage Service, admiten políticas de permisos basadas en recursos. Por ejemplo, puede asociar una política de permisos a un bucket de S3 para administrar los permisos de acceso a dicho bucket.

Application Auto Scaling no soporta políticas basadas en recursos.

Listas de control de acceso () ACLs

SoportesACLs: No

Application Auto Scaling no admite listas de control de acceso (ACLs).

ABACcon Application Auto Scaling

Soportes ABAC (etiquetas en las políticas): parciales

El control de acceso basado en atributos (ABAC) es una estrategia de autorización que define los permisos en función de los atributos. En AWS, estos atributos se denominan etiquetas. Puede adjuntar etiquetas a IAM entidades (usuarios o roles) y a muchos AWS recursos. Etiquetar entidades y recursos es el primer paso deABAC. Luego, diseñe ABAC políticas para permitir las operaciones cuando la etiqueta del principal coincida con la etiqueta del recurso al que está intentando acceder.

ABACes útil en entornos de rápido crecimiento y ayuda en situaciones en las que la administración de políticas se vuelve engorrosa.

Para controlar el acceso en función de etiquetas, debe proporcionar información de las etiquetas en el elemento de condición de una política utilizando las claves de condición aws:ResourceTag/key-name, aws:RequestTag/key-name o aws:TagKeys.

ABACes posible para los recursos que admiten etiquetas, pero no todos admiten etiquetas. Las acciones programadas y las políticas de escalado no admiten etiquetas, pero los objetivos escalables sí. Para obtener más información, consulte Compatibilidad de Application Auto Scaling con etiquetas.

Para obtener más información al respectoABAC, consulte ¿Qué esABAC? en la Guía IAM del usuario. Para ver un tutorial con los pasos de configuraciónABAC, consulte Usar el control de acceso basado en atributos (ABAC) en la Guía del IAMusuario.

Uso de credenciales temporales con Application Auto Scaling

Compatibilidad con credenciales temporales:

Algunas Servicios de AWS no funcionan cuando inicias sesión con credenciales temporales. Para obtener información adicional, incluida la información sobre cuáles Servicios de AWS funcionan con credenciales temporales, consulta la sección Servicios de AWS Cómo trabajar con credenciales temporales IAM en la Guía del IAM usuario.

Está utilizando credenciales temporales si inicia sesión AWS Management Console con cualquier método excepto un nombre de usuario y una contraseña. Por ejemplo, cuando accedes AWS mediante el enlace de inicio de sesión único (SSO) de tu empresa, ese proceso crea automáticamente credenciales temporales. También crea credenciales temporales de forma automática cuando inicia sesión en la consola como usuario y luego cambia de rol. Para obtener más información sobre el cambio de rol, consulte Cambiar a un rol (consola) en la Guía del IAMusuario.

Puede crear credenciales temporales manualmente con la tecla AWS CLI o AWS API. A continuación, puede utilizar esas credenciales temporales para acceder AWS. AWS recomienda generar credenciales temporales de forma dinámica en lugar de utilizar claves de acceso a largo plazo. Para obtener más información, consulte Credenciales de seguridad temporales en IAM.

Roles de servicio

Compatibilidad con roles de servicio:

Si su EMR clúster de Amazon utiliza el escalado automático, esta función permite que Application Auto Scaling asuma una función de servicio en su nombre. Al igual que los roles vinculados a servicios, los roles de servicio permiten que el servicio acceda a los recursos de otros servicios para completar una acción en su nombre. Los roles de servicio aparecen en su IAM cuenta y son propiedad de la cuenta. Esto significa que un IAM administrador puede cambiar los permisos de este rol. Sin embargo, hacerlo podría deteriorar la funcionalidad del servicio.

Application Auto Scaling solo admite funciones de servicio para AmazonEMR. Para obtener documentación sobre la función de EMR servicio, consulta Cómo usar el escalado automático con una política personalizada para grupos de instancias en la Amazon EMR Management Guide.

nota

Con la introducción de las funciones vinculadas al servicio, ya no se requieren varias funciones de servicio antiguas, por ejemplo, para Amazon ECS y Spot Fleet.

Roles vinculados al servicio

Admite roles vinculados al servicio:

Un rol vinculado al servicio es un tipo de rol de servicio que está vinculado a un. Servicio de AWS El servicio puede asumir el rol para realizar una acción en su nombre. Los roles vinculados al servicio aparecen en usted Cuenta de AWS y son propiedad del servicio. Un IAM administrador puede ver los permisos de los roles vinculados al servicio, pero no editarlos.

Para obtener más información sobre los roles vinculados a servicios para Application Auto Scaling, consulte Roles vinculados a servicios para Application Auto Scaling.