翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Application Auto Scaling のアイデンティティベースポリシー例
デフォルトでは、 内のまったく新しいユーザー AWS アカウント には、何もするアクセス許可がありません。IAM 管理者は、Application Auto Scaling APIアクションを実行するためのアクセス許可を IAM ID (ユーザーやロールなど) に付与するIAMポリシーを作成して割り当てる必要があります。
次のIAMポリシードキュメント例を使用してJSONポリシーを作成する方法については、IAM「 ユーザーガイド」の「 JSONタブでのポリシーの作成」を参照してください。
内容
Application Auto Scaling APIアクションに必要なアクセス許可
次のポリシーは、Application Auto Scaling を呼び出すときに、一般的なユースケースのアクセス許可を付与しますAPI。アイデンティティベースのポリシーを作成するときは、このセクションを参照してください。各ポリシーは、Application Auto Scaling APIアクションのすべてまたは一部にアクセス許可を付与します。また、エンドユーザーがターゲットサービス および のアクセス許可を持っていることを確認する必要があります CloudWatch (詳細については、次のセクションを参照してください)。
次のアイデンティティベースのポリシーは、すべての Application Auto Scaling APIアクションにアクセス許可を付与します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "application-autoscaling:*" ], "Resource": "*" } ] }
次のアイデンティティベースのポリシーは、スケジュールされたAPIアクションではなく、スケーリングポリシーの設定に必要なすべての Application Auto Scaling アクションにアクセス許可を付与します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "application-autoscaling:RegisterScalableTarget", "application-autoscaling:DescribeScalableTargets", "application-autoscaling:DeregisterScalableTarget", "application-autoscaling:PutScalingPolicy", "application-autoscaling:DescribeScalingPolicies", "application-autoscaling:DescribeScalingActivities", "application-autoscaling:DeleteScalingPolicy" ], "Resource": "*" } ] }
次の ID ベースのポリシーは、スケーリングポリシーではなく、スケジュールされたAPIアクションを設定するために必要なすべての Application Auto Scaling アクションにアクセス許可を付与します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "application-autoscaling:RegisterScalableTarget", "application-autoscaling:DescribeScalableTargets", "application-autoscaling:DeregisterScalableTarget", "application-autoscaling:PutScheduledAction", "application-autoscaling:DescribeScheduledActions", "application-autoscaling:DescribeScalingActivities", "application-autoscaling:DeleteScheduledAction" ], "Resource": "*" } ] }
ターゲットサービスと に対するAPIアクションに必要なアクセス許可 CloudWatch
ターゲットサービスで Application Auto Scaling を正常に設定して使用するには、エンドユーザーに Amazon CloudWatch およびスケーリングを設定するターゲットサービスごとにアクセス許可を付与する必要があります。次のポリシーを使用して、ターゲットサービスおよび を操作するために必要な最小限のアクセス許可を付与します CloudWatch。
内容
AppStream 2.0 フリート
次の ID ベースのポリシーは、すべての AppStream 2.0 および CloudWatch API必要なアクションにアクセス許可を付与します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "appstream:DescribeFleets", "appstream:UpdateFleet", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Aurora レプリカ
次の ID ベースのポリシーは、すべての Aurora および CloudWatch API必要なアクションにアクセス許可を付与します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "rds:AddTagsToResource", "rds:CreateDBInstance", "rds:DeleteDBInstance", "rds:DescribeDBClusters", "rds:DescribeDBInstances", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Amazon Comprehend ドキュメントの分類とエンティティ認識のエンドポイント
次の ID ベースのポリシーは、すべての Amazon Comprehend および CloudWatch API必要なアクションにアクセス許可を付与します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "comprehend:UpdateEndpoint", "comprehend:DescribeEndpoint", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
DynamoDB テーブルとグローバルセカンダリインデックス
次の ID ベースのポリシーは、すべての DynamoDB および CloudWatch API必要なアクションにアクセス許可を付与します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "dynamodb:DescribeTable", "dynamodb:UpdateTable", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
ECS サービス
次の ID ベースのポリシーは、必要なすべての ECSおよび CloudWatch API アクションにアクセス許可を付与します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeServices", "ecs:UpdateService", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
ElastiCache レプリケーショングループ
次の ID ベースのポリシーは、必要なすべての ElastiCache および CloudWatch API アクションにアクセス許可を付与します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "elasticache:ModifyReplicationGroupShardConfiguration", "elasticache:IncreaseReplicaCount", "elasticache:DecreaseReplicaCount", "elasticache:DescribeReplicationGroups", "elasticache:DescribeCacheClusters", "elasticache:DescribeCacheParameters", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Amazon EMRクラスター
次の ID ベースのポリシーは、必要なすべての Amazon EMRおよび CloudWatch APIアクションにアクセス許可を付与します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "elasticmapreduce:ModifyInstanceGroups", "elasticmapreduce:ListInstanceGroups", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Amazon Keyspaces テーブル
次の ID ベースのポリシーは、必要なすべての Amazon Keyspaces と CloudWatch APIアクションにアクセス許可を付与します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cassandra:Select", "cassandra:Alter", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Lambda 関数
次の ID ベースのポリシーは、すべての Lambda および CloudWatch API必要なアクションにアクセス許可を付与します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "lambda:PutProvisionedConcurrencyConfig", "lambda:GetProvisionedConcurrencyConfig", "lambda:DeleteProvisionedConcurrencyConfig", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Amazon Managed Streaming for Apache Kafka (MSK) ブローカーストレージ
次の ID ベースのポリシーは、必要なすべての Amazon MSKおよび CloudWatch APIアクションにアクセス許可を付与します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kafka:DescribeCluster", "kafka:DescribeClusterOperation", "kafka:UpdateBrokerStorage", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Neptune クラスター
次の ID ベースのポリシーは、必要なすべての Neptune および CloudWatch APIアクションにアクセス許可を付与します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "rds:AddTagsToResource", "rds:CreateDBInstance", "rds:DescribeDBInstances", "rds:DescribeDBClusters", "rds:DescribeDBClusterParameters", "rds:DeleteDBInstance", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
SageMaker エンドポイント
次の ID ベースのポリシーは、必要なすべての SageMaker および CloudWatch API アクションにアクセス許可を付与します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sagemaker:DescribeEndpoint", "sagemaker:DescribeEndpointConfig", "sagemaker:DescribeInferenceComponent", "sagemaker:UpdateEndpointWeightsAndCapacities", "sagemaker:UpdateInferenceComponentRuntimeConfig", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
スポットフリート (Amazon EC2)
次のアイデンティティベースのポリシーは、すべてのスポットフリートと CloudWatch API必要なアクションにアクセス許可を付与します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeSpotFleetRequests", "ec2:ModifySpotFleetRequest", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
カスタムリソース
次の ID ベースのポリシーは、APIGateway APIがアクションを実行するためのアクセス許可を付与します。このポリシーは、必要なすべての CloudWatch アクションにアクセス許可も付与します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "execute-api:Invoke", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
で作業するためのアクセス許可 AWS Management Console
Application Auto Scaling にスタンドアロンコンソールはありません。Application Auto Scaling と統合するほとんどのサービスには、それらのコンソールでスケーリングを設定することを目的とした機能があります。
ほとんどの場合、各サービスは、Application Auto Scaling APIアクションへのアクセス許可を含む、コンソールへのアクセスを定義する AWS マネージド (事前定義された) IAMポリシーを提供します。詳細については、コンソールを使用するサービスのドキュメントを参照してください。
また、独自のカスタムIAMポリシーを作成して、 で特定の Application Auto Scaling APIアクションを表示および操作するためのきめ細かなアクセス許可をユーザーに付与することもできます AWS Management Console。前のセクションのポリシー例を使用できますが、 AWS CLI または で行われたリクエスト用に設計されていますSDK。コンソールは機能に追加のAPIアクションを使用するため、これらのポリシーは期待どおりに動作しない可能性があります。例えば、ステップスケーリングを設定するには、アラームを作成および管理するための追加のアクセス許可が必要になる場合があります CloudWatch 。
ヒント
コンソールでタスクを実行するために必要なAPIアクションを詳しく調べるには、 などのサービスを使用できます AWS CloudTrail。詳細については、AWS CloudTrail ユーザーガイドをご参照ください。
以下のアイデンティティベースのポリシーは、スポットフリートのスケーリングポリシーを設定するためのアクセス許可を付与します。スポットフリートのIAMアクセス許可に加えて、Amazon コンソールからフリートスケーリング設定にアクセスするEC2コンソールユーザーは、動的スケーリングをサポートするサービスに対して適切なアクセス許可を持っている必要があります。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "application-autoscaling:*", "ec2:DescribeSpotFleetRequests", "ec2:ModifySpotFleetRequest", "cloudwatch:DeleteAlarms", "cloudwatch:DescribeAlarmHistory", "cloudwatch:DescribeAlarms", "cloudwatch:DescribeAlarmsForMetric", "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics", "cloudwatch:PutMetricAlarm", "cloudwatch:DisableAlarmActions", "cloudwatch:EnableAlarmActions", "sns:CreateTopic", "sns:Subscribe", "sns:Get*", "sns:List*" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/ec2.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_EC2SpotFleetRequest", "Condition": { "StringLike": { "iam:AWSServiceName":"ec2.application-autoscaling.amazonaws.com" } } } ] }
このポリシーにより、コンソールユーザーは Amazon EC2コンソールでスケーリングポリシーを表示および変更し、 CloudWatch コンソールで CloudWatch アラームを作成および管理できます。
API アクションを調整して、ユーザーアクセスを制限できます。例えば、application-autoscaling:* を application-autoscaling:Describe* に置き換えると、ユーザーには読み取り専用アクセスが与えられます。
必要に応じて CloudWatch アクセス許可を調整して、機能への CloudWatchユーザーアクセスを制限することもできます。詳細については、「Amazon CloudWatch ユーザーガイド」の CloudWatch 「コンソールに必要なアクセス許可」を参照してください。
