Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
AWS politiche gestite per AWS Batch
Puoi utilizzare politiche AWS gestite per una gestione più semplice dell'accesso all'identità per il team e le risorse a cui è stato assegnato AWS . AWS le politiche gestite coprono una serie di casi d'uso comuni, sono disponibili per impostazione predefinita nel tuo AWS account e vengono gestite e aggiornate per tuo conto. Non puoi modificare le autorizzazioni nelle politiche AWS gestite. Se hai bisogno di maggiore flessibilità, puoi in alternativa scegliere di creare politiche gestite IAM dai clienti. In questo modo, puoi fornire alle risorse assegnate al tuo team solo le autorizzazioni esatte di cui hanno bisogno.
Per ulteriori informazioni sulle politiche AWS gestite, consulta le politiche AWS gestite nella Guida per l'IAMutente.
AWS i servizi mantengono e aggiornano le politiche AWS gestite per tuo conto. Periodicamente, AWS i servizi aggiungono autorizzazioni aggiuntive a una policy AWS gestita. AWS le politiche gestite vengono molto probabilmente aggiornate quando diventa disponibile il lancio o l'operazione di una nuova funzionalità. Questi aggiornamenti influiscono automaticamente su tutte le identità (utenti, gruppi e ruoli) a cui è allegata la policy. Tuttavia, non rimuovono le autorizzazioni né interrompono le autorizzazioni esistenti.
Inoltre, AWS supporta politiche gestite per le funzioni lavorative che si estendono su più servizi. Ad esempio, la policy ReadOnlyAccess
AWS gestita fornisce l'accesso in sola lettura a tutti i AWS servizi e le risorse. Quando un servizio lancia una nuova funzionalità, AWS aggiunge autorizzazioni di sola lettura per nuove operazioni e risorse. Per un elenco e le descrizioni delle politiche relative alle funzioni lavorative, consulta le politiche AWS gestite per le funzioni lavorative nella Guida per l'utente. IAM
AWS politica gestita: BatchServiceRolePolicy
La IAM policy BatchServiceRolePolicygestita viene utilizzata dal ruolo AWSServiceRoleForBatchcollegato al servizio. Ciò consente di AWS Batch eseguire azioni per conto dell'utente. Non puoi allegare questa politica alle tue IAM entità. Per ulteriori informazioni, consulta Utilizza ruoli collegati ai servizi per AWS Batch.
Questa politica consente AWS Batch di completare le seguenti azioni su risorse specifiche:
-
autoscaling
— Consente di AWS Batch creare e gestire risorse Amazon EC2 Auto Scaling. AWS Batch crea e gestisce gruppi Amazon EC2 Auto Scaling per la maggior parte degli ambienti di elaborazione. -
ec2
— Consente di AWS Batch controllare il ciclo di vita delle EC2 istanze Amazon, nonché di creare e gestire modelli e tag di avvio. AWS Batch crea e gestisce le richieste EC2 Spot Fleet per alcuni ambienti di calcolo EC2 Spot. -
ecs
- Consente di AWS Batch creare e gestire ECS cluster Amazon, definizioni di attività e attività per l'esecuzione dei lavori. -
eks
- Consente di AWS Batch descrivere la risorsa del EKS cluster Amazon per le convalide. -
iam
- Consente di AWS Batch convalidare e trasferire i ruoli forniti dal proprietario ad AmazonEC2, Amazon EC2 Auto Scaling e Amazon. ECS -
logs
— Consente di AWS Batch creare e gestire gruppi di log e flussi di log per i lavori. AWS Batch
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSBatchPolicyStatement1", "Effect": "Allow", "Action": [ "ec2:DescribeAccountAttributes", "ec2:DescribeInstances", "ec2:DescribeInstanceStatus", "ec2:DescribeInstanceAttribute", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups", "ec2:DescribeKeyPairs", "ec2:DescribeImages", "ec2:DescribeImageAttribute", "ec2:DescribeSpotInstanceRequests", "ec2:DescribeSpotFleetInstances", "ec2:DescribeSpotFleetRequests", "ec2:DescribeSpotPriceHistory", "ec2:DescribeSpotFleetRequestHistory", "ec2:DescribeVpcClassicLink", "ec2:DescribeLaunchTemplateVersions", "ec2:RequestSpotFleet", "autoscaling:DescribeAccountLimits", "autoscaling:DescribeAutoScalingGroups", "autoscaling:DescribeLaunchConfigurations", "autoscaling:DescribeAutoScalingInstances", "autoscaling:DescribeScalingActivities", "eks:DescribeCluster", "ecs:DescribeClusters", "ecs:DescribeContainerInstances", "ecs:DescribeTaskDefinition", "ecs:DescribeTasks", "ecs:ListClusters", "ecs:ListContainerInstances", "ecs:ListTaskDefinitionFamilies", "ecs:ListTaskDefinitions", "ecs:ListTasks", "ecs:DeregisterTaskDefinition", "ecs:TagResource", "ecs:ListAccountSettings", "logs:DescribeLogGroups", "iam:GetInstanceProfile", "iam:GetRole" ], "Resource": "*" }, { "Sid": "AWSBatchPolicyStatement2", "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/batch/job*" }, { "Sid": "AWSBatchPolicyStatement3", "Effect": "Allow", "Action": [ "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/batch/job*:log-stream:*" }, { "Sid": "AWSBatchPolicyStatement4", "Effect": "Allow", "Action": [ "autoscaling:CreateOrUpdateTags" ], "Resource": "*", "Condition": { "Null": { "aws:RequestTag/AWSBatchServiceTag": "false" } } }, { "Sid": "AWSBatchPolicyStatement5", "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "*" ], "Condition": { "StringEquals": { "iam:PassedToService": [ "ec2.amazonaws.com", "ec2.amazonaws.com.rproxy.goskope.com.cn", "ecs-tasks.amazonaws.com" ] } } }, { "Sid": "AWSBatchPolicyStatement6", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": [ "spot.amazonaws.com", "spotfleet.amazonaws.com", "autoscaling.amazonaws.com", "ecs.amazonaws.com" ] } } }, { "Sid": "AWSBatchPolicyStatement7", "Effect": "Allow", "Action": [ "ec2:CreateLaunchTemplate" ], "Resource": "*", "Condition": { "Null": { "aws:RequestTag/AWSBatchServiceTag": "false" } } }, { "Sid": "AWSBatchPolicyStatement8", "Effect": "Allow", "Action": [ "ec2:TerminateInstances", "ec2:CancelSpotFleetRequests", "ec2:ModifySpotFleetRequest", "ec2:DeleteLaunchTemplate" ], "Resource": "*", "Condition": { "Null": { "aws:ResourceTag/AWSBatchServiceTag": "false" } } }, { "Sid": "AWSBatchPolicyStatement9", "Effect": "Allow", "Action": [ "autoscaling:CreateLaunchConfiguration", "autoscaling:DeleteLaunchConfiguration" ], "Resource": "arn:aws:autoscaling:*:*:launchConfiguration:*:launchConfigurationName/AWSBatch*" }, { "Sid": "AWSBatchPolicyStatement10", "Effect": "Allow", "Action": [ "autoscaling:CreateAutoScalingGroup", "autoscaling:UpdateAutoScalingGroup", "autoscaling:SetDesiredCapacity", "autoscaling:DeleteAutoScalingGroup", "autoscaling:SuspendProcesses", "autoscaling:PutNotificationConfiguration", "autoscaling:TerminateInstanceInAutoScalingGroup" ], "Resource": "arn:aws:autoscaling:*:*:autoScalingGroup:*:autoScalingGroupName/AWSBatch*" }, { "Sid": "AWSBatchPolicyStatement11", "Effect": "Allow", "Action": [ "ecs:DeleteCluster", "ecs:DeregisterContainerInstance", "ecs:RunTask", "ecs:StartTask", "ecs:StopTask" ], "Resource": "arn:aws:ecs:*:*:cluster/AWSBatch*" }, { "Sid": "AWSBatchPolicyStatement12", "Effect": "Allow", "Action": [ "ecs:RunTask", "ecs:StartTask", "ecs:StopTask" ], "Resource": "arn:aws:ecs:*:*:task-definition/*" }, { "Sid": "AWSBatchPolicyStatement13", "Effect": "Allow", "Action": [ "ecs:StopTask" ], "Resource": "arn:aws:ecs:*:*:task/*/*" }, { "Sid": "AWSBatchPolicyStatement14", "Effect": "Allow", "Action": [ "ecs:CreateCluster", "ecs:RegisterTaskDefinition" ], "Resource": "*", "Condition": { "Null": { "aws:RequestTag/AWSBatchServiceTag": "false" } } }, { "Sid": "AWSBatchPolicyStatement15", "Effect": "Allow", "Action": "ec2:RunInstances", "Resource": [ "arn:aws:ec2:*::image/*", "arn:aws:ec2:*::snapshot/*", "arn:aws:ec2:*:*:subnet/*", "arn:aws:ec2:*:*:network-interface/*", "arn:aws:ec2:*:*:security-group/*", "arn:aws:ec2:*:*:volume/*", "arn:aws:ec2:*:*:key-pair/*", "arn:aws:ec2:*:*:launch-template/*", "arn:aws:ec2:*:*:placement-group/*", "arn:aws:ec2:*:*:capacity-reservation/*", "arn:aws:ec2:*:*:elastic-gpu/*", "arn:aws:elastic-inference:*:*:elastic-inference-accelerator/*", "arn:aws:resource-groups:*:*:group/*" ] }, { "Sid": "AWSBatchPolicyStatement16", "Effect": "Allow", "Action": "ec2:RunInstances", "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": { "Null": { "aws:RequestTag/AWSBatchServiceTag": "false" } } }, { "Sid": "AWSBatchPolicyStatement17", "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "ec2:CreateAction": [ "RunInstances", "CreateLaunchTemplate", "RequestSpotFleet" ] } } } ] }
AWS politica gestita: AWSBatchServiceRolepolitica
La politica di autorizzazione dei ruoli denominata AWSBatchServiceRoleconsente di AWS Batch completare le seguenti azioni su risorse specifiche:
La IAM politica AWSBatchServiceRolegestita viene spesso utilizzata da un ruolo denominato AWSBatchServiceRolee include le seguenti autorizzazioni. Seguendo i consigli di sicurezza standard che prevedono la concessione del privilegio minimo, la policy AWSBatchServiceRolegestita può essere utilizzata come guida. Se una qualsiasi delle autorizzazioni concesse nella policy gestita non è necessaria per il caso d'uso, crea una policy personalizzata e aggiungi solo le autorizzazioni richieste. Questa politica e questo ruolo AWS Batch gestiti possono essere utilizzati con la maggior parte dei tipi di ambienti di elaborazione, ma l'utilizzo di ruoli collegati ai servizi è preferibile per un'esperienza gestita e con less-error-prone obiettivi più ampi.
-
autoscaling
— Consente di AWS Batch creare e gestire risorse Amazon EC2 Auto Scaling. AWS Batch crea e gestisce gruppi Amazon EC2 Auto Scaling per la maggior parte degli ambienti di elaborazione. -
ec2
— Consente di AWS Batch gestire il ciclo di vita delle EC2 istanze Amazon, nonché di creare e gestire modelli e tag di avvio. AWS Batch crea e gestisce le richieste EC2 Spot Fleet per alcuni ambienti di calcolo EC2 Spot. -
ecs
- Consente di AWS Batch creare e gestire ECS cluster Amazon, definizioni di attività e attività per l'esecuzione dei lavori. -
iam
- Consente di AWS Batch convalidare e trasferire i ruoli forniti dal proprietario ad AmazonEC2, Amazon EC2 Auto Scaling e Amazon. ECS -
logs
— Consente di AWS Batch creare e gestire gruppi di log e flussi di log per i lavori. AWS Batch
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSBatchPolicyStatement1", "Effect": "Allow", "Action": [ "ec2:DescribeAccountAttributes", "ec2:DescribeInstances", "ec2:DescribeInstanceStatus", "ec2:DescribeInstanceAttribute", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups", "ec2:DescribeKeyPairs", "ec2:DescribeImages", "ec2:DescribeImageAttribute", "ec2:DescribeSpotInstanceRequests", "ec2:DescribeSpotFleetInstances", "ec2:DescribeSpotFleetRequests", "ec2:DescribeSpotPriceHistory", "ec2:DescribeSpotFleetRequestHistory", "ec2:DescribeVpcClassicLink", "ec2:DescribeLaunchTemplateVersions", "ec2:CreateLaunchTemplate", "ec2:DeleteLaunchTemplate", "ec2:RequestSpotFleet", "ec2:CancelSpotFleetRequests", "ec2:ModifySpotFleetRequest", "ec2:TerminateInstances", "ec2:RunInstances", "autoscaling:DescribeAccountLimits", "autoscaling:DescribeAutoScalingGroups", "autoscaling:DescribeLaunchConfigurations", "autoscaling:DescribeAutoScalingInstances", "autoscaling:DescribeScalingActivities", "autoscaling:CreateLaunchConfiguration", "autoscaling:CreateAutoScalingGroup", "autoscaling:UpdateAutoScalingGroup", "autoscaling:SetDesiredCapacity", "autoscaling:DeleteLaunchConfiguration", "autoscaling:DeleteAutoScalingGroup", "autoscaling:CreateOrUpdateTags", "autoscaling:SuspendProcesses", "autoscaling:PutNotificationConfiguration", "autoscaling:TerminateInstanceInAutoScalingGroup", "ecs:DescribeClusters", "ecs:DescribeContainerInstances", "ecs:DescribeTaskDefinition", "ecs:DescribeTasks", "ecs:ListAccountSettings", "ecs:ListClusters", "ecs:ListContainerInstances", "ecs:ListTaskDefinitionFamilies", "ecs:ListTaskDefinitions", "ecs:ListTasks", "ecs:CreateCluster", "ecs:DeleteCluster", "ecs:RegisterTaskDefinition", "ecs:DeregisterTaskDefinition", "ecs:RunTask", "ecs:StartTask", "ecs:StopTask", "ecs:UpdateContainerAgent", "ecs:DeregisterContainerInstance", "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents", "logs:DescribeLogGroups", "iam:GetInstanceProfile", "iam:GetRole" ], "Resource": "*" }, { "Sid": "AWSBatchPolicyStatement2", "Effect": "Allow", "Action": "ecs:TagResource", "Resource": [ "arn:aws:ecs:*:*:task/*_Batch_*" ] }, { "Sid": "AWSBatchPolicyStatement3", "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "*" ], "Condition": { "StringEquals": { "iam:PassedToService": [ "ec2.amazonaws.com", "ec2.amazonaws.com.rproxy.goskope.com.cn", "ecs-tasks.amazonaws.com" ] } } }, { "Sid": "AWSBatchPolicyStatement4", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": [ "spot.amazonaws.com", "spotfleet.amazonaws.com", "autoscaling.amazonaws.com", "ecs.amazonaws.com" ] } } }, { "Sid": "AWSBatchPolicyStatement5", "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "ec2:CreateAction": "RunInstances" } } } ] }
AWS politica gestita: AWSBatchFullAccess
La AWSBatchFullAccesspolitica garantisce alle AWS Batch azioni il pieno accesso alle AWS Batch risorse. Garantisce inoltre l'accesso alla descrizione e all'elenco delle azioni per Amazon EC2ECS, Amazon EKS CloudWatch, Amazon e IAM servizi. In questo modo IAM le identità, utenti o ruoli, possono visualizzare le risorse AWS Batch gestite create per loro conto. Infine, questa politica consente anche il trasferimento di IAM ruoli selezionati a tali servizi.
Puoi collegarti AWSBatchFullAccessalle tue IAM entità. AWS Batch associa inoltre questa politica a un ruolo di servizio che consente di AWS Batch eseguire azioni per conto dell'utente.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "batch:*", "cloudwatch:GetMetricStatistics", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups", "ec2:DescribeKeyPairs", "ec2:DescribeVpcs", "ec2:DescribeImages", "ec2:DescribeLaunchTemplates", "ec2:DescribeLaunchTemplateVersions", "ecs:DescribeClusters", "ecs:Describe*", "ecs:List*", "eks:DescribeCluster", "eks:ListClusters", "logs:Describe*", "logs:Get*", "logs:TestMetricFilter", "logs:FilterLogEvents", "iam:ListInstanceProfiles", "iam:ListRoles" ], "Resource":"*" }, { "Effect":"Allow", "Action":[ "iam:PassRole" ], "Resource":[ "arn:aws:iam::*:role/AWSBatchServiceRole", "arn:aws:iam::*:role/service-role/AWSBatchServiceRole", "arn:aws:iam::*:role/ecsInstanceRole", "arn:aws:iam::*:instance-profile/ecsInstanceRole", "arn:aws:iam::*:role/iaws-ec2-spot-fleet-role", "arn:aws:iam::*:role/aws-ec2-spot-fleet-role", "arn:aws:iam::*:role/AWSBatchJobRole*" ] }, { "Effect":"Allow", "Action":[ "iam:CreateServiceLinkedRole" ], "Resource":"arn:aws:iam::*:role/*Batch*", "Condition": { "StringEquals": { "iam:AWSServiceName": "batch.amazonaws.com" } } } ] }
AWS Batch aggiornamenti alle politiche AWS gestite
Visualizza i dettagli sugli aggiornamenti alle politiche AWS gestite AWS Batch da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al RSS feed nella pagina della cronologia dei AWS Batch documenti.
Modifica | Descrizione | Data |
---|---|---|
BatchServiceRolePolicypolitica aggiornata |
Aggiornato per aggiungere il supporto per la descrizione della cronologia delle richieste e delle Amazon EC2 Auto Scaling attività di Spot Fleet. |
5 dicembre 2023 |
AWSBatchServiceRolepolitica aggiunta |
Aggiornato per aggiungere dichiarazioniIDs, concedere AWS Batch autorizzazioni a |
5 dicembre 2023 |
BatchServiceRolePolicypolitica aggiornata |
Aggiornato per aggiungere il supporto per la descrizione dei EKS cluster Amazon. |
20 ottobre 2022 |
AWSBatchFullAccesspolitica aggiornata |
Aggiornato per aggiungere il supporto per elencare e descrivere i EKS cluster Amazon. |
20 ottobre 2022 |
BatchServiceRolePolicypolitica aggiornata |
Aggiornato per aggiungere il supporto per i gruppi Amazon EC2 Capacity Reservation gestiti da AWS Resource Groups. Per ulteriori informazioni, consulta Work with Capacity Reservation groups nella Amazon EC2 User Guide. |
18 maggio 2022 |
BatchServiceRolePolicye AWSBatchServiceRolepolitiche aggiornate |
Aggiornato per aggiungere il supporto per la descrizione dello stato delle istanze AWS Batch gestite in Amazon in EC2 modo da sostituire le istanze non integre. |
6 dicembre 2021 |
BatchServiceRolePolicypolitica aggiornata |
Aggiornato per aggiungere il supporto per le risorse Placement Group, Capacity ReserveGPU, Elastic ed Elastic Inference in Amazon. EC2 |
26 marzo 2021 |
BatchServiceRolePolicypolitica aggiunta |
Con la politica BatchServiceRolePolicygestita per il ruolo AWSServiceRoleForBatchcollegato al servizio, è possibile utilizzare un ruolo collegato al servizio gestito da. AWS Batch Con questa policy, non è necessario mantenere il proprio ruolo da utilizzare negli ambienti di elaborazione. |
10 marzo 2021 |
AWSBatchFullAccess- aggiungi l'autorizzazione per aggiungere un ruolo collegato al servizio |
Aggiungi IAM le autorizzazioni per consentire l'aggiunta del ruolo AWSServiceRoleForBatchcollegato al servizio all'account. |
10 marzo 2021 |
AWS Batch ha iniziato a tenere traccia delle modifiche |
AWS Batch ha iniziato a tenere traccia delle modifiche per le sue politiche AWS gestite. |
10 marzo 2021 |