本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon 的托管策略 Amazon Compute Optimizer
要为用户、群组和角色添加权限,请考虑使用 Amazon 托管策略,而不是自己编写策略。创建仅为团队提供所需权限的 IAM 客户托管式策略需要时间和专业知识。要快速入门,您可以使用 Amazon 托管式策略。这些策略涵盖常见使用案例,可在您的 Amazon Web Services 账户中使用。有关 Amazon 托管策略的更多信息,请参阅 IAM 用户指南中的Amazon 托管策略。
Amazon Web Services 维护和更新 Amazon 托管策略。您无法更改 Amazon 托管策略中的权限。服务偶尔会向 Amazon 托管策略添加其他权限以支持新功能。此类更新会影响附加策略的所有身份(用户、组和角色)。当推出新功能或有新操作可用时,服务最有可能更新 Amazon 托管策略。服务不会从 Amazon 托管策略中移除权限,因此策略更新不会破坏您的现有权限。
此外,Amazon Web Services 还支持跨多种服务的工作职能的托管式策略。例如,ReadOnlyAccess Amazon 托管策略提供对所有资源和资源的只读访问权限。当服务启动一项新功能时, Amazon 会为新操作和资源添加只读权限。有关工作职能策略的列表和说明,请参阅 IAM 用户指南中的适用于工作职能的Amazon 管理型策略。
Amazon 托管策略: ComputeOptimizerServiceRolePolicy
附加到服务相关角色的 ComputeOptimizerServiceRolePolicy 托管式策略允许 Compute Optimizer 代表您执行操作。有关更多信息,请参阅 将服务相关角色用于 Amazon Compute Optimizer。
注意
您不能将 ComputeOptimizerServiceRolePolicy 附加到自己的 IAM 实体。
权限详细信息
该策略包含以下权限。
-
compute-optimizer- 授予对 Compute Optimizer 中所有资源的完全管理权限。 -
organizations- 允许 Amazon 组织的管理账户选择组织成员账户加入 Compute Optimizer。 -
cloudwatch— 授予访问 CloudWatch 资源指标的权限,以便对其进行分析并生成 Compute Optimizer 资源建议。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ComputeOptimizerFullAccess", "Effect": "Allow", "Action": [ "compute-optimizer:*" ], "Resource": "*" }, { "Sid": "AwsOrgsAccess", "Effect": "Allow", "Action": [ "organizations:DescribeOrganization", "organizations:ListAccounts", "organizations:ListAWSServiceAccessForOrganization" ], "Resource": [ "*" ] }, { "Sid": "CloudWatchAccess", "Effect": "Allow", "Action": [ "cloudwatch:GetMetricData" ], "Resource": "*" } ] }
Amazon 托管策略: ComputeOptimizerReadOnlyAccess
您可以将 ComputeOptimizerReadOnlyAccess 策略附加到 IAM 身份。
此策略授予只读权限,允许 IAM 用户查看 Compute Optimizer 资源建议。
权限详细信息
此策略包括以下内容:
-
compute-optimizer- 授予对 Compute Optimizer 资源建议的只读访问权限。 -
ec2- 授予对 Amazon EC2 实例和 Amazon EBS 卷的只读访问权限。 -
autoscaling- 授予对自动扩缩组的只读访问权限。 -
lambda— 授予对 Amazon Lambda 函数及其配置的只读访问权限。 -
cloudwatch— 授予对 Compute Optimizer 支持的资源类型的亚马逊 CloudWatch 指标数据的只读访问权限。 -
organizations— 授予对 Amazon 组织成员帐户的只读访问权限。 -
ecs- 授予对 Fargate 上 Amazon ECS 服务的访问权限。 -
rds— 授予对 Amazon RDS 实例和集群的只读访问权限。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "compute-optimizer:DescribeRecommendationExportJobs", "compute-optimizer:GetEnrollmentStatus", "compute-optimizer:GetEnrollmentStatusesForOrganization", "compute-optimizer:GetRecommendationSummaries", "compute-optimizer:GetEC2InstanceRecommendations", "compute-optimizer:GetEC2RecommendationProjectedMetrics", "compute-optimizer:GetAutoScalingGroupRecommendations", "compute-optimizer:GetEBSVolumeRecommendations", "compute-optimizer:GetLambdaFunctionRecommendations", "compute-optimizer:GetECSServiceRecommendations", "compute-optimizer:GetECSServiceRecommendationProjectedMetrics", "compute-optimizer:GetLicenseRecommendations", "ec2:DescribeInstances", "ec2:DescribeVolumes", "ecs:ListServices", "ecs:ListClusters", "autoscaling:DescribeAutoScalingGroups", "lambda:ListFunctions", "lambda:ListProvisionedConcurrencyConfigs", "cloudwatch:GetMetricData", "organizations:ListAccounts", "organizations:DescribeOrganization", "organizations:DescribeAccount" ], "Resource": "*" } ] }
Compute Optimizer 对托管策略的 Amazon 更新
查看自该服务开始跟踪这些更改以来,Compute Optimizer Amazon 托管策略更新的详细信息。要获得有关此页面更改的自动提示,请订阅 RSS 源以随时了解本指南。
| 更改 | 描述 | 日期 |
|---|---|---|
|
编辑到 |
向 |
2023 年 7 月 26 日 |
|
编辑到 |
向 |
2023 年 3 月 30 日 |
|
编辑到 |
向 |
2021 年 8 月 26 日 |
|
Compute Optimizer 已开始跟踪更改 |
Compute Optimizer 开始跟踪其 Amazon 托管策略的更改。 |
2021 年 5 月 18 日 |