Akses tepercaya untuk AWS Organizations Kebijakan untuk ikut serta dalam Compute Optimizer Akses untuk akun mandiri Akses untuk akun manajemen Akses untuk mengelola preferensi rekomendasi Aktifkan rekomendasi lisensi Menolak akses Sumber daya tambahan

Identity and Access Management untuk AWS Compute Optimizer

Anda dapat menggunakan AWS Identity and Access Management (IAM) untuk membuat identitas (pengguna, grup, atau peran), dan memberikan izin identitas tersebut untuk mengakses konsol dan. AWS Compute Optimizer APIs

Secara default, IAM pengguna tidak memiliki akses ke konsol Compute Optimizer dan. APIs Anda memberi pengguna akses dengan melampirkan IAM kebijakan ke satu pengguna, grup pengguna, atau peran. Untuk informasi selengkapnya, lihat Identitas (Pengguna, Grup, dan Peran) dan Gambaran Umum IAM Kebijakan dalam Panduan IAM Pengguna.

Setelah Anda membuat IAM pengguna, Anda dapat memberikan kata sandi individual kepada pengguna tersebut. Kemudian, mereka dapat masuk ke akun Anda dan melihat informasi Compute Optimizer menggunakan halaman login khusus akun. Untuk informasi lebih lanjut, lihat Cara Pengguna Masuk ke Akun Anda.

penting

Untuk melihat rekomendasi untuk EC2 instance, IAM pengguna memerlukan ec2:DescribeInstances izin.
Untuk melihat rekomendasi EBS volume, IAM pengguna memerlukan ec2:DescribeVolumes izin.
Untuk melihat rekomendasi untuk grup Auto Scaling, IAM pengguna memerlukan izin autoscaling:DescribeAutoScalingGroups danautoscaling:DescribeAutoScalingInstances.
Untuk melihat rekomendasi untuk fungsi Lambda, IAM pengguna memerlukan izin lambda:ListFunctions danlambda:ListProvisionedConcurrencyConfigs.
Untuk melihat rekomendasi untuk ECS layanan Amazon di Fargate, IAM pengguna memerlukan izin ecs:ListServices dan ecs:ListClusters izin.
Untuk melihat data CloudWatch metrik saat ini di konsol Compute Optimizer, IAM pengguna memerlukan izin tersebut. cloudwatch:GetMetricData
Untuk melihat rekomendasi lisensi perangkat lunak komersial, peran EC2 instans Amazon tertentu dan izin IAM pengguna diperlukan. Untuk informasi lebih lanjut lihat,Kebijakan untuk mengaktifkan rekomendasi lisensi perangkat lunak komersial.
Untuk melihat rekomendasi untuk AmazonRDS, IAM pengguna memerlukan izin rds:DescribeDBInstances dan rds:DescribeDBClusters izin.

Jika pengguna atau grup yang ingin Anda berikan izin sudah memiliki kebijakan, Anda dapat menambahkan salah satu pernyataan kebijakan khusus Compute Optimizer yang diilustrasikan di sini ke kebijakan tersebut.

Topik

Akses tepercaya untuk AWS Organizations
Kebijakan untuk ikut serta dalam Compute Optimizer
Kebijakan untuk memberikan akses ke Compute Optimizer untuk mandiri Akun AWS
Kebijakan untuk memberikan akses ke Compute Optimizer untuk akun manajemen organisasi
Kebijakan untuk memberikan akses untuk mengelola preferensi rekomendasi Compute Optimizer
Kebijakan untuk mengaktifkan rekomendasi lisensi perangkat lunak komersial
Kebijakan untuk menolak akses ke Compute Optimizer
Sumber daya tambahan

Akses tepercaya untuk AWS Organizations

Saat Anda memilih untuk menggunakan akun manajemen organisasi dan menyertakan semua akun anggota dalam organisasi, akses tepercaya untuk Compute Optimizer diaktifkan secara otomatis di akun organisasi Anda. Hal ini memungkinkan Compute Optimizer untuk menganalisis sumber daya komputasi di akun anggota tersebut, dan menghasilkan rekomendasi untuk mereka.

Setiap kali Anda mengakses rekomendasi untuk akun anggota, Compute Optimizer memverifikasi bahwa akses tepercaya diaktifkan di akun organisasi Anda. Jika Anda menonaktifkan akses tepercaya Compute Optimizer setelah Anda ikut serta, Compute Optimizer menolak akses ke rekomendasi untuk akun anggota organisasi Anda. Selain itu, akun anggota dalam organisasi tidak ikut serta dalam Compute Optimizer. Untuk mengaktifkan kembali akses tepercaya, pilih kembali Compute Optimizer menggunakan akun manajemen organisasi Anda dan sertakan semua akun anggota dalam organisasi. Untuk informasi selengkapnya, lihat Memilih untuk AWS Compute Optimizer. Untuk informasi selengkapnya tentang akses AWS Organizations tepercaya, lihat Menggunakan AWS Organizations dengan AWS layanan lain di Panduan AWS Organizations Pengguna.

Kebijakan untuk ikut serta dalam Compute Optimizer

Pernyataan kebijakan ini memberikan yang berikut:

Akses untuk ikut serta ke Compute Optimizer.
Akses untuk membuat peran terkait layanan untuk Compute Optimizer. Untuk informasi selengkapnya, lihat Menggunakan peran terkait layanan untuk AWS Compute Optimizer.
Akses untuk memperbarui status pendaftaran ke layanan Compute Optimizer.

penting

IAMPeran ini diperlukan untuk ikut serta AWS Compute Optimizer.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "arn:aws:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer*",
            "Condition": {"StringLike": {"iam:AWSServiceName": "compute-optimizer.amazonaws.com"}}
        },
        {
            "Effect": "Allow",
            "Action": "iam:PutRolePolicy",
            "Resource": "arn:aws:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer"
        },
        {
            "Effect": "Allow",
            "Action": "compute-optimizer:UpdateEnrollmentStatus",
            "Resource": "*"
        }
    ]
}

Kebijakan untuk memberikan akses ke Compute Optimizer untuk mandiri Akun AWS

Pernyataan kebijakan berikut memberikan akses penuh ke Compute Optimizer untuk standalone. Akun AWS


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "compute-optimizer:*",
                "ec2:DescribeInstances",
                "ec2:DescribeVolumes",
                "ecs:ListServices",
                "ecs:ListClusters",
                "autoscaling:DescribeAutoScalingGroups",
                "autoscaling:DescribeAutoScalingInstances",
                "lambda:ListFunctions",
                "lambda:ListProvisionedConcurrencyConfigs",
                "cloudwatch:GetMetricData"
            ],
            "Resource": "*"
        }
    ]
}

Pernyataan kebijakan berikut memberikan akses hanya-baca ke Compute Optimizer untuk mandiri. Akun AWS


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "compute-optimizer:GetEnrollmentStatus",
                "compute-optimizer:GetEffectiveRecommendationPreferences",
                "compute-optimizer:GetRecommendationPreferences",
                "compute-optimizer:GetRecommendationSummaries",
                "compute-optimizer:GetEC2InstanceRecommendations",
                "compute-optimizer:GetEC2RecommendationProjectedMetrics",
                "compute-optimizer:GetAutoScalingGroupRecommendations",
                "compute-optimizer:GetEBSVolumeRecommendations",
                "compute-optimizer:GetLambdaFunctionRecommendations",
                "compute-optimizer:DescribeRecommendationExportJobs",
                "compute-optimizer:GetEffectiveRecommendationPreferences",
                "compute-optimizer:GetRecommendationPreferences",
                "compute-optimizer:GetECSServiceRecommendations",
                "compute-optimizer:GetECSServiceRecommendationProjectedMetrics",
                "compute-optimizer:GetRDSDatabaseRecommendations",
                "compute-optimizer:GetRDSDatabaseRecommendationProjectedMetrics",
                "ec2:DescribeInstances",
                "ec2:DescribeVolumes",
                "ecs:ListServices",
                "ecs:ListClusters",
                "autoscaling:DescribeAutoScalingGroups",
                "autoscaling:DescribeAutoScalingInstances",
                "lambda:ListFunctions",
                "lambda:ListProvisionedConcurrencyConfigs",
                "cloudwatch:GetMetricData",
                "rds:DescribeDBInstances",
                "rds:DescribeDBClusters"
            ],
            "Resource": "*"
        }
    ]
}

Kebijakan untuk memberikan akses ke Compute Optimizer untuk akun manajemen organisasi

Pernyataan kebijakan berikut memberikan akses penuh ke Compute Optimizer untuk akun manajemen organisasi Anda.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "compute-optimizer:*",
                "ec2:DescribeInstances",
                "ec2:DescribeVolumes",
                "ecs:ListServices",
                "ecs:ListClusters",
                "autoscaling:DescribeAutoScalingGroups",
                "autoscaling:DescribeAutoScalingInstances",
                "lambda:ListFunctions",
                "lambda:ListProvisionedConcurrencyConfigs",
                "cloudwatch:GetMetricData",
                "organizations:ListAccounts",
                "organizations:DescribeOrganization",
                "organizations:DescribeAccount",
                "organizations:EnableAWSServiceAccess",
                "organizations:ListDelegatedAdministrators",
                "organizations:RegisterDelegatedAdministrator",
                "organizations:DeregisterDelegatedAdministrator"
            ],
            "Resource": "*"
        }
    ]
}

Pernyataan kebijakan berikut memberikan akses hanya-baca ke Compute Optimizer untuk akun manajemen organisasi.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "compute-optimizer:GetEnrollmentStatus",
                "compute-optimizer:GetEnrollmentStatusesForOrganization",
                "compute-optimizer:GetRecommendationSummaries",
                "compute-optimizer:GetEC2InstanceRecommendations",
                "compute-optimizer:GetEC2RecommendationProjectedMetrics",
                "compute-optimizer:GetAutoScalingGroupRecommendations",
                "compute-optimizer:GetEBSVolumeRecommendations",
                "compute-optimizer:GetLambdaFunctionRecommendations",
                "compute-optimizer:GetEffectiveRecommendationPreferences",
                "compute-optimizer:GetRecommendationPreferences",
                "compute-optimizer:GetECSServiceRecommendations",
                "compute-optimizer:GetECSServiceRecommendationProjectedMetrics",
                "compute-optimizer:GetRDSDatabaseRecommendations",
                "compute-optimizer:GetRDSDatabaseRecommendationProjectedMetrics",
                "ec2:DescribeInstances",
                "ec2:DescribeVolumes",
                "ecs:ListServices",
                "ecs:ListClusters",
                "autoscaling:DescribeAutoScalingGroups",
                "autoscaling:DescribeAutoScalingInstances",
                "lambda:ListFunctions",
                "lambda:ListProvisionedConcurrencyConfigs",
                "cloudwatch:GetMetricData",
                "organizations:ListAccounts",
                "organizations:DescribeOrganization",
                "organizations:DescribeAccount",
                "organizations:ListDelegatedAdministrators",
                "rds:DescribeDBInstances",
                "rds:DescribeDBClusters"
            ],
            "Resource": "*"
        }
    ]
}

Kebijakan untuk memberikan akses untuk mengelola preferensi rekomendasi Compute Optimizer

Pernyataan kebijakan berikut memberikan akses untuk melihat dan mengedit preferensi rekomendasi.

Berikan akses untuk mengelola preferensi rekomendasi hanya untuk EC2 instans


{
	"Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "compute-optimizer:DeleteRecommendationPreferences",
                "compute-optimizer:GetEffectiveRecommendationPreferences",
                "compute-optimizer:GetRecommendationPreferences",
                "compute-optimizer:PutRecommendationPreferences"
            ],
            "Resource": "*",
            "Condition" :  {
                "StringEquals" : {
                    "compute-optimizer:ResourceType" : "Ec2Instance"
                }
            }            
        }
    ]
}

Berikan akses untuk mengelola preferensi rekomendasi hanya untuk grup Auto Scaling


{
	"Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "compute-optimizer:DeleteRecommendationPreferences",
                "compute-optimizer:GetEffectiveRecommendationPreferences",
                "compute-optimizer:GetRecommendationPreferences",
                "compute-optimizer:PutRecommendationPreferences"
            ],
            "Resource": "*",
            "Condition" :  {
                "StringEquals" : {
                    "compute-optimizer:ResourceType" : "AutoScalingGroup"
                }
            }            
        }
    ]
}

Berikan akses untuk mengelola preferensi rekomendasi hanya untuk RDS instans


{
	"Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "compute-optimizer:DeleteRecommendationPreferences",
                "compute-optimizer:GetEffectiveRecommendationPreferences",
                "compute-optimizer:GetRecommendationPreferences",
                "compute-optimizer:PutRecommendationPreferences"
            ],
            "Resource": "*",
            "Condition" :  {
                "StringEquals" : {
                    "compute-optimizer:ResourceType" : "RdsDBInstance"
                }
            }            
        }
    ]
}

Kebijakan untuk mengaktifkan rekomendasi lisensi perangkat lunak komersial

Agar Compute Optimizer menghasilkan rekomendasi lisensi, lampirkan peran dan kebijakan instans EC2 Amazon berikut.

AmazonSSMManagedInstanceCorePeran untuk mengaktifkan Systems Manager. Untuk informasi selengkapnya, lihat contoh kebijakan AWS Systems Manager berbasis identitas di Panduan Pengguna.AWS Systems Manager
CloudWatchAgentServerPolicyKebijakan untuk mengaktifkan rilis metrik instans dan log ke CloudWatch. Untuk informasi selengkapnya, lihat Membuat IAM peran dan pengguna untuk digunakan dengan CloudWatch agen di Panduan CloudWatch Pengguna Amazon.
Pernyataan kebijakan IAM inline berikut untuk membaca string koneksi Microsoft SQL Server rahasia yang disimpan di AWS Systems Manager. Untuk informasi selengkapnya tentang kebijakan sebaris, lihat Kebijakan terkelola dan kebijakan sebaris di AWS Identity and Access Management Panduan Pengguna.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue*"
            ],
            "Resource": "arn:aws:secretsmanager:*:*:secret:ApplicationInsights-*"
        }
    ]
}

Selain itu, untuk mengaktifkan dan menerima rekomendasi lisensi, lampirkan IAM kebijakan berikut ke pengguna, grup, atau peran Anda. Untuk informasi selengkapnya, IAMkebijakan di Panduan CloudWatch Pengguna Amazon.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "applicationinsights:*",
                "iam:CreateServiceLinkedRole",
                "iam:ListRoles",
                "resource-groups:ListGroups"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

Kebijakan untuk menolak akses ke Compute Optimizer

Pernyataan kebijakan berikut menolak akses ke Compute Optimizer.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "compute-optimizer:*",
            "Resource": "*"
        }
    ]
}

Sumber daya tambahan

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Memilih keluar

AWS kebijakan terkelola