Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Identity and Access Management para AWS Compute Optimizer
Puede usar AWS Identity and Access Management (IAM) para crear identidades (usuarios, grupos o roles) y conceder a esas identidades permisos para acceder a la AWS Compute Optimizer consola yAPIs.
De forma predeterminada, IAM los usuarios no tienen acceso a la consola de Compute Optimizer y. APIs Para dar acceso a los usuarios, adjuntas IAM las políticas a un solo usuario, a un grupo de usuarios o a un rol. Para obtener más información, consulte Identidades (usuarios, grupos y roles) y Descripción general de IAM las políticas en la Guía del IAM usuario.
Después de crear IAM los usuarios, puede proporcionarles contraseñas individuales. De ese modo, podrán iniciar sesión en la cuenta y ver la información de Compute Optimizer a través de una página de inicio de sesión específica de la cuenta. Para obtener más información, consulte Cómo inician sesión los usuarios en la cuenta.
importante
-
Para ver las recomendaciones de las EC2 instancias, el IAM usuario necesita el
ec2:DescribeInstances
permiso. -
Para ver las recomendaciones de EBS volúmenes, el IAM usuario necesita el
ec2:DescribeVolumes
permiso. -
Para ver las recomendaciones de los grupos de Auto Scaling, el IAM usuario necesita los
autoscaling:DescribeAutoScalingInstances
permisosautoscaling:DescribeAutoScalingGroups
y. -
Para ver las recomendaciones de las funciones de Lambda, el IAM usuario necesita los permisos
lambda:ListFunctions
ylambda:ListProvisionedConcurrencyConfigs
. -
Para ver las recomendaciones de ECS los servicios de Amazon en Fargate, el IAM usuario necesita los permisos
ecs:ListServices
yecs:ListClusters
. -
Para ver los datos de CloudWatch las métricas actuales en la consola de Compute Optimizer, el IAM usuario necesita el
cloudwatch:GetMetricData
permiso. -
Para ver las recomendaciones, las licencias de software comercial, se requieren determinadas funciones de EC2 instancia de Amazon y permisos de IAM usuario. Para obtener más información, consulte Políticas para habilitar las recomendaciones de licencias de software comercial.
-
Para ver las recomendaciones de AmazonRDS, el IAM usuario necesita los
rds:DescribeDBClusters
permisosrds:DescribeDBInstances
y.
Si el usuario o grupo al que desea conceder permisos ya tiene una política, puede agregar una de las políticas específicas de Compute Optimizer que se ilustran aquí.
Temas
- Acceso confiable para AWS Organizations
- Política de suscripción a Compute Optimizer
- Políticas para conceder acceso a Compute Optimizer de forma independiente Cuentas de AWS
- Políticas para conceder acceso a Compute Optimizer para una cuenta de administración de una organización
- Políticas para conceder acceso a la administración de las preferencias de recomendación de Compute Optimizer
- Políticas para habilitar las recomendaciones de licencias de software comercial
- Política para denegar el acceso a Compute Optimizer
- Recursos adicionales de
Acceso confiable para AWS Organizations
Cuando activa el uso de la cuenta de administración de su organización e incluye todas las cuentas de los miembros de la organización, el acceso confiable a Compute Optimizer se habilita automáticamente en la cuenta de su organización. Esto permite a Compute Optimizer analizar los recursos de cómputo en las cuentas de esos miembros y generar recomendaciones para ellos.
Cada vez que accede a las recomendaciones de las cuentas de los miembros, Compute Optimizer verifica que el acceso confiable esté habilitado en la cuenta de su organización. Si inhabilita el acceso de confianza de Compute Optimizer después de registrarse, Compute Optimizer deniega el acceso a las recomendaciones de las cuentas de los miembros de su organización. Además, las cuentas de los miembros de la organización no están habilitadas para Compute Optimizer. Para volver a habilitar el acceso confiable, vuelva a activar Compute Optimizer con la cuenta de administración de su organización e incluya todas las cuentas de los miembros de la organización. Para obtener más información, consulte Optar por: AWS Compute Optimizer. Para obtener más información sobre el acceso de AWS Organizations confianza, consulte Uso AWS Organizations con otros AWS servicios en la Guía del AWS Organizations usuario.
Política de suscripción a Compute Optimizer
Esta declaración de política garantiza lo siguiente:
-
Acceso para suscribirse a Compute Optimizer.
-
Acceso para crear un rol vinculado a un servicio para Compute Optimizer. Para obtener más información, consulte Uso de roles vinculados a servicios para AWS Compute Optimizer.
-
Acceso para actualizar el estado de inscripción en el servicio Compute Optimizer.
importante
Este IAM rol es obligatorio para poder optar a él. AWS Compute Optimizer
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer*", "Condition": {"StringLike": {"iam:AWSServiceName": "compute-optimizer.amazonaws.com"}} }, { "Effect": "Allow", "Action": "iam:PutRolePolicy", "Resource": "arn:aws:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer" }, { "Effect": "Allow", "Action": "compute-optimizer:UpdateEnrollmentStatus", "Resource": "*" } ] }
Políticas para conceder acceso a Compute Optimizer de forma independiente Cuentas de AWS
La siguiente instrucción de política concede acceso completo a Compute Optimizer para cuentas de Cuentas de AWS independientes.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "compute-optimizer:*", "ec2:DescribeInstances", "ec2:DescribeVolumes", "ecs:ListServices", "ecs:ListClusters", "autoscaling:DescribeAutoScalingGroups", "autoscaling:DescribeAutoScalingInstances", "lambda:ListFunctions", "lambda:ListProvisionedConcurrencyConfigs", "cloudwatch:GetMetricData" ], "Resource": "*" } ] }
La siguiente instrucción de política concede acceso de solo lectura a Compute Optimizer para cuentas de Cuentas de AWS independientes.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "compute-optimizer:GetEnrollmentStatus", "compute-optimizer:GetEffectiveRecommendationPreferences", "compute-optimizer:GetRecommendationPreferences", "compute-optimizer:GetRecommendationSummaries", "compute-optimizer:GetEC2InstanceRecommendations", "compute-optimizer:GetEC2RecommendationProjectedMetrics", "compute-optimizer:GetAutoScalingGroupRecommendations", "compute-optimizer:GetEBSVolumeRecommendations", "compute-optimizer:GetLambdaFunctionRecommendations", "compute-optimizer:DescribeRecommendationExportJobs", "compute-optimizer:GetEffectiveRecommendationPreferences", "compute-optimizer:GetRecommendationPreferences", "compute-optimizer:GetECSServiceRecommendations", "compute-optimizer:GetECSServiceRecommendationProjectedMetrics", "compute-optimizer:GetRDSDatabaseRecommendations", "compute-optimizer:GetRDSDatabaseRecommendationProjectedMetrics", "ec2:DescribeInstances", "ec2:DescribeVolumes", "ecs:ListServices", "ecs:ListClusters", "autoscaling:DescribeAutoScalingGroups", "autoscaling:DescribeAutoScalingInstances", "lambda:ListFunctions", "lambda:ListProvisionedConcurrencyConfigs", "cloudwatch:GetMetricData", "rds:DescribeDBInstances", "rds:DescribeDBClusters" ], "Resource": "*" } ] }
Políticas para conceder acceso a Compute Optimizer para una cuenta de administración de una organización
La siguiente declaración de política otorga acceso total a Compute Optimizer para una cuenta de administración de su organización.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "compute-optimizer:*", "ec2:DescribeInstances", "ec2:DescribeVolumes", "ecs:ListServices", "ecs:ListClusters", "autoscaling:DescribeAutoScalingGroups", "autoscaling:DescribeAutoScalingInstances", "lambda:ListFunctions", "lambda:ListProvisionedConcurrencyConfigs", "cloudwatch:GetMetricData", "organizations:ListAccounts", "organizations:DescribeOrganization", "organizations:DescribeAccount", "organizations:EnableAWSServiceAccess", "organizations:ListDelegatedAdministrators", "organizations:RegisterDelegatedAdministrator", "organizations:DeregisterDelegatedAdministrator" ], "Resource": "*" } ] }
La siguiente declaración de política otorga acceso de solo lectura a Compute Optimizer para una cuenta de administración de una organización.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "compute-optimizer:GetEnrollmentStatus", "compute-optimizer:GetEnrollmentStatusesForOrganization", "compute-optimizer:GetRecommendationSummaries", "compute-optimizer:GetEC2InstanceRecommendations", "compute-optimizer:GetEC2RecommendationProjectedMetrics", "compute-optimizer:GetAutoScalingGroupRecommendations", "compute-optimizer:GetEBSVolumeRecommendations", "compute-optimizer:GetLambdaFunctionRecommendations", "compute-optimizer:GetEffectiveRecommendationPreferences", "compute-optimizer:GetRecommendationPreferences", "compute-optimizer:GetECSServiceRecommendations", "compute-optimizer:GetECSServiceRecommendationProjectedMetrics", "compute-optimizer:GetRDSDatabaseRecommendations", "compute-optimizer:GetRDSDatabaseRecommendationProjectedMetrics", "ec2:DescribeInstances", "ec2:DescribeVolumes", "ecs:ListServices", "ecs:ListClusters", "autoscaling:DescribeAutoScalingGroups", "autoscaling:DescribeAutoScalingInstances", "lambda:ListFunctions", "lambda:ListProvisionedConcurrencyConfigs", "cloudwatch:GetMetricData", "organizations:ListAccounts", "organizations:DescribeOrganization", "organizations:DescribeAccount", "organizations:ListDelegatedAdministrators", "rds:DescribeDBInstances", "rds:DescribeDBClusters" ], "Resource": "*" } ] }
Políticas para conceder acceso a la administración de las preferencias de recomendación de Compute Optimizer
Las siguientes declaraciones de política permiten ver y editar las preferencias de recomendación.
Conceda acceso para gestionar las preferencias de recomendación únicamente para EC2 las instancias
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "compute-optimizer:DeleteRecommendationPreferences", "compute-optimizer:GetEffectiveRecommendationPreferences", "compute-optimizer:GetRecommendationPreferences", "compute-optimizer:PutRecommendationPreferences" ], "Resource": "*", "Condition" : { "StringEquals" : { "compute-optimizer:ResourceType" : "Ec2Instance" } } } ] }
Conceder acceso para gestionar las preferencias de recomendación únicamente para los grupos de Auto Scaling
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "compute-optimizer:DeleteRecommendationPreferences", "compute-optimizer:GetEffectiveRecommendationPreferences", "compute-optimizer:GetRecommendationPreferences", "compute-optimizer:PutRecommendationPreferences" ], "Resource": "*", "Condition" : { "StringEquals" : { "compute-optimizer:ResourceType" : "AutoScalingGroup" } } } ] }
Conceda acceso para gestionar las preferencias de recomendación únicamente para RDS las instancias
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "compute-optimizer:DeleteRecommendationPreferences", "compute-optimizer:GetEffectiveRecommendationPreferences", "compute-optimizer:GetRecommendationPreferences", "compute-optimizer:PutRecommendationPreferences" ], "Resource": "*", "Condition" : { "StringEquals" : { "compute-optimizer:ResourceType" : "RdsDBInstance" } } } ] }
Políticas para habilitar las recomendaciones de licencias de software comercial
Para que Compute Optimizer genere recomendaciones de licencias, adjunta las siguientes políticas y roles de EC2 instancia de Amazon.
-
El rol de
AmazonSSMManagedInstanceCore
para habilitar Systems Manager. Para obtener más información, consulte Ejemplos de políticas basadas en identidad de AWS Systems Manager en la Guía del usuario de AWS Systems Manager . -
La
CloudWatchAgentServerPolicy
política que permite la publicación de las métricas y los registros de las instancias en. CloudWatch Para obtener más información, consulte Crear IAM roles y usuarios para usarlos con el CloudWatch agente en la Guía del CloudWatch usuario de Amazon. -
La siguiente declaración de política IAM en línea para leer la cadena de conexión secreta de Microsoft SQL Server almacenada en AWS Systems Manager. Para obtener más información sobre las políticas insertadas, consulte Políticas administradas y políticas insertadas en la Guía del usuario de AWS Identity and Access Management .
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue*" ], "Resource": "arn:aws:secretsmanager:*:*:secret:ApplicationInsights-*" } ] }
Además, para habilitar y recibir recomendaciones de licencias, adjunte la siguiente IAM política a su usuario, grupo o rol. Para obtener más información, consulta la IAMpolítica en la Guía del CloudWatch usuario de Amazon.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "applicationinsights:*", "iam:CreateServiceLinkedRole", "iam:ListRoles", "resource-groups:ListGroups" ], "Effect": "Allow", "Resource": "*" } ] }
Política para denegar el acceso a Compute Optimizer
La siguiente instrucción de política deniega el acceso a Compute Optimizer.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "compute-optimizer:*", "Resource": "*" } ] }