Amazon 的托管策略 Amazon Compute Optimizer - Amazon Compute Optimizer
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon 的托管策略 Amazon Compute Optimizer

要为用户、群组和角色添加权限,请考虑使用 Amazon 托管策略,而不是自己编写策略。创建仅为团队提供所需权限的 IAM 客户托管式策略需要时间和专业知识。要快速入门,您可以使用 Amazon 托管式策略。这些策略涵盖常见使用案例,可在您的 Amazon Web Services 账户中使用。有关 Amazon 托管策略的更多信息,请参阅 IAM 用户指南中的Amazon 托管策略

Amazon Web Services 维护和更新 Amazon 托管策略。您无法更改 Amazon 托管策略中的权限。服务偶尔会向 Amazon 托管策略添加其他权限以支持新功能。此类更新会影响附加策略的所有身份(用户、组和角色)。当推出新功能或有新操作可用时,服务最有可能更新 Amazon 托管策略。服务不会从 Amazon 托管策略中移除权限,因此策略更新不会破坏您的现有权限。

此外,Amazon Web Services 还支持跨多种服务的工作职能的托管式策略。例如,ReadOnlyAccess Amazon 托管策略提供对所有资源和资源的只读访问权限。当服务启动一项新功能时, Amazon 会为新操作和资源添加只读权限。有关工作职能策略的列表和说明,请参阅 IAM 用户指南中的适用于工作职能的Amazon 管理型策略

Amazon 托管策略: ComputeOptimizerServiceRolePolicy

附加到服务相关角色的 ComputeOptimizerServiceRolePolicy 托管式策略允许 Compute Optimizer 代表您执行操作。有关更多信息,请参阅 将服务相关角色用于 Amazon Compute Optimizer

注意

您不能将 ComputeOptimizerServiceRolePolicy 附加到自己的 IAM 实体。

权限详细信息

该策略包含以下权限。

  • compute-optimizer - 授予对 Compute Optimizer 中所有资源的完全管理权限。

  • organizations - 允许 Amazon 组织的管理账户选择组织成员账户加入 Compute Optimizer。

  • cloudwatch— 授予访问 CloudWatch 资源指标的权限,以便对其进行分析并生成 Compute Optimizer 资源建议。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ComputeOptimizerFullAccess", "Effect": "Allow", "Action": [ "compute-optimizer:*" ], "Resource": "*" }, { "Sid": "AwsOrgsAccess", "Effect": "Allow", "Action": [ "organizations:DescribeOrganization", "organizations:ListAccounts", "organizations:ListAWSServiceAccessForOrganization" ], "Resource": [ "*" ] }, { "Sid": "CloudWatchAccess", "Effect": "Allow", "Action": [ "cloudwatch:GetMetricData" ], "Resource": "*" } ] }

Amazon 托管策略: ComputeOptimizerReadOnlyAccess

您可以将 ComputeOptimizerReadOnlyAccess 策略附加到 IAM 身份。

此策略授予只读权限,允许 IAM 用户查看 Compute Optimizer 资源建议。

权限详细信息

此策略包括以下内容:

  • compute-optimizer - 授予对 Compute Optimizer 资源建议的只读访问权限。

  • ec2 - 授予对 Amazon EC2 实例和 Amazon EBS 卷的只读访问权限。

  • autoscaling - 授予对自动扩缩组的只读访问权限。

  • lambda— 授予对 Amazon Lambda 函数及其配置的只读访问权限。

  • cloudwatch— 授予对 Compute Optimizer 支持的资源类型的亚马逊 CloudWatch 指标数据的只读访问权限。

  • organizations— 授予对 Amazon 组织成员帐户的只读访问权限。

  • ecs - 授予对 Fargate 上 Amazon ECS 服务的访问权限。

  • rds— 授予对 Amazon RDS 实例和集群的只读访问权限。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "compute-optimizer:DescribeRecommendationExportJobs", "compute-optimizer:GetEnrollmentStatus", "compute-optimizer:GetEnrollmentStatusesForOrganization", "compute-optimizer:GetRecommendationSummaries", "compute-optimizer:GetEC2InstanceRecommendations", "compute-optimizer:GetEC2RecommendationProjectedMetrics", "compute-optimizer:GetAutoScalingGroupRecommendations", "compute-optimizer:GetEBSVolumeRecommendations", "compute-optimizer:GetLambdaFunctionRecommendations", "compute-optimizer:GetECSServiceRecommendations", "compute-optimizer:GetECSServiceRecommendationProjectedMetrics", "compute-optimizer:GetLicenseRecommendations", "ec2:DescribeInstances", "ec2:DescribeVolumes", "ecs:ListServices", "ecs:ListClusters", "autoscaling:DescribeAutoScalingGroups", "lambda:ListFunctions", "lambda:ListProvisionedConcurrencyConfigs", "cloudwatch:GetMetricData", "organizations:ListAccounts", "organizations:DescribeOrganization", "organizations:DescribeAccount" ], "Resource": "*" } ] }

Compute Optimizer 对托管策略的 Amazon 更新

查看自该服务开始跟踪这些更改以来,Compute Optimizer Amazon 托管策略更新的详细信息。要获得有关此页面更改的自动提示,请订阅 RSS 源以随时了解本指南。

更改 描述 日期

编辑到 ComputeOptimizerReadOnlyAccess 托管式策略

ComputeOptimizerReadOnlyAccess 托管式策略添加了 compute-optimizer:GetLicenseRecommendations 操作。

2023 年 7 月 26 日

编辑到 ComputeOptimizerReadOnlyAccess 托管式策略

ComputeOptimizerReadOnlyAccess 托管式策略添加了 compute-optimizer:GetECSServiceRecommendationscompute-optimizer:GetECSServiceRecommendationProjectedMetricsecs:ListServicesecs:ListClusters 操作。

2023 年 3 月 30 日

编辑到 ComputeOptimizerReadOnlyAccess 托管式策略

ComputeOptimizerReadOnlyAccess 托管式策略添加了 GetEnrollmentStatusesForOrganization 操作。

2021 年 8 月 26 日

Compute Optimizer 已开始跟踪更改

Compute Optimizer 开始跟踪其 Amazon 托管策略的更改。

2021 年 5 月 18 日