Come funziona Application Auto Scaling con IAM - Application Auto Scaling

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Come funziona Application Auto Scaling con IAM

Nota

Nel mese di dicembre 2017 è stato installato un aggiornamento per Application Auto Scaling, abilitando diversi ruoli collegati ai servizi per i servizi integrati Application Auto Scaling. Per consentire agli utenti di configurare la scalabilità, sono necessari IAM permessi specifici e un ruolo collegato al servizio Application EMR Auto Scaling (o un ruolo di servizio per Amazon auto scaling).

Prima di utilizzare IAM per gestire l'accesso ad Application Auto Scaling, scopri quali IAM funzionalità sono disponibili per l'uso con Application Auto Scaling.

IAMfunzionalità utilizzabili con Application Auto Scaling
IAMcaratteristica Supporto di Application Auto Scaling

Policy basate su identità

Azioni di policy

Risorse relative alle policy

Chiavi di condizione della policy (specifica del servizio)

Policy basate su risorse

No

ACLs

No

ABAC(tag nelle politiche)

Parziale

Credenziali temporanee

Ruoli di servizio

Ruoli collegati al servizio

Per avere una panoramica generale del funzionamento di Application Auto Scaling e di Servizi AWS altro tipo con la IAM maggior parte delle funzionalità, Servizi AWS consulta le relative funzionalità nella Guida IAM per IAMl'utente.

Policy basate su identità di Application Auto Scaling

Supporta le policy basate su identità:

Le politiche basate sull'identità sono documenti relativi alle politiche di JSON autorizzazione che è possibile allegare a un'identità, ad esempio un IAM utente, un gruppo di utenti o un ruolo. Tali policy definiscono le azioni che utenti e ruoli possono eseguire, su quali risorse e in quali condizioni. Per informazioni su come creare una politica basata sull'identità, consulta Creazione di politiche nella Guida per l'utente. IAM IAM

Con le politiche IAM basate sull'identità, puoi specificare azioni e risorse consentite o negate, nonché le condizioni in base alle quali le azioni sono consentite o negate. Non è possibile specificare l'entità principale in una policy basata sull'identità perché si applica all'utente o al ruolo a cui è associato. Per ulteriori informazioni su tutti gli elementi che è possibile utilizzare in una JSON politica, vedere il riferimento agli elementi IAM JSON della politica nella Guida per l'IAMutente.

Esempi di policy basate su identità per Application Auto Scaling

Per visualizzare esempi di policy basate su identità Application Auto Scaling, consulta Esempi di policy basate su identità di Application Auto Scaling.

Azioni

Supporta le operazioni di policy: si

In una dichiarazione IAM politica, è possibile specificare qualsiasi API azione da qualsiasi servizio che supportaIAM. Per Application Auto Scaling, utilizzare il seguente prefisso con il nome dell'APIazione:. application-autoscaling: For example: application-autoscaling:RegisterScalableTarget, application-autoscaling:PutScalingPolicy e application-autoscaling:DeregisterScalableTarget.

Per specificare più operazioni in una singola istruzione, separale con virgole, come illustrato nell'esempio seguente.

"Action": [ "application-autoscaling:DescribeScalingPolicies", "application-autoscaling:DescribeScalingActivities"

Puoi specificare più operazioni tramite caratteri jolly (*). Ad esempio, per specificare tutte le operazioni che iniziano con la parola Describe, includi la seguente operazione.

"Action": "application-autoscaling:Describe*"

Per un elenco delle azioni di Application Auto Scaling, vedere Azioni definite da AWS Application Auto Scaling nel Service Authorization Reference.

Risorse

Supporta le risorse di policy:

In una dichiarazione IAM politica, l'Resourceelemento specifica l'oggetto o gli oggetti coperti dall'istruzione. Per Application Auto Scaling, ogni dichiarazione di IAM policy si applica agli obiettivi scalabili specificati utilizzando i rispettivi Amazon Resource Names (). ARNs

Il formato ARN delle risorse per obiettivi scalabili:

arn:aws:application-autoscaling:region:account-id:scalable-target/unique-identifier

Ad esempio, puoi indicare un obiettivo scalabile specifico nella tua dichiarazione utilizzandolo ARN come segue. L'ID univoco (1234abcd56ab78cd901ef1234567890ab123) è un valore assegnato dall'Applicazione di Dimensionamento automatico all'obiettivo scalabile.

"Resource": "arn:aws:application-autoscaling:us-east-1:123456789012:scalable-target/1234abcd56ab78cd901ef1234567890ab123"

Puoi specificare tutte le istanze appartenenti a un determinato account sostituendo l'identificatore univoco con il carattere jolly (*) come segue:

"Resource": "arn:aws:application-autoscaling:us-east-1:123456789012:scalable-target/*"

Per specificare tutte le risorse, o se un'APIazione specifica non supportaARNs, utilizzate un carattere jolly (*) come Resource elemento come segue.

"Resource": "*"

Per ulteriori informazioni, vedere Tipi di risorse definiti da AWS Application Auto Scaling nel Service Authorization Reference.

Chiavi di condizione

Supporta le chiavi di condizione delle policy specifiche del servizio:

È possibile specificare le condizioni nelle IAM politiche che controllano l'accesso alle risorse di Application Auto Scaling. L'istruzione di policy diventa effettiva solo quando le condizioni sono true.

Application Auto Scaling supporta le seguenti chiavi di condizione definite dal servizio che è possibile utilizzare nelle policy basate sull'identità per determinare chi può eseguire azioni Application Auto Scaling. API

  • application-autoscaling:scalable-dimension

  • application-autoscaling:service-namespace

Per sapere con quali API azioni Application Auto Scaling è possibile utilizzare una chiave di condizione, vedere Azioni definite da AWS Application Auto Scaling nel Service Authorization Reference. Per ulteriori informazioni sull'utilizzo delle chiavi di condizione di Application Auto Scaling, vedere Chiavi di condizione per AWS Application Auto Scaling.

Per visualizzare le chiavi di condizione globali disponibili per tutti i servizi, consulta le chiavi di contesto delle condizioni AWS globali nella Guida per l'IAMutente.

Policy basate su risorse

Supporta le policy basate su risorse: no

Altri AWS servizi, come Amazon Simple Storage Service, supportano politiche di autorizzazione basate sulle risorse. Ad esempio, è possibile allegare una policy di autorizzazione a un bucket S3 per gestire le autorizzazioni di accesso a quel bucket.

Application Auto Scaling non supporta le policy basate su risorse.

Liste di controllo degli accessi () ACLs

SupportiACLs: no

Application Auto Scaling non supporta gli Access Control List ()ACLs.

ABACcon Application Auto Scaling

Supporti ABAC (tag nelle politiche): Parziale

Il controllo degli accessi basato sugli attributi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base agli attributi. In AWS, questi attributi sono chiamati tag. È possibile allegare tag a IAM entità (utenti o ruoli) e a molte AWS risorse. L'etichettatura di entità e risorse è il primo passo diABAC. Quindi si progettano ABAC politiche per consentire le operazioni quando il tag del principale corrisponde al tag sulla risorsa a cui sta tentando di accedere.

ABACè utile in ambienti in rapida crescita e aiuta in situazioni in cui la gestione delle politiche diventa complicata.

Per controllare l'accesso basato su tag, fornisci informazioni sui tag nell'elemento condizione di una policy utilizzando le chiavi di condizione aws:ResourceTag/key-name, aws:RequestTag/key-name o aws:TagKeys.

ABACè possibile per le risorse che supportano i tag, ma non tutte le risorse supportano i tag. Le azioni pianificate e le policy di dimensionamento non supportano i tag, ma gli obiettivi scalabili sì. Per ulteriori informazioni, consulta Supporto al tagging per l'Applicazione di Dimensionamento automatico.

Per ulteriori informazioni suABAC, vedi Cos'èABAC? nella Guida IAM per l'utente. Per visualizzare un tutorial con i passaggi per la configurazioneABAC, consulta Utilizzare il controllo di accesso basato sugli attributi (ABAC) nella Guida per l'IAMutente.

Utilizzo di credenziali temporanee con Application Auto Scaling

Supporta le credenziali temporanee:

Alcuni Servizi AWS non funzionano quando accedi utilizzando credenziali temporanee. Per ulteriori informazioni, incluse quelle che Servizi AWS funzionano con credenziali temporanee, consulta la sezione Servizi AWS relativa alla funzionalità IAM nella Guida per l'IAMutente.

Si utilizzano credenziali temporanee se si accede AWS Management Console utilizzando qualsiasi metodo tranne il nome utente e la password. Ad esempio, quando accedete AWS utilizzando il link Single Sign-on (SSO) della vostra azienda, tale processo crea automaticamente credenziali temporanee. Le credenziali temporanee vengono create in automatico anche quando accedi alla console come utente e poi cambi ruolo. Per ulteriori informazioni sul cambio di ruolo, consulta Passare a un ruolo (console) nella Guida per l'IAMutente.

È possibile creare manualmente credenziali temporanee utilizzando AWS CLI o AWS API. È quindi possibile utilizzare tali credenziali temporanee per accedere. AWS AWS consiglia di generare dinamicamente credenziali temporanee anziché utilizzare chiavi di accesso a lungo termine. Per ulteriori informazioni, vedere Credenziali di sicurezza temporanee in. IAM

Ruoli di servizio

Supporta i ruoli di servizio:

Se il tuo EMR cluster Amazon utilizza il ridimensionamento automatico, questa funzionalità consente ad Application Auto Scaling di assumere un ruolo di servizio per tuo conto. Analogamente a un ruolo collegato ai servizi, un ruolo di servizio consente al servizio di accedere alle risorse di altri servizi per completare un'azione per conto dell'utente. I ruoli di servizio vengono visualizzati nel tuo IAM account e sono di proprietà dell'account. Ciò significa che un IAM amministratore può modificare le autorizzazioni per questo ruolo. Tuttavia, il farlo potrebbe pregiudicare la funzionalità del servizio.

Application Auto Scaling supporta i ruoli di servizio solo per Amazon. EMR Per la documentazione sul ruolo del EMR servizio, consulta Usare la scalabilità automatica con una politica personalizzata per i gruppi, ad esempio, nella Amazon EMR Management Guide.

Nota

Con l'introduzione dei ruoli collegati ai servizi, non sono più necessari diversi ruoli di servizio legacy, ad esempio per Amazon ECS e Spot Fleet.

Ruoli collegati ai servizi

Supporta ruoli collegati ai servizi: Sì

Un ruolo collegato al servizio è un tipo di ruolo di servizio collegato a un. Servizio AWS Il servizio può assumere il ruolo per eseguire un'azione per tuo conto. I ruoli collegati al servizio vengono visualizzati in Account AWS e sono di proprietà del servizio. Un IAM amministratore può visualizzare, ma non modificare le autorizzazioni per i ruoli collegati al servizio.

Per ulteriori informazioni sui ruoli collegati ai servizi di Application Auto Scaling, consultare Ruoli collegati ai servizi per Application Auto Scaling.