AWS 的托管策略 AWS Compute Optimizer - AWS Compute Optimizer
AWS 托管策略: ComputeOptimizerServiceRolePolicyAWS 托管策略: ComputeOptimizerReadOnlyAccess策略更新

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS 的托管策略 AWS Compute Optimizer

要为用户、群组和角色添加权限,请考虑使用 AWS 托管策略,而不是自己编写策略。创建IAM客户托管策略以仅向您的团队提供他们所需的权限需要时间和专业知识。要快速入门,您可以使用 AWS 管理型策略。这些策略涵盖常见使用案例,可在您的 AWS 账户中使用。有关 AWS 托管策略的更多信息,请参阅《IAM用户指南》中的AWS 托管策略

AWS 服务 维护和更新 AWS 托管策略。您无法更改 AWS 托管策略中的权限。服务偶尔会向 AWS 托管策略添加其他权限以支持新功能。此类更新会影响附加策略的所有身份(用户、组和角色)。当推出新功能或有新操作可用时,服务最有可能更新 AWS 托管策略。服务不会从 AWS 托管策略中移除权限,因此策略更新不会破坏您的现有权限。

此外,Amazon Web Services 还支持跨多种服务的工作职能的托管式策略。例如,ReadOnlyAccess AWS 托管策略提供对所有资源和资源的只读访问权限。当服务启动一项新功能时, AWS 会为新操作和资源添加只读权限。有关工作职能策略的列表和说明,请参阅《IAM用户指南》中的工作职能AWS 托管策略

AWS 托管策略: ComputeOptimizerServiceRolePolicy

附加到服务相关角色的 ComputeOptimizerServiceRolePolicy 托管式策略允许 Compute Optimizer 代表您执行操作。有关更多信息,请参阅 将服务相关角色用于 AWS Compute Optimizer

注意

你无法附着ComputeOptimizerServiceRolePolicy在你的IAM实体上。

权限详细信息

该策略包含以下权限。

  • compute-optimizer - 授予对 Compute Optimizer 中所有资源的完全管理权限。

  • organizations - 允许 AWS 组织的管理账户选择组织成员账户加入 Compute Optimizer。

  • cloudwatch— 授予访问 CloudWatch 资源指标的权限,以便对其进行分析并生成 Compute Optimizer 资源建议。

  • autoscaling - 授予对自动扩缩组和自动扩缩组中实例的访问权限以进行验证。

  • Ec2— 授予对 Amazon EC2 实例和卷的访问权限。

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "ComputeOptimizerFullAccess",
			"Effect": "Allow",
			"Action": [
				"compute-optimizer:*"
			],
			"Resource": "*"
		},
		{
			"Sid": "AwsOrgsAccess",
			"Effect": "Allow",
			"Action": [
				"organizations:DescribeOrganization",
				"organizations:ListAccounts",
				"organizations:ListAWSServiceAccessForOrganization",
                                "organizations:ListDelegatedAdministrators"
			],
			"Resource": [
				"*"
			]
		},
		{
			"Sid": "CloudWatchAccess",
			"Effect": "Allow",
			"Action": [
				"cloudwatch:GetMetricData"
			],
			"Resource": "*"
		},
		{
			"Sid": "AutoScalingAccess",
			"Effect": "Allow",
			"Action": [
				"autoscaling:DescribeAutoScalingInstances",
				"autoscaling:DescribeAutoScalingGroups"
			],
			"Resource": "*"
		},
		{
                        "Sid": "Ec2Access",
                        "Effect": "Allow",
                        "Action": [
                                "ec2:DescribeInstances",
                                "ec2:DescribeVolumes"
                        ],
                        "Resource": "*"
                }
	]
}

AWS 托管策略: ComputeOptimizerReadOnlyAccess

您可以将该ComputeOptimizerReadOnlyAccess策略附加到您的IAM身份。

此策略授予只读权限,允许IAM用户查看 Compute Optimizer 资源推荐。

权限详细信息

此策略包括以下内容:

  • compute-optimizer - 授予对 Compute Optimizer 资源建议的只读访问权限。

  • ec2— 授予对亚马逊EC2实例和亚马逊EBS卷的只读访问权限。

  • autoscaling - 授予对自动扩缩组的只读访问权限。

  • lambda— 授予对 AWS Lambda 函数及其配置的只读访问权限。

  • cloudwatch— 授予对 Compute Optimizer 支持的资源类型的亚马逊 CloudWatch 指标数据的只读访问权限。

  • organizations— 授予对 AWS 组织成员帐户的只读访问权限。

  • ecs— 授予在 Fargate 上访问亚马逊ECS服务的权限。

  • rds— 授予对 Amazon RDS 实例和集群的只读访问权限。

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Effect": "Allow",
			"Action": [
				"compute-optimizer:DescribeRecommendationExportJobs",
				"compute-optimizer:GetEnrollmentStatus",
				"compute-optimizer:GetEnrollmentStatusesForOrganization",
				"compute-optimizer:GetRecommendationSummaries",
				"compute-optimizer:GetEC2InstanceRecommendations",
				"compute-optimizer:GetEC2RecommendationProjectedMetrics",
				"compute-optimizer:GetAutoScalingGroupRecommendations",
				"compute-optimizer:GetEBSVolumeRecommendations",
				"compute-optimizer:GetLambdaFunctionRecommendations",
				"compute-optimizer:GetRecommendationPreferences",
				"compute-optimizer:GetEffectiveRecommendationPreferences",
				"compute-optimizer:GetECSServiceRecommendations",
				"compute-optimizer:GetECSServiceRecommendationProjectedMetrics",
				"compute-optimizer:GetLicenseRecommendations",
				"compute-optimizer:GetRDSDatabaseRecommendations",
                                "compute-optimizer:GetRDSDatabaseRecommendationProjectedMetrics",
				"ec2:DescribeInstances",
				"ec2:DescribeVolumes",
				"ecs:ListServices",
				"ecs:ListClusters",
				"autoscaling:DescribeAutoScalingGroups",
				"autoscaling:DescribeAutoScalingInstances",
				"lambda:ListFunctions",
				"lambda:ListProvisionedConcurrencyConfigs",
				"cloudwatch:GetMetricData",
				"organizations:ListAccounts",
				"organizations:DescribeOrganization",
				"organizations:DescribeAccount",
				"rds:DescribeDBInstances",
                                "rds:DescribeDBClusters"
			],
			"Resource": "*"
		}
	]
}
注意

以下政策声明仅授予组织管理账户对 Compute Optimizer 的只读访问权限,以查看组织级别的建议。如果您是授权管理员并且想要查看组织级别的建议,请参阅授予组织管理账户访问 Compute Optimizer 权限的策略

Compute Optimizer 对托管策略的 AWS 更新

查看自该服务开始跟踪这些更改以来,Compute Optimizer AWS 托管策略更新的详细信息。要获取有关此页面变更的自动提醒,请订阅本指南的 RSS Feed。

更改 描述 日期

编辑到 ComputeOptimizerReadOnlyAccess 托管式策略

ComputeOptimizerReadOnlyAccess 托管式策略添加了 compute-optimizer:GetRDSDatabaseRecommendationscompute-optimizer:GetRDSDatabaseRecommendationProjectedMetricsrds:DescribeDBInstancesrds:DescribeDBClusters 操作。

 2024 年 6 月 20 日

编辑到 ComputeOptimizerReadOnlyAccess 托管式策略

ComputeOptimizerReadOnlyAccess 托管式策略添加了 compute-optimizer:GetLicenseRecommendations 操作。

 2023 年 7 月 26 日

编辑到 ComputeOptimizerReadOnlyAccess 托管式策略

ComputeOptimizerReadOnlyAccess 托管式策略添加了 compute-optimizer:GetECSServiceRecommendationscompute-optimizer:GetECSServiceRecommendationProjectedMetricsecs:ListServicesecs:ListClusters 操作。

 2022 年 12 月 22 日
编辑到 ComputeOptimizerServiceRolePolicy 托管式策略 ComputeOptimizerServiceRolePolicy 托管式策略添加了 ec2:DescribeInstancesec2:DescribeVolumesorganizations:ListDelegatedAdministrators 操作。 2022 年 7 月 25 日

编辑到 ComputeOptimizerServiceRolePolicy 托管式策略

ComputeOptimizerServiceRolePolicy 托管式策略添加了 autoscaling:DescribeAutoScalingInstancesautoscaling:DescribeAutoScalingGroups 操作。

 2021 年 11 月 29 日

编辑到 ComputeOptimizerReadOnlyAccess 托管式策略

ComputeOptimizerReadOnlyAccess 托管式策略添加了 compute-optimizer:GetRecommendationPreferencescompute-optimizer:GetEffectiveRecommendationPreferencesautoscaling:DescribeAutoScalingInstances 操作。

 2021 年 11 月 29 日

编辑到 ComputeOptimizerReadOnlyAccess 托管式策略

ComputeOptimizerReadOnlyAccess 托管式策略添加了 GetEnrollmentStatusesForOrganization 操作。

 2021 年 8 月 26 日

Compute Optimizer 已开始跟踪更改

Compute Optimizer 开始跟踪其 AWS 托管策略的更改。

 2021 年 5 月 18 日