本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
适用于 Amazon Compute Optimizer 的 Amazon 托管式策略
要向用户、组和角色添加权限,请考虑使用 Amazon 托管式策略,而不要自己编写策略。创建仅为团队提供所需权限的 IAM 客户托管式策略需要时间和专业知识。要快速入门,您可以使用 Amazon 托管式策略。这些策略涵盖常见使用案例,可在您的 Amazon Web Services 账户 中使用。有关 Amazon 托管式策略的更多信息,请参阅《IAM 用户指南》中的Amazon 托管式策略。
Amazon Web Services 负责维护和更新 Amazon 托管策略。您无法更改 Amazon 托管策略中的权限。服务偶尔会向 Amazon 托管策略添加额外权限以支持新特征。此类更新会影响附加策略的所有身份(用户、组和角色)。当启动新特征或新操作可用时,服务最有可能会更新 Amazon 托管策略。服务不会从 Amazon 托管式策略中删除权限,因此策略更新不会破坏您的现有权限。
此外,Amazon Web Services 还支持跨多种服务的工作职能的托管式策略。例如,ReadOnlyAccessAmazon托管策略提供对所有资源和资源的只读访问权限。当服务启动新特征时,Amazon 会为新操作和资源添加只读权限。有关工作职能策略的列表和说明,请参阅《IAM 用户指南》中的适用于工作职能的 Amazon 托管策略。
Amazon托管策略: ComputeOptimizerServiceRolePolicy
附加到服务相关角色的 ComputeOptimizerServiceRolePolicy 托管式策略允许 Compute Optimizer 代表您执行操作。有关更多信息,请参阅对 Amazon Compute Optimizer 使用服务相关角色。
注意
您不能将 ComputeOptimizerServiceRolePolicy 附加到自己的 IAM 实体。
权限详细信息
该策略包含以下权限。
-
compute-optimizer- 授予对 Compute Optimizer 中所有资源的完全管理权限。 -
organizations- 允许 Amazon 组织的管理账户选择组织成员账户加入 Compute Optimizer。 -
cloudwatch— 授予访问 CloudWatch 资源指标的权限,以便对其进行分析并生成 Compute Optimizer 资源建议。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ComputeOptimizerFullAccess", "Effect": "Allow", "Action": [ "compute-optimizer:*" ], "Resource": "*" }, { "Sid": "AwsOrgsAccess", "Effect": "Allow", "Action": [ "organizations:DescribeOrganization", "organizations:ListAccounts", "organizations:ListAWSServiceAccessForOrganization" ], "Resource": [ "*" ] }, { "Sid": "CloudWatchAccess", "Effect": "Allow", "Action": [ "cloudwatch:GetMetricData" ], "Resource": "*" } ] }
Amazon托管策略: ComputeOptimizerReadOnlyAccess
您可以将 ComputeOptimizerReadOnlyAccess 策略附加到 IAM 身份。
此策略授予只读权限,允许 IAM 用户查看 Compute Optimizer 资源建议。
权限详细信息
此策略包括以下内容:
-
compute-optimizer- 授予对 Compute Optimizer 资源建议的只读访问权限。 -
ec2- 授予对 Amazon EC2 实例和 Amazon EBS 卷的只读访问权限。 -
autoscaling- 授予对自动扩缩组的只读访问权限。 -
lambda- 授予对 Amazon Lambda 函数及其配置的只读访问权限。 -
cloudwatch— 授予对 Compute Optimizer 支持的资源类型的亚马逊 CloudWatch 指标数据的只读访问权限。 -
organizations- 授予对 Amazon 组织成员账户的只读访问权限。 -
ecs- 授予对 Fargate 上 Amazon ECS 服务的访问权限。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "compute-optimizer:DescribeRecommendationExportJobs", "compute-optimizer:GetEnrollmentStatus", "compute-optimizer:GetEnrollmentStatusesForOrganization", "compute-optimizer:GetRecommendationSummaries", "compute-optimizer:GetEC2InstanceRecommendations", "compute-optimizer:GetEC2RecommendationProjectedMetrics", "compute-optimizer:GetAutoScalingGroupRecommendations", "compute-optimizer:GetEBSVolumeRecommendations", "compute-optimizer:GetLambdaFunctionRecommendations", "compute-optimizer:GetECSServiceRecommendations", "compute-optimizer:GetECSServiceRecommendationProjectedMetrics", "compute-optimizer:GetLicenseRecommendations", "ec2:DescribeInstances", "ec2:DescribeVolumes", "ecs:ListServices", "ecs:ListClusters", "autoscaling:DescribeAutoScalingGroups", "lambda:ListFunctions", "lambda:ListProvisionedConcurrencyConfigs", "cloudwatch:GetMetricData", "organizations:ListAccounts", "organizations:DescribeOrganization", "organizations:DescribeAccount" ], "Resource": "*" } ] }
Compute Optimizer 对 Amazon 托管式策略的更新
查看有关自此服务开始跟踪这些更改起,Compute Optimizer 的 Amazon 托管式策略更新的详细信息。要获得有关此页面更改的自动提示,请订阅 RSS 源以随时了解本指南。
| 更改 | 描述 | 日期 |
|---|---|---|
|
编辑到 |
向 |
2023 年 7 月 26 日 |
|
编辑到 |
向 |
2023 年 3 月 30 日 |
|
编辑到 |
向 |
2021 年 8 月 26 日 |
|
Compute Optimizer 已开始跟踪更改 |
Compute Optimizer 已开始跟踪其 Amazon 托管式策略的更改。 |
2021 年 5 月 18 日 |