Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Esempi di policy basate su identità di Application Auto Scaling
Per impostazione predefinita, un nuovo utente non Account AWS ha le autorizzazioni per fare nulla. Un amministratore IAM deve creare e assegnare policy IAM che diano un’autorizzazione di identità IAM (ad esempio un utente o un ruolo) per eseguire operazioni API di Application Auto Scaling.
Per informazioni su come creare una policy IAM utilizzando i seguenti documenti di policy JSON di esempio, consulta Creazione di policy nella scheda JSON nella Guida per l'utente di IAM.
Indice
Autorizzazioni necessarie per le operazioni API Application Auto Scaling
Le seguenti policy concedono le autorizzazioni per i casi d'uso comune durante la chiamata all'API Application Auto Scaling. Considera questa sezione quando scrivi policy basate su identità. Ogni policy concede autorizzazioni per accedere ad alcune o a tutte le operazioni API Application Auto Scaling. È inoltre necessario assicurarsi che gli utenti finali dispongano delle autorizzazioni per il servizio di destinazione e CloudWatch (consulta la sezione successiva per i dettagli).
La seguente policy basata su identità concede autorizzazioni ad alcune o a tutte le operazioni API Application Auto Scaling.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "application-autoscaling:*" ], "Resource": "*" } ] }
Le seguenti policy basate su identità consentono autorizzazioni a tutte le operazioni API Application Auto Scaling necessarie per configurare le policy di dimensionamento e le operazioni non pianificate.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "application-autoscaling:RegisterScalableTarget", "application-autoscaling:DescribeScalableTargets", "application-autoscaling:DeregisterScalableTarget", "application-autoscaling:PutScalingPolicy", "application-autoscaling:DescribeScalingPolicies", "application-autoscaling:DescribeScalingActivities", "application-autoscaling:DeleteScalingPolicy" ], "Resource": "*" } ] }
Le seguenti policy basate su identità consentono autorizzazioni a tutte le operazioni API Application Auto Scaling necessarie per configurare le operazioni pianificate e le policy non correlate al dimensionamento.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "application-autoscaling:RegisterScalableTarget", "application-autoscaling:DescribeScalableTargets", "application-autoscaling:DeregisterScalableTarget", "application-autoscaling:PutScheduledAction", "application-autoscaling:DescribeScheduledActions", "application-autoscaling:DescribeScalingActivities", "application-autoscaling:DeleteScheduledAction" ], "Resource": "*" } ] }
Autorizzazioni necessarie per le azioni API sui servizi di destinazione e CloudWatch
Per configurare e utilizzare correttamente Application Auto Scaling con il servizio di destinazione, agli utenti finali devono essere concesse le autorizzazioni per Amazon CloudWatch e per ogni servizio di destinazione per il quale configureranno la scalabilità. Utilizza le seguenti politiche per concedere le autorizzazioni minime necessarie per lavorare con i servizi di destinazione e. CloudWatch
Indice
- AppStream 2.0 flotte
- Repliche Aurora
- Endpoint di classificazione dei documenti Amazon Comprehend e di riconoscimento delle identità
- Tabelle DynamoDB e indici secondari globali
- Servizi ECS
- ElastiCache gruppi di replica
- Cluster Amazon EMR
- Tabelle di Amazon Keyspaces
- Funzioni Lambda
- Archiviazione broker Amazon Managed Streaming for Apache Kafka (MSK)
- Cluster di Neptune
- SageMaker endpoint
- Parco istanze Spot (Amazon EC2)
- Risorse personalizzate
AppStream 2.0 flotte
La seguente politica basata sull'identità concede le autorizzazioni per tutte le azioni AppStream 2.0 e CloudWatch API richieste.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "appstream:DescribeFleets", "appstream:UpdateFleet", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Repliche Aurora
La seguente politica basata sull'identità concede le autorizzazioni a tutte le azioni CloudWatch Aurora e API necessarie.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "rds:AddTagsToResource", "rds:CreateDBInstance", "rds:DeleteDBInstance", "rds:DescribeDBClusters", "rds:DescribeDBInstances", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Endpoint di classificazione dei documenti Amazon Comprehend e di riconoscimento delle identità
La seguente politica basata sull'identità concede le autorizzazioni a tutte le azioni Amazon Comprehend e API richieste. CloudWatch
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "comprehend:UpdateEndpoint", "comprehend:DescribeEndpoint", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Tabelle DynamoDB e indici secondari globali
La seguente politica basata sull'identità concede le autorizzazioni a tutte le azioni DynamoDB e API necessarie. CloudWatch
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "dynamodb:DescribeTable", "dynamodb:UpdateTable", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Servizi ECS
La seguente politica basata sull'identità concede le autorizzazioni a tutte le azioni ECS e API richieste. CloudWatch
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeServices", "ecs:UpdateService", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
ElastiCache gruppi di replica
La seguente politica basata sull'identità concede le autorizzazioni a tutte ElastiCache le azioni API richieste. CloudWatch
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "elasticache:ModifyReplicationGroupShardConfiguration", "elasticache:IncreaseReplicaCount", "elasticache:DecreaseReplicaCount", "elasticache:DescribeReplicationGroups", "elasticache:DescribeCacheClusters", "elasticache:DescribeCacheParameters", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Cluster Amazon EMR
La seguente policy basata sull'identità concede le autorizzazioni per tutte le azioni Amazon EMR CloudWatch e API richieste.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "elasticmapreduce:ModifyInstanceGroups", "elasticmapreduce:ListInstanceGroups", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Tabelle di Amazon Keyspaces
La seguente politica basata sull'identità concede le autorizzazioni per tutte le azioni Amazon Keyspaces CloudWatch e API richieste.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cassandra:Select", "cassandra:Alter", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Funzioni Lambda
La seguente politica basata sull'identità concede le autorizzazioni a tutte le azioni Lambda CloudWatch e API richieste.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "lambda:PutProvisionedConcurrencyConfig", "lambda:GetProvisionedConcurrencyConfig", "lambda:DeleteProvisionedConcurrencyConfig", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Archiviazione broker Amazon Managed Streaming for Apache Kafka (MSK)
La seguente politica basata sull'identità concede le autorizzazioni per tutte le azioni Amazon MSK CloudWatch e API richieste.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kafka:DescribeCluster", "kafka:DescribeClusterOperation", "kafka:UpdateBrokerStorage", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Cluster di Neptune
La seguente politica basata sull'identità concede le autorizzazioni a tutte le azioni di CloudWatch Neptune e API necessarie.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "rds:AddTagsToResource", "rds:CreateDBInstance", "rds:DescribeDBInstances", "rds:DescribeDBClusters", "rds:DescribeDBClusterParameters", "rds:DeleteDBInstance", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
SageMaker endpoint
La seguente politica basata sull'identità concede le autorizzazioni a tutte SageMaker le azioni API richieste. CloudWatch
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sagemaker:DescribeEndpoint", "sagemaker:DescribeEndpointConfig", "sagemaker:DescribeInferenceComponent", "sagemaker:UpdateEndpointWeightsAndCapacities", "sagemaker:UpdateInferenceComponentRuntimeConfig", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Parco istanze Spot (Amazon EC2)
La seguente politica basata sull'identità concede le autorizzazioni a tutte le azioni Spot Fleet e API richieste. CloudWatch
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeSpotFleetRequests", "ec2:ModifySpotFleetRequest", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Risorse personalizzate
La seguente policy basata su identità concede autorizzazioni per l'operazione di esecuzione API di API Gateway. Questa politica concede inoltre le autorizzazioni per tutte le azioni richieste. CloudWatch
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "execute-api:Invoke", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Autorizzazioni per lavorare in AWS Management Console
Non esiste una console autonoma per Application Auto Scaling. La maggior parte dei servizi che si integrano con Application Auto Scaling hanno funzionalità dedicate alla configurazione del dimensionamento nella rispettiva console.
Nella maggior parte dei casi, ogni servizio fornisce policy IAM AWS gestite (predefinite) che definiscono l'accesso alla propria console, che include le autorizzazioni per le azioni dell'API Application Auto Scaling. Per ulteriori informazioni, fai riferimento alla documentazione relativa al servizio di cui desideri utilizzare la console.
Puoi inoltre creare policy IAM personalizzate per concedere agli utenti le autorizzazioni granulari al fine di visualizzare e lavorare con operazioni API Application Auto Scaling specifiche nella AWS Management Console. Puoi utilizzare le policy di esempio nelle sezioni precedenti; tuttavia, sono progettate per le richieste effettuate con AWS CLI o con un SDK. La console utilizza operazioni API aggiuntive per le relative caratteristiche. Pertanto, queste policy potrebbero non funzionare come previsto. Ad esempio, per configurare il ridimensionamento dei passaggi, gli utenti potrebbero richiedere autorizzazioni aggiuntive per creare e gestire gli allarmi. CloudWatch
Suggerimento
Per individuare le operazioni API necessarie per eseguire le attività nella console, puoi utilizzare un servizio, ad esempio AWS CloudTrail. Per ulteriori informazioni, consulta la Guida per l'utente AWS CloudTrail.
La seguente policy basata su identità concede autorizzazioni per la configurazione di policy di dimensionamento del Parco istanze Spot. In aggiunta alle autorizzazioni IAM per il Parco istanze Spot l'utente della console che accede alle impostazioni di dimensionamento del parco istanze dalla console Amazon EC2 deve disporre delle autorizzazioni appropriate per i servizi che supportano il dimensionamento dinamico.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "application-autoscaling:*", "ec2:DescribeSpotFleetRequests", "ec2:ModifySpotFleetRequest", "cloudwatch:DeleteAlarms", "cloudwatch:DescribeAlarmHistory", "cloudwatch:DescribeAlarms", "cloudwatch:DescribeAlarmsForMetric", "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics", "cloudwatch:PutMetricAlarm", "cloudwatch:DisableAlarmActions", "cloudwatch:EnableAlarmActions", "sns:CreateTopic", "sns:Subscribe", "sns:Get*", "sns:List*" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/ec2.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_EC2SpotFleetRequest", "Condition": { "StringLike": { "iam:AWSServiceName":"ec2.application-autoscaling.amazonaws.com" } } } ] }
Questa policy consente agli utenti della console di visualizzare e modificare le politiche di scalabilità nella console Amazon EC2 e di creare e CloudWatch gestire allarmi nella console. CloudWatch
È possibile regolare le operazioni API per limitare l'accesso degli utenti. Ad esempio, la sostituzione di application-autoscaling:* con application-autoscaling:Describe* significa che l'utente ha un accesso di sola lettura.
Puoi anche modificare le CloudWatch autorizzazioni necessarie per limitare l'accesso degli utenti alle funzionalità. CloudWatch Per ulteriori informazioni, consulta la sezione Autorizzazioni necessarie per la CloudWatch console nella Amazon CloudWatch User Guide.
