Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅
中国的 Amazon Web Services 服务入门
(PDF)。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon 的托管策略 Amazon Compute Optimizer
要为用户、群组和角色添加权限,请考虑使用 Amazon 托管策略,而不是自己编写策略。创建仅为团队提供所需权限的 IAM 客户管理型策略需要时间和专业知识。要快速入门,您可以使用 Amazon 托管策略。这些策略涵盖常见使用案例,可在您的 Amazon Web Services 账户中使用。有关 Amazon 托管策略的更多信息,请参阅 IAM 用户指南中的Amazon 托管策略。
Amazon Web Services 服务 维护和更新 Amazon 托管策略。您无法更改 Amazon 托管策略中的权限。服务偶尔会向 Amazon 托管策略添加其他权限以支持新功能。此类更新会影响附加策略的所有身份(用户、组和角色)。当推出新功能或有新操作可用时,服务最有可能更新 Amazon 托管策略。服务不会从 Amazon 托管策略中移除权限,因此策略更新不会破坏您的现有权限。
此外,Amazon Web Services 还支持跨多种服务的工作职能的托管式策略。例如,ReadOnlyAccess Amazon 托管策略提供对所有资源和资源的只读访问权限。当服务启动一项新功能时, Amazon 会为新操作和资源添加只读权限。有关工作职能策略的列表和说明,请参阅 IAM 用户指南中的适用于工作职能的Amazon 托管式策略。
Amazon 托管策略: ComputeOptimizerServiceRolePolicy
Compute Optimizer 采用附加到服务相关角色的 ComputeOptimizerServiceRolePolicy 托管式策略,代表您执行操作。有关更多信息,请参阅将服务相关角色用于 Amazon Compute Optimizer。
您不能将 ComputeOptimizerServiceRolePolicy 附加到自己的 IAM 实体。
权限详细信息
该策略包含以下权限。
-
compute-optimizer - 授予对 Compute Optimizer 中所有资源的完全管理权限。
-
organizations - 允许 Amazon
组织的管理账户选择组织成员账户加入 Compute Optimizer。
-
cloudwatch— 授予访问 CloudWatch 资源指标的权限,以便对其进行分析并生成 Compute Optimizer 资源建议。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ComputeOptimizerFullAccess",
"Effect": "Allow",
"Action": [
"compute-optimizer:*"
],
"Resource": "*"
},
{
"Sid": "AwsOrgsAccess",
"Effect": "Allow",
"Action": [
"organizations:DescribeOrganization",
"organizations:ListAccounts",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:ListDelegatedAdministrators"
],
"Resource": [
"*"
]
},
{
"Sid": "CloudWatchAccess",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricData",
"cloudwatch:DescribeAlarms"
],
"Resource": "*"
},
{
"Sid": "AutoScalingAccess",
"Effect": "Allow",
"Action": [
"autoscaling:DescribeAutoScalingInstances",
"autoscaling:DescribeAutoScalingGroups",
"autoscaling:DescribePolicies",
"autoscaling:DescribeScheduledActions"
],
"Resource": "*"
},
{
"Sid": "Ec2Access",
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeVolumes"
],
"Resource": "*"
}
]
}
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ComputeOptimizerFullAccess",
"Effect": "Allow",
"Action": [
"compute-optimizer:*"
],
"Resource": "*"
},
{
"Sid": "AwsOrgsAccess",
"Effect": "Allow",
"Action": [
"organizations:DescribeOrganization",
"organizations:ListAccounts",
"organizations:ListAWSServiceAccessForOrganization"
],
"Resource": [
"*"
]
},
{
"Sid": "CloudWatchAccess",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricData"
],
"Resource": "*"
}
]
}
Amazon 托管策略: ComputeOptimizerReadOnlyAccess
您可以将 ComputeOptimizerReadOnlyAccess 策略附加到 IAM 身份。
此策略授予只读权限,这样 IAM 用户可以查看 Compute Optimizer 资源建议。
权限详细信息
此策略包括以下内容:
-
compute-optimizer - 授予对 Compute Optimizer 资源建议的只读访问权限。
-
ec2— 授予对亚马逊 EC2 实例和亚马逊 EBS 卷的只读访问权限。
-
autoscaling— 授予对 EC2 Amazon A EC2 uto Scaling 群组的只读访问权限。
-
lambda— 授予对 Amazon Lambda 函数及其配置的只读访问权限。
-
cloudwatch— 授予对 Compute Optimizer 支持的资源类型的亚马逊 CloudWatch 指标数据的只读访问权限。
-
organizations— 授予对 Amazon 组织成员帐户的只读访问权限。
-
ecs - 授予对 Fargate 上 Amazon ECS 服务的访问权限。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"compute-optimizer:DescribeRecommendationExportJobs",
"compute-optimizer:GetEnrollmentStatus",
"compute-optimizer:GetEnrollmentStatusesForOrganization",
"compute-optimizer:GetRecommendationSummaries",
"compute-optimizer:GetEC2InstanceRecommendations",
"compute-optimizer:GetEC2RecommendationProjectedMetrics",
"compute-optimizer:GetAutoScalingGroupRecommendations",
"compute-optimizer:GetEBSVolumeRecommendations",
"compute-optimizer:GetLambdaFunctionRecommendations",
"compute-optimizer:GetRecommendationPreferences",
"compute-optimizer:GetEffectiveRecommendationPreferences",
"compute-optimizer:GetECSServiceRecommendations",
"compute-optimizer:GetECSServiceRecommendationProjectedMetrics",
"compute-optimizer:GetLicenseRecommendations",
"compute-optimizer:GetRDSDatabaseRecommendations",
"compute-optimizer:GetRDSDatabaseRecommendationProjectedMetrics",
"compute-optimizer:GetIdleRecommendations",
"ec2:DescribeInstances",
"ec2:DescribeVolumes",
"ecs:ListServices",
"ecs:ListClusters",
"autoscaling:DescribeAutoScalingGroups",
"autoscaling:DescribeAutoScalingInstances",
"lambda:ListFunctions",
"lambda:ListProvisionedConcurrencyConfigs",
"cloudwatch:GetMetricData",
"organizations:ListAccounts",
"organizations:DescribeOrganization",
"organizations:DescribeAccount",
"rds:DescribeDBInstances",
"rds:DescribeDBClusters"
],
"Resource": "*"
}
]
}
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"compute-optimizer:DescribeRecommendationExportJobs",
"compute-optimizer:GetEnrollmentStatus",
"compute-optimizer:GetEnrollmentStatusesForOrganization",
"compute-optimizer:GetRecommendationSummaries",
"compute-optimizer:GetEC2InstanceRecommendations",
"compute-optimizer:GetEC2RecommendationProjectedMetrics",
"compute-optimizer:GetAutoScalingGroupRecommendations",
"compute-optimizer:GetEBSVolumeRecommendations",
"compute-optimizer:GetLambdaFunctionRecommendations",
"compute-optimizer:GetECSServiceRecommendations",
"compute-optimizer:GetECSServiceRecommendationProjectedMetrics",
"compute-optimizer:GetLicenseRecommendations",
"ec2:DescribeInstances",
"ec2:DescribeVolumes",
"ecs:ListServices",
"ecs:ListClusters",
"autoscaling:DescribeAutoScalingGroups",
"lambda:ListFunctions",
"lambda:ListProvisionedConcurrencyConfigs",
"cloudwatch:GetMetricData",
"organizations:ListAccounts",
"organizations:DescribeOrganization",
"organizations:DescribeAccount"
],
"Resource": "*"
}
]
}
Amazon 托管策略: ComputeOptimizerAutomationServiceRolePolicy
ComputeOptimizerAutomationServiceRolePolicy托管策略附加到服务相关角色,该角色允许 Compute Optimizer 通过 Amazon 管理账户中的资源来实施优化建议。有关更多信息,请参阅 将服务相关角色用于 Amazon Compute Optimizer。
您不能将 ComputeOptimizerAutomationServiceRolePolicy 附加到自己的 IAM 实体。
权限详细信息
该策略包含以下权限:
-
ec2:DescribeVolumes,ec2:DescribeSnapshots, ec2:DescribeVolumesModifications — 授予只读访问权限以查看 Amazon EBS 卷、快照和卷修改状态,以进行监控和验证。
-
ec2:ModifyVolume,ec2:DeleteVolume— 允许修改和删除 Amazon EBS 卷,但仅限于没有exclude-from-compute-optimizer-automation标签的资源。这允许您将资源排除在自动优化操作之外。
-
ec2:CreateSnapshot— 授予在执行优化操作之前创建 Amazon EBS 卷快照以进行备份的权限。
-
ec2:CreateVolume— 允许根据快照创建 Amazon EBS 卷,以便在需要恢复优化操作时支持回滚操作。
-
ec2:CreateTags— 授予向 Amazon EBS 资源添加标签的权限,以跟踪自动化事件和维护资源元数据。
要查看此策略的权限,请参阅ComputeOptimizerAutomationServiceRolePolicy《Amazon
托管策略参考》中的。
Compute Optimizer 对托管策略的 Amazon 更新
查看自该服务开始跟踪这些更改以来,Compute Optimizer Amazon 托管策略更新的详细信息。要获得有关此页面更改的自动提示,请订阅 RSS 源以随时了解本指南。
| 更改 |
描述 |
日期 |
|
编辑到 ComputeOptimizerReadOnlyAccess 托管式策略
|
向 ComputeOptimizerReadOnlyAccess 托管式策略添加了 compute-optimizer:GetLicenseRecommendations 操作。
|
2023 年 7 月 26 日 |
|
编辑到 ComputeOptimizerReadOnlyAccess 托管式策略
|
向 ComputeOptimizerReadOnlyAccess 托管式策略添加了 compute-optimizer:GetECSServiceRecommendations、compute-optimizer:GetECSServiceRecommendationProjectedMetrics、ecs:ListServices 和 ecs:ListClusters 操作。
|
2023 年 3 月 30 日 |
|
编辑到 ComputeOptimizerReadOnlyAccess 托管式策略
|
向 ComputeOptimizerReadOnlyAccess 托管式策略添加了 GetEnrollmentStatusesForOrganization 操作。
|
2021 年 8 月 26 日 |
|
Compute Optimizer 已开始跟踪更改
|
Compute Optimizer 开始跟踪其 Amazon 托管策略的更改。
|
2021 年 5 月 18 日 |