Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Autorizzazioni minime per AWS PCS
Questa sezione descrive le autorizzazioni IAM minime richieste per un'identità IAM (utente, gruppo o ruolo) per utilizzare il servizio.
Indice
Autorizzazioni minime per utilizzare le azioni API
| Azione API | Autorizzazioni minime | Autorizzazioni aggiuntive per la console |
|---|---|---|
|
CreateCluster |
|
|
|
ListClusters |
|
|
|
GetCluster |
|
|
|
DeleteCluster |
|
|
|
CreateComputeNodeGroup |
|
|
|
ListComputerNodeGroups |
|
|
|
GetComputeNodeGroup |
|
|
|
UpdateComputeNodeGroup |
|
|
|
DeleteComputeNodeGroup |
|
|
|
CreateQueue |
|
|
|
ListQueues |
|
|
|
GetQueue |
|
|
|
UpdateQueue |
|
|
|
DeleteQueue |
|
Autorizzazioni minime per l'utilizzo dei tag
Le seguenti autorizzazioni sono necessarie per utilizzare i tag con le risorse in AWS PCS.
pcs:ListTagsForResource, pcs:TagResource, pcs:UntagResource
Autorizzazioni minime per supportare i log
AWS PCS invia i dati di registro ad Amazon CloudWatch Logs (CloudWatch Logs). Devi assicurarti che la tua identità disponga delle autorizzazioni minime per usare Logs. CloudWatch Per ulteriori informazioni, consulta Panoramica della gestione delle autorizzazioni di accesso alle risorse CloudWatch Logs nella Amazon CloudWatch Logs User Guide.
Per informazioni sulle autorizzazioni richieste a un servizio per inviare log a CloudWatch Logs, consulta Enabling logging from services AWS nella Amazon CloudWatch Logs User Guide.
Autorizzazioni minime per un amministratore del servizio
La seguente policy IAM specifica le autorizzazioni minime richieste per un'identità IAM (utente, gruppo o ruolo) per configurare e gestire il AWS servizio PCS.
Nota
Gli utenti che non configurano e gestiscono il servizio non richiedono queste autorizzazioni. Gli utenti che eseguono solo processi utilizzano Secure Shell (SSH) per connettersi al cluster. AWS Identity and Access Management (IAM) non gestisce l'autenticazione o l'autorizzazione per SSH.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "PCSAccess", "Effect": "Allow", "Action": [ "pcs:*" ], "Resource": "*" }, { "Sid": "EC2Access", "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface", "ec2:DescribeImages", "ec2:GetSecurityGroupsForVpc", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups", "ec2:DescribeVpcs", "ec2:DescribeLaunchTemplates", "ec2:DescribeLaunchTemplateVersions", "ec2:DescribeInstanceTypes", "ec2:DescribeInstanceTypeOfferings", "ec2:RunInstances", "ec2:CreateFleet", "ec2:CreateTags" ], "Resource": "*" }, { "Sid": "IamInstanceProfile", "Effect": "Allow", "Action": [ "iam:GetInstanceProfile" ], "Resource": "*" }, { "Sid": "IamPassRole", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/*/AWSPCS*", "arn:aws:iam::*:role/AWSPCS*", "arn:aws:iam::*:role/aws-pcs/*", "arn:aws:iam::*:role/*/aws-pcs/*" ], "Condition": { "StringEquals": { "iam:PassedToService": [ "ec2.amazonaws.com" ] } } }, { "Sid": "SLRAccess", "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": [ "arn:aws:iam::*:role/aws-service-role/pcs.amazonaws.com/AWSServiceRoleFor*", "arn:aws:iam::*:role/aws-service-role/spot.amazonaws.com/AWSServiceRoleFor*" ], "Condition": { "StringLike": { "iam:AWSServiceName": [ "pcs.amazonaws.com", "spot.amazonaws.com" ] } } }, { "Sid": "AccessKMSKey", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:Encrypt", "kms:GenerateDataKey", "kms:CreateGrant", "kms:DescribeKey" ], "Resource": "*" }, { "Sid": "SecretManagementAccess", "Effect": "Allow", "Action": [ "secretsmanager:CreateSecret", "secretsmanager:TagResource", "secretsmanager:UpdateSecret" ], "Resource": "*" }, { "Sid": "ServiceLogsDelivery", "Effect": "Allow", "Action": [ "pcs:AllowVendedLogDeliveryForResource", "logs:PutDeliverySource", "logs:PutDeliveryDestination", "logs:CreateDelivery" ], "Resource": "*" } ] }
