Come funziona Application Auto Scaling con IAM - Application Auto Scaling
Policy basate su identità di Application Auto ScalingPolicy basate sulle risorse Liste di controllo degli accessi () ACLsABACCredenziali temporaneeRuoli di servizioRuoli collegati ai servizi

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Come funziona Application Auto Scaling con IAM

Nota

Nel mese di dicembre 2017 è stato installato un aggiornamento per Application Auto Scaling, abilitando diversi ruoli collegati ai servizi per i servizi integrati Application Auto Scaling. Sono necessarie autorizzazioni IAM specifiche e un ruolo collegato al servizio Application Auto Scaling (o un ruolo di servizio per la scalabilità automatica di Amazon EMR) in modo che gli utenti possano configurare il dimensionamento.

Prima di utilizzare IAM per gestire l'accesso ad Application Auto Scaling, è necessario imparare quali funzioni IAM sono disponibili per l'uso con Application Auto Scaling.

Funzionalità IAM che è possibile utilizzare con Application Auto Scaling
Funzionalità IAM Supporto di Application Auto Scaling

Policy basate su identità

Azioni di policy

Risorse relative alle policy

Chiavi di condizione della policy (specifica del servizio)

Policy basate su risorse

No

ACLs

No

ABAC (tag nelle policy)

Parziale

Credenziali temporanee

Ruoli di servizio

Ruoli collegati al servizio

Per avere una panoramica di alto livello su come Application Auto Scaling e Servizi AWS altre funzioni funzionano con la maggior parte delle funzionalità IAM, Servizi AWS consulta la sezione dedicata alla compatibilità con IAM nella IAM User Guide.

Policy basate su identità di Application Auto Scaling

Supporta le policy basate su identità:

Le policy basate su identità sono documenti di policy di autorizzazione JSON che è possibile allegare a un'identità (utente, gruppo di utenti o ruolo IAM). Tali policy definiscono le operazioni che utenti e ruoli possono eseguire, su quali risorse e in quali condizioni. Per informazioni su come creare una policy basata su identità, consulta Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente nella Guida per l'utente IAM.

Con le policy basate su identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o respinte, nonché le condizioni in base alle quali le operazioni sono consentite o respinte. Non è possibile specificare l'entità principale in una policy basata sull'identità perché si applica all'utente o al ruolo a cui è associato. Per informazioni su tutti gli elementi utilizzabili in una policy JSON, consulta Guida di riferimento agli elementi delle policy JSON IAM nella Guida per l'utente di IAM.

Esempi di policy basate su identità per Application Auto Scaling

Per visualizzare esempi di policy basate su identità Application Auto Scaling, consulta Esempi di policy basate su identità di Application Auto Scaling.

Operazioni

Supporta le operazioni di policy: si

In una dichiarazione di policy IAM, è possibile specificare qualsiasi operazione API per qualsiasi servizio che supporta IAM. Per Application Auto Scaling, utilizzare il seguente prefisso con il nome dell’operazione API: application-autoscaling:. For example: application-autoscaling:RegisterScalableTarget, application-autoscaling:PutScalingPolicy e application-autoscaling:DeregisterScalableTarget.

Per specificare più operazioni in una singola istruzione, separale con virgole, come illustrato nell'esempio seguente.

"Action": [
      "application-autoscaling:DescribeScalingPolicies",
      "application-autoscaling:DescribeScalingActivities"

Puoi specificare più operazioni tramite caratteri jolly (*). Ad esempio, per specificare tutte le operazioni che iniziano con la parola Describe, includi la seguente operazione.

"Action": "application-autoscaling:Describe*"

Per un elenco delle azioni di Application Auto Scaling, vedere Azioni definite da AWS Application Auto Scaling nel Service Authorization Reference.

Risorse

Supporta le risorse di policy:

In una dichiarazione di policy IAM, l'elemento Resource specifica l'oggetto o gli oggetti coperti dall'istruzione. Per Application Auto Scaling, ogni dichiarazione di policy IAM si applica agli obiettivi scalabili specificati utilizzando i rispettivi Amazon Resource Names (). ARNs

Il formato della risorsa ARN per obiettivi scalabili:

arn:aws:application-autoscaling:region:account-id:scalable-target/unique-identifier

Ad esempio, nell'istruzione puoi indicare un obiettivo scalabile utilizzando il relativo ARN come segue: L'ID univoco (1234abcd56ab78cd901ef1234567890ab123) è un valore assegnato dall'Applicazione di Dimensionamento automatico all'obiettivo scalabile.

"Resource": "arn:aws:application-autoscaling:us-east-1:123456789012:scalable-target/1234abcd56ab78cd901ef1234567890ab123"

Puoi specificare tutte le istanze appartenenti a un determinato account sostituendo l'identificatore univoco con il carattere jolly (*) come segue:

"Resource": "arn:aws:application-autoscaling:us-east-1:123456789012:scalable-target/*"

Per specificare tutte le risorse, o se un'azione API specifica non supporta ARNs, usa un carattere jolly (*) come Resource elemento come segue.

"Resource": "*"

Per ulteriori informazioni, vedere Tipi di risorse definiti da AWS Application Auto Scaling nel Service Authorization Reference.

Chiavi di condizione

Supporta le chiavi di condizione delle policy specifiche del servizio:

È possibile specificare le condizioni nelle policy IAM che controllano l'accesso alle risorse dell'Applicazione di Dimensionamento automatico. L'istruzione di policy diventa effettiva solo quando le condizioni sono true.

L'Applicazione di Dimensionamento automatico supporta le seguenti chiavi di condizione definite dal servizio che puoi utilizzare nelle policy basate sull'identità per determinare chi può eseguire le azioni dell'API dell'Applicazione di Dimensionamento automatico.

  • application-autoscaling:scalable-dimension

  • application-autoscaling:service-namespace

Per sapere con quali azioni dell'API Application Auto Scaling è possibile utilizzare una chiave di condizione, vedere Azioni definite da AWS Application Auto Scaling nel Service Authorization Reference. Per ulteriori informazioni sull'utilizzo delle chiavi di condizione di Application Auto Scaling, vedere Chiavi di condizione per AWS Application Auto Scaling.

Per visualizzare le chiavi di condizione globali disponibili per tutti i servizi, consulta chiavi di condizione globali contestuali AWS nella Guida dell'utente IAM.

Policy basate sulle risorse

Supporta le policy basate su risorse: no

Altri AWS servizi, come Amazon Simple Storage Service, supportano politiche di autorizzazione basate sulle risorse. Ad esempio, è possibile allegare una policy di autorizzazione a un bucket S3 per gestire le autorizzazioni di accesso a quel bucket.

Application Auto Scaling non supporta le policy basate su risorse.

Liste di controllo degli accessi () ACLs

Supporti ACLs: no

Application Auto Scaling non supporta gli Access Control List ()ACLs.

ABAC con l'Applicazione di Dimensionamento automatico

Supporta ABAC (tag nelle policy): parzialmente

Il controllo dell'accesso basato su attributi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base agli attributi. In AWS, questi attributi sono chiamati tag. Puoi allegare tag a entità IAM (utenti o ruoli) e a molte AWS risorse. L'assegnazione di tag alle entità e alle risorse è il primo passaggio di ABAC. In seguito, vengono progettate policy ABAC per consentire operazioni quando il tag dell'entità principale corrisponde al tag sulla risorsa a cui si sta provando ad accedere.

La strategia ABAC è utile in ambienti soggetti a una rapida crescita e aiuta in situazioni in cui la gestione delle policy diventa impegnativa.

Per controllare l'accesso basato su tag, fornisci informazioni sui tag nell'elemento condizione di una policy utilizzando le chiavi di condizione aws:ResourceTag/key-name, aws:RequestTag/key-nameo aws:TagKeys.

ABAC è possibile per le risorse che supportano i tag, ma non tutto supporta i tag. Le azioni pianificate e le policy di dimensionamento non supportano i tag, ma gli obiettivi scalabili sì. Per ulteriori informazioni, consulta Supporto al tagging per l'Applicazione di Dimensionamento automatico.

Per ulteriori informazioni su ABAC, consulta Che cos'è ABAC? nella Guida per l'utente IAM. Per visualizzare un tutorial con i passaggi per l'impostazione di ABAC, consulta Utilizzo del controllo degli accessi basato su attributi (ABAC) nella Guida per l'utente di IAM.

Utilizzo di credenziali temporanee con Application Auto Scaling

Supporta le credenziali temporanee:

Alcuni Servizi AWS non funzionano quando accedi utilizzando credenziali temporanee. Per ulteriori informazioni, incluse quelle che Servizi AWS funzionano con credenziali temporanee, consulta la sezione relativa alla Servizi AWS compatibilità con IAM nella IAM User Guide.

Stai utilizzando credenziali temporanee se accedi AWS Management Console utilizzando qualsiasi metodo tranne nome utente e password. Ad esempio, quando accedi AWS utilizzando il link Single Sign-On (SSO) della tua azienda, tale processo crea automaticamente credenziali temporanee. Le credenziali temporanee vengono create in automatico anche quando accedi alla console come utente e poi cambi ruolo. Per ulteriori informazioni sullo scambio dei ruoli, consulta Passaggio da un ruolo utente a un ruolo IAM (console) nella Guida per l'utente IAM.

È possibile creare manualmente credenziali temporanee utilizzando l'API or. AWS CLI AWS È quindi possibile utilizzare tali credenziali temporanee per accedere. AWS AWS consiglia di generare dinamicamente credenziali temporanee anziché utilizzare chiavi di accesso a lungo termine. Per ulteriori informazioni, consulta Credenziali di sicurezza provvisorie in IAM.

Ruoli di servizio

Supporta i ruoli di servizio:

Se il cluster Amazon EMR utilizza la scalabilità automatica, questa funzionalità consente ad Application Auto Scaling di assumere un ruolo di servizio per tuo conto. Analogamente a un ruolo collegato ai servizi, un ruolo di servizio consente al servizio di accedere alle risorse di altri servizi per completare un'azione per conto dell'utente. I ruoli dei servizi sono visualizzati nell'account IAM e sono di proprietà dell'account. Ciò significa che un amministratore IAM può modificare le autorizzazioni per questo ruolo. Tuttavia, questo potrebbe pregiudicare la funzionalità del servizio.

Application Auto Scaling supporta i ruoli di servizio solo per Amazon EMR. Per la documentazione relativa al ruolo del servizio EMR, consulta Utilizzo della scalabilità automatica con una policy personalizzata per i gruppi di istanze nella Guida alla gestione di Amazon EMR.

Nota

Con l'introduzione di ruoli collegati ai servizi, non sono più necessari diversi ruoli del servizio legacy, ad esempio per Amazon ECS e Parco istanze Spot.

Ruoli collegati ai servizi

Supporta ruoli collegati ai servizi: Sì

Un ruolo collegato al servizio è un tipo di ruolo di servizio collegato a un. Servizio AWS Il servizio può assumere il ruolo per eseguire un'azione per tuo conto. I ruoli collegati al servizio vengono visualizzati nel tuo account Account AWS e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati ai servizi, ma non modificarle.

Per ulteriori informazioni sui ruoli collegati ai servizi di Application Auto Scaling, consultare Ruoli collegati ai servizi per Application Auto Scaling.