Application Auto Scaling のアイデンティティベースポリシー例 - Application Auto Scaling

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Application Auto Scaling のアイデンティティベースポリシー例

デフォルトでは、 内のまったく新しいユーザー AWS アカウント には、何もするアクセス許可がありません。IAM 管理者は、Application Auto Scaling APIアクションを実行するためのアクセス許可を IAM ID (ユーザーやロールなど) に付与するIAMポリシーを作成して割り当てる必要があります。

次のIAMポリシードキュメント例を使用して JSONポリシーを作成する方法については、「 ユーザーガイド」のJSON「 タブでのポリシーの作成IAM」を参照してください。

Application Auto Scaling APIアクションに必要なアクセス許可

次のポリシーは、Application Auto Scaling を呼び出すときに、一般的なユースケースに対するアクセス許可を付与しますAPI。アイデンティティベースのポリシーを作成するときは、このセクションを参照してください。各ポリシーは、Application Auto Scaling APIアクションのすべてまたは一部にアクセス許可を付与します。また、エンドユーザーがターゲットサービス および のアクセス許可を持っていることを確認する必要があります CloudWatch (詳細については、次のセクションを参照してください)。

次のアイデンティティベースのポリシーは、すべての Application Auto Scaling APIアクションにアクセス許可を付与します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "application-autoscaling:*" ], "Resource": "*" } ] }

次のアイデンティティベースのポリシーは、スケジュールされたAPIアクションではなく、スケーリングポリシーの設定に必要なすべての Application Auto Scaling アクションにアクセス許可を付与します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "application-autoscaling:RegisterScalableTarget", "application-autoscaling:DescribeScalableTargets", "application-autoscaling:DeregisterScalableTarget", "application-autoscaling:PutScalingPolicy", "application-autoscaling:DescribeScalingPolicies", "application-autoscaling:DescribeScalingActivities", "application-autoscaling:DeleteScalingPolicy" ], "Resource": "*" } ] }

次のアイデンティティベースのポリシーは、スケーリングポリシーではなく、スケジュールされたAPIアクションの設定に必要なすべての Application Auto Scaling アクションにアクセス許可を付与します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "application-autoscaling:RegisterScalableTarget", "application-autoscaling:DescribeScalableTargets", "application-autoscaling:DeregisterScalableTarget", "application-autoscaling:PutScheduledAction", "application-autoscaling:DescribeScheduledActions", "application-autoscaling:DescribeScalingActivities", "application-autoscaling:DeleteScheduledAction" ], "Resource": "*" } ] }

ターゲットサービスと に対するAPIアクションに必要なアクセス許可 CloudWatch

ターゲットサービスで Application Auto Scaling を正常に設定して使用するには、エンドユーザーに Amazon CloudWatch およびスケーリングを設定するターゲットサービスごとにアクセス許可を付与する必要があります。次のポリシーを使用して、ターゲット サービスと を操作するために必要な最小限のアクセス許可を付与します CloudWatch。

AppStream 2.0 フリート

次のアイデンティティベースのポリシーは、必要なすべての AppStream 2.0 および CloudWatch API アクションにアクセス許可を付与します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "appstream:DescribeFleets", "appstream:UpdateFleet", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }

Aurora レプリカ

次のアイデンティティベースのポリシーは、必要なすべての Aurora および CloudWatch API アクションにアクセス許可を付与します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "rds:AddTagsToResource", "rds:CreateDBInstance", "rds:DeleteDBInstance", "rds:DescribeDBClusters", "rds:DescribeDBInstances", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }

Amazon Comprehend ドキュメントの分類とエンティティ認識のエンドポイント

次のアイデンティティベースのポリシーは、必要なすべての Amazon Comprehend および CloudWatch API アクションにアクセス許可を付与します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "comprehend:UpdateEndpoint", "comprehend:DescribeEndpoint", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }

DynamoDB テーブルとグローバルセカンダリインデックス

次のアイデンティティベースのポリシーは、必要なすべての DynamoDB および CloudWatch API アクションにアクセス許可を付与します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "dynamodb:DescribeTable", "dynamodb:UpdateTable", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }

ECS サービス

次のアイデンティティベースのポリシーは、必要なすべての ECSおよび CloudWatch API アクションにアクセス許可を付与します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeServices", "ecs:UpdateService", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }

ElastiCache レプリケーショングループ

次のアイデンティティベースのポリシーは、必要なすべての ElastiCache および CloudWatch API アクションにアクセス許可を付与します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "elasticache:ModifyReplicationGroupShardConfiguration", "elasticache:IncreaseReplicaCount", "elasticache:DecreaseReplicaCount", "elasticache:DescribeReplicationGroups", "elasticache:DescribeCacheClusters", "elasticache:DescribeCacheParameters", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }

Amazon EMRクラスター

次のアイデンティティベースのポリシーは、必要なすべての Amazon EMRおよび CloudWatch API アクションにアクセス許可を付与します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "elasticmapreduce:ModifyInstanceGroups", "elasticmapreduce:ListInstanceGroups", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }

Amazon Keyspaces テーブル

次のアイデンティティベースのポリシーは、必要なすべての Amazon Keyspaces と CloudWatch APIアクションにアクセス許可を付与します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cassandra:Select", "cassandra:Alter", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }

Lambda 関数

次のアイデンティティベースのポリシーは、必要なすべての Lambda および CloudWatch APIアクションにアクセス許可を付与します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "lambda:PutProvisionedConcurrencyConfig", "lambda:GetProvisionedConcurrencyConfig", "lambda:DeleteProvisionedConcurrencyConfig", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }

Amazon Managed Streaming for Apache Kafka (MSK) ブローカーストレージ

次のアイデンティティベースのポリシーは、必要なすべての Amazon MSKおよび CloudWatch API アクションにアクセス許可を付与します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kafka:DescribeCluster", "kafka:DescribeClusterOperation", "kafka:UpdateBrokerStorage", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }

Neptune クラスター

次のアイデンティティベースのポリシーは、必要なすべての Neptune および CloudWatch API アクションにアクセス許可を付与します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "rds:AddTagsToResource", "rds:CreateDBInstance", "rds:DescribeDBInstances", "rds:DescribeDBClusters", "rds:DescribeDBClusterParameters", "rds:DeleteDBInstance", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }

SageMaker エンドポイント

次のアイデンティティベースのポリシーは、必要なすべての SageMaker および CloudWatch API アクションにアクセス許可を付与します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sagemaker:DescribeEndpoint", "sagemaker:DescribeEndpointConfig", "sagemaker:DescribeInferenceComponent", "sagemaker:UpdateEndpointWeightsAndCapacities", "sagemaker:UpdateInferenceComponentRuntimeConfig", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }

スポットフリート (Amazon EC2)

次のアイデンティティベースのポリシーは、すべてのスポットフリートおよび CloudWatch API必要なアクションにアクセス許可を付与します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeSpotFleetRequests", "ec2:ModifySpotFleetRequest", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }

カスタムリソース

次のアイデンティティベースのポリシーは、APIゲートウェイAPI実行アクションのアクセス許可を付与します。このポリシーは、必要なすべての CloudWatch アクションにアクセス許可も付与します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "execute-api:Invoke", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }

で作業するためのアクセス許可 AWS Management Console

Application Auto Scaling にスタンドアロンコンソールはありません。Application Auto Scaling と統合するほとんどのサービスには、それらのコンソールでスケーリングを設定することを目的とした機能があります。

ほとんどの場合、各サービスは、Application Auto Scaling APIアクションへのアクセス許可を含む、コンソールへのアクセスを定義する AWS マネージド (事前定義) IAMポリシーを提供します。詳細については、コンソールを使用するサービスのドキュメントを参照してください。

また、独自のカスタムIAMポリシーを作成して、 で特定の Application Auto Scaling APIアクションを表示および操作するためのきめ細かなアクセス許可をユーザーに付与することもできます AWS Management Console。前のセクションのサンプルポリシーを使用できますが、これらは AWS CLI または で行われたリクエスト用に設計されていますSDK。コンソールは機能に追加のAPIアクションを使用するため、これらのポリシーは期待どおりに機能しない可能性があります。例えば、ステップスケーリングを設定するために、ユーザーは CloudWatch アラームを作成および管理するための追加のアクセス許可が必要になる場合があります。

ヒント

コンソールでタスクを実行するために必要なAPIアクションを試すには、 などのサービスを使用できます AWS CloudTrail。詳細については、AWS CloudTrail ユーザーガイドをご参照ください。

以下のアイデンティティベースのポリシーは、スポットフリートのスケーリングポリシーを設定するためのアクセス許可を付与します。スポットフリートのIAMアクセス許可に加えて、Amazon コンソールからフリートスケーリング設定にアクセスするEC2コンソールユーザーには、動的スケーリングをサポートするサービスに対する適切なアクセス許可が必要です。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "application-autoscaling:*", "ec2:DescribeSpotFleetRequests", "ec2:ModifySpotFleetRequest", "cloudwatch:DeleteAlarms", "cloudwatch:DescribeAlarmHistory", "cloudwatch:DescribeAlarms", "cloudwatch:DescribeAlarmsForMetric", "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics", "cloudwatch:PutMetricAlarm", "cloudwatch:DisableAlarmActions", "cloudwatch:EnableAlarmActions", "sns:CreateTopic", "sns:Subscribe", "sns:Get*", "sns:List*" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/ec2.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_EC2SpotFleetRequest", "Condition": { "StringLike": { "iam:AWSServiceName":"ec2.application-autoscaling.amazonaws.com" } } } ] }

このポリシーにより、コンソールユーザーは Amazon EC2コンソールでスケーリングポリシーを表示および変更したり、 CloudWatch コンソールで CloudWatch アラームを作成および管理したりできます。

API アクションを調整して、ユーザーアクセスを制限できます。例えば、application-autoscaling:*application-autoscaling:Describe* に置き換えると、ユーザーには読み取り専用アクセスが与えられます。

また、必要に応じてアクセス CloudWatch 許可を調整して、 機能への CloudWatchユーザーアクセスを制限することもできます。詳細については、「Amazon CloudWatch ユーザーガイド」の CloudWatch 「コンソールに必要なアクセス許可」を参照してください。