Exemples de stratégies Application Auto Scaling basées sur une identité - Application Autoscaling

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Exemples de stratégies Application Auto Scaling basées sur une identité

Par défaut, un nouvel utilisateur n' Compte AWS est pas autorisé à faire quoi que ce soit. Un IAM administrateur doit créer et attribuer des IAM politiques qui donnent à une IAM identité (telle qu'un utilisateur ou un rôle) l'autorisation d'effectuer des API actions Application Auto Scaling.

Pour savoir comment créer une IAM politique à l'aide des exemples de documents de JSON stratégie suivants, voir Création de politiques dans l'JSONonglet du Guide de l'IAMutilisateur.

Autorisations requises pour les API actions Application Auto Scaling

Les politiques suivantes accordent des autorisations pour les cas d'utilisation courants lors de l'appel à Application Auto ScalingAPI. Reportez-vous à cette section lorsque vous rédigez des stratégies basées sur l'identité. Chaque politique accorde des autorisations à toutes les API actions Application Auto Scaling ou à certaines d'entre elles. Vous devez également vous assurer que les utilisateurs finaux disposent des autorisations pour le service cible CloudWatch (voir la section suivante pour plus de détails).

La politique basée sur l'identité suivante accorde des autorisations à toutes les actions Application Auto ScalingAPI.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "application-autoscaling:*" ], "Resource": "*" } ] }

La politique basée sur l'identité suivante accorde des autorisations à toutes les API actions Application Auto Scaling requises pour configurer les politiques de dimensionnement et non aux actions planifiées.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "application-autoscaling:RegisterScalableTarget", "application-autoscaling:DescribeScalableTargets", "application-autoscaling:DeregisterScalableTarget", "application-autoscaling:PutScalingPolicy", "application-autoscaling:DescribeScalingPolicies", "application-autoscaling:DescribeScalingActivities", "application-autoscaling:DeleteScalingPolicy" ], "Resource": "*" } ] }

La politique basée sur l'identité suivante accorde des autorisations à toutes les actions Application Auto Scaling requises pour configurer des API actions planifiées et non des politiques de dimensionnement.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "application-autoscaling:RegisterScalableTarget", "application-autoscaling:DescribeScalableTargets", "application-autoscaling:DeregisterScalableTarget", "application-autoscaling:PutScheduledAction", "application-autoscaling:DescribeScheduledActions", "application-autoscaling:DescribeScalingActivities", "application-autoscaling:DeleteScheduledAction" ], "Resource": "*" } ] }

Autorisations requises pour API les actions sur les services cibles et CloudWatch

Pour configurer et utiliser correctement Application Auto Scaling avec le service cible, les utilisateurs finaux doivent disposer d'autorisations pour Amazon CloudWatch et pour chaque service cible pour lequel ils configureront le dimensionnement. Utilisez les politiques suivantes pour accorder les autorisations minimales requises pour travailler avec les services cibles et CloudWatch.

AppStream Flottes 2.0

La politique basée sur l'identité suivante accorde des autorisations à toutes les versions AppStream 2.0 et aux CloudWatch API actions requises.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "appstream:DescribeFleets", "appstream:UpdateFleet", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }

Réplicas Aurora

La politique basée sur l'identité suivante accorde des autorisations à toutes les Aurora et aux CloudWatch API actions requises.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "rds:AddTagsToResource", "rds:CreateDBInstance", "rds:DeleteDBInstance", "rds:DescribeDBClusters", "rds:DescribeDBInstances", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }

Classification de documents et points de terminaison de module de reconnaissance d’entité Amazon Comprehend

La politique basée sur l'identité suivante accorde des autorisations à toutes les actions Amazon Comprehend CloudWatch API et aux actions requises.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "comprehend:UpdateEndpoint", "comprehend:DescribeEndpoint", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }

Tables DynamoDB et index secondaires globaux

La politique basée sur l'identité suivante accorde des autorisations à toutes les actions DynamoDB et à toutes les actions requises. CloudWatch API

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "dynamodb:DescribeTable", "dynamodb:UpdateTable", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }

ECSservices

La politique basée sur l'identité suivante accorde des autorisations à tous ECS et les CloudWatch API actions requises.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeServices", "ecs:UpdateService", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }

ElastiCache groupes de réplication

La politique basée sur l'identité suivante accorde des autorisations à tous ElastiCache et les CloudWatch API actions requises.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "elasticache:ModifyReplicationGroupShardConfiguration", "elasticache:IncreaseReplicaCount", "elasticache:DecreaseReplicaCount", "elasticache:DescribeReplicationGroups", "elasticache:DescribeCacheClusters", "elasticache:DescribeCacheParameters", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }

EMRClusters Amazon

La politique basée sur l'identité suivante accorde des autorisations à tous les Amazon EMR et CloudWatch API les actions requises.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "elasticmapreduce:ModifyInstanceGroups", "elasticmapreduce:ListInstanceGroups", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }

Tables Amazon Keyspaces

La politique basée sur l'identité suivante accorde des autorisations à tous les Amazon Keyspaces et aux CloudWatch API actions requises.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cassandra:Select", "cassandra:Alter", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }

Fonctions Lambda

La politique basée sur l'identité suivante accorde des autorisations à toutes les actions Lambda et à toutes les CloudWatch API actions requises.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "lambda:PutProvisionedConcurrencyConfig", "lambda:GetProvisionedConcurrencyConfig", "lambda:DeleteProvisionedConcurrencyConfig", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }

Amazon Managed Streaming pour le stockage entre courtiers Apache Kafka (MSK)

La politique basée sur l'identité suivante accorde des autorisations à tous les Amazon MSK et CloudWatch API les actions requises.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kafka:DescribeCluster", "kafka:DescribeClusterOperation", "kafka:UpdateBrokerStorage", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }

Clusters Neptune

La politique basée sur l'identité suivante accorde des autorisations à tous les Neptune ainsi que les CloudWatch API actions requises.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "rds:AddTagsToResource", "rds:CreateDBInstance", "rds:DescribeDBInstances", "rds:DescribeDBClusters", "rds:DescribeDBClusterParameters", "rds:DeleteDBInstance", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }

SageMaker points de terminaison

La politique basée sur l'identité suivante accorde des autorisations à tous SageMaker et les CloudWatch API actions requises.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sagemaker:DescribeEndpoint", "sagemaker:DescribeEndpointConfig", "sagemaker:DescribeInferenceComponent", "sagemaker:UpdateEndpointWeightsAndCapacities", "sagemaker:UpdateInferenceComponentRuntimeConfig", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }

Flottes de véhicules Spot (AmazonEC2)

La politique basée sur l'identité suivante accorde des autorisations à tous les Spot Fleet et CloudWatch API les actions requises.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeSpotFleetRequests", "ec2:ModifySpotFleetRequest", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }

Ressources personnalisées

La politique basée sur l'identité suivante autorise l'APIexécution de l'action API Gateway. Cette politique accorde également des autorisations pour toutes les CloudWatch actions requises.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "execute-api:Invoke", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }

Autorisations pour travailler dans le AWS Management Console

Il n’existe pas de console autonome d’Application Auto Scaling. La plupart des services qui s’intègrent avec Application Auto Scaling ont des fonctions dédiées pour vous aider à configurer la mise à l’échelle avec leur console.

Dans la plupart des cas, chaque service fournit des IAM politiques AWS gérées (prédéfinies) qui définissent l'accès à sa console, y compris les autorisations relatives aux API actions Application Auto Scaling. Pour de plus amples informations, reportez-vous à la documentation du service dont vous souhaitez utiliser la console.

Vous pouvez également créer vos propres IAM politiques personnalisées pour donner aux utilisateurs des autorisations détaillées leur permettant de visualiser et d'utiliser des API actions Application Auto Scaling spécifiques dans le. AWS Management Console Vous pouvez utiliser les exemples de politiques présentés dans les sections précédentes ; toutefois, elles sont conçues pour les demandes effectuées avec le AWS CLI ou unSDK. La console utilise des API actions supplémentaires pour ses fonctionnalités, de sorte que ces politiques risquent de ne pas fonctionner comme prévu. Par exemple, pour configurer le step scaling, les utilisateurs peuvent avoir besoin d'autorisations supplémentaires pour créer et gérer des CloudWatch alarmes.

Astuce

Pour vous aider à déterminer les API actions requises pour effectuer des tâches dans la console, vous pouvez utiliser un service tel que AWS CloudTrail. Pour plus d’informations, consultez le AWS CloudTrail Guide de l’utilisateur .

La stratégie basée sur l'identité suivante accorde l'autorisation de configurer des politiques de mise à l'échelle pour le parc d’instances Spot. Outre les IAM autorisations pour Spot Fleet, l'utilisateur de la console qui accède aux paramètres de dimensionnement du parc depuis la EC2 console Amazon doit disposer des autorisations appropriées pour les services qui prennent en charge le dimensionnement dynamique.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "application-autoscaling:*", "ec2:DescribeSpotFleetRequests", "ec2:ModifySpotFleetRequest", "cloudwatch:DeleteAlarms", "cloudwatch:DescribeAlarmHistory", "cloudwatch:DescribeAlarms", "cloudwatch:DescribeAlarmsForMetric", "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics", "cloudwatch:PutMetricAlarm", "cloudwatch:DisableAlarmActions", "cloudwatch:EnableAlarmActions", "sns:CreateTopic", "sns:Subscribe", "sns:Get*", "sns:List*" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/ec2.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_EC2SpotFleetRequest", "Condition": { "StringLike": { "iam:AWSServiceName":"ec2.application-autoscaling.amazonaws.com" } } } ] }

Cette politique permet aux utilisateurs de la console de consulter et de modifier les politiques de dimensionnement dans la EC2 console Amazon, ainsi que de créer et de gérer des CloudWatch alarmes dans la CloudWatch console.

Vous pouvez ajuster les API actions pour limiter l'accès des utilisateurs. Par exemple, le remplacement de application-autoscaling:* par application-autoscaling:Describe* signifie que l’utilisateur dispose d’un accès en lecture seule.

Vous pouvez également ajuster les CloudWatch autorisations selon les besoins pour limiter l'accès des utilisateurs aux CloudWatch fonctionnalités. Pour plus d'informations, consultez la section Autorisations nécessaires pour la CloudWatch console dans le guide de CloudWatch l'utilisateur Amazon.