Identity and Access Management para AWS Compute Optimizer - AWS Compute Optimizer

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Identity and Access Management para AWS Compute Optimizer

Puede usar AWS Identity and Access Management (IAM) para crear identidades (usuarios, grupos o roles) y conceder a esas identidades permisos para acceder a la AWS Compute Optimizer consola yAPIs.

De forma predeterminada, IAM los usuarios no tienen acceso a la consola de Compute Optimizer y. APIs Para dar acceso a los usuarios, adjuntas IAM las políticas a un solo usuario, a un grupo de usuarios o a un rol. Para obtener más información, consulte Identidades (usuarios, grupos y roles) y Descripción general de IAM las políticas en la Guía del IAM usuario.

Después de crear IAM los usuarios, puede proporcionarles contraseñas individuales. De ese modo, podrán iniciar sesión en la cuenta y ver la información de Compute Optimizer a través de una página de inicio de sesión específica de la cuenta. Para obtener más información, consulte Cómo inician sesión los usuarios en la cuenta.

importante
  • Para ver las recomendaciones de las EC2 instancias, el IAM usuario necesita el ec2:DescribeInstances permiso.

  • Para ver las recomendaciones de EBS volúmenes, el IAM usuario necesita el ec2:DescribeVolumes permiso.

  • Para ver las recomendaciones de los grupos de Auto Scaling, el IAM usuario necesita los autoscaling:DescribeAutoScalingInstances permisos autoscaling:DescribeAutoScalingGroups y.

  • Para ver las recomendaciones de las funciones de Lambda, el IAM usuario necesita los permisos lambda:ListFunctions ylambda:ListProvisionedConcurrencyConfigs.

  • Para ver las recomendaciones de ECS los servicios de Amazon en Fargate, el IAM usuario necesita los permisos ecs:ListServices yecs:ListClusters.

  • Para ver los datos de CloudWatch las métricas actuales en la consola de Compute Optimizer, el IAM usuario necesita el cloudwatch:GetMetricData permiso.

  • Para ver las recomendaciones, las licencias de software comercial, se requieren determinadas funciones de EC2 instancia de Amazon y permisos de IAM usuario. Para obtener más información, consulte Políticas para habilitar las recomendaciones de licencias de software comercial.

  • Para ver las recomendaciones de AmazonRDS, el IAM usuario necesita los rds:DescribeDBClusters permisos rds:DescribeDBInstances y.

Si el usuario o grupo al que desea conceder permisos ya tiene una política, puede agregar una de las políticas específicas de Compute Optimizer que se ilustran aquí.

Acceso confiable para AWS Organizations

Cuando activa el uso de la cuenta de administración de su organización e incluye todas las cuentas de los miembros de la organización, el acceso confiable a Compute Optimizer se habilita automáticamente en la cuenta de su organización. Esto permite a Compute Optimizer analizar los recursos de cómputo en las cuentas de esos miembros y generar recomendaciones para ellos.

Cada vez que accede a las recomendaciones de las cuentas de los miembros, Compute Optimizer verifica que el acceso confiable esté habilitado en la cuenta de su organización. Si inhabilita el acceso de confianza de Compute Optimizer después de registrarse, Compute Optimizer deniega el acceso a las recomendaciones de las cuentas de los miembros de su organización. Además, las cuentas de los miembros de la organización no están habilitadas para Compute Optimizer. Para volver a habilitar el acceso confiable, vuelva a activar Compute Optimizer con la cuenta de administración de su organización e incluya todas las cuentas de los miembros de la organización. Para obtener más información, consulte Optar por: AWS Compute Optimizer. Para obtener más información sobre el acceso de AWS Organizations confianza, consulte Uso AWS Organizations con otros AWS servicios en la Guía del AWS Organizations usuario.

Política de suscripción a Compute Optimizer

Esta declaración de política garantiza lo siguiente:

importante

Este IAM rol es obligatorio para poder optar a él. AWS Compute Optimizer

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer*", "Condition": {"StringLike": {"iam:AWSServiceName": "compute-optimizer.amazonaws.com"}} }, { "Effect": "Allow", "Action": "iam:PutRolePolicy", "Resource": "arn:aws:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer" }, { "Effect": "Allow", "Action": "compute-optimizer:UpdateEnrollmentStatus", "Resource": "*" } ] }

Políticas para conceder acceso a Compute Optimizer de forma independiente Cuentas de AWS

La siguiente instrucción de política concede acceso completo a Compute Optimizer para cuentas de Cuentas de AWS independientes.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "compute-optimizer:*", "ec2:DescribeInstances", "ec2:DescribeVolumes", "ecs:ListServices", "ecs:ListClusters", "autoscaling:DescribeAutoScalingGroups", "autoscaling:DescribeAutoScalingInstances", "lambda:ListFunctions", "lambda:ListProvisionedConcurrencyConfigs", "cloudwatch:GetMetricData" ], "Resource": "*" } ] }

La siguiente instrucción de política concede acceso de solo lectura a Compute Optimizer para cuentas de Cuentas de AWS independientes.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "compute-optimizer:GetEnrollmentStatus", "compute-optimizer:GetEffectiveRecommendationPreferences", "compute-optimizer:GetRecommendationPreferences", "compute-optimizer:GetRecommendationSummaries", "compute-optimizer:GetEC2InstanceRecommendations", "compute-optimizer:GetEC2RecommendationProjectedMetrics", "compute-optimizer:GetAutoScalingGroupRecommendations", "compute-optimizer:GetEBSVolumeRecommendations", "compute-optimizer:GetLambdaFunctionRecommendations", "compute-optimizer:DescribeRecommendationExportJobs", "compute-optimizer:GetEffectiveRecommendationPreferences", "compute-optimizer:GetRecommendationPreferences", "compute-optimizer:GetECSServiceRecommendations", "compute-optimizer:GetECSServiceRecommendationProjectedMetrics", "compute-optimizer:GetRDSDatabaseRecommendations", "compute-optimizer:GetRDSDatabaseRecommendationProjectedMetrics", "ec2:DescribeInstances", "ec2:DescribeVolumes", "ecs:ListServices", "ecs:ListClusters", "autoscaling:DescribeAutoScalingGroups", "autoscaling:DescribeAutoScalingInstances", "lambda:ListFunctions", "lambda:ListProvisionedConcurrencyConfigs", "cloudwatch:GetMetricData", "rds:DescribeDBInstances", "rds:DescribeDBClusters" ], "Resource": "*" } ] }

Políticas para conceder acceso a Compute Optimizer para una cuenta de administración de una organización

La siguiente declaración de política otorga acceso total a Compute Optimizer para una cuenta de administración de su organización.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "compute-optimizer:*", "ec2:DescribeInstances", "ec2:DescribeVolumes", "ecs:ListServices", "ecs:ListClusters", "autoscaling:DescribeAutoScalingGroups", "autoscaling:DescribeAutoScalingInstances", "lambda:ListFunctions", "lambda:ListProvisionedConcurrencyConfigs", "cloudwatch:GetMetricData", "organizations:ListAccounts", "organizations:DescribeOrganization", "organizations:DescribeAccount", "organizations:EnableAWSServiceAccess", "organizations:ListDelegatedAdministrators", "organizations:RegisterDelegatedAdministrator", "organizations:DeregisterDelegatedAdministrator" ], "Resource": "*" } ] }

La siguiente declaración de política otorga acceso de solo lectura a Compute Optimizer para una cuenta de administración de una organización.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "compute-optimizer:GetEnrollmentStatus", "compute-optimizer:GetEnrollmentStatusesForOrganization", "compute-optimizer:GetRecommendationSummaries", "compute-optimizer:GetEC2InstanceRecommendations", "compute-optimizer:GetEC2RecommendationProjectedMetrics", "compute-optimizer:GetAutoScalingGroupRecommendations", "compute-optimizer:GetEBSVolumeRecommendations", "compute-optimizer:GetLambdaFunctionRecommendations", "compute-optimizer:GetEffectiveRecommendationPreferences", "compute-optimizer:GetRecommendationPreferences", "compute-optimizer:GetECSServiceRecommendations", "compute-optimizer:GetECSServiceRecommendationProjectedMetrics", "compute-optimizer:GetRDSDatabaseRecommendations", "compute-optimizer:GetRDSDatabaseRecommendationProjectedMetrics", "ec2:DescribeInstances", "ec2:DescribeVolumes", "ecs:ListServices", "ecs:ListClusters", "autoscaling:DescribeAutoScalingGroups", "autoscaling:DescribeAutoScalingInstances", "lambda:ListFunctions", "lambda:ListProvisionedConcurrencyConfigs", "cloudwatch:GetMetricData", "organizations:ListAccounts", "organizations:DescribeOrganization", "organizations:DescribeAccount", "organizations:ListDelegatedAdministrators", "rds:DescribeDBInstances", "rds:DescribeDBClusters" ], "Resource": "*" } ] }

Políticas para conceder acceso a la administración de las preferencias de recomendación de Compute Optimizer

Las siguientes declaraciones de política permiten ver y editar las preferencias de recomendación.

Conceda acceso para gestionar las preferencias de recomendación únicamente para EC2 las instancias

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "compute-optimizer:DeleteRecommendationPreferences", "compute-optimizer:GetEffectiveRecommendationPreferences", "compute-optimizer:GetRecommendationPreferences", "compute-optimizer:PutRecommendationPreferences" ], "Resource": "*", "Condition" : { "StringEquals" : { "compute-optimizer:ResourceType" : "Ec2Instance" } } } ] }

Conceder acceso para gestionar las preferencias de recomendación únicamente para los grupos de Auto Scaling

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "compute-optimizer:DeleteRecommendationPreferences", "compute-optimizer:GetEffectiveRecommendationPreferences", "compute-optimizer:GetRecommendationPreferences", "compute-optimizer:PutRecommendationPreferences" ], "Resource": "*", "Condition" : { "StringEquals" : { "compute-optimizer:ResourceType" : "AutoScalingGroup" } } } ] }

Conceda acceso para gestionar las preferencias de recomendación únicamente para RDS las instancias

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "compute-optimizer:DeleteRecommendationPreferences", "compute-optimizer:GetEffectiveRecommendationPreferences", "compute-optimizer:GetRecommendationPreferences", "compute-optimizer:PutRecommendationPreferences" ], "Resource": "*", "Condition" : { "StringEquals" : { "compute-optimizer:ResourceType" : "RdsDBInstance" } } } ] }

Políticas para habilitar las recomendaciones de licencias de software comercial

Para que Compute Optimizer genere recomendaciones de licencias, adjunta las siguientes políticas y roles de EC2 instancia de Amazon.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue*" ], "Resource": "arn:aws:secretsmanager:*:*:secret:ApplicationInsights-*" } ] }

Además, para habilitar y recibir recomendaciones de licencias, adjunte la siguiente IAM política a su usuario, grupo o rol. Para obtener más información, consulta la IAMpolítica en la Guía del CloudWatch usuario de Amazon.

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "applicationinsights:*", "iam:CreateServiceLinkedRole", "iam:ListRoles", "resource-groups:ListGroups" ], "Effect": "Allow", "Resource": "*" } ] }

Política para denegar el acceso a Compute Optimizer

La siguiente instrucción de política deniega el acceso a Compute Optimizer.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "compute-optimizer:*", "Resource": "*" } ] }

Recursos adicionales de