Mindestberechtigungen für AWS PCS - AWS PCS
Mindestberechtigungen zur Verwendung von API-AktionenMindestberechtigungen zur Verwendung von TagsMindestberechtigungen zur Unterstützung von ProtokollenMindestberechtigungen zur Verwendung von Capacity BlocksMindestberechtigungen für einen Dienstadministrator

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Mindestberechtigungen für AWS PCS

In diesem Abschnitt werden die minimalen IAM-Berechtigungen beschrieben, die für eine IAM-Identität (Benutzer, Gruppe oder Rolle) zur Nutzung des Dienstes erforderlich sind.

Mindestberechtigungen zur Verwendung von API-Aktionen

API-Aktion Mindestberechtigungen Zusätzliche Berechtigungen für die Konsole

CreateCluster

 
ec2:CreateNetworkInterface,
ec2:DescribeVpcs,
ec2:DescribeSubnets,
ec2:DescribeSecurityGroups, 
ec2:GetSecurityGroupsForVpc, 
iam:CreateServiceLinkedRole,
secretsmanager:CreateSecret,
secretsmanager:TagResource,
secretsmanager:RotateSecret,
pcs:CreateCluster

ListClusters

 
pcs:ListClusters

GetCluster

 
pcs:GetCluster
 
ec2:DescribeSubnets

DeleteCluster

 
pcs:DeleteCluster

CreateComputeNodeGroup

 
ec2:DescribeVpcs,
ec2:DescribeSubnets,
ec2:DescribeSecurityGroups,
ec2:DescribeLaunchTemplates,
ec2:DescribeLaunchTemplateVersions,
ec2:DescribeInstanceTypes,
ec2:DescribeInstanceTypeOfferings,
ec2:RunInstances,
ec2:CreateFleet,
ec2:CreateTags,
iam:PassRole,
iam:GetInstanceProfile,
pcs:CreateComputeNodeGroup
 
iam:ListInstanceProfiles,
ec2:DescribeImages,
pcs:GetCluster

ListComputerNodeGroups

 
pcs:ListComputeNodeGroups
 
pcs:GetCluster

GetComputeNodeGroup

 
pcs:GetComputeNodeGroup
 
ec2:DescribeSubnets

UpdateComputeNodeGroup

 
ec2:DescribeVpcs,
ec2:DescribeSubnets,
ec2:DescribeSecurityGroups,
ec2:DescribeLaunchTemplates,
ec2:DescribeLaunchTemplateVersions,
ec2:DescribeInstanceTypes,
ec2:DescribeInstanceTypeOfferings,
ec2:RunInstances,
ec2:CreateFleet,
ec2:CreateTags,
iam:PassRole,
iam:GetInstanceProfile,
pcs:UpdateComputeNodeGroup
 
pcs:GetComputeNodeGroup,
iam:ListInstanceProfiles,
ec2:DescribeImages,
pcs:GetCluster

DeleteComputeNodeGroup

 
pcs:DeleteComputeNodeGroup

CreateQueue

 
pcs:CreateQueue
 
pcs:ListComputeNodeGroups,
pcs:GetCluster

ListQueues

 
pcs:ListQueues
 
pcs:GetCluster

GetQueue

 
pcs:GetQueue

UpdateQueue

 
pcs:UpdateQueue
 
pcs:ListComputeNodeGroups,
pcs:GetQueue

DeleteQueue

 
pcs:DeleteQueue

Mindestberechtigungen zur Verwendung von Tags

Die folgenden Berechtigungen sind erforderlich, um Tags mit Ihren Ressourcen in AWS PCS zu verwenden. 

pcs:ListTagsForResource,
pcs:TagResource,
pcs:UntagResource

Mindestberechtigungen zur Unterstützung von Protokollen

AWS PCS sendet Protokolldaten an Amazon CloudWatch Logs (CloudWatch Logs). Sie müssen sicherstellen, dass Ihre Identität über die Mindestberechtigungen zur Verwendung von CloudWatch Logs verfügt. Weitere Informationen finden Sie unter Überblick über die Verwaltung von Zugriffsberechtigungen für Ihre CloudWatch Logs-Ressourcen im Amazon CloudWatch Logs-Benutzerhandbuch.

Informationen zu den Berechtigungen, die für einen Service zum Senden von Protokollen an CloudWatch Logs erforderlich sind, finden Sie unter Aktivieren der Protokollierung von AWS Diensten im Amazon CloudWatch Logs-Benutzerhandbuch.

Mindestberechtigungen zur Verwendung von Capacity Blocks

Amazon EC2 Capacity Blocks for ML ist eine EC2 Kaufoption bei Amazon, mit der Sie im Voraus bezahlen können, um GPU-basierte Accelerated Computing-Instances innerhalb eines bestimmten Datums und Zeitbereichs zu reservieren, um Workloads mit kurzer Dauer zu unterstützen. Weitere Informationen finden Sie unter Verwenden von Amazon EC2 Capacity Blocks für ML mit AWS PCS.

Sie entscheiden sich dafür, Capacity Blocks zu verwenden, wenn Sie eine Rechenknotengruppe erstellen oder aktualisieren. Die IAM-Identität, die Sie zum Erstellen oder Aktualisieren der Compute-Knotengruppe verwenden, muss über die folgenden Berechtigungen verfügen:

ec2:DescribeCapacityReservations

Mindestberechtigungen für einen Dienstadministrator

Die folgende IAM-Richtlinie legt die Mindestberechtigungen fest, die für eine IAM-Identität (Benutzer, Gruppe oder Rolle) erforderlich sind, um den AWS PCS-Service zu konfigurieren und zu verwalten.

Anmerkung

Benutzer, die den Dienst nicht konfigurieren und verwalten, benötigen diese Berechtigungen nicht. Benutzer, die nur Jobs ausführen, verwenden Secure Shell (SSH), um eine Verbindung zum Cluster herzustellen. AWS Identity and Access Management (IAM) kümmert sich nicht um die Authentifizierung oder Autorisierung für SSH.

{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "PCSAccess",
      "Effect": "Allow",
      "Action": [
        "pcs:*"
      ],
      "Resource": "*"
    },
    {
      "Sid": "EC2Access",
      "Effect": "Allow",
      "Action": [
        "ec2:CreateNetworkInterface",
        "ec2:DescribeImages",
        "ec2:GetSecurityGroupsForVpc",
        "ec2:DescribeSubnets",
        "ec2:DescribeSecurityGroups",
        "ec2:DescribeVpcs",
        "ec2:DescribeLaunchTemplates",
        "ec2:DescribeLaunchTemplateVersions",
        "ec2:DescribeInstanceTypes",
        "ec2:DescribeInstanceTypeOfferings",
        "ec2:RunInstances",
        "ec2:CreateFleet",
        "ec2:CreateTags",
        "ec2:DescribeCapacityReservations"
      ],
      "Resource": "*"
    },
    {
      "Sid": "IamInstanceProfile",
      "Effect": "Allow",
      "Action": [
        "iam:GetInstanceProfile"
      ],
      "Resource": "*"
    },
    {
      "Sid": "IamPassRole",
      "Effect": "Allow",
      "Action": [
        "iam:PassRole"
      ],
      "Resource": [
        "arn:aws:iam::*:role/*/AWSPCS*",
        "arn:aws:iam::*:role/AWSPCS*",
        "arn:aws:iam::*:role/aws-pcs/*",
        "arn:aws:iam::*:role/*/aws-pcs/*"
      ],
      "Condition": {
        "StringEquals": {
           "iam:PassedToService": [
             "ec2.amazonaws.com"
           ]
        }
      }
    },
    {
      "Sid": "SLRAccess",
      "Effect": "Allow",
      "Action": [
        "iam:CreateServiceLinkedRole"
      ],
      "Resource": [
        "arn:aws:iam::*:role/aws-service-role/pcs.amazonaws.com/AWSServiceRoleFor*",
        "arn:aws:iam::*:role/aws-service-role/spot.amazonaws.com/AWSServiceRoleFor*"
      ],
      "Condition": {
        "StringLike": {
          "iam:AWSServiceName": [
            "pcs.amazonaws.com",
            "spot.amazonaws.com"
          ]
        }
      }
    },
    {
      "Sid": "AccessKMSKey",
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "kms:Encrypt",
        "kms:GenerateDataKey",
        "kms:CreateGrant",
        "kms:DescribeKey"
      ],
      "Resource": "*"
    },
    {
      "Sid": "SecretManagementAccess",
      "Effect": "Allow",
      "Action": [
        "secretsmanager:CreateSecret",
        "secretsmanager:TagResource",
        "secretsmanager:UpdateSecret",
        "secretsmanager:RotateSecret"
      ],
      "Resource": "*"
    },
    { 
       "Sid": "ServiceLogsDelivery",
       "Effect": "Allow",
       "Action": [
         "pcs:AllowVendedLogDeliveryForResource",
         "logs:PutDeliverySource",
         "logs:PutDeliveryDestination",
         "logs:CreateDelivery"
       ],
       "Resource": "*"
    }
  ]
}