nota
En diciembre de 2017, hubo una actualización de Application Auto Scaling que permitía utilizar varios roles vinculados a servicios con servicios integrados en Application Auto Scaling. Para que los usuarios puedan configurar el escalado, se requieren permisos de IAM específicos y un rol vinculado a un servicio de Application Auto Scaling (o un rol de servicio para el escalado automático de Amazon EMR).
Antes de utilizar IAM para administrar el acceso a Application Auto Scaling, debe saber qué características de IAM están disponibles para su uso con Application Auto Scaling.
Característica de IAM | Compatibilidad de Application Auto Scaling |
---|---|
Sí |
|
Sí |
|
Sí |
|
Sí |
|
No |
|
No |
|
Parcial |
|
Sí |
|
Sí |
|
Sí |
Para obtener una perspectiva general sobre cómo funcionan Application Auto Scaling y otros Servicios de AWS con la mayoría de las características de IAM, consulte Servicios de AWS que funcionan con IAM en la Guía del usuario de IAM.
Políticas Application Auto Scaling basadas en identidades
Compatibilidad con las políticas basadas en identidad: sí
Las políticas basadas en identidad son documentos de políticas de permisos JSON que puede asociar a una identidad, como un usuario de IAM, un grupo de usuarios o un rol. Estas políticas controlan qué acciones pueden realizar los usuarios y los roles, en qué recursos y en qué condiciones. Para obtener más información acerca de cómo crear una política basada en identidad, consulte Definición de permisos de IAM personalizados con políticas gestionadas por el cliente en la Guía del usuario de IAM.
Con las políticas basadas en identidades de IAM, puede especificar las acciones y los recursos permitidos o denegados, así como las condiciones en las que se permiten o deniegan las acciones. No es posible especificar la entidad principal en una política basada en identidad porque se aplica al usuario o rol al que está adjunto. Para más información sobre los elementos que puede utilizar en una política de JSON, consulte Referencia de los elementos de las políticas de JSON de IAM en la Guía del usuario de IAM.
Ejemplos de políticas basadas en identidad de Application Auto Scaling
Para ver ejemplos de políticas basadas en identidad de Application Auto Scaling, consulte Ejemplos de políticas basadas en identidad de Application Auto Scaling.
Acciones
Compatibilidad con las acciones de política: sí
En una instrucción de política de IAM, puede especificar cualquier acción de API de cualquier servicio que sea compatible con IAM. Para Application Auto Scaling, use el siguiente prefijo con el nombre de la acción de API: application-autoscaling:
. Por ejemplo, application-autoscaling:RegisterScalableTarget
, application-autoscaling:PutScalingPolicy
y application-autoscaling:DeregisterScalableTarget
.
Para especificar varias acciones en una única instrucción, sepárelas con comas como se muestra en el siguiente ejemplo.
"Action": [ "application-autoscaling:DescribeScalingPolicies", "application-autoscaling:DescribeScalingActivities"
Puede utilizar caracteres comodín para especificar varias acciones (*). Por ejemplo, para especificar todas las acciones que comiencen con la palabra Describe
, incluya la siguiente acción.
"Action": "application-autoscaling:Describe*"
A fin de conocer una lista completa de acciones de Application Auto Scaling, consulte Acciones definidas por AWS Application Auto Scaling en la Referencia de autorizaciones de servicio.
Recursos
Compatibilidad con los recursos de políticas: sí
En una instrucción de política de IAM, el elemento Resource
especifica el objeto o los objetos que abarca la instrucción. En el caso de Application Auto Scaling, cada instrucción de política de IAM se aplica a los objetivos escalables especificados mediante sus nombres de recurso de Amazon (ARN).
El formato de recurso de ARN para destinos escalables:
arn:aws:application-autoscaling:region
:account-id
:scalable-target/unique-identifier
Por ejemplo, puede indicar un destino escalable específico en la instrucción si usa su ARN de la siguiente manera. El ID único (1234abcd56ab78cd901ef1234567890ab123) es un valor que Application Auto Scaling asigna al objetivo escalable.
"Resource": "arn:aws:application-autoscaling:us-east-1:123456789012:scalable-target/1234abcd56ab78cd901ef1234567890ab123"
También puede especificar todas las instancias que pertenecen a una cuenta específica si sustituye el identificador único por el carácter comodín (*) del siguiente modo.
"Resource": "arn:aws:application-autoscaling:us-east-1:123456789012:scalable-target/*"
Para especificar todos los recursos o cuando una acción de API no admita ARN, utilice un carácter comodín (*) en el elemento Resource
de la siguiente manera.
"Resource": "*"
Para obtener más información, consulte Tipos de recursos definidos por AWS Application Auto Scaling en la Referencia de autorización de servicios.
Claves de condición
Compatibilidad con claves de condición de políticas específicas del servicio: sí
Puede especificar condiciones en las políticas de IAM que controlan el acceso a los recursos de Application Auto Scaling. La declaración de política solo será efectiva si se cumplen las condiciones.
Application Auto Scaling admite las siguientes claves de condición definidas por el servicio que puede utilizar en las políticas basadas en identidades para decidir quién puede realizar las acciones de la API de Application Auto Scaling.
-
application-autoscaling:scalable-dimension
-
application-autoscaling:service-namespace
Para conocer las acciones de API de Application Auto Scaling que puede usar con una clave de condición, consulte Acciones definidas por AWS Auto Scalingen la Referencia de autorizaciones de servicio. Para obtener más información sobre el uso de las claves de condición de Application Auto Scaling, consulte Claves de condición para AWS Auto Scaling.
Para ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de contexto de condición globales de AWS en la Guía del usuario de IAM.
Políticas basadas en recursos
Admite políticas basadas en recursos: no
Otros servicios de AWS, como Amazon Simple Storage Service, soportan políticas de permisos basadas en recursos. Por ejemplo, puede asociar una política de permisos a un bucket de S3 para administrar los permisos de acceso a dicho bucket.
Application Auto Scaling no soporta políticas basadas en recursos.
Listas de control de acceso (ACL)
Compatibilidad con ACL: no
Application Auto Scaling no soporta las listas de control de acceso (ACL).
ABAC con Application Auto Scaling
Compatibilidad con ABAC (etiquetas en las políticas): parcial
El control de acceso basado en atributos (ABAC) es una estrategia de autorización que define permisos en función de atributos. En AWS, estos atributos se denominan etiquetas. Puede adjuntar etiquetas a entidades de IAM (usuarios o roles) y a muchos recursos de AWS. El etiquetado de entidades y recursos es el primer paso de ABAC. A continuación, designa las políticas de ABAC para permitir operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso al que se intenta acceder.
ABAC es útil en entornos que crecen con rapidez y ayuda en situaciones en las que la administración de las políticas resulta engorrosa.
Para controlar el acceso en función de etiquetas, debe proporcionar información de las etiquetas en el elemento de condición de una política utilizando las claves de condición aws:ResourceTag/
, key-name
aws:RequestTag/
o key-name
aws:TagKeys
.
ABAC es posible para los recursos que admiten etiquetas, pero no todos las admiten. Las acciones programadas y las políticas de escalado no admiten etiquetas, pero los objetivos escalables sí. Para obtener más información, consulte Compatibilidad de Application Auto Scaling con etiquetas.
Para obtener más información sobre ABAC, consulte ¿Qué es ABAC? en la Guía del usuario de IAM. Para ver un tutorial con los pasos para configurar ABAC, consulte Uso del control de acceso basado en atributos (ABAC) en la Guía del usuario de IAM.
Uso de credenciales temporales con Application Auto Scaling
Compatibilidad con credenciales temporales: sí
Algunos Servicios de AWS no funcionan cuando inicia sesión con credenciales temporales. Para obtener información adicional, incluida la información sobre qué Servicios de AWS funcionan con credenciales temporales, consulte Servicios de AWS que funcionan con IAM en la Guía del usuario de IAM.
Utiliza credenciales temporales si inicia sesión en la AWS Management Console con cualquier método, excepto un nombre de usuario y una contraseña. Por ejemplo, cuando accede a AWS utilizando el enlace de inicio de sesión único (SSO) de la empresa, ese proceso crea automáticamente credenciales temporales. También crea automáticamente credenciales temporales cuando inicia sesión en la consola como usuario y luego cambia de rol. Para más información sobre el cambio de roles, consulte Cambiar de usuario a un rol de IAM (consola) en la Guía del usuario de IAM.
Puede crear credenciales temporales de forma manual mediante la AWS CLI o la API de AWS. A continuación, puede usar esas credenciales temporales para acceder a AWS. AWS recomienda generar credenciales temporales de forma dinámica en lugar de usar claves de acceso a largo plazo. Para más información, consulte Credenciales de seguridad temporales en IAM.
Roles de servicio
Compatibilidad con roles de servicio: sí
Si el clúster de Amazon EMR utiliza el escalado automático, esta característica permite a Application Auto Scaling adoptar una rol de servicio en su nombre. Al igual que los roles vinculados a servicios, los roles de servicio permiten que el servicio acceda a los recursos de otros servicios para completar una acción en su nombre. Los roles de servicio aparecen en su cuenta de IAM y son propiedad de la cuenta. Esto significa que un administrador de IAM puede cambiar los permisos de este rol. Sin embargo, hacerlo podría deteriorar la funcionalidad del servicio.
Application Auto Scaling soporta las funciones de servicio exclusivamente en Amazon EMR. Para obtener documentación sobre la función de servicio de EMR, consulte Uso del escalado automático con una política personalizada para grupos de instancias en la Guía de administración de Amazon EMR.
nota
Con la introducción de los roles vinculados a servicios, ya no se requieren varios roles de servicios heredados, por ejemplo, para Amazon ECS y la flota de spot.
Roles vinculados al servicio
Admite roles vinculados al servicio: sí
Un rol vinculado al servicio es un tipo de rol de servicio que está vinculado a un Servicio de AWS. El servicio puede asumir el rol para realizar una acción en su nombre. Los roles vinculados a servicios aparecen en la Cuenta de AWS y son propiedad del servicio. Un administrador de IAM puede ver, pero no editar, los permisos de los roles vinculados a servicios.
Para obtener más información sobre los roles vinculados a servicios para Application Auto Scaling, consulte Roles vinculados a servicios para Application Auto Scaling.