Accès fiable pour AWS Organizations Politique d'adhésion à Compute Optimizer Accès pour les comptes autonomes Accès aux comptes de gestion Accès pour gérer les préférences de recommandation Activer les recommandations de licence Refuser l'accès Ressources supplémentaires

Identity and Access Management pour AWS Compute Optimizer

Vous pouvez utiliser AWS Identity and Access Management (IAM) pour créer des identités (utilisateurs, groupes ou rôles) et accorder à ces identités les autorisations d'accès à la AWS Compute Optimizer console et APIs.

Par défaut, les utilisateurs IAM n'ont pas accès à la console Compute Optimizer et. APIs Vous accordez aux utilisateurs l'accès en attachant des stratégies IAM à un seul utilisateur, à un groupe d'utilisateurs ou à un rôle. Pour plus d’informations, consultez Identités (utilisateurs, groupes et rôles) et Présentation des stratégies IAM dans le Guide de l’utilisateur IAM.

Après avoir créé les utilisateurs IAM, vous pouvez leur attribuer des mots de passe individuels. Ils peuvent ensuite se connecter à votre compte et consulter les informations de Compute Optimizer en utilisant une page de connexion spécifique au compte. Pour plus d'informations, consultez Comment les utilisateurs se connectent à votre compte.

Important

Pour consulter les recommandations relatives aux EC2 instances, un utilisateur IAM doit disposer de cette ec2:DescribeInstances autorisation.
Pour consulter les recommandations relatives aux volumes EBS, un utilisateur IAM doit disposer de cette autorisation. ec2:DescribeVolumes
Pour consulter les recommandations relatives aux groupes EC2 Auto Scaling, un utilisateur IAM doit disposer des autoscaling:DescribeAutoScalingInstances autorisations autoscaling:DescribeAutoScalingGroups et.
Pour consulter les recommandations relatives aux fonctions Lambda, un utilisateur IAM doit disposer des lambda:ListFunctions autorisations et. lambda:ListProvisionedConcurrencyConfigs
Pour consulter les recommandations relatives aux services Amazon ECS sur Fargate, un utilisateur IAM doit disposer des autorisations et. ecs:ListServices ecs:ListClusters
Pour consulter CloudWatch les données des métriques actuelles dans la console Compute Optimizer, un utilisateur IAM doit disposer d'une autorisation. cloudwatch:GetMetricData
Pour consulter les recommandations relatives aux licences logicielles commerciales, certains rôles d' EC2 instance Amazon et certaines autorisations d'utilisateur IAM sont requis. Pour de plus amples informations, veuillez consulter Politiques visant à activer les recommandations relatives aux licences logicielles commerciales.
Pour consulter les recommandations relatives à Amazon RDS, un utilisateur IAM doit disposer des autorisations rds:DescribeDBInstances etrds:DescribeDBClusters.

Si l'utilisateur ou le groupe auquel vous souhaitez accorder des autorisations dispose déjà d'une politique, vous pouvez ajouter à cette politique l'une des déclarations de politique spécifiques à Compute Optimizer illustrées ici.

Rubriques

Accès fiable pour AWS Organizations
Politique d'adhésion à Compute Optimizer
Politiques pour accorder l'accès à Compute Optimizer en mode autonome Comptes AWS
Politiques permettant d'accorder l'accès à Compute Optimizer pour le compte de gestion d'une organisation
Politiques autorisant l'accès à la gestion des préférences de recommandation de Compute Optimizer
Politiques visant à activer les recommandations relatives aux licences logicielles commerciales
Politique de refus d'accès à Compute Optimizer
Ressources supplémentaires

Accès fiable pour AWS Organizations

Lorsque vous choisissez d'utiliser le compte de gestion de votre organisation et que vous incluez tous les comptes membres de l'organisation, l'accès sécurisé pour Compute Optimizer est automatiquement activé dans le compte de votre organisation. Cela permet à Compute Optimizer d'analyser les ressources de calcul de ces comptes membres et de générer des recommandations à leur sujet.

Chaque fois que vous accédez aux recommandations relatives aux comptes des membres, Compute Optimizer vérifie que l'accès sécurisé est activé dans le compte de votre organisation. Si vous désactivez l'accès sécurisé à Compute Optimizer après vous être inscrit, Compute Optimizer refuse l'accès aux recommandations relatives aux comptes membres de votre organisation. De plus, les comptes des membres de l'organisation ne sont pas intégrés à Compute Optimizer. Pour réactiver l'accès sécurisé, réinscrivez-vous à Compute Optimizer en utilisant le compte de gestion de votre organisation et incluez tous les comptes des membres de l'organisation. Pour de plus amples informations, veuillez consulter S'inscrire à AWS Compute Optimizer. Pour plus d'informations sur l'accès AWS Organizations sécurisé, consultez la section Utilisation AWS Organizations avec d'autres AWS services dans le Guide de AWS Organizations l'utilisateur.

Politique d'adhésion à Compute Optimizer

Cette déclaration de politique garantit ce qui suit :

Accès pour adhérer à Compute Optimizer.
Accès permettant de créer un rôle lié à un service pour Compute Optimizer. Pour de plus amples informations, veuillez consulter Utilisation de rôles liés à un service pour AWS Compute Optimizer.
Accès pour mettre à jour le statut d'inscription au service Compute Optimizer.

Important

L'inscription à ce rôle IAM est obligatoire. AWS Compute Optimizer


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "arn:aws:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer*",
            "Condition": {"StringLike": {"iam:AWSServiceName": "compute-optimizer.amazonaws.com"}}
        },
        {
            "Effect": "Allow",
            "Action": "iam:PutRolePolicy",
            "Resource": "arn:aws:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer"
        },
        {
            "Effect": "Allow",
            "Action": "compute-optimizer:UpdateEnrollmentStatus",
            "Resource": "*"
        }
    ]
}

Politiques pour accorder l'accès à Compute Optimizer en mode autonome Comptes AWS

La déclaration de politique suivante accorde un accès complet à Compute Optimizer en mode autonome. Comptes AWS


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "compute-optimizer:*",
                "ec2:DescribeInstances",
                "ec2:DescribeVolumes",
                "ecs:ListServices",
                "ecs:ListClusters",
                "autoscaling:DescribeAutoScalingGroups",
                "autoscaling:DescribeAutoScalingInstances",
                "lambda:ListFunctions",
                "lambda:ListProvisionedConcurrencyConfigs",
                "cloudwatch:GetMetricData"
            ],
            "Resource": "*"
        }
    ]
}

La déclaration de politique suivante accorde un accès en lecture seule à Compute Optimizer en mode autonome. Comptes AWS


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "compute-optimizer:GetEnrollmentStatus",
                "compute-optimizer:GetEffectiveRecommendationPreferences",
                "compute-optimizer:GetRecommendationPreferences",
                "compute-optimizer:GetRecommendationSummaries",
                "compute-optimizer:GetEC2InstanceRecommendations",
                "compute-optimizer:GetEC2RecommendationProjectedMetrics",
                "compute-optimizer:GetAutoScalingGroupRecommendations",
                "compute-optimizer:GetEBSVolumeRecommendations",
                "compute-optimizer:GetLambdaFunctionRecommendations",
                "compute-optimizer:DescribeRecommendationExportJobs",
                "compute-optimizer:GetEffectiveRecommendationPreferences",
                "compute-optimizer:GetRecommendationPreferences",
                "compute-optimizer:GetECSServiceRecommendations",
                "compute-optimizer:GetECSServiceRecommendationProjectedMetrics",
                "compute-optimizer:GetRDSDatabaseRecommendations",
                "compute-optimizer:GetRDSDatabaseRecommendationProjectedMetrics",
                "compute-optimizer:GetIdleRecommendations",
                "ec2:DescribeInstances",
                "ec2:DescribeVolumes",
                "ecs:ListServices",
                "ecs:ListClusters",
                "autoscaling:DescribeAutoScalingGroups",
                "autoscaling:DescribeAutoScalingInstances",
                "lambda:ListFunctions",
                "lambda:ListProvisionedConcurrencyConfigs",
                "cloudwatch:GetMetricData",
                "rds:DescribeDBInstances",
                "rds:DescribeDBClusters"
            ],
            "Resource": "*"
        }
    ]
}

Politiques permettant d'accorder l'accès à Compute Optimizer pour le compte de gestion d'une organisation

La déclaration de politique suivante accorde un accès complet à Compute Optimizer pour un compte de gestion de votre organisation.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "compute-optimizer:*",
                "ec2:DescribeInstances",
                "ec2:DescribeVolumes",
                "ecs:ListServices",
                "ecs:ListClusters",
                "autoscaling:DescribeAutoScalingGroups",
                "autoscaling:DescribeAutoScalingInstances",
                "lambda:ListFunctions",
                "lambda:ListProvisionedConcurrencyConfigs",
                "cloudwatch:GetMetricData",
                "organizations:ListAccounts",
                "organizations:DescribeOrganization",
                "organizations:DescribeAccount",
                "organizations:EnableAWSServiceAccess",
                "organizations:ListDelegatedAdministrators",
                "organizations:RegisterDelegatedAdministrator",
                "organizations:DeregisterDelegatedAdministrator"
            ],
            "Resource": "*"
        }
    ]
}

La déclaration de politique suivante accorde un accès en lecture seule à Compute Optimizer pour le compte de gestion d'une organisation.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "compute-optimizer:GetEnrollmentStatus",
                "compute-optimizer:GetEnrollmentStatusesForOrganization",
                "compute-optimizer:GetRecommendationSummaries",
                "compute-optimizer:GetEC2InstanceRecommendations",
                "compute-optimizer:GetEC2RecommendationProjectedMetrics",
                "compute-optimizer:GetAutoScalingGroupRecommendations",
                "compute-optimizer:GetEBSVolumeRecommendations",
                "compute-optimizer:GetLambdaFunctionRecommendations",
                "compute-optimizer:GetEffectiveRecommendationPreferences",
                "compute-optimizer:GetRecommendationPreferences",
                "compute-optimizer:GetECSServiceRecommendations",
                "compute-optimizer:GetECSServiceRecommendationProjectedMetrics",
                "compute-optimizer:GetRDSDatabaseRecommendations",
                "compute-optimizer:GetRDSDatabaseRecommendationProjectedMetrics",
                "compute-optimizer:GetIdleRecommendations",
                "ec2:DescribeInstances",
                "ec2:DescribeVolumes",
                "ecs:ListServices",
                "ecs:ListClusters",
                "autoscaling:DescribeAutoScalingGroups",
                "autoscaling:DescribeAutoScalingInstances",
                "lambda:ListFunctions",
                "lambda:ListProvisionedConcurrencyConfigs",
                "cloudwatch:GetMetricData",
                "organizations:ListAccounts",
                "organizations:DescribeOrganization",
                "organizations:DescribeAccount",
                "organizations:ListDelegatedAdministrators",
                "rds:DescribeDBInstances",
                "rds:DescribeDBClusters"
            ],
            "Resource": "*"
        }
    ]
}

Politiques autorisant l'accès à la gestion des préférences de recommandation de Compute Optimizer

Les déclarations de politique suivantes autorisent l'accès à l'affichage et à la modification des préférences de recommandation.

Accorder l'accès pour gérer les préférences de recommandation pour EC2 les instances uniquement


{
	"Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "compute-optimizer:DeleteRecommendationPreferences",
                "compute-optimizer:GetEffectiveRecommendationPreferences",
                "compute-optimizer:GetRecommendationPreferences",
                "compute-optimizer:PutRecommendationPreferences"
            ],
            "Resource": "*",
            "Condition" :  {
                "StringEquals" : {
                    "compute-optimizer:ResourceType" : "Ec2Instance"
                }
            }            
        }
    ]
}

Accorder l'accès à la gestion des préférences de recommandation pour les groupes EC2 Auto Scaling uniquement


{
	"Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "compute-optimizer:DeleteRecommendationPreferences",
                "compute-optimizer:GetEffectiveRecommendationPreferences",
                "compute-optimizer:GetRecommendationPreferences",
                "compute-optimizer:PutRecommendationPreferences"
            ],
            "Resource": "*",
            "Condition" :  {
                "StringEquals" : {
                    "compute-optimizer:ResourceType" : "AutoScalingGroup"
                }
            }            
        }
    ]
}

Accorder l'accès pour gérer les préférences de recommandation pour les instances RDS uniquement


{
	"Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "compute-optimizer:DeleteRecommendationPreferences",
                "compute-optimizer:GetEffectiveRecommendationPreferences",
                "compute-optimizer:GetRecommendationPreferences",
                "compute-optimizer:PutRecommendationPreferences"
            ],
            "Resource": "*",
            "Condition" :  {
                "StringEquals" : {
                    "compute-optimizer:ResourceType" : "RdsDBInstance"
                }
            }            
        }
    ]
}

Politiques visant à activer les recommandations relatives aux licences logicielles commerciales

Pour que Compute Optimizer puisse générer des recommandations de licence, associez les rôles et politiques d' EC2 instance Amazon suivants.

Le AmazonSSMManagedInstanceCore rôle d'activation de Systems Manager. Pour plus d'informations, consultez les exemples de politiques AWS Systems Manager basées sur l'identité dans le Guide de l'AWS Systems Manager utilisateur.
CloudWatchAgentServerPolicyPolitique permettant la publication des métriques d'instance et des journaux sur CloudWatch. Pour plus d'informations, consultez la section Créer des rôles et des utilisateurs IAM à utiliser avec l' CloudWatch agent dans le guide de l' CloudWatch utilisateur Amazon.
Déclaration de politique en ligne IAM suivante pour lire la chaîne de connexion secrète Microsoft SQL Server stockée dans. AWS Systems Manager Pour plus d'informations sur les politiques intégrées, voir Politiques gérées et politiques intégrées dans le Guide de l'AWS Identity and Access Management utilisateur.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue*"
            ],
            "Resource": "arn:aws:secretsmanager:*:*:secret:ApplicationInsights-*"
        }
    ]
}

En outre, pour activer et recevoir des recommandations de licence, associez la politique IAM suivante à votre utilisateur, groupe ou rôle. Pour plus d'informations, consultez la politique IAM dans le guide de l' CloudWatch utilisateur Amazon.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "applicationinsights:*",
                "iam:CreateServiceLinkedRole",
                "iam:ListRoles",
                "resource-groups:ListGroups"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

Politique de refus d'accès à Compute Optimizer

La déclaration de politique suivante refuse l'accès à Compute Optimizer.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "compute-optimizer:*",
            "Resource": "*"
        }
    ]
}

Ressources supplémentaires

Résolution des problèmes — Résolution des problèmes dans Compute Optimizer
S'inscrire à AWS Compute Optimizer
AWS politiques gérées pour AWS Compute Optimizer
Utilisation de rôles liés à un service pour AWS Compute Optimizer

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Désabonnement

AWS politiques gérées