本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Application Auto Scaling 如何搭配 使用 IAM
注意
在 2017 年 12 月,Application Auto Scaling 有一項更新,對 Application Auto Scaling 整合式服務啟用數個服務連結角色。需要特定IAM許可和 Application Auto Scaling 服務連結角色 (或 Amazon EMR Auto Scaling 的服務角色),以便使用者可以設定擴展。
在您使用 IAM 管理 Application Auto Scaling 的存取權之前,請先了解哪些IAM功能可與 Application Auto Scaling 搭配使用。
| IAM 功能 | 應用程式自動調整規模支援 |
|---|---|
|
是 |
|
|
是 |
|
|
是 |
|
|
是 |
|
|
否 |
|
|
否 |
|
|
部分 |
|
|
是 |
|
|
是 |
|
|
是 |
若要取得 Application Auto Scaling 和其他 如何與大多數IAM功能 AWS 服務 搭配使用的高階檢視,請參閱 IAM 使用者指南 中的 與 AWS 服務 搭配使用IAM。
Application Auto Scaling 以身分為基礎的政策
支援身分型政策:是
身分型政策是您可以連接到身分的JSON許可政策文件,例如IAM使用者、使用者群組或角色。這些政策可控制身分在何種條件下能對哪些資源執行哪些動作。若要了解如何建立身分型政策,請參閱 IAM 使用者指南 中的建立IAM政策。
透過身分IAM型政策,您可以指定允許或拒絕的動作和資源,以及允許或拒絕動作的條件。您無法在身分型政策中指定主體,因為這會套用至連接的使用者或角色。若要了解您可以在JSON政策中使用的所有元素,請參閱 IAM 使用者指南 中的IAMJSON政策元素參考。
Application Auto Scaling 的身分型政策範例
若要檢視 Application Auto Scaling 以身分為基礎的政策範例,請參閱 Application Auto Scaling 以身分為基礎的政策範例。
動作
支援政策動作:是
在IAM政策陳述式中,您可以從支援 的任何服務指定任何API動作IAM。對於 Application Auto Scaling ,請使用下列字首搭配API動作名稱:application-autoscaling:。例如:application-autoscaling:RegisterScalableTarget、application-autoscaling:PutScalingPolicy 和 application-autoscaling:DeregisterScalableTarget。
若要在單一陳述式中指定多個動作,請以逗號分隔它們,如下列範例所示。
"Action": [ "application-autoscaling:DescribeScalingPolicies", "application-autoscaling:DescribeScalingActivities"
您也可以使用萬用字元 (*) 來指定多個動作。例如,如需指定開頭是 Describe 文字的所有動作,請包含以下動作:
"Action": "application-autoscaling:Describe*"
如需 Application Auto Scaling 動作的清單,請參閱服務授權參考 中的 AWS Application Auto Scaling 定義的動作。
資源
支援政策資源:是
在IAM政策陳述式中,Resource元素會指定陳述式涵蓋的物件。對於 Application Auto Scaling ,每個IAM政策陳述式都適用於您使用其 Amazon Resource Names () 指定的可擴展目標ARNs。
可擴展目標ARN的資源格式:
arn:aws:application-autoscaling:region:account-id:scalable-target/unique-identifier例如,您可以使用 陳述式中的特定可擴展目標ARN,如下所示。唯一 ID (1234abcd56ab78cd901ef1234567890ab123) 是由 Application Auto Scaling 指派給可擴展目標的值。
"Resource": "arn:aws:application-autoscaling:us-east-1:123456789012:scalable-target/1234abcd56ab78cd901ef1234567890ab123"您也可以使用萬用字元 (*) 取代唯一標識符,以此指定所有屬於特定帳戶的執行個體,如下所示。
"Resource": "arn:aws:application-autoscaling:us-east-1:123456789012:scalable-target/*"若要指定所有資源,或如果特定API動作不支援 ARNs,請使用萬用字元 (*) 作為Resource元素,如下所示。
"Resource": "*"如需詳細資訊,請參閱服務授權參考 中的 AWS Application Auto Scaling 定義的資源類型。
條件索引鍵
支援服務特定政策條件金鑰:是
您可以在控制 Application Auto Scaling 資源存取權IAM的政策中指定條件。政策陳述式只有在符合下列條件時才有效。
Application Auto Scaling 支援下列服務定義條件金鑰,您可以在身分型政策中使用,以判斷誰可以執行 Application Auto Scaling API動作。
-
application-autoscaling:scalable-dimension -
application-autoscaling:service-namespace
若要了解您可以搭配哪些 Application Auto Scaling API動作使用條件索引鍵,請參閱服務授權參考 中的 AWS Application Auto Scaling 定義的動作。如需使用 Application Auto Scaling 條件索引鍵的詳細資訊,請參閱 AWS Application Auto Scaling 的條件索引鍵。
若要檢視所有 服務可用的全域條件索引鍵,請參閱 IAM 使用者指南 中的AWS 全域條件內容索引鍵。
資源型政策
支援資源型政策:否
AWS 其他服務,例如 Amazon Simple Storage Service,支援資源型許可政策。例如,您可以將許可政策連接至 S3 儲存貯體,以管理該儲存貯體的存取許可。
Application Auto Scaling 不支援以資源為基礎的政策。
存取控制清單 (ACLs)
支援ACLs:否
Application Auto Scaling 不支援存取控制清單 (ACLs)。
ABAC 搭配 Application Auto Scaling
支援 ABAC(政策中的標籤):部分
屬性型存取控制 (ABAC) 是一種根據屬性定義許可的授權策略。在 中 AWS,這些屬性稱為標籤 。您可以將標籤連接至IAM實體 (使用者或角色) 和許多 AWS 資源。標記實體和資源是 的第一步ABAC。然後,您可以設計ABAC政策,以便在主體的標籤與其嘗試存取之資源上的標籤相符時允許操作。
ABAC 有助於快速成長的環境,並有助於處理政策管理變得繁瑣的情況。
如需根據標籤控制存取,請使用 aws:ResourceTag/、key-nameaws:RequestTag/ 或 key-nameaws:TagKeys 條件索引鍵,在政策的條件元素中,提供標籤資訊。
ABAC 對於支援標籤的資源是可能的,但並非所有資源都支援標籤。排程動作和擴展政策不支援標籤,但可擴展目標支援標籤。如需詳細資訊,請參閱Application Auto Scaling 的標籤支援。
如需 的詳細資訊ABAC,請參閱 使用者指南 中的什麼是 ABAC?。 IAM 若要檢視包含設定 之步驟的教學課程ABAC,請參閱 IAM 使用者指南 中的使用屬性型存取控制 (ABAC)。
在 Application Auto Scaling 中使用臨時憑證
支援臨時憑證:是
當您使用臨時憑證登入時,有些 AWS 服務 無法使用。如需詳細資訊,包括 AWS 服務 使用哪些臨時憑證,請參閱 IAM 使用者指南 中的 AWS 服務 與 搭配使用IAM。
如果您 AWS Management Console 使用使用者名稱和密碼以外的任何方法登入 ,則表示您正在使用臨時憑證。例如,當您 AWS 使用公司的單一登入 (SSO) 連結存取 時,該程序會自動建立臨時憑證。當您以使用者身分登入主控台,然後切換角色時,也會自動建立臨時憑證。如需切換角色的詳細資訊,請參閱 IAM 使用者指南 中的切換到角色 (主控台)。
您可以使用 AWS CLI 或 手動建立臨時憑證 AWS API。然後,您可以使用這些臨時登入資料來存取 AWS. AWS recommends,讓您動態產生臨時登入資料,而不是使用長期存取金鑰。如需詳細資訊,請參閱 中的臨時安全憑證IAM。
服務角色
支援服務角色:是
如果您的 Amazon EMR叢集使用自動擴展,此功能允許 Application Auto Scaling 代表您擔任服務角色。與服務連結角色類似,服務角色可讓服務存取其他服務中的資源,以代表您完成動作。服務角色會顯示在您的帳戶中IAM,並由 帳戶擁有。這表示IAM管理員可以變更此角色的許可。不過,這樣可能會破壞此服務的功能。
Application Auto Scaling 僅支援 Amazon 的服務角色EMR。如需EMR服務角色的文件,請參閱 Amazon EMR管理指南 中的使用自動擴展搭配執行個體群組的自訂政策。
注意
隨著服務連結角色的推出,不再需要多個傳統服務角色,例如 Amazon ECS和 Spot Fleet。
服務連結角色
支援服務連結角色:是
服務連結角色是連結至 的服務角色類型 AWS 服務。服務可以擔任代表您執行動作的角色。服務連結角色會顯示在您的 中 AWS 帳戶 ,並由 服務擁有。IAM 管理員可以檢視,但不能編輯服務連結角色的許可。
如需 Application Auto Scaling 服務連結角色的相關資訊,請參閱 Application Auto Scaling 的服務連結角色。
