기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Application Auto Scaling 자격 증명 기반 정책 예제
기본적으로 의 새 사용자는 어떤 작업도 수행할 권한이 AWS 계정 없습니다. IAM 관리자는 자격 IAM 증명(예: 사용자 또는 역할)에 Application Auto Scaling API 작업을 수행할 수 있는 권한을 부여하는 IAM 정책을 생성하고 할당해야 합니다.
다음 예제 IAM 정책 문서를 사용하여 JSON 정책을 생성하는 방법을 알아보려면 IAM 사용 설명서의 JSON 탭에서 정책 생성을 참조하세요.
내용
Application Auto Scaling API 작업에 필요한 권한
다음 정책은 Application Auto Scaling을 호출할 때 일반적인 사용 사례에 대한 권한을 부여합니다API. 자격 증명 기반 정책을 작성할 때 이 섹션을 참조하세요. 각 정책은 Application Auto Scaling API 작업의 전체 또는 일부에 권한을 부여합니다. 또한 최종 사용자에게 대상 서비스 및 에 대한 권한이 있는지 확인해야 합니다 CloudWatch (자세한 내용은 다음 섹션 참조).
다음 자격 증명 기반 정책은 모든 Application Auto Scaling API 작업에 권한을 부여합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "application-autoscaling:*" ], "Resource": "*" } ] }
다음 자격 증명 기반 정책은 예약된 API 작업이 아닌 조정 정책을 구성하는 데 필요한 모든 Application Auto Scaling 작업에 권한을 부여합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "application-autoscaling:RegisterScalableTarget", "application-autoscaling:DescribeScalableTargets", "application-autoscaling:DeregisterScalableTarget", "application-autoscaling:PutScalingPolicy", "application-autoscaling:DescribeScalingPolicies", "application-autoscaling:DescribeScalingActivities", "application-autoscaling:DeleteScalingPolicy" ], "Resource": "*" } ] }
다음 자격 증명 기반 정책은 예약된 API 작업을 구성하고 정책을 조정하지 않는 데 필요한 모든 Application Auto Scaling 작업에 권한을 부여합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "application-autoscaling:RegisterScalableTarget", "application-autoscaling:DescribeScalableTargets", "application-autoscaling:DeregisterScalableTarget", "application-autoscaling:PutScheduledAction", "application-autoscaling:DescribeScheduledActions", "application-autoscaling:DescribeScalingActivities", "application-autoscaling:DeleteScheduledAction" ], "Resource": "*" } ] }
대상 서비스 및 에 대한 API 작업에 필요한 권한 CloudWatch
대상 서비스와 함께 Application Auto Scaling을 성공적으로 구성하고 사용하려면 최종 사용자에게 Amazon CloudWatch 및 조정을 구성할 각 대상 서비스에 대한 권한을 부여해야 합니다. 다음 정책을 사용하여 대상 서비스 및 에서 작업하는 데 필요한 최소 권한을 부여합니다 CloudWatch.
내용
AppStream 2.0 플릿
다음 자격 증명 기반 정책은 필요한 모든 AppStream 2.0 및 CloudWatch API 작업에 권한을 부여합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "appstream:DescribeFleets", "appstream:UpdateFleet", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Aurora 복제본
다음 자격 증명 기반 정책은 필요한 모든 Aurora 및 CloudWatch API 작업에 권한을 부여합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "rds:AddTagsToResource", "rds:CreateDBInstance", "rds:DeleteDBInstance", "rds:DescribeDBClusters", "rds:DescribeDBInstances", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Amazon Comprehend 문서 분류 및 엔터티 인식기 엔드포인트
다음 자격 증명 기반 정책은 필요한 모든 Amazon Comprehend 및 CloudWatch API 작업에 권한을 부여합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "comprehend:UpdateEndpoint", "comprehend:DescribeEndpoint", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
DynamoDB 테이블 및 글로벌 보조 인덱스
다음 자격 증명 기반 정책은 필요한 모든 DynamoDB 및 CloudWatch API 작업에 권한을 부여합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "dynamodb:DescribeTable", "dynamodb:UpdateTable", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
ECS 서비스
다음 자격 증명 기반 정책은 필요한 모든 ECS 및 CloudWatch API 작업에 권한을 부여합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:DescribeServices", "ecs:UpdateService", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
ElastiCache 복제 그룹
다음 자격 증명 기반 정책은 필요한 모든 ElastiCache 및 CloudWatch API 작업에 권한을 부여합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "elasticache:ModifyReplicationGroupShardConfiguration", "elasticache:IncreaseReplicaCount", "elasticache:DecreaseReplicaCount", "elasticache:DescribeReplicationGroups", "elasticache:DescribeCacheClusters", "elasticache:DescribeCacheParameters", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Amazon EMR 클러스터
다음 자격 증명 기반 정책은 필요한 모든 Amazon EMR 및 CloudWatch API 작업에 권한을 부여합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "elasticmapreduce:ModifyInstanceGroups", "elasticmapreduce:ListInstanceGroups", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Amazon Keyspaces 테이블
다음 자격 증명 기반 정책은 필요한 모든 Amazon Keyspace 및 CloudWatch API 작업에 권한을 부여합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cassandra:Select", "cassandra:Alter", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Lambda 함수
다음 자격 증명 기반 정책은 필요한 모든 Lambda 및 CloudWatch API 작업에 권한을 부여합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "lambda:PutProvisionedConcurrencyConfig", "lambda:GetProvisionedConcurrencyConfig", "lambda:DeleteProvisionedConcurrencyConfig", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Amazon Managed Streaming for Apache Kafka(MSK) 브로커 스토리지
다음 자격 증명 기반 정책은 필요한 모든 Amazon MSK 및 CloudWatch API 작업에 권한을 부여합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "kafka:DescribeCluster", "kafka:DescribeClusterOperation", "kafka:UpdateBrokerStorage", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
Neptune 클러스터
다음 자격 증명 기반 정책은 필요한 모든 Neptune 및 CloudWatch API 작업에 권한을 부여합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "rds:AddTagsToResource", "rds:CreateDBInstance", "rds:DescribeDBInstances", "rds:DescribeDBClusters", "rds:DescribeDBClusterParameters", "rds:DeleteDBInstance", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
SageMaker 엔드포인트
다음 자격 증명 기반 정책은 필요한 모든 SageMaker 및 CloudWatch API 작업에 권한을 부여합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sagemaker:DescribeEndpoint", "sagemaker:DescribeEndpointConfig", "sagemaker:DescribeInferenceComponent", "sagemaker:UpdateEndpointWeightsAndCapacities", "sagemaker:UpdateInferenceComponentRuntimeConfig", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
스팟 플릿(Amazon EC2)
다음 자격 증명 기반 정책은 필요한 모든 스팟 플릿 및 CloudWatch API 작업에 권한을 부여합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeSpotFleetRequests", "ec2:ModifySpotFleetRequest", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
사용자 정의 리소스
다음 자격 증명 기반 정책은 API Gateway API 실행 작업에 대한 권한을 부여합니다. 또한 이 정책은 필요한 모든 CloudWatch 작업에 대한 권한을 부여합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "execute-api:Invoke", "cloudwatch:DescribeAlarms", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms" ], "Resource": "*" } ] }
에서 작업하기 위한 권한 AWS Management Console
독립형 Application Auto Scaling 콘솔은 없습니다. Application Auto Scaling과 통합되는 대부분의 서비스에는 콘솔에서 조정을 구성하는 데 도움이 되는 전용 기능이 있습니다.
대부분의 경우 각 서비스는 콘솔에 대한 액세스를 정의하는 AWS 관리형(미리 정의된) IAM 정책을 제공하며, 여기에는 Application Auto Scaling API 작업에 대한 권한이 포함됩니다. 자세한 내용은 콘솔을 사용할 서비스에 대한 설명서를 참조하세요.
또한 사용자 지정 IAM 정책을 생성하여 사용자에게 의 특정 Application Auto Scaling API 작업을 보고 작업할 수 있는 세분화된 권한을 부여할 수 있습니다 AWS Management Console. 이전 섹션의 예제 정책을 사용할 수 있지만 또는 AWS CLI 로 이루어진 요청을 위해 설계되었습니다SDK. 콘솔은 기능에 추가 API 작업을 사용하므로 이러한 정책이 예상대로 작동하지 않을 수 있습니다. 예를 들어 단계 조정을 구성하려면 경보를 생성하고 관리하는 데 추가 권한이 필요할 수 있습니다 CloudWatch .
작은 정보
콘솔에서 작업을 수행하는 데 필요한 API 작업을 쉽게 해결할 수 있도록 와 같은 서비스를 사용할 수 있습니다 AWS CloudTrail. 자세한 내용은 AWS CloudTrail 사용 설명서를 참조하십시오.
다음 자격 증명 기반 정책에서는 스팟 플릿에 대한 확장 정책을 구성하는 권한을 부여합니다. 스팟 플릿에 대한 IAM 권한 외에도 Amazon 콘솔에서 플릿 조정 설정에 액세스하는 EC2 콘솔 사용자는 동적 조정을 지원하는 서비스에 대한 적절한 권한을 가져야 합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "application-autoscaling:*", "ec2:DescribeSpotFleetRequests", "ec2:ModifySpotFleetRequest", "cloudwatch:DeleteAlarms", "cloudwatch:DescribeAlarmHistory", "cloudwatch:DescribeAlarms", "cloudwatch:DescribeAlarmsForMetric", "cloudwatch:GetMetricStatistics", "cloudwatch:ListMetrics", "cloudwatch:PutMetricAlarm", "cloudwatch:DisableAlarmActions", "cloudwatch:EnableAlarmActions", "sns:CreateTopic", "sns:Subscribe", "sns:Get*", "sns:List*" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/ec2.application-autoscaling.amazonaws.com/AWSServiceRoleForApplicationAutoScaling_EC2SpotFleetRequest", "Condition": { "StringLike": { "iam:AWSServiceName":"ec2.application-autoscaling.amazonaws.com" } } } ] }
이 정책을 통해 콘솔 사용자는 Amazon EC2 콘솔에서 조정 정책을 보고 수정하며 CloudWatch 콘솔에서 CloudWatch 경보를 생성하고 관리할 수 있습니다.
사용자 액세스를 제한하도록 API 작업을 조정할 수 있습니다. 예를 들어, application-autoscaling:*을 application-autoscaling:Describe*로 바꾸면 사용자는 읽기 전용 액세스 권한을 갖게 됩니다.
필요에 따라 CloudWatch 권한을 조정하여 기능에 대한 사용자 액세스를 제한할 CloudWatch 수도 있습니다. 자세한 내용은 Amazon CloudWatch 사용 설명서의 CloudWatch 콘솔에 필요한 권한을 참조하세요.
