기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
에 대한 자격 증명 및 액세스 관리 AWS Compute Optimizer
AWS Identity and Access Management (IAM)를 사용하여 자격 증명(사용자, 그룹 또는 역할)을 생성하고 해당 자격 증명에 AWS Compute Optimizer 콘솔 및 에 액세스할 수 있는 권한을 부여할 수 있습니다APIs.
기본적으로 IAM 사용자는 Compute Optimizer 콘솔 및 에 액세스할 수 없습니다APIs. 단일 사용자, 사용자 그룹 또는 역할에 IAM 정책을 연결하여 사용자에게 액세스 권한을 부여합니다. 자세한 내용은 사용 설명서의 자격 증명(사용자, 그룹 및 역할) 및 정책 개요를 참조하세요. IAM IAM
IAM 사용자를 생성한 후 해당 사용자에게 개별 암호를 부여할 수 있습니다. 그러면 해당 사용자는 계정별 로그인 페이지에서 계정에 로그인하여 Compute Optimizer 정보를 볼 수 있습니다. 자세한 내용은 사용자의 계정 로그인 방법 단원을 참조하십시오.
중요
-
EC2 인스턴스에 대한 권장 사항을 보려면 IAM 사용자에게
ec2:DescribeInstances권한이 필요합니다. -
EBS 볼륨에 대한 권장 사항을 보려면 IAM 사용자에게
ec2:DescribeVolumes권한이 필요합니다. -
Auto Scaling 그룹에 대한 권장 사항을 보려면 IAM 사용자에게
autoscaling:DescribeAutoScalingGroups및autoscaling:DescribeAutoScalingInstances권한이 필요합니다. -
Lambda 함수에 대한 권장 사항을 보려면 IAM 사용자에게
lambda:ListFunctions및lambda:ListProvisionedConcurrencyConfigs권한이 필요합니다. -
Fargate에서 Amazon ECS 서비스에 대한 권장 사항을 보려면 IAM 사용자에게
ecs:ListServices및ecs:ListClusters권한이 필요합니다. -
Compute Optimizer 콘솔에서 현재 CloudWatch 지표 데이터를 보려면 IAM 사용자에게
cloudwatch:GetMetricData권한이 필요합니다. -
권장 상용 소프트웨어 라이선스를 보려면 특정 Amazon EC2 인스턴스 역할 및 IAM 사용자 권한이 필요합니다. 자세한 내용은 상용 소프트웨어 라이선스 권장 사항을 활성화하기 위한 정책 단원을 참조하십시오.
-
Amazon 에 대한 권장 사항을 보려면 RDS IAM 사용자에게
rds:DescribeDBInstances및rds:DescribeDBClusters권한이 필요합니다.
권한을 부여하려는 사용자 또는 그룹에 이미 정책이 있는 경우, 여기에 설명된 Compute Optimizer 관련 정책문을 해당 정책에 추가할 수 있습니다.
주제
에 대한 신뢰할 수 있는 액세스 AWS Organizations
조직의 관리 계정을 사용하여 옵트인하고 조직의 모든 멤버 계정을 포함하면 조직 계정에서 Compute Optimizer에 대한 신뢰할 수 있는 액세스가 자동으로 활성화됩니다. 그러면 Compute Optimizer는 해당 멤버 계정의 컴퓨팅 리소스를 분석하고 해당 멤버 계정에 대한 권장 사항을 생성할 수 있습니다.
Compute Optimizer는 멤버 계정의 권장 사항에 액세스할 때마다 조직 계정에 신뢰할 수 있는 액세스가 활성화되어 있는지 확인합니다. 옵트인 후에 Compute Optimizer 신뢰할 수 있는 액세스를 비활성화하면 Compute Optimizer는 조직의 멤버 계정에 대한 권장 사항에 대한 액세스를 거부합니다. 또한 조직 내 멤버 계정이 Compute Optimizer에서 옵트인되지 않습니다. 신뢰할 수 있는 액세스를 다시 활성화하려면 조직의 관리 계정을 사용하여 Compute Optimizer를 다시 옵트인하고 조직의 모든 멤버 계정을 포함시키세요. 자세한 내용은 에 옵트인 AWS Compute Optimizer 단원을 참조하십시오. AWS Organizations 신뢰할 수 있는 액세스에 대한 자세한 내용은 AWS Organizations 사용 설명서의 다른 AWS 서비스와 AWS Organizations 함께 사용을 참조하세요.
Compute Optimizer를 옵트인하기 위한 정책
이 정책 문은 다음을 부여합니다.
-
Compute Optimizer에 옵트인할 수 있는 액세스.
-
Compute Optimizer에 대한 서비스 연결 역할을 생성할 수 있는 액세스입니다. 자세한 내용은 에 대한 서비스 연결 역할 사용 AWS Compute Optimizer 단원을 참조하십시오.
-
Compute Optimizer 서비스로 등록 상태를 업데이트하기 위한 액세스입니다.
중요
이 IAM 역할은 에 옵트인하는 데 필요합니다 AWS Compute Optimizer.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer*", "Condition": {"StringLike": {"iam:AWSServiceName": "compute-optimizer.amazonaws.com"}} }, { "Effect": "Allow", "Action": "iam:PutRolePolicy", "Resource": "arn:aws:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer" }, { "Effect": "Allow", "Action": "compute-optimizer:UpdateEnrollmentStatus", "Resource": "*" } ] }
독립형용 Compute Optimizer에 대한 액세스 권한을 부여하는 정책 AWS 계정
다음 정책문은 독립 실행형 AWS 계정에 Compute Optimizer에 대한 전체 액세스 권한을 부여합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "compute-optimizer:*", "ec2:DescribeInstances", "ec2:DescribeVolumes", "ecs:ListServices", "ecs:ListClusters", "autoscaling:DescribeAutoScalingGroups", "autoscaling:DescribeAutoScalingInstances", "lambda:ListFunctions", "lambda:ListProvisionedConcurrencyConfigs", "cloudwatch:GetMetricData" ], "Resource": "*" } ] }
다음 정책문은 독립 실행형 AWS 계정에 Compute Optimizer에 대한 읽기 전용 액세스 권한을 부여합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "compute-optimizer:GetEnrollmentStatus", "compute-optimizer:GetEffectiveRecommendationPreferences", "compute-optimizer:GetRecommendationPreferences", "compute-optimizer:GetRecommendationSummaries", "compute-optimizer:GetEC2InstanceRecommendations", "compute-optimizer:GetEC2RecommendationProjectedMetrics", "compute-optimizer:GetAutoScalingGroupRecommendations", "compute-optimizer:GetEBSVolumeRecommendations", "compute-optimizer:GetLambdaFunctionRecommendations", "compute-optimizer:DescribeRecommendationExportJobs", "compute-optimizer:GetEffectiveRecommendationPreferences", "compute-optimizer:GetRecommendationPreferences", "compute-optimizer:GetECSServiceRecommendations", "compute-optimizer:GetECSServiceRecommendationProjectedMetrics", "compute-optimizer:GetRDSDatabaseRecommendations", "compute-optimizer:GetRDSDatabaseRecommendationProjectedMetrics", "ec2:DescribeInstances", "ec2:DescribeVolumes", "ecs:ListServices", "ecs:ListClusters", "autoscaling:DescribeAutoScalingGroups", "autoscaling:DescribeAutoScalingInstances", "lambda:ListFunctions", "lambda:ListProvisionedConcurrencyConfigs", "cloudwatch:GetMetricData", "rds:DescribeDBInstances", "rds:DescribeDBClusters" ], "Resource": "*" } ] }
조직의 관리 계정에 Compute Optimizer에 대한 액세스 권한을 부여하기 위한 정책
다음 정책문은 조직의 관리 계정에 Compute Optimizer에 대한 전체 액세스 권한을 부여합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "compute-optimizer:*", "ec2:DescribeInstances", "ec2:DescribeVolumes", "ecs:ListServices", "ecs:ListClusters", "autoscaling:DescribeAutoScalingGroups", "autoscaling:DescribeAutoScalingInstances", "lambda:ListFunctions", "lambda:ListProvisionedConcurrencyConfigs", "cloudwatch:GetMetricData", "organizations:ListAccounts", "organizations:DescribeOrganization", "organizations:DescribeAccount", "organizations:EnableAWSServiceAccess", "organizations:ListDelegatedAdministrators", "organizations:RegisterDelegatedAdministrator", "organizations:DeregisterDelegatedAdministrator" ], "Resource": "*" } ] }
다음 정책문은 조직의 관리 계정에 Compute Optimizer에 대한 일기 전용 액세스 권한을 부여합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "compute-optimizer:GetEnrollmentStatus", "compute-optimizer:GetEnrollmentStatusesForOrganization", "compute-optimizer:GetRecommendationSummaries", "compute-optimizer:GetEC2InstanceRecommendations", "compute-optimizer:GetEC2RecommendationProjectedMetrics", "compute-optimizer:GetAutoScalingGroupRecommendations", "compute-optimizer:GetEBSVolumeRecommendations", "compute-optimizer:GetLambdaFunctionRecommendations", "compute-optimizer:GetEffectiveRecommendationPreferences", "compute-optimizer:GetRecommendationPreferences", "compute-optimizer:GetECSServiceRecommendations", "compute-optimizer:GetECSServiceRecommendationProjectedMetrics", "compute-optimizer:GetRDSDatabaseRecommendations", "compute-optimizer:GetRDSDatabaseRecommendationProjectedMetrics", "ec2:DescribeInstances", "ec2:DescribeVolumes", "ecs:ListServices", "ecs:ListClusters", "autoscaling:DescribeAutoScalingGroups", "autoscaling:DescribeAutoScalingInstances", "lambda:ListFunctions", "lambda:ListProvisionedConcurrencyConfigs", "cloudwatch:GetMetricData", "organizations:ListAccounts", "organizations:DescribeOrganization", "organizations:DescribeAccount", "organizations:ListDelegatedAdministrators", "rds:DescribeDBInstances", "rds:DescribeDBClusters" ], "Resource": "*" } ] }
Compute Optimizer 권장 사항 기본 설정을 관리할 수 있는 액세스 권한을 부여하기 위한 정책
다음 정책 문은 권장 사항 기본 설정을 보고 편집할 수 있는 액세스 권한을 부여합니다.
EC2 인스턴스에 대한 권장 사항 기본 설정을 관리할 수 있는 액세스 권한 부여
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "compute-optimizer:DeleteRecommendationPreferences", "compute-optimizer:GetEffectiveRecommendationPreferences", "compute-optimizer:GetRecommendationPreferences", "compute-optimizer:PutRecommendationPreferences" ], "Resource": "*", "Condition" : { "StringEquals" : { "compute-optimizer:ResourceType" : "Ec2Instance" } } } ] }
오토 스케일링 그룹에 대한 권장 사항 기본 설정만 관리할 수 있는 액세스 권한 부여
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "compute-optimizer:DeleteRecommendationPreferences", "compute-optimizer:GetEffectiveRecommendationPreferences", "compute-optimizer:GetRecommendationPreferences", "compute-optimizer:PutRecommendationPreferences" ], "Resource": "*", "Condition" : { "StringEquals" : { "compute-optimizer:ResourceType" : "AutoScalingGroup" } } } ] }
RDS 인스턴스에 대한 권장 사항 기본 설정을 관리할 수 있는 액세스 권한 부여
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "compute-optimizer:DeleteRecommendationPreferences", "compute-optimizer:GetEffectiveRecommendationPreferences", "compute-optimizer:GetRecommendationPreferences", "compute-optimizer:PutRecommendationPreferences" ], "Resource": "*", "Condition" : { "StringEquals" : { "compute-optimizer:ResourceType" : "RdsDBInstance" } } } ] }
상용 소프트웨어 라이선스 권장 사항을 활성화하기 위한 정책
Compute Optimizer에서 라이선스 권장 사항을 생성하려면 다음 Amazon EC2 인스턴스 역할 및 정책을 연결합니다.
-
Systems Manager를 활성화하기 위한
AmazonSSMManagedInstanceCore역할입니다. 자세한 내용은 AWS Systems Manager 사용 설명서에서 AWS Systems Manager 자격 증명 기반 정책 예제를 참조하세요. -
인스턴스 지표 및 로그를 에 릴리스할 수 있도록 하는
CloudWatchAgentServerPolicy정책입니다 CloudWatch. 자세한 내용은 Amazon CloudWatch 사용 설명서의 CloudWatch 에이전트와 함께 사용할 IAM 역할 및 사용자 생성을 참조하세요. -
에 저장된 보안 암호 Microsoft SQL Server 연결 문자열을 읽는 다음 IAM 인라인 정책 문입니다 AWS Systems Manager. 인라인 정책에 대한 자세한 내용은 AWS Identity and Access Management 사용 설명서에서 관리형 정책과 인라인 정책을 참조하세요.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue*" ], "Resource": "arn:aws:secretsmanager:*:*:secret:ApplicationInsights-*" } ] }
또한 라이선스 권장 사항을 활성화하고 수신하려면 사용자, 그룹 또는 역할에 다음 IAM 정책을 연결합니다. 자세한 내용은 Amazon CloudWatch 사용 설명서의 IAM 정책을 참조하세요.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "applicationinsights:*", "iam:CreateServiceLinkedRole", "iam:ListRoles", "resource-groups:ListGroups" ], "Effect": "Allow", "Resource": "*" } ] }
Compute Optimizer에 대한 액세스를 거부하기 위한 정책
다음 정책문은 Compute Optimizer에 대한 액세스를 거부합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "compute-optimizer:*", "Resource": "*" } ] }
추가 리소스
