Identity and Access Management per AWS Compute Optimizer - AWS Compute Optimizer
Accesso affidabile per AWS OrganizationsPolitica per l'attivazione di Compute OptimizerAccesso per account autonomiAccesso per gli account di gestioneAccesso per gestire le preferenze di raccomandazioneAbilita i consigli sulle licenzeNegare l'accessoRisorse aggiuntive

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Identity and Access Management per AWS Compute Optimizer

È possibile utilizzare AWS Identity and Access Management (IAM) per creare identità (utenti, gruppi o ruoli) e concedere a tali identità le autorizzazioni per accedere alla console e. AWS Compute Optimizer APIs

Per impostazione predefinita, IAM gli utenti non hanno accesso alla console Compute Optimizer e. APIs Concedi l'accesso agli utenti allegando IAM le policy a un singolo utente, a un gruppo di utenti o a un ruolo. Per ulteriori informazioni, consulta Identità (utenti, gruppi e ruoli) e Panoramica delle IAM politiche nella Guida per l'IAMutente.

Dopo aver creato IAM gli utenti, puoi assegnare a tali utenti password individuali. Quindi, possono accedere al tuo account e visualizzare le informazioni di Compute Optimizer utilizzando una pagina di accesso specifica per l'account. Per ulteriori informazioni, consulta Modalità di accesso degli utenti al tuo account.

Importante

  • Per visualizzare i consigli relativi alle EC2 istanze, un utente richiede l'autorizzazione. IAM ec2:DescribeInstances

  • Per visualizzare i consigli per EBS i volumi, un IAM utente richiede l'ec2:DescribeVolumesautorizzazione.

  • Per visualizzare i consigli per i gruppi di Auto Scaling, un IAM utente richiede le autorizzazioni autoscaling:DescribeAutoScalingGroups eautoscaling:DescribeAutoScalingInstances.

  • Per visualizzare i consigli per le funzioni Lambda, un IAM utente richiede le autorizzazioni lambda:ListFunctions andlambda:ListProvisionedConcurrencyConfigs.

  • Per visualizzare i consigli per ECS i servizi Amazon su Fargate, un IAM utente richiede le autorizzazioni ecs:ListServices eecs:ListClusters.

  • Per visualizzare i dati CloudWatch delle metriche correnti nella console Compute Optimizer, IAM un utente richiede l'autorizzazione. cloudwatch:GetMetricData

  • Per visualizzare i consigli, le licenze software commerciali, sono necessari determinati ruoli di EC2 istanza Amazon e autorizzazioni IAM utente. Per ulteriori informazioni, consultare Politiche per abilitare le raccomandazioni relative alle licenze software commerciali.

  • Per visualizzare i consigli per AmazonRDS, un IAM utente richiede le rds:DescribeDBClusters autorizzazioni rds:DescribeDBInstances e.

Se l'utente o il gruppo a cui desideri concedere le autorizzazioni dispone già di una policy, puoi aggiungere a quella policy una delle policy specifiche di Compute Optimizer illustrate qui.

Accesso affidabile per AWS Organizations

Quando si sceglie di utilizzare l'account di gestione dell'organizzazione e si includono tutti gli account dei membri all'interno dell'organizzazione, l'accesso affidabile per Compute Optimizer viene automaticamente abilitato nell'account dell'organizzazione. Ciò consente a Compute Optimizer di analizzare le risorse di calcolo in quegli account membri e generare consigli per loro.

Ogni volta che accedi ai consigli per gli account dei membri, Compute Optimizer verifica che l'accesso affidabile sia abilitato nell'account dell'organizzazione. Se disabiliti l'accesso affidabile a Compute Optimizer dopo aver effettuato l'attivazione, Compute Optimizer nega l'accesso ai consigli per gli account dei membri della tua organizzazione. Inoltre, gli account dei membri all'interno dell'organizzazione non sono abilitati a Compute Optimizer. Per riattivare l'accesso affidabile, attiva nuovamente Compute Optimizer utilizzando l'account di gestione della tua organizzazione e includi tutti gli account dei membri all'interno dell'organizzazione. Per ulteriori informazioni, consulta Iscrizione a AWS Compute Optimizer. Per ulteriori informazioni sull'accesso AWS Organizations affidabile, consulta Utilizzo AWS Organizations con altri AWS servizi nella Guida per l'AWS Organizations utente.

Politica per l'attivazione di Compute Optimizer

Questa dichiarazione politica garantisce quanto segue:

Importante

Questo IAM ruolo è necessario per aderire. AWS Compute Optimizer

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "arn:aws:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer*",
            "Condition": {"StringLike": {"iam:AWSServiceName": "compute-optimizer.amazonaws.com"}}
        },
        {
            "Effect": "Allow",
            "Action": "iam:PutRolePolicy",
            "Resource": "arn:aws:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer"
        },
        {
            "Effect": "Allow",
            "Action": "compute-optimizer:UpdateEnrollmentStatus",
            "Resource": "*"
        }
    ]
}

Politiche per concedere l'accesso a Compute Optimizer per uso autonomo Account AWS

La seguente dichiarazione politica garantisce l'accesso completo a Compute Optimizer in modalità standalone. Account AWS

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "compute-optimizer:*",
                "ec2:DescribeInstances",
                "ec2:DescribeVolumes",
                "ecs:ListServices",
                "ecs:ListClusters",
                "autoscaling:DescribeAutoScalingGroups",
                "autoscaling:DescribeAutoScalingInstances",
                "lambda:ListFunctions",
                "lambda:ListProvisionedConcurrencyConfigs",
                "cloudwatch:GetMetricData"
            ],
            "Resource": "*"
        }
    ]
}

La seguente dichiarazione politica concede l'accesso in sola lettura a Compute Optimizer in modalità standalone. Account AWS

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "compute-optimizer:GetEnrollmentStatus",
                "compute-optimizer:GetEffectiveRecommendationPreferences",
                "compute-optimizer:GetRecommendationPreferences",
                "compute-optimizer:GetRecommendationSummaries",
                "compute-optimizer:GetEC2InstanceRecommendations",
                "compute-optimizer:GetEC2RecommendationProjectedMetrics",
                "compute-optimizer:GetAutoScalingGroupRecommendations",
                "compute-optimizer:GetEBSVolumeRecommendations",
                "compute-optimizer:GetLambdaFunctionRecommendations",
                "compute-optimizer:DescribeRecommendationExportJobs",
                "compute-optimizer:GetEffectiveRecommendationPreferences",
                "compute-optimizer:GetRecommendationPreferences",
                "compute-optimizer:GetECSServiceRecommendations",
                "compute-optimizer:GetECSServiceRecommendationProjectedMetrics",
                "compute-optimizer:GetRDSDatabaseRecommendations",
                "compute-optimizer:GetRDSDatabaseRecommendationProjectedMetrics",
                "ec2:DescribeInstances",
                "ec2:DescribeVolumes",
                "ecs:ListServices",
                "ecs:ListClusters",
                "autoscaling:DescribeAutoScalingGroups",
                "autoscaling:DescribeAutoScalingInstances",
                "lambda:ListFunctions",
                "lambda:ListProvisionedConcurrencyConfigs",
                "cloudwatch:GetMetricData",
                "rds:DescribeDBInstances",
                "rds:DescribeDBClusters"
            ],
            "Resource": "*"
        }
    ]
}

Politiche per concedere l'accesso a Compute Optimizer per un account di gestione di un'organizzazione

La seguente dichiarazione politica concede l'accesso completo a Compute Optimizer per un account di gestione dell'organizzazione. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "compute-optimizer:*",
                "ec2:DescribeInstances",
                "ec2:DescribeVolumes",
                "ecs:ListServices",
                "ecs:ListClusters",
                "autoscaling:DescribeAutoScalingGroups",
                "autoscaling:DescribeAutoScalingInstances",
                "lambda:ListFunctions",
                "lambda:ListProvisionedConcurrencyConfigs",
                "cloudwatch:GetMetricData",
                "organizations:ListAccounts",
                "organizations:DescribeOrganization",
                "organizations:DescribeAccount",
                "organizations:EnableAWSServiceAccess",
                "organizations:ListDelegatedAdministrators",
                "organizations:RegisterDelegatedAdministrator",
                "organizations:DeregisterDelegatedAdministrator"
            ],
            "Resource": "*"
        }
    ]
}

La seguente dichiarazione politica concede l'accesso in sola lettura a Compute Optimizer per un account di gestione di un'organizzazione.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "compute-optimizer:GetEnrollmentStatus",
                "compute-optimizer:GetEnrollmentStatusesForOrganization",
                "compute-optimizer:GetRecommendationSummaries",
                "compute-optimizer:GetEC2InstanceRecommendations",
                "compute-optimizer:GetEC2RecommendationProjectedMetrics",
                "compute-optimizer:GetAutoScalingGroupRecommendations",
                "compute-optimizer:GetEBSVolumeRecommendations",
                "compute-optimizer:GetLambdaFunctionRecommendations",
                "compute-optimizer:GetEffectiveRecommendationPreferences",
                "compute-optimizer:GetRecommendationPreferences",
                "compute-optimizer:GetECSServiceRecommendations",
                "compute-optimizer:GetECSServiceRecommendationProjectedMetrics",
                "compute-optimizer:GetRDSDatabaseRecommendations",
                "compute-optimizer:GetRDSDatabaseRecommendationProjectedMetrics",
                "ec2:DescribeInstances",
                "ec2:DescribeVolumes",
                "ecs:ListServices",
                "ecs:ListClusters",
                "autoscaling:DescribeAutoScalingGroups",
                "autoscaling:DescribeAutoScalingInstances",
                "lambda:ListFunctions",
                "lambda:ListProvisionedConcurrencyConfigs",
                "cloudwatch:GetMetricData",
                "organizations:ListAccounts",
                "organizations:DescribeOrganization",
                "organizations:DescribeAccount",
                "organizations:ListDelegatedAdministrators",
                "rds:DescribeDBInstances",
                "rds:DescribeDBClusters"
            ],
            "Resource": "*"
        }
    ]
}

Politiche per concedere l'accesso alla gestione delle preferenze di raccomandazione di Compute Optimizer

Le seguenti dichiarazioni politiche concedono l'accesso alla visualizzazione e alla modifica delle preferenze di raccomandazione.

Concedi l'accesso alla gestione delle preferenze di raccomandazione solo per EC2 le istanze

{
	"Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "compute-optimizer:DeleteRecommendationPreferences",
                "compute-optimizer:GetEffectiveRecommendationPreferences",
                "compute-optimizer:GetRecommendationPreferences",
                "compute-optimizer:PutRecommendationPreferences"
            ],
            "Resource": "*",
            "Condition" :  {
                "StringEquals" : {
                    "compute-optimizer:ResourceType" : "Ec2Instance"
                }
            }            
        }
    ]
}

Concedi l'accesso alla gestione delle preferenze di raccomandazione solo per i gruppi di Auto Scaling

{
	"Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "compute-optimizer:DeleteRecommendationPreferences",
                "compute-optimizer:GetEffectiveRecommendationPreferences",
                "compute-optimizer:GetRecommendationPreferences",
                "compute-optimizer:PutRecommendationPreferences"
            ],
            "Resource": "*",
            "Condition" :  {
                "StringEquals" : {
                    "compute-optimizer:ResourceType" : "AutoScalingGroup"
                }
            }            
        }
    ]
}

Concedi l'accesso alla gestione delle preferenze di raccomandazione solo per le RDS istanze

{
	"Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "compute-optimizer:DeleteRecommendationPreferences",
                "compute-optimizer:GetEffectiveRecommendationPreferences",
                "compute-optimizer:GetRecommendationPreferences",
                "compute-optimizer:PutRecommendationPreferences"
            ],
            "Resource": "*",
            "Condition" :  {
                "StringEquals" : {
                    "compute-optimizer:ResourceType" : "RdsDBInstance"
                }
            }            
        }
    ]
}

Politiche per abilitare le raccomandazioni relative alle licenze software commerciali

Per consentire a Compute Optimizer di generare consigli sulle licenze, allega i seguenti ruoli e policy delle istanze EC2 Amazon.

  • Il AmazonSSMManagedInstanceCore ruolo per abilitare Systems Manager. Per ulteriori informazioni, consulta AWS Systems Manager gli esempi di policy basate sull'identità nella Guida per l'AWS Systems Manager utente.

  • La CloudWatchAgentServerPolicy politica per consentire il rilascio delle metriche e dei log delle istanze. CloudWatch Per ulteriori informazioni, consulta Creare IAM ruoli e utenti da utilizzare con l' CloudWatch agente nella Amazon CloudWatch User Guide.

  • La seguente dichiarazione politica IAM in linea per leggere la stringa di connessione segreta di Microsoft SQL Server memorizzata in AWS Systems Manager. Per ulteriori informazioni sui criteri in linea, vedere Politiche gestite e politiche in linea nella Guida per l'AWS Identity and Access Management utente.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue*"
            ],
            "Resource": "arn:aws:secretsmanager:*:*:secret:ApplicationInsights-*"
        }
    ]
}

Inoltre, per abilitare e ricevere consigli sulle licenze, allega la seguente IAM politica al tuo utente, gruppo o ruolo. Per ulteriori informazioni, consulta la IAMpolicy nella Amazon CloudWatch User Guide.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "applicationinsights:*",
                "iam:CreateServiceLinkedRole",
                "iam:ListRoles",
                "resource-groups:ListGroups"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

Politica per negare l'accesso a Compute Optimizer

La seguente dichiarazione politica nega l'accesso a Compute Optimizer.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "compute-optimizer:*",
            "Resource": "*"
        }
    ]
}

Risorse aggiuntive