AWS Compute Optimizer의 ID 및 액세스 관리
AWS Identity and Access Management(IAM)를 사용하여 자격 증명(사용자, 그룹 또는 역할)을 생성하여 AWS Compute Optimizer 콘솔 및 API에 액세스할 권한을 부여할 수 있습니다.
기본적으로 IAM 사용자는 Compute Optimizer 콘솔 및 API에 대한 액세스 권한이 없습니다. 단일 사용자, 사용자 그룹 또는 단일 역할에 IAM 정책을 연결하여 사용자에게 액세스 권한을 부여할 수 있습니다. 자세한 내용은 IAM 사용 설명서의 자격 증명(사용자, 그룹 및 역할) 및 IAM 정책 개요를 참조하세요.
IAM 사용자를 만든 후 그 사용자에게 개별 암호를 부여할 수 있습니다. 그러면 해당 사용자는 계정별 로그인 페이지에서 계정에 로그인하여 Compute Optimizer 정보를 볼 수 있습니다. 자세한 내용은 사용자의 계정 로그인 방법 단원을 참조하십시오.
중요
-
EC2 인스턴스에 대한 권장 사항을 보려면 IAM 사용자에게
ec2:DescribeInstances권한이 필요합니다. -
EBS 볼륨에 대한 권장 사항을 보려면 IAM 사용자에게
ec2:DescribeVolumes권한이 필요합니다. -
오토 스케일링 그룹에 대한 권장 사항을 보려면 IAM 사용자에게
autoscaling:DescribeAutoScalingGroups및autoscaling:DescribeAutoScalingInstances권한이 필요합니다. -
Lambda 함수에 대한 권장 사항을 보려면 IAM 사용자에게
lambda:ListFunctions및lambda:ListProvisionedConcurrencyConfigs권한이 필요합니다. -
Fargate의 Amazon ECS 서비스에 대한 권장 사항을 보려면 IAM 사용자에게
ecs:ListServices및ecs:ListClusters권한이 필요합니다. -
Compute Optimizer 콘솔에서 현재 CloudWatch 지표 데이터를 보려면 IAM 사용자에게
cloudwatch:GetMetricData권한이 필요합니다. -
상용 소프트웨어 라이선스에 대한 권장 사항을 보려면 특정 Amazon EC2 인스턴스 역할 및 IAM 사용자 권한이 필요합니다. 자세한 내용은 상용 소프트웨어 라이선스 권장 사항을 활성화하기 위한 정책 단원을 참조하십시오.
-
Amazon RDS에 대한 권장 사항을 보려면 IAM 사용자에게
rds:DescribeDBInstances및rds:DescribeDBClusters권한이 필요합니다.
권한을 부여하려는 사용자 또는 그룹에 이미 정책이 있는 경우, 여기에 설명된 Compute Optimizer 관련 정책문을 해당 정책에 추가할 수 있습니다.
주제
- AWS Organizations의 신뢰할 수 있는 액세스
- Compute Optimizer를 옵트인하기 위한 정책
- 독립 실행형 AWS 계정에 Compute Optimizer에 대한 액세스 권한을 부여하기 위한 정책
- 조직의 관리 계정에 Compute Optimizer에 대한 액세스 권한을 부여하기 위한 정책
- Compute Optimizer 권장 사항 기본 설정을 관리할 수 있는 액세스 권한을 부여하기 위한 정책
- 상용 소프트웨어 라이선스 권장 사항을 활성화하기 위한 정책
- Compute Optimizer에 대한 액세스를 거부하기 위한 정책
- 추가 리소스
AWS Organizations의 신뢰할 수 있는 액세스
조직의 관리 계정을 사용하여 옵트인하고 조직의 모든 멤버 계정을 포함하면 조직 계정에서 Compute Optimizer에 대한 신뢰할 수 있는 액세스가 자동으로 활성화됩니다. 그러면 Compute Optimizer는 해당 멤버 계정의 컴퓨팅 리소스를 분석하고 해당 멤버 계정에 대한 권장 사항을 생성할 수 있습니다.
Compute Optimizer는 멤버 계정의 권장 사항에 액세스할 때마다 조직 계정에 신뢰할 수 있는 액세스가 활성화되어 있는지 확인합니다. 옵트인 후에 Compute Optimizer 신뢰할 수 있는 액세스를 비활성화하면 Compute Optimizer는 조직의 멤버 계정에 대한 권장 사항에 대한 액세스를 거부합니다. 또한 조직 내 멤버 계정이 Compute Optimizer에서 옵트인되지 않습니다. 신뢰할 수 있는 액세스를 다시 활성화하려면 조직의 관리 계정을 사용하여 Compute Optimizer를 다시 옵트인하고 조직의 모든 멤버 계정을 포함시키세요. 자세한 내용은 AWS Compute Optimizer 옵트인 단원을 참조하십시오. AWS Organizations 신뢰할 수 있는 액세스에 대한 자세한 내용은 AWS Organizations 사용 설명서의 다른 AWS 서비스에서 AWS Organizations 사용을 참조하세요.
Compute Optimizer를 옵트인하기 위한 정책
이 정책문은 다음 권한을 부여합니다.
-
Compute Optimizer를 옵트인할 수 있는 액세스 권한.
-
Compute Optimizer용 서비스 연결 역할을 생성할 수 있는 액세스 권한. 자세한 내용은 AWS Compute Optimizer에 서비스 연결 역할 사용 단원을 참조하십시오.
-
Compute Optimizer 서비스의 등록 상태를 업데이트할 수 있는 액세스 권한.
중요
AWS Compute Optimizer를 옵트인하려면 이 IAM 역할이 필요합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer*", "Condition": {"StringLike": {"iam:AWSServiceName": "compute-optimizer.amazonaws.com"}} }, { "Effect": "Allow", "Action": "iam:PutRolePolicy", "Resource": "arn:aws:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer" }, { "Effect": "Allow", "Action": "compute-optimizer:UpdateEnrollmentStatus", "Resource": "*" } ] }
독립 실행형 AWS 계정에 Compute Optimizer에 대한 액세스 권한을 부여하기 위한 정책
다음 정책문은 독립 실행형 AWS 계정에 Compute Optimizer에 대한 전체 액세스 권한을 부여합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "compute-optimizer:*", "ec2:DescribeInstances", "ec2:DescribeVolumes", "ecs:ListServices", "ecs:ListClusters", "autoscaling:DescribeAutoScalingGroups", "autoscaling:DescribeAutoScalingInstances", "lambda:ListFunctions", "lambda:ListProvisionedConcurrencyConfigs", "cloudwatch:GetMetricData" ], "Resource": "*" } ] }
다음 정책문은 독립 실행형 AWS 계정에 Compute Optimizer에 대한 읽기 전용 액세스 권한을 부여합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "compute-optimizer:GetEnrollmentStatus", "compute-optimizer:GetEffectiveRecommendationPreferences", "compute-optimizer:GetRecommendationPreferences", "compute-optimizer:GetRecommendationSummaries", "compute-optimizer:GetEC2InstanceRecommendations", "compute-optimizer:GetEC2RecommendationProjectedMetrics", "compute-optimizer:GetAutoScalingGroupRecommendations", "compute-optimizer:GetEBSVolumeRecommendations", "compute-optimizer:GetLambdaFunctionRecommendations", "compute-optimizer:DescribeRecommendationExportJobs", "compute-optimizer:GetEffectiveRecommendationPreferences", "compute-optimizer:GetRecommendationPreferences", "compute-optimizer:GetECSServiceRecommendations", "compute-optimizer:GetECSServiceRecommendationProjectedMetrics", "compute-optimizer:GetRDSDatabaseRecommendations", "compute-optimizer:GetRDSDatabaseRecommendationProjectedMetrics", "ec2:DescribeInstances", "ec2:DescribeVolumes", "ecs:ListServices", "ecs:ListClusters", "autoscaling:DescribeAutoScalingGroups", "autoscaling:DescribeAutoScalingInstances", "lambda:ListFunctions", "lambda:ListProvisionedConcurrencyConfigs", "cloudwatch:GetMetricData", "rds:DescribeDBInstances", "rds:DescribeDBClusters" ], "Resource": "*" } ] }
조직의 관리 계정에 Compute Optimizer에 대한 액세스 권한을 부여하기 위한 정책
다음 정책문은 조직의 관리 계정에 Compute Optimizer에 대한 전체 액세스 권한을 부여합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "compute-optimizer:*", "ec2:DescribeInstances", "ec2:DescribeVolumes", "ecs:ListServices", "ecs:ListClusters", "autoscaling:DescribeAutoScalingGroups", "autoscaling:DescribeAutoScalingInstances", "lambda:ListFunctions", "lambda:ListProvisionedConcurrencyConfigs", "cloudwatch:GetMetricData", "organizations:ListAccounts", "organizations:DescribeOrganization", "organizations:DescribeAccount", "organizations:EnableAWSServiceAccess", "organizations:ListDelegatedAdministrators", "organizations:RegisterDelegatedAdministrator", "organizations:DeregisterDelegatedAdministrator" ], "Resource": "*" } ] }
다음 정책문은 조직의 관리 계정에 Compute Optimizer에 대한 일기 전용 액세스 권한을 부여합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "compute-optimizer:GetEnrollmentStatus", "compute-optimizer:GetEnrollmentStatusesForOrganization", "compute-optimizer:GetRecommendationSummaries", "compute-optimizer:GetEC2InstanceRecommendations", "compute-optimizer:GetEC2RecommendationProjectedMetrics", "compute-optimizer:GetAutoScalingGroupRecommendations", "compute-optimizer:GetEBSVolumeRecommendations", "compute-optimizer:GetLambdaFunctionRecommendations", "compute-optimizer:GetEffectiveRecommendationPreferences", "compute-optimizer:GetRecommendationPreferences", "compute-optimizer:GetECSServiceRecommendations", "compute-optimizer:GetECSServiceRecommendationProjectedMetrics", "compute-optimizer:GetRDSDatabaseRecommendations", "compute-optimizer:GetRDSDatabaseRecommendationProjectedMetrics", "ec2:DescribeInstances", "ec2:DescribeVolumes", "ecs:ListServices", "ecs:ListClusters", "autoscaling:DescribeAutoScalingGroups", "autoscaling:DescribeAutoScalingInstances", "lambda:ListFunctions", "lambda:ListProvisionedConcurrencyConfigs", "cloudwatch:GetMetricData", "organizations:ListAccounts", "organizations:DescribeOrganization", "organizations:DescribeAccount", "organizations:ListDelegatedAdministrators", "rds:DescribeDBInstances", "rds:DescribeDBClusters" ], "Resource": "*" } ] }
Compute Optimizer 권장 사항 기본 설정을 관리할 수 있는 액세스 권한을 부여하기 위한 정책
다음 정책문은 권장 사항 기본 설정을 보고 편집할 수 있는 액세스 권한을 부여합니다.
EC2 인스턴스에 대한 권장 사항 기본 설정만 관리할 수 있는 액세스 권한 부여
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "compute-optimizer:DeleteRecommendationPreferences", "compute-optimizer:GetEffectiveRecommendationPreferences", "compute-optimizer:GetRecommendationPreferences", "compute-optimizer:PutRecommendationPreferences" ], "Resource": "*", "Condition" : { "StringEquals" : { "compute-optimizer:ResourceType" : "Ec2Instance" } } } ] }
오토 스케일링 그룹에 대한 권장 사항 기본 설정만 관리할 수 있는 액세스 권한 부여
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "compute-optimizer:DeleteRecommendationPreferences", "compute-optimizer:GetEffectiveRecommendationPreferences", "compute-optimizer:GetRecommendationPreferences", "compute-optimizer:PutRecommendationPreferences" ], "Resource": "*", "Condition" : { "StringEquals" : { "compute-optimizer:ResourceType" : "AutoScalingGroup" } } } ] }
RDS 인스턴스에 대한 권장 사항 기본 설정만 관리할 수 있는 액세스 권한 부여
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "compute-optimizer:DeleteRecommendationPreferences", "compute-optimizer:GetEffectiveRecommendationPreferences", "compute-optimizer:GetRecommendationPreferences", "compute-optimizer:PutRecommendationPreferences" ], "Resource": "*", "Condition" : { "StringEquals" : { "compute-optimizer:ResourceType" : "RdsDBInstance" } } } ] }
상용 소프트웨어 라이선스 권장 사항을 활성화하기 위한 정책
Compute Optimizer가 라이선스 권장 사항을 생성하려면 다음 Amazon EC2 인스턴스 역할 및 정책을 연결해야 합니다.
-
Systems Manager를 활성화하기 위한
AmazonSSMManagedInstanceCore역할입니다. 자세한 내용은 AWS Systems Manager 사용 설명서에서 AWS Systems Manager 자격 증명 기반 정책 예제를 참조하세요. -
CloudWatch에 인스턴스 지표 및 로그를 릴리스할 수 있도록 하는
CloudWatchAgentServerPolicy정책입니다. 자세한 내용은 Amazon CloudWatch 사용 설명서에서 CloudWatch 에이전트와 함께 사용할 IAM 역할 및 사용자 생성을 참조하세요. -
다음은 AWS Systems Manager에 저장된 비밀 Microsoft SQL Server 연결 문자열을 읽기 위한 IAM 인라인 정책문입니다. 인라인 정책에 대한 자세한 내용은 AWS Identity and Access Management 사용 설명서에서 관리형 정책과 인라인 정책을 참조하세요.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue*" ], "Resource": "arn:aws:secretsmanager:*:*:secret:ApplicationInsights-*" } ] }
또한 라이선스 권장 사항을 활성화하고 받으려면 다음 IAM 정책을 사용자, 그룹 또는 역할에 연결해야 합니다. 자세한 내용은 Amazon CloudWatch 사용 설명서의 IAM 정책을 참조하세요.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "applicationinsights:*", "iam:CreateServiceLinkedRole", "iam:ListRoles", "resource-groups:ListGroups" ], "Effect": "Allow", "Resource": "*" } ] }
Compute Optimizer에 대한 액세스를 거부하기 위한 정책
다음 정책문은 Compute Optimizer에 대한 액세스를 거부합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "compute-optimizer:*", "Resource": "*" } ] }
추가 리소스
