Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Permisos mínimos para PCS AWS
En esta sección se describen los permisos de IAM mínimos necesarios para que una identidad de IAM (usuario, grupo o rol) utilice el servicio.
Contenido
Permisos mínimos para usar las acciones de la API
| Acción de la API | Permisos mínimos | Permisos adicionales para la consola |
|---|---|---|
|
CreateCluster |
|
|
|
ListClusters |
|
|
|
GetCluster |
|
|
|
DeleteCluster |
|
|
|
CreateComputeNodeGroup |
|
|
|
ListComputerNodeGroups |
|
|
|
GetComputeNodeGroup |
|
|
|
UpdateComputeNodeGroup |
|
|
|
DeleteComputeNodeGroup |
|
|
|
CreateQueue |
|
|
|
ListQueues |
|
|
|
GetQueue |
|
|
|
UpdateQueue |
|
|
|
DeleteQueue |
|
Permisos mínimos para usar etiquetas
Se requieren los siguientes permisos para usar etiquetas con sus recursos en AWS PCS.
pcs:ListTagsForResource, pcs:TagResource, pcs:UntagResource
Permisos mínimos para admitir registros
AWS PCS envía los datos de registro a Amazon CloudWatch Logs (CloudWatch Logs). Debe asegurarse de que su identidad tiene los permisos mínimos para usar CloudWatch Logs. Para obtener más información, consulte Descripción general de la gestión de los permisos de acceso a sus recursos de CloudWatch Logs en la Guía del usuario de Amazon CloudWatch Logs.
Para obtener información sobre los permisos necesarios para que un servicio envíe CloudWatch registros a Logs, consulte Habilitar el registro desde AWS los servicios en la Guía del usuario de Amazon CloudWatch Logs.
Permisos mínimos para un administrador de servicios
La siguiente política de IAM especifica los permisos mínimos necesarios para que una identidad de IAM (usuario, grupo o rol) configure y administre el servicio AWS PCS.
nota
Los usuarios que no configuran ni administran el servicio no necesitan estos permisos. Los usuarios que solo ejecutan trabajos utilizan un shell seguro (SSH) para conectarse al clúster. AWS Identity and Access Management (IAM) no gestiona la autenticación ni la autorización de SSH.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "PCSAccess", "Effect": "Allow", "Action": [ "pcs:*" ], "Resource": "*" }, { "Sid": "EC2Access", "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface", "ec2:DescribeImages", "ec2:GetSecurityGroupsForVpc", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups", "ec2:DescribeVpcs", "ec2:DescribeLaunchTemplates", "ec2:DescribeLaunchTemplateVersions", "ec2:DescribeInstanceTypes", "ec2:DescribeInstanceTypeOfferings", "ec2:RunInstances", "ec2:CreateFleet", "ec2:CreateTags" ], "Resource": "*" }, { "Sid": "IamInstanceProfile", "Effect": "Allow", "Action": [ "iam:GetInstanceProfile" ], "Resource": "*" }, { "Sid": "IamPassRole", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/*/AWSPCS*", "arn:aws:iam::*:role/AWSPCS*", "arn:aws:iam::*:role/aws-pcs/*", "arn:aws:iam::*:role/*/aws-pcs/*" ], "Condition": { "StringEquals": { "iam:PassedToService": [ "ec2.amazonaws.com" ] } } }, { "Sid": "SLRAccess", "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": [ "arn:aws:iam::*:role/aws-service-role/pcs.amazonaws.com/AWSServiceRoleFor*", "arn:aws:iam::*:role/aws-service-role/spot.amazonaws.com/AWSServiceRoleFor*" ], "Condition": { "StringLike": { "iam:AWSServiceName": [ "pcs.amazonaws.com", "spot.amazonaws.com" ] } } }, { "Sid": "AccessKMSKey", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:Encrypt", "kms:GenerateDataKey", "kms:CreateGrant", "kms:DescribeKey" ], "Resource": "*" }, { "Sid": "SecretManagementAccess", "Effect": "Allow", "Action": [ "secretsmanager:CreateSecret", "secretsmanager:TagResource", "secretsmanager:UpdateSecret" ], "Resource": "*" }, { "Sid": "ServiceLogsDelivery", "Effect": "Allow", "Action": [ "pcs:AllowVendedLogDeliveryForResource", "logs:PutDeliverySource", "logs:PutDeliveryDestination", "logs:CreateDelivery" ], "Resource": "*" } ] }
