Application Auto Scaling 如何与 IAM 配合使用 - Application Auto Scaling
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Application Auto Scaling 如何与 IAM 配合使用

注意

2017 年 12 月,对应用程序 Auto Scaling 进行了更新,从而为应用程序 Auto Scaling 集成服务启用了多个服务相关角色。IAM 权限需要应用 Application Auto Scaling 服务相关角色(或 Amazon EMR Auto Scaling 的服务角色),以便用户可以配置扩展。

在使用 IAM 管理对应用 Application Auto Scaling 的访问权限之前,您应该了解哪些 IAM 功能可用于应用程序 Auto Scaling。要大致了解 Application Auto Scaling 和其他 AWS 服务如何与 IAM 一起使用,请参阅使用 IAM 的 AWS 服务中的IAM 用户指南

Application Auto Scaling 基于身份的策略

通过使用 IAM 基于身份的策略,您可以指定允许或拒绝的操作和资源以及允许或拒绝操作的条件。Application Auto Scaling 支持特定的操作、资源和条件键。要了解在 JSON 策略中使用的所有元素,请参阅IAM JSON 策略元素参考中的IAM 用户指南

Actions

管理员可以使用 AWS JSON 策略来指定谁有权访问什么内容。也就是说,委托人可以执行操作关于什么资源,并根据条件

JSON 策略的 Action 元素描述可用于在策略中允许或拒绝访问的操作。策略操作通常具有与关联的 AWS API 操作相同的名称。有一些例外情况,例如没有匹配 API 操作的仅限权限 操作。还有一些操作要求在策略中执行多个操作。这些附加操作称为相关操作

在策略中包含操作以授予执行相关操作的权限。

应用 Application Auto Scaling 中的策略操作在操作前使用以下前缀:application-autoscaling:。策略语句必须包含 ActionNotAction 元素。Application Auto Scaling 定义了一组自己的操作,以描述您可以使用该服务执行的任务。

要在单个语句中指定多项操作,请使用逗号将它们隔开,如下例所示。

"Action": [ "application-autoscaling:DescribeScalingPolicies", "application-autoscaling:DescribeScalingActivities"

您也可以使用通配符 (*) 指定多个操作。例如,要指定以单词 Describe 开头的所有操作,请包括以下操作。

"Action": "application-autoscaling:Describe*"

要查看 Application Auto Scaling 操作的列表,请参阅操作中的Application Auto Scaling API 参考

Resources

Resource 元素指定要向其应用操作的对象。

应用程序 Auto Scaling 没有可用作Resource元素。因此,IAM 策略中没有可供您使用的 Amazon 资源名称 (ARN)。要控制对应用程序 Auto Scaling 操作的访问,请在编写 IAM 策略时始终使用 *(星号)作为资源。

条件键

Condition 元素(或 Condition )中,可以指定语句生效的条件。例如,您可能希望策略仅在特定日期后应用。要表示条件,请使用预定义的条件键。

Application Auto Scaling 不提供任何服务特定的条件键,但支持使用某些全局条件键。要查看所有 AWS 全局条件键,请参阅AWS 全局条件上下文键中的IAM 用户指南

Condition 元素是可选的。

Examples

要查看 Application Auto Scaling 基于身份的策略示例,请参阅有关使用 AWS CLI 或开发工具包的示例策略

Application Auto Scaling 基于资源的策

其他 AWS 服务(如 Amazon 简单存储服务)也支持基于资源的权限策略。例如,您可以将权限策略挂载到 S3 存储桶以管理对该存储桶的访问权限。

Application Auto Scaling 不支持基于资源的策略。

访问控制列表 (ACL)

Application Auto Scaling 不支持访问控制列表 (ACL)。

基于 Application Auto Scaling 标签的授权

Application Auto Scaling 没有可以标记的服务定义的资源。因此,它不支持基于标签控制访问。

Application Auto Scaling IAM 角色

IAM 角色 是您的 AWS 账户中具有特定权限的实体。

将临时凭证用于 Application Auto Scaling

您可以使用临时凭证进行联合身份登录,担任 IAM 角色或担任跨账户角色。您可以通过调用 AWS STS API 操作(如 AssumeRoleGetFederationToken)获得临时安全凭证。

Application Auto Scaling 支持使用临时凭证。

服务相关角色

此服务相关角色向 Application Auto Scaling 授予权限,以便它能代表您对其他 AWS 服务进行特定调用。服务相关角色显示在您的 IAM 账户中,并归该服务所有。IAM 管理员可以查看但不能编辑服务相关角色的权限。

Application Auto Scaling 支持服务相关角色。有关更多信息,请参阅 Application Auto Scaling 的服务相关角色

服务角色

如果您的 Amazon EMR 集群使用自动扩展,则此功能允许 Application Auto Scaling 假设服务角色代表您。与服务相关角色类似,服务角色允许此服务访问其他服务中的资源以代表您完成操作。服务角色显示在您的 IAM 账户中,并归该账户所有。这意味着,IAM 管理员可以更改该角色的权限。但是,这样做可能会中断服务的功能。

Application Auto Scaling 仅对 Amazon EMR 支持服务角色。有关 EMR 服务角色的文档,请参阅对实例组使用自定义策略的自动扩展中的Amazon EMR 管理指南

注意

随着服务相关角色的引入,不再需要几个旧的服务角色。如果您为任何其他服务(例如,Amazon ECS 或 Spot 队列)指定旧服务角色,则 Application Auto Scaling 将忽略该角色。相反,它使用服务相关角色。如果此角色不存在,您必须拥有创建它的权限,否则会出现权限错误。