Contoh kebijakan berbasis identitas Application Auto Scaling - Application Auto Scaling

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Contoh kebijakan berbasis identitas Application Auto Scaling

Secara default, pengguna baru di Anda tidak Akun AWS memiliki izin untuk melakukan apa pun. IAMAdministrator harus membuat dan menetapkan IAM kebijakan yang memberikan izin IAM identitas (seperti pengguna atau peran) untuk melakukan tindakan Application Auto API Scaling.

Untuk mempelajari cara membuat IAM kebijakan menggunakan contoh dokumen JSON kebijakan berikut, lihat Membuat kebijakan pada JSON tab di Panduan IAM Pengguna.

Izin diperlukan untuk tindakan Application Auto API Scaling

Kebijakan berikut memberikan izin untuk kasus penggunaan umum saat memanggil Application Auto API Scaling. Lihat bagian ini saat menulis kebijakan berbasis identitas. Setiap kebijakan memberikan izin untuk semua atau beberapa tindakan Application Auto API Scaling. Anda juga perlu memastikan bahwa pengguna akhir memiliki izin untuk layanan target dan CloudWatch (lihat bagian selanjutnya untuk detailnya).

Kebijakan berbasis identitas berikut memberikan izin untuk semua tindakan Application Auto Scaling. API

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "application-autoscaling:*" ], "Resource": "*" } ] }

Kebijakan berbasis identitas berikut memberikan izin untuk semua tindakan Application Auto Scaling yang diperlukan untuk mengonfigurasi kebijakan penskalaan dan bukan API tindakan terjadwal.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "application-autoscaling:RegisterScalableTarget", "application-autoscaling:DescribeScalableTargets", "application-autoscaling:DeregisterScalableTarget", "application-autoscaling:PutScalingPolicy", "application-autoscaling:DescribeScalingPolicies", "application-autoscaling:DescribeScalingActivities", "application-autoscaling:DeleteScalingPolicy" ], "Resource": "*" } ] }

Kebijakan berbasis identitas berikut memberikan izin untuk semua tindakan Application Auto Scaling yang diperlukan untuk mengonfigurasi API tindakan terjadwal dan bukan kebijakan penskalaan.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "application-autoscaling:RegisterScalableTarget", "application-autoscaling:DescribeScalableTargets", "application-autoscaling:DeregisterScalableTarget", "application-autoscaling:PutScheduledAction", "application-autoscaling:DescribeScheduledActions", "application-autoscaling:DescribeScalingActivities", "application-autoscaling:DeleteScheduledAction" ], "Resource": "*" } ] }

Izin diperlukan untuk API tindakan pada layanan target dan CloudWatch

Agar berhasil mengonfigurasi dan menggunakan Application Auto Scaling dengan layanan target, pengguna akhir harus diberikan izin untuk Amazon CloudWatch dan untuk setiap layanan target yang akan mereka konfigurasi penskalaannya. Gunakan kebijakan berikut untuk memberikan izin minimum yang diperlukan untuk bekerja dengan layanan target dan CloudWatch.

AppStream 2.0 armada

Kebijakan berbasis identitas berikut memberikan izin untuk semua AppStream 2.0 dan CloudWatch API tindakan yang diperlukan.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "appstream:DescribeFleets", "appstream:UpdateFleet", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }

Replika Aurora

Kebijakan berbasis identitas berikut memberikan izin untuk semua Aurora CloudWatch API dan tindakan yang diperlukan.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "rds:AddTagsToResource", "rds:CreateDBInstance", "rds:DeleteDBInstance", "rds:DescribeDBClusters", "rds:DescribeDBInstances", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }

Klasifikasi dokumen dan titik akhir pengenal entitas Amazon Comprehend

Kebijakan berbasis identitas berikut memberikan izin ke semua Amazon Comprehend dan tindakan yang diperlukan. CloudWatch API

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "comprehend:UpdateEndpoint", "comprehend:DescribeEndpoint", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }

Tabel DynamoDB dan indeks sekunder global

Kebijakan berbasis identitas berikut memberikan izin ke semua DynamoDB dan tindakan yang diperlukan. CloudWatch API

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "dynamodb:DescribeTable", "dynamodb:UpdateTable", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }

ECSlayanan

Kebijakan berbasis identitas berikut memberikan izin untuk semua ECS dan CloudWatch API tindakan yang diperlukan.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeServices", "ecs:UpdateService", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }

ElastiCache kelompok replikasi

Kebijakan berbasis identitas berikut memberikan izin untuk semua ElastiCache dan CloudWatch API tindakan yang diperlukan.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "elasticache:ModifyReplicationGroupShardConfiguration", "elasticache:IncreaseReplicaCount", "elasticache:DecreaseReplicaCount", "elasticache:DescribeReplicationGroups", "elasticache:DescribeCacheClusters", "elasticache:DescribeCacheParameters", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }

EMRCluster Amazon

Kebijakan berbasis identitas berikut memberikan izin ke semua EMR Amazon CloudWatch API dan tindakan yang diperlukan.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "elasticmapreduce:ModifyInstanceGroups", "elasticmapreduce:ListInstanceGroups", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }

Tabel Amazon Keyspaces

Kebijakan berbasis identitas berikut memberikan izin ke semua CloudWatch API Keyspaces Amazon dan tindakan yang diperlukan.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cassandra:Select", "cassandra:Alter", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }

Fungsi Lambda

Kebijakan berbasis identitas berikut memberikan izin untuk semua CloudWatch API Lambda dan tindakan yang diperlukan.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "lambda:PutProvisionedConcurrencyConfig", "lambda:GetProvisionedConcurrencyConfig", "lambda:DeleteProvisionedConcurrencyConfig", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }

Amazon Managed Streaming untuk Apache Kafka MSK () penyimpanan broker

Kebijakan berbasis identitas berikut memberikan izin ke semua MSK Amazon CloudWatch API dan tindakan yang diperlukan.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kafka:DescribeCluster", "kafka:DescribeClusterOperation", "kafka:UpdateBrokerStorage", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }

Cluster Neptunus

Kebijakan berbasis identitas berikut memberikan izin ke semua Neptunus dan tindakan yang diperlukan. CloudWatch API

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "rds:AddTagsToResource", "rds:CreateDBInstance", "rds:DescribeDBInstances", "rds:DescribeDBClusters", "rds:DescribeDBClusterParameters", "rds:DeleteDBInstance", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }

SageMaker titik akhir

Kebijakan berbasis identitas berikut memberikan izin untuk semua SageMaker dan CloudWatch API tindakan yang diperlukan.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sagemaker:DescribeEndpoint", "sagemaker:DescribeEndpointConfig", "sagemaker:DescribeInferenceComponent", "sagemaker:UpdateEndpointWeightsAndCapacities", "sagemaker:UpdateInferenceComponentRuntimeConfig", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }

Armada Spot (AmazonEC2)

Kebijakan berbasis identitas berikut memberikan izin untuk semua Armada Spot dan CloudWatch API tindakan yang diperlukan.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeSpotFleetRequests", "ec2:ModifySpotFleetRequest", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }

Sumber daya khusus

Kebijakan berbasis identitas berikut memberikan izin untuk tindakan eksekusi Gateway. API API Kebijakan ini juga memberikan izin untuk semua CloudWatch tindakan yang diperlukan.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "execute-api:Invoke", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }

Izin untuk bekerja di AWS Management Console

Tidak ada konsol Application Auto Scaling mandiri. Sebagian besar layanan yang terintegrasi dengan Application Auto Scaling memiliki fitur yang dikhususkan untuk membantu Anda mengonfigurasi penskalaan dengan konsol mereka.

Dalam kebanyakan kasus, setiap layanan menyediakan IAM kebijakan AWS terkelola (yang telah ditentukan sebelumnya) yang menentukan akses ke konsol mereka, yang mencakup izin untuk tindakan Application Auto API Scaling. Untuk informasi lebih lanjut, lihat dokumentasi untuk layanan yang konsolnya ingin Anda gunakan.

Anda juga dapat membuat IAM kebijakan kustom Anda sendiri untuk memberi pengguna izin halus untuk melihat dan bekerja dengan tindakan Application Auto Scaling tertentu di. API AWS Management Console Anda dapat menggunakan contoh kebijakan di bagian sebelumnya; namun, kebijakan tersebut dirancang untuk permintaan yang dibuat dengan AWS CLI atauSDK. Konsol menggunakan API tindakan tambahan untuk fitur-fiturnya, sehingga kebijakan ini mungkin tidak berfungsi seperti yang diharapkan. Misalnya, untuk mengonfigurasi penskalaan langkah, pengguna mungkin memerlukan izin tambahan untuk membuat dan mengelola CloudWatch alarm.

Tip

Untuk membantu Anda mengetahui API tindakan mana yang diperlukan untuk melakukan tugas di konsol, Anda dapat menggunakan layanan seperti AWS CloudTrail. Untuk informasi selengkapnya, lihat Panduan Pengguna AWS CloudTrail.

Kebijakan berbasis identitas berikut memberikan izin untuk mengonfigurasi kebijakan penskalaan untuk Armada Spot. Selain IAM izin untuk Spot Fleet, pengguna konsol yang mengakses pengaturan penskalaan armada dari EC2 konsol Amazon harus memiliki izin yang sesuai untuk layanan yang mendukung penskalaan dinamis.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "application-autoscaling:*", "ec2:DescribeSpotFleetRequests", "ec2:ModifySpotFleetRequest", "cloudwatch:DeleteAlarms", "cloudwatch:DescribeAlarmHistory", "cloudwatch:DescribeAlarms", "cloudwatch:DescribeAlarmsForMetric", "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics", "cloudwatch:PutMetricAlarm", "cloudwatch:DisableAlarmActions", "cloudwatch:EnableAlarmActions", "sns:CreateTopic", "sns:Subscribe", "sns:Get*", "sns:List*" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/ec2.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_EC2SpotFleetRequest", "Condition": { "StringLike": { "iam:AWSServiceName":"ec2.application-autoscaling.amazonaws.com" } } } ] }

Kebijakan ini memungkinkan pengguna konsol untuk melihat dan memodifikasi kebijakan penskalaan di EC2 konsol Amazon, serta membuat dan mengelola CloudWatch alarm di CloudWatch konsol.

Anda dapat menyesuaikan API tindakan untuk membatasi akses pengguna. Misalnya, mengganti application-autoscaling:* dengan application-autoscaling:Describe* berarti pengguna memiliki akses hanya-baca.

Anda juga dapat menyesuaikan CloudWatch izin yang diperlukan untuk membatasi akses pengguna ke CloudWatch fitur. Untuk informasi selengkapnya, lihat Izin yang diperlukan untuk CloudWatch konsol di Panduan CloudWatch Pengguna Amazon.