适用于 AWS Compute Optimizer 的 AWS 托管式策略 - AWS Compute Optimizer
AWS 托管式策略:ComputeOptimizerServiceRolePolicyAWS 托管式策略:ComputeOptimizerReadOnlyAccess策略更新

适用于 AWS Compute Optimizer 的 AWS 托管式策略

要向用户、组和角色添加权限,请考虑使用 AWS 托管式策略,而不要自己编写策略。创建仅为团队提供所需权限的 IAM 客户托管式策略需要时间和专业知识。要快速入门,您可以使用 AWS 托管式策略。这些策略涵盖常见使用案例,可在您的 AWS 账户 中使用。有关 AWS 托管策略的更多信息,请参阅《IAM 用户指南》中的AWS 托管策略

AWS 服务 负责维护和更新 AWS 托管策略。您无法更改 AWS 托管策略中的权限。服务偶尔会向 AWS 管理型策略添加额外权限以支持新特征。此类更新会影响附加策略的所有身份(用户、组和角色)。当启动新功能或新操作可用时,服务最有可能会更新 AWS 托管策略。服务不会从 AWS 托管式策略中删除权限,因此策略更新不会破坏您的现有权限。

此外,Amazon Web Services 还支持跨多种服务的工作职能的托管式策略。例如,ReadOnlyAccess AWS 托管式策略提供对所有资源的只读访问权限。当服务启动新功能时,AWS 会为新操作和资源添加只读权限。有关工作职能策略的列表和说明,请参阅《IAM 用户指南》中的适用于工作职能的 AWS 托管式策略

AWS 托管式策略:ComputeOptimizerServiceRolePolicy

Compute Optimizer 采用附加到服务相关角色的 ComputeOptimizerServiceRolePolicy 托管式策略,代表您执行操作。有关更多信息,请参阅将服务相关角色用于 AWS Compute Optimizer

注意

您不能将 ComputeOptimizerServiceRolePolicy 附加到自己的 IAM 实体。

权限详细信息

该策略包含以下权限。

  • compute-optimizer - 授予对 Compute Optimizer 中所有资源的完全管理权限。

  • organizations - 允许 AWS 组织的管理账户选择组织成员账户加入 Compute Optimizer。

  • cloudwatch - 授予对 CloudWatch 资源指标的访问权限,以便对其进行分析并生成 Compute Optimizer 资源建议。

  • autoscaling - 授予对自动扩缩组和自动扩缩组中实例的访问权限以进行验证。

  • Ec2 - 授予对 Amazon EC2 实例和卷的访问权限。

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "ComputeOptimizerFullAccess",
			"Effect": "Allow",
			"Action": [
				"compute-optimizer:*"
			],
			"Resource": "*"
		},
		{
			"Sid": "AwsOrgsAccess",
			"Effect": "Allow",
			"Action": [
				"organizations:DescribeOrganization",
				"organizations:ListAccounts",
				"organizations:ListAWSServiceAccessForOrganization",
                                "organizations:ListDelegatedAdministrators"
			],
			"Resource": [
				"*"
			]
		},
		{
			"Sid": "CloudWatchAccess",
			"Effect": "Allow",
			"Action": [
				"cloudwatch:GetMetricData"
			],
			"Resource": "*"
		},
		{
			"Sid": "AutoScalingAccess",
			"Effect": "Allow",
			"Action": [
				"autoscaling:DescribeAutoScalingInstances",
				"autoscaling:DescribeAutoScalingGroups"
			],
			"Resource": "*"
		},
		{
                        "Sid": "Ec2Access",
                        "Effect": "Allow",
                        "Action": [
                                "ec2:DescribeInstances",
                                "ec2:DescribeVolumes"
                        ],
                        "Resource": "*"
                }
	]
}

AWS 托管式策略:ComputeOptimizerReadOnlyAccess

您可以将 ComputeOptimizerReadOnlyAccess 策略附加到 IAM 身份。

此策略授予只读权限,这样 IAM 用户可以查看 Compute Optimizer 资源建议。

权限详细信息

此策略包括以下内容:

  • compute-optimizer - 授予对 Compute Optimizer 资源建议的只读访问权限。

  • ec2 - 授予对 Amazon EC2 实例和 Amazon EBS 卷的只读访问权限。

  • autoscaling - 授予对自动扩缩组的只读访问权限。

  • lambda - 授予对 AWS Lambda 函数及其配置的只读访问权限。

  • cloudwatch - 授予对 Compute Optimizer 所支持资源类型的 Amazon CloudWatch 指标数据的只读访问权限。

  • organizations - 授予对 AWS 组织成员账户的只读访问权限。

  • ecs - 授予对 Fargate 上 Amazon ECS 服务的访问权限。

  • rds – 授予对 Amazon RDS 实例和集群的只读访问权限。

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Effect": "Allow",
			"Action": [
				"compute-optimizer:DescribeRecommendationExportJobs",
				"compute-optimizer:GetEnrollmentStatus",
				"compute-optimizer:GetEnrollmentStatusesForOrganization",
				"compute-optimizer:GetRecommendationSummaries",
				"compute-optimizer:GetEC2InstanceRecommendations",
				"compute-optimizer:GetEC2RecommendationProjectedMetrics",
				"compute-optimizer:GetAutoScalingGroupRecommendations",
				"compute-optimizer:GetEBSVolumeRecommendations",
				"compute-optimizer:GetLambdaFunctionRecommendations",
				"compute-optimizer:GetRecommendationPreferences",
				"compute-optimizer:GetEffectiveRecommendationPreferences",
				"compute-optimizer:GetECSServiceRecommendations",
				"compute-optimizer:GetECSServiceRecommendationProjectedMetrics",
				"compute-optimizer:GetLicenseRecommendations",
				"compute-optimizer:GetRDSDatabaseRecommendations",
                                "compute-optimizer:GetRDSDatabaseRecommendationProjectedMetrics",
				"ec2:DescribeInstances",
				"ec2:DescribeVolumes",
				"ecs:ListServices",
				"ecs:ListClusters",
				"autoscaling:DescribeAutoScalingGroups",
				"autoscaling:DescribeAutoScalingInstances",
				"lambda:ListFunctions",
				"lambda:ListProvisionedConcurrencyConfigs",
				"cloudwatch:GetMetricData",
				"organizations:ListAccounts",
				"organizations:DescribeOrganization",
				"organizations:DescribeAccount",
				"rds:DescribeDBInstances",
                                "rds:DescribeDBClusters"
			],
			"Resource": "*"
		}
	]
}
注意

以下策略语句仅授予组织管理账户对 Compute Optimizer 的只读访问权限,以查看组织级别的建议。如果您是委派管理员,并希望查看组织级别的建议,请参阅向组织管理账户授予对 Compute Optimizer 的访问权限的策略

Compute Optimizer 对 AWS 托管式策略的更新

查看有关自此服务开始跟踪这些更改起,Compute Optimizer 的 AWS 托管式策略更新的详细信息。要获得有关此页面更改的自动提示,请订阅 RSS 源以随时了解本指南。

更改 描述 日期

编辑到 ComputeOptimizerReadOnlyAccess 托管式策略

ComputeOptimizerReadOnlyAccess 托管式策略添加了 compute-optimizer:GetRDSDatabaseRecommendationscompute-optimizer:GetRDSDatabaseRecommendationProjectedMetricsrds:DescribeDBInstancesrds:DescribeDBClusters 操作。

 2024 年 6 月 20 日

编辑到 ComputeOptimizerReadOnlyAccess 托管式策略

ComputeOptimizerReadOnlyAccess 托管式策略添加了 compute-optimizer:GetLicenseRecommendations 操作。

 2023 年 7 月 26 日

编辑到 ComputeOptimizerReadOnlyAccess 托管式策略

ComputeOptimizerReadOnlyAccess 托管式策略添加了 compute-optimizer:GetECSServiceRecommendationscompute-optimizer:GetECSServiceRecommendationProjectedMetricsecs:ListServicesecs:ListClusters 操作。

 2022 年 12 月 22 日
编辑到 ComputeOptimizerServiceRolePolicy 托管式策略 ComputeOptimizerServiceRolePolicy 托管式策略添加了 ec2:DescribeInstancesec2:DescribeVolumesorganizations:ListDelegatedAdministrators 操作。 2022 年 7 月 25 日

编辑到 ComputeOptimizerServiceRolePolicy 托管式策略

ComputeOptimizerServiceRolePolicy 托管式策略添加了 autoscaling:DescribeAutoScalingInstancesautoscaling:DescribeAutoScalingGroups 操作。

 2021 年 11 月 29 日

编辑到 ComputeOptimizerReadOnlyAccess 托管式策略

ComputeOptimizerReadOnlyAccess 托管式策略添加了 compute-optimizer:GetRecommendationPreferencescompute-optimizer:GetEffectiveRecommendationPreferencesautoscaling:DescribeAutoScalingInstances 操作。

 2021 年 11 月 29 日

编辑到 ComputeOptimizerReadOnlyAccess 托管式策略

ComputeOptimizerReadOnlyAccess 托管式策略添加了 GetEnrollmentStatusesForOrganization 操作。

 2021 年 8 月 26 日

Compute Optimizer 已开始跟踪更改

Compute Optimizer 已开始跟踪其 AWS 托管式策略的更改。

 2021 年 5 月 18 日