本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
的身分和存取管理 AWS Compute Optimizer
您可以使用 AWS Identity and Access Management (IAM) 建立身分 (使用者、群組或角色),並授予這些身分存取 AWS Compute Optimizer 主控台和 的許可APIs。
根據預設,IAM使用者無法存取 Compute Optimizer 主控台和 APIs。您可以透過將IAM政策連接至單一使用者、使用者群組或角色來授予使用者存取權。如需詳細資訊,請參閱 使用者指南 中的身分 (使用者、群組和角色) 和政策概觀。 IAM IAM
建立IAM使用者之後,您可以為這些使用者提供個別密碼。然後,他們可以登入您的帳戶,並使用帳戶特定的登入頁面檢視 Compute Optimizer 資訊。如需詳細資訊,請參閱使用者如何登入您的帳戶。
重要
-
若要檢視EC2執行個體的建議,IAM使用者需要
ec2:DescribeInstances許可。 -
若要檢視EBS磁碟區的建議,IAM使用者需要
ec2:DescribeVolumes許可。 -
若要檢視 Auto Scaling 群組的建議,IAM使用者需要
autoscaling:DescribeAutoScalingGroups和autoscaling:DescribeAutoScalingInstances許可。 -
若要檢視 Lambda 函數的建議,IAM使用者需要
lambda:ListFunctions和lambda:ListProvisionedConcurrencyConfigs許可。 -
若要在 Fargate 上檢視 Amazon ECS服務的建議,IAM使用者需要
ecs:ListServices和ecs:ListClusters許可。 -
若要在 Compute Optimizer 主控台中檢視目前的 CloudWatch 指標資料,IAM使用者需要
cloudwatch:GetMetricData許可。 -
若要檢視商業軟體授權建議,需要特定 Amazon EC2執行個體角色和IAM使用者許可。如需詳細資訊,請參閱 啟用商業軟體授權建議的政策。
-
若要檢視 Amazon 的建議RDS,IAM使用者需要
rds:DescribeDBInstances和rds:DescribeDBClusters許可。
如果您想要授予許可的使用者或群組已有政策,您可以將此處所示的其中一個 Compute Optimizer 特定政策陳述式新增至該政策。
主題
的信任存取 AWS Organizations
當您選擇使用組織的管理帳戶並包含組織中的所有成員帳戶時,您的組織帳戶中會自動啟用 Compute Optimizer 的受信任存取。這可讓 Compute Optimizer 分析這些成員帳戶中的運算資源,並為其產生建議。
每次您存取成員帳戶的建議時,Compute Optimizer 都會驗證您的組織帳戶中是否已啟用信任存取。如果您在選擇加入後停用 Compute Optimizer 受信任的存取,Compute Optimizer 會拒絕存取您組織成員帳戶的建議。此外,組織內的成員帳戶不會選擇加入 Compute Optimizer。若要重新啟用受信任的存取,請再次使用組織的管理帳戶選擇加入 Compute Optimizer,並包含組織內的所有成員帳戶。如需詳細資訊,請參閱選擇加入 AWS Compute Optimizer。如需 AWS Organizations 受信任存取的詳細資訊,請參閱 AWS Organizations 使用者指南 中的AWS Organizations 搭配使用其他 AWS 服務。
選擇加入 Compute Optimizer 的政策
此政策陳述式會授予下列項目:
-
選擇加入 Compute Optimizer 的存取權。
-
為 Compute Optimizer 建立服務連結角色的存取權。如需詳細資訊,請參閱使用 的服務連結角色 AWS Compute Optimizer。
-
將註冊狀態更新為 Compute Optimizer 服務的存取權。
重要
選擇加入 需要此IAM角色 AWS Compute Optimizer。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer*", "Condition": {"StringLike": {"iam:AWSServiceName": "compute-optimizer.amazonaws.com"}} }, { "Effect": "Allow", "Action": "iam:PutRolePolicy", "Resource": "arn:aws:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer" }, { "Effect": "Allow", "Action": "compute-optimizer:UpdateEnrollmentStatus", "Resource": "*" } ] }
授予獨立運算最佳化工具存取權的政策 AWS 帳戶
下列政策陳述式授予獨立 的 Compute Optimizer 完整存取權 AWS 帳戶。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "compute-optimizer:*", "ec2:DescribeInstances", "ec2:DescribeVolumes", "ecs:ListServices", "ecs:ListClusters", "autoscaling:DescribeAutoScalingGroups", "autoscaling:DescribeAutoScalingInstances", "lambda:ListFunctions", "lambda:ListProvisionedConcurrencyConfigs", "cloudwatch:GetMetricData" ], "Resource": "*" } ] }
下列政策陳述式授予獨立 的 Compute Optimizer 唯讀存取權 AWS 帳戶。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "compute-optimizer:GetEnrollmentStatus", "compute-optimizer:GetEffectiveRecommendationPreferences", "compute-optimizer:GetRecommendationPreferences", "compute-optimizer:GetRecommendationSummaries", "compute-optimizer:GetEC2InstanceRecommendations", "compute-optimizer:GetEC2RecommendationProjectedMetrics", "compute-optimizer:GetAutoScalingGroupRecommendations", "compute-optimizer:GetEBSVolumeRecommendations", "compute-optimizer:GetLambdaFunctionRecommendations", "compute-optimizer:DescribeRecommendationExportJobs", "compute-optimizer:GetEffectiveRecommendationPreferences", "compute-optimizer:GetRecommendationPreferences", "compute-optimizer:GetECSServiceRecommendations", "compute-optimizer:GetECSServiceRecommendationProjectedMetrics", "compute-optimizer:GetRDSDatabaseRecommendations", "compute-optimizer:GetRDSDatabaseRecommendationProjectedMetrics", "ec2:DescribeInstances", "ec2:DescribeVolumes", "ecs:ListServices", "ecs:ListClusters", "autoscaling:DescribeAutoScalingGroups", "autoscaling:DescribeAutoScalingInstances", "lambda:ListFunctions", "lambda:ListProvisionedConcurrencyConfigs", "cloudwatch:GetMetricData", "rds:DescribeDBInstances", "rds:DescribeDBClusters" ], "Resource": "*" } ] }
授予組織管理帳戶 Compute Optimizer 存取權的政策
下列政策陳述式會針對組織的管理帳戶授予 Compute Optimizer 的完整存取權。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "compute-optimizer:*", "ec2:DescribeInstances", "ec2:DescribeVolumes", "ecs:ListServices", "ecs:ListClusters", "autoscaling:DescribeAutoScalingGroups", "autoscaling:DescribeAutoScalingInstances", "lambda:ListFunctions", "lambda:ListProvisionedConcurrencyConfigs", "cloudwatch:GetMetricData", "organizations:ListAccounts", "organizations:DescribeOrganization", "organizations:DescribeAccount", "organizations:EnableAWSServiceAccess", "organizations:ListDelegatedAdministrators", "organizations:RegisterDelegatedAdministrator", "organizations:DeregisterDelegatedAdministrator" ], "Resource": "*" } ] }
下列政策陳述式會授予對組織管理帳戶的 Compute Optimizer 唯讀存取權。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "compute-optimizer:GetEnrollmentStatus", "compute-optimizer:GetEnrollmentStatusesForOrganization", "compute-optimizer:GetRecommendationSummaries", "compute-optimizer:GetEC2InstanceRecommendations", "compute-optimizer:GetEC2RecommendationProjectedMetrics", "compute-optimizer:GetAutoScalingGroupRecommendations", "compute-optimizer:GetEBSVolumeRecommendations", "compute-optimizer:GetLambdaFunctionRecommendations", "compute-optimizer:GetEffectiveRecommendationPreferences", "compute-optimizer:GetRecommendationPreferences", "compute-optimizer:GetECSServiceRecommendations", "compute-optimizer:GetECSServiceRecommendationProjectedMetrics", "compute-optimizer:GetRDSDatabaseRecommendations", "compute-optimizer:GetRDSDatabaseRecommendationProjectedMetrics", "ec2:DescribeInstances", "ec2:DescribeVolumes", "ecs:ListServices", "ecs:ListClusters", "autoscaling:DescribeAutoScalingGroups", "autoscaling:DescribeAutoScalingInstances", "lambda:ListFunctions", "lambda:ListProvisionedConcurrencyConfigs", "cloudwatch:GetMetricData", "organizations:ListAccounts", "organizations:DescribeOrganization", "organizations:DescribeAccount", "organizations:ListDelegatedAdministrators", "rds:DescribeDBInstances", "rds:DescribeDBClusters" ], "Resource": "*" } ] }
授予存取權以管理 Compute Optimizer 建議偏好設定的政策
下列政策陳述式授予檢視和編輯建議偏好設定的存取權。
授予存取權,以管理僅限EC2執行個體的建議偏好設定
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "compute-optimizer:DeleteRecommendationPreferences", "compute-optimizer:GetEffectiveRecommendationPreferences", "compute-optimizer:GetRecommendationPreferences", "compute-optimizer:PutRecommendationPreferences" ], "Resource": "*", "Condition" : { "StringEquals" : { "compute-optimizer:ResourceType" : "Ec2Instance" } } } ] }
授予存取權,以僅管理 Auto Scaling 群組的建議偏好設定
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "compute-optimizer:DeleteRecommendationPreferences", "compute-optimizer:GetEffectiveRecommendationPreferences", "compute-optimizer:GetRecommendationPreferences", "compute-optimizer:PutRecommendationPreferences" ], "Resource": "*", "Condition" : { "StringEquals" : { "compute-optimizer:ResourceType" : "AutoScalingGroup" } } } ] }
授予存取權,以管理僅限RDS執行個體的建議偏好設定
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "compute-optimizer:DeleteRecommendationPreferences", "compute-optimizer:GetEffectiveRecommendationPreferences", "compute-optimizer:GetRecommendationPreferences", "compute-optimizer:PutRecommendationPreferences" ], "Resource": "*", "Condition" : { "StringEquals" : { "compute-optimizer:ResourceType" : "RdsDBInstance" } } } ] }
啟用商業軟體授權建議的政策
若要讓 Compute Optimizer 產生授權建議,請連接下列 Amazon EC2執行個體角色和政策。
-
啟用 Systems Manager
AmazonSSMManagedInstanceCore的角色。如需詳細資訊,請參閱 AWS Systems Manager 使用者指南 中的AWS Systems Manager 身分型政策範例。 -
啟用將執行個體指標和日誌發佈至
CloudWatchAgentServerPolicy的政策 CloudWatch。如需詳細資訊,請參閱 Amazon CloudWatch 使用者指南 中的建立IAM角色和使用者,以搭配 CloudWatch 客服人員使用。 -
下列IAM內嵌政策陳述式可讀取存放在 中的秘密 Microsoft SQL Server 連線字串 AWS Systems Manager。如需內嵌政策的詳細資訊,請參閱 AWS Identity and Access Management 使用者指南 中的 受管政策和內嵌政策。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue*" ], "Resource": "arn:aws:secretsmanager:*:*:secret:ApplicationInsights-*" } ] }
此外,若要啟用和接收授權建議,請將下列IAM政策連接至您的使用者、群組或角色。如需詳細資訊,請參閱 Amazon CloudWatch 使用者指南 中的IAM政策。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "applicationinsights:*", "iam:CreateServiceLinkedRole", "iam:ListRoles", "resource-groups:ListGroups" ], "Effect": "Allow", "Resource": "*" } ] }
拒絕存取 Compute Optimizer 的政策
下列政策陳述式拒絕存取 Compute Optimizer。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "compute-optimizer:*", "Resource": "*" } ] }
其他資源
