Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Cómo funciona el Application Auto Scaling con IAM
nota
En diciembre de 2017, hubo una actualización de Application Auto Scaling que permitía utilizar varios roles vinculados a servicios con servicios integrados en Application Auto Scaling. Para que los usuarios puedan configurar el escalado, se requieren permisos de IAM específicos y un rol vinculado a un servicio de Application Auto Scaling (o un rol de servicio para el escalado automático de Amazon EMR).
Antes de utilizar IAM para administrar el acceso a Application Auto Scaling, debe saber qué características de IAM están disponibles para su uso con Application Auto Scaling.
| Característica de IAM | Compatibilidad de Application Auto Scaling |
|---|---|
|
Sí |
|
|
Sí |
|
|
Sí |
|
|
Sí |
|
|
No |
|
|
No |
|
|
Parcial |
|
|
Sí |
|
|
Sí |
|
|
Sí |
Para obtener una visión general de cómo Application Auto Scaling y otras funciones Servicios de AWS funcionan con la mayoría de las funciones de IAM, consulte Servicios de AWS Cómo funcionan con IAM en la Guía del usuario de IAM.
Políticas Application Auto Scaling basadas en identidades
Compatibilidad con las políticas basadas en identidad: sí
Las políticas basadas en identidad son documentos de políticas de permisos JSON que puede asociar a una identidad, como un usuario de IAM, un grupo de usuarios o un rol. Estas políticas controlan qué acciones pueden realizar los usuarios y los roles, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en identidad, consulte Creación de políticas de IAM en la Guía del usuario de IAM.
Con las políticas basadas en identidades de IAM, puede especificar las acciones y los recursos permitidos o denegados, así como las condiciones en las que se permiten o deniegan las acciones. No es posible especificar la entidad principal en una política basada en identidad porque se aplica al usuario o rol al que está asociada. Para obtener más información sobre los elementos que puede utilizar en una política de JSON, consulte Referencia de los elementos de las políticas de JSON de IAM en la Guía del usuario de IAM.
Ejemplos de políticas basadas en identidad de Application Auto Scaling
Para ver ejemplos de políticas basadas en identidad de Application Auto Scaling, consulte Ejemplos de políticas basadas en identidad de Application Auto Scaling.
Acciones
Compatibilidad con las acciones de políticas: sí
En una instrucción de política de IAM, puede especificar cualquier acción de API de cualquier servicio que sea compatible con IAM. Para Application Auto Scaling, use el siguiente prefijo con el nombre de la acción de API: application-autoscaling:. Por ejemplo, application-autoscaling:RegisterScalableTarget, application-autoscaling:PutScalingPolicy y application-autoscaling:DeregisterScalableTarget.
Para especificar varias acciones en una única instrucción, sepárelas con comas como se muestra en el siguiente ejemplo.
"Action": [ "application-autoscaling:DescribeScalingPolicies", "application-autoscaling:DescribeScalingActivities"
Puede utilizar caracteres comodín para especificar varias acciones (*). Por ejemplo, para especificar todas las acciones que comiencen con la palabra Describe, incluya la siguiente acción.
"Action": "application-autoscaling:Describe*"
Para obtener una lista de las acciones de Application Auto Scaling, consulte Acciones definidas por AWS Application Auto Scaling en la Referencia de autorización del servicio.
Recursos
Compatibilidad con los recursos de políticas: sí
En una instrucción de política de IAM, el elemento Resource especifica el objeto o los objetos que abarca la instrucción. En el caso de Application Auto Scaling, cada declaración de política de IAM se aplica a los objetivos escalables que especifique mediante sus nombres de recursos de Amazon (ARNs).
El formato de recurso de ARN para destinos escalables:
arn:aws:application-autoscaling:region:account-id:scalable-target/unique-identifierPor ejemplo, puede indicar un destino escalable específico en la instrucción si usa su ARN de la siguiente manera. El ID único (1234abcd56ab78cd901ef1234567890ab123) es un valor que Application Auto Scaling asigna al objetivo escalable.
"Resource": "arn:aws:application-autoscaling:us-east-1:123456789012:scalable-target/1234abcd56ab78cd901ef1234567890ab123"También puede especificar todas las instancias que pertenecen a una cuenta específica si sustituye el identificador único por el carácter comodín (*) del siguiente modo.
"Resource": "arn:aws:application-autoscaling:us-east-1:123456789012:scalable-target/*"Para especificar todos los recursos, o si una acción específica de la API no es compatible ARNs, utilice un comodín (*) como Resource elemento de la siguiente manera.
"Resource": "*"Para obtener más información, consulte Tipos de recursos definidos por AWS Application Auto Scaling en la Referencia de autorización de servicios.
Claves de condición
Compatibilidad con claves de condición de políticas específicas del servicio: sí
Puede especificar condiciones en las políticas de IAM que controlan el acceso a los recursos de Application Auto Scaling. La declaración de política solo será efectiva si se cumplen las condiciones.
Application Auto Scaling admite las siguientes claves de condición definidas por el servicio que puede utilizar en las políticas basadas en identidades para decidir quién puede realizar las acciones de la API de Application Auto Scaling.
-
application-autoscaling:scalable-dimension -
application-autoscaling:service-namespace
Para saber con qué acciones de la API Application Auto Scaling puede utilizar una clave de condición, consulte Acciones definidas por AWS Application Auto Scaling en la Referencia de autorización del servicio. Para obtener más información sobre el uso de las claves de condición de Application Auto Scaling, consulte Claves de condición de AWS Application Auto Scaling.
Para ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de contexto de condición globales de AWS en la Guía del usuario de IAM.
Políticas basadas en recursos
Admite políticas basadas en recursos: no
Otros AWS servicios, como Amazon Simple Storage Service, admiten políticas de permisos basadas en recursos. Por ejemplo, puede asociar una política de permisos a un bucket de S3 para administrar los permisos de acceso a dicho bucket.
Application Auto Scaling no soporta políticas basadas en recursos.
Listas de control de acceso () ACLs
Soportes ACLs: No
Application Auto Scaling no admite listas de control de acceso (ACLs).
ABAC con Application Auto Scaling
Compatibilidad con ABAC (etiquetas en las políticas): parcial
El control de acceso basado en atributos (ABAC) es una estrategia de autorización que define permisos en función de atributos. En AWS, estos atributos se denominan etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a muchos AWS recursos. El etiquetado de entidades y recursos es el primer paso de ABAC. A continuación, designa las políticas de ABAC para permitir operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso al que se intenta acceder.
ABAC es útil en entornos que crecen con rapidez y ayuda en situaciones en las que la administración de las políticas resulta engorrosa.
Para controlar el acceso en función de etiquetas, debe proporcionar información de las etiquetas en el elemento de condición de una política utilizando las claves de condición aws:ResourceTag/, key-nameaws:RequestTag/ o key-nameaws:TagKeys.
ABAC es posible para los recursos que admiten etiquetas, pero no todos las admiten. Las acciones programadas y las políticas de escalado no admiten etiquetas, pero los objetivos escalables sí. Para obtener más información, consulte Compatibilidad de Application Auto Scaling con etiquetas.
Para obtener más información sobre ABAC, consulte ¿Qué es ABAC? en la Guía del usuario de IAM. Para ver un tutorial con los pasos para configurar ABAC, consulte Uso del control de acceso basado en atributos (ABAC) en la Guía del usuario de IAM.
Uso de credenciales temporales con Application Auto Scaling
Compatibilidad con credenciales temporales: sí
Algunas Servicios de AWS no funcionan cuando inicias sesión con credenciales temporales. Para obtener información adicional, incluidas las que Servicios de AWS funcionan con credenciales temporales, consulta Cómo Servicios de AWS funcionan con IAM en la Guía del usuario de IAM.
Utiliza credenciales temporales si inicia sesión en ellas AWS Management Console mediante cualquier método excepto un nombre de usuario y una contraseña. Por ejemplo, cuando accedes AWS mediante el enlace de inicio de sesión único (SSO) de tu empresa, ese proceso crea automáticamente credenciales temporales. También crea credenciales temporales de forma automática cuando inicia sesión en la consola como usuario y luego cambia de rol. Para obtener más información sobre el cambio de roles, consulte Cambio de un usuario a un rol de IAM (consola) en la Guía del usuario de IAM.
Puedes crear credenciales temporales manualmente mediante la AWS CLI API o. AWS A continuación, puede utilizar esas credenciales temporales para acceder AWS. AWS recomienda generar credenciales temporales de forma dinámica en lugar de utilizar claves de acceso a largo plazo. Para obtener más información, consulte Credenciales de seguridad temporales en IAM.
Roles de servicio
Compatibilidad con roles de servicio: sí
Si el clúster de Amazon EMR utiliza el escalado automático, esta característica permite a Application Auto Scaling adoptar una rol de servicio en su nombre. Al igual que los roles vinculados a servicios, los roles de servicio permiten que el servicio acceda a los recursos de otros servicios para completar una acción en su nombre. Los roles de servicio aparecen en su cuenta de IAM y son propiedad de la cuenta. Esto significa que un administrador de IAM puede cambiar los permisos de este rol. Sin embargo, hacerlo podría deteriorar la funcionalidad del servicio.
Application Auto Scaling soporta las funciones de servicio exclusivamente en Amazon EMR. Para obtener documentación sobre la función de servicio de EMR, consulte Uso del escalado automático con una política personalizada para grupos de instancias en la Guía de administración de Amazon EMR.
nota
Con la introducción de los roles vinculados a servicios, ya no se requieren varios roles de servicios heredados, por ejemplo, para Amazon ECS y la flota de spot.
Roles vinculados a servicios
Admite roles vinculados a servicios: sí
Un rol vinculado a un servicio es un tipo de rol de servicio que está vinculado a un. Servicio de AWS El servicio puedes asumir el rol para realizar una acción en su nombre. Los roles vinculados al servicio aparecen en usted Cuenta de AWS y son propiedad del servicio. Un administrador de IAM puedes ver, pero no editar, los permisos de los roles vinculados a servicios.
Para obtener más información sobre los roles vinculados a servicios para Application Auto Scaling, consulte Roles vinculados a servicios para Application Auto Scaling.
