Izin minimum untuk AWS PCS - AWS PCS
Izin minimum untuk menggunakan tindakan APIIzin minimum untuk menggunakan tagIzin minimum untuk mendukung logIzin minimum untuk menggunakan Blok KapasitasIzin minimum untuk administrator layanan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Izin minimum untuk AWS PCS

Bagian ini menjelaskan izin IAM minimum yang diperlukan untuk identitas IAM (pengguna, grup, atau peran) untuk menggunakan layanan.

Izin minimum untuk menggunakan tindakan API

Tindakan API Izin minimum Izin tambahan untuk konsol

CreateCluster

 
ec2:CreateNetworkInterface,
ec2:DescribeVpcs,
ec2:DescribeSubnets,
ec2:DescribeSecurityGroups, 
ec2:GetSecurityGroupsForVpc, 
iam:CreateServiceLinkedRole,
secretsmanager:CreateSecret,
secretsmanager:TagResource,
secretsmanager:RotateSecret,
pcs:CreateCluster

ListClusters

 
pcs:ListClusters

GetCluster

 
pcs:GetCluster
 
ec2:DescribeSubnets

DeleteCluster

 
pcs:DeleteCluster

CreateComputeNodeGroup

 
ec2:DescribeVpcs,
ec2:DescribeSubnets,
ec2:DescribeSecurityGroups,
ec2:DescribeLaunchTemplates,
ec2:DescribeLaunchTemplateVersions,
ec2:DescribeInstanceTypes,
ec2:DescribeInstanceTypeOfferings,
ec2:RunInstances,
ec2:CreateFleet,
ec2:CreateTags,
iam:PassRole,
iam:GetInstanceProfile,
pcs:CreateComputeNodeGroup
 
iam:ListInstanceProfiles,
ec2:DescribeImages,
pcs:GetCluster

ListComputerNodeGroups

 
pcs:ListComputeNodeGroups
 
pcs:GetCluster

GetComputeNodeGroup

 
pcs:GetComputeNodeGroup
 
ec2:DescribeSubnets

UpdateComputeNodeGroup

 
ec2:DescribeVpcs,
ec2:DescribeSubnets,
ec2:DescribeSecurityGroups,
ec2:DescribeLaunchTemplates,
ec2:DescribeLaunchTemplateVersions,
ec2:DescribeInstanceTypes,
ec2:DescribeInstanceTypeOfferings,
ec2:RunInstances,
ec2:CreateFleet,
ec2:CreateTags,
iam:PassRole,
iam:GetInstanceProfile,
pcs:UpdateComputeNodeGroup
 
pcs:GetComputeNodeGroup,
iam:ListInstanceProfiles,
ec2:DescribeImages,
pcs:GetCluster

DeleteComputeNodeGroup

 
pcs:DeleteComputeNodeGroup

CreateQueue

 
pcs:CreateQueue
 
pcs:ListComputeNodeGroups,
pcs:GetCluster

ListQueues

 
pcs:ListQueues
 
pcs:GetCluster

GetQueue

 
pcs:GetQueue

UpdateQueue

 
pcs:UpdateQueue
 
pcs:ListComputeNodeGroups,
pcs:GetQueue

DeleteQueue

 
pcs:DeleteQueue

Izin minimum untuk menggunakan tag

Izin berikut diperlukan untuk menggunakan tag dengan sumber daya Anda di AWS PCS. 

pcs:ListTagsForResource,
pcs:TagResource,
pcs:UntagResource

Izin minimum untuk mendukung log

AWS PCS mengirimkan data log ke Amazon CloudWatch Logs (CloudWatch Log). Anda harus memastikan bahwa identitas Anda memiliki izin minimum untuk menggunakan CloudWatch Log. Untuk informasi selengkapnya, lihat Ringkasan mengelola izin akses ke sumber daya CloudWatch Log Anda di Panduan Pengguna Amazon CloudWatch Logs.

Untuk informasi tentang izin yang diperlukan bagi layanan untuk mengirim CloudWatch log ke Log, lihat Mengaktifkan logging dari AWS layanan di Panduan Pengguna Amazon CloudWatch Logs.

Izin minimum untuk menggunakan Blok Kapasitas

Amazon EC2 Capacity Blocks for MLadalah opsi EC2 pembelian Amazon yang memungkinkan Anda membayar di muka untuk memesan instans komputasi akselerasi berbasis GPU dalam rentang tanggal dan waktu tertentu untuk mendukung beban kerja berdurasi pendek. Untuk informasi selengkapnya, lihat Menggunakan Blok EC2 Kapasitas Amazon untuk ML dengan AWS PCS.

Anda memilih untuk menggunakan Blok Kapasitas saat membuat atau memperbarui grup node komputasi. Identitas IAM yang Anda gunakan untuk membuat atau memperbarui grup node komputasi harus memiliki izin berikut:

ec2:DescribeCapacityReservations

Izin minimum untuk administrator layanan

Kebijakan IAM berikut menentukan izin minimum yang diperlukan untuk identitas IAM (pengguna, grup, atau peran) untuk mengonfigurasi dan mengelola layanan PCS. AWS

catatan

Pengguna yang tidak mengonfigurasi dan mengelola layanan tidak memerlukan izin ini. Pengguna yang hanya menjalankan pekerjaan menggunakan shell aman (SSH) untuk terhubung ke cluster. AWS Identity and Access Management (IAM) tidak menangani otentikasi atau otorisasi untuk SSH.

{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "PCSAccess",
      "Effect": "Allow",
      "Action": [
        "pcs:*"
      ],
      "Resource": "*"
    },
    {
      "Sid": "EC2Access",
      "Effect": "Allow",
      "Action": [
        "ec2:CreateNetworkInterface",
        "ec2:DescribeImages",
        "ec2:GetSecurityGroupsForVpc",
        "ec2:DescribeSubnets",
        "ec2:DescribeSecurityGroups",
        "ec2:DescribeVpcs",
        "ec2:DescribeLaunchTemplates",
        "ec2:DescribeLaunchTemplateVersions",
        "ec2:DescribeInstanceTypes",
        "ec2:DescribeInstanceTypeOfferings",
        "ec2:RunInstances",
        "ec2:CreateFleet",
        "ec2:CreateTags",
        "ec2:DescribeCapacityReservations"
      ],
      "Resource": "*"
    },
    {
      "Sid": "IamInstanceProfile",
      "Effect": "Allow",
      "Action": [
        "iam:GetInstanceProfile"
      ],
      "Resource": "*"
    },
    {
      "Sid": "IamPassRole",
      "Effect": "Allow",
      "Action": [
        "iam:PassRole"
      ],
      "Resource": [
        "arn:aws:iam::*:role/*/AWSPCS*",
        "arn:aws:iam::*:role/AWSPCS*",
        "arn:aws:iam::*:role/aws-pcs/*",
        "arn:aws:iam::*:role/*/aws-pcs/*"
      ],
      "Condition": {
        "StringEquals": {
           "iam:PassedToService": [
             "ec2.amazonaws.com"
           ]
        }
      }
    },
    {
      "Sid": "SLRAccess",
      "Effect": "Allow",
      "Action": [
        "iam:CreateServiceLinkedRole"
      ],
      "Resource": [
        "arn:aws:iam::*:role/aws-service-role/pcs.amazonaws.com/AWSServiceRoleFor*",
        "arn:aws:iam::*:role/aws-service-role/spot.amazonaws.com/AWSServiceRoleFor*"
      ],
      "Condition": {
        "StringLike": {
          "iam:AWSServiceName": [
            "pcs.amazonaws.com",
            "spot.amazonaws.com"
          ]
        }
      }
    },
    {
      "Sid": "AccessKMSKey",
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "kms:Encrypt",
        "kms:GenerateDataKey",
        "kms:CreateGrant",
        "kms:DescribeKey"
      ],
      "Resource": "*"
    },
    {
      "Sid": "SecretManagementAccess",
      "Effect": "Allow",
      "Action": [
        "secretsmanager:CreateSecret",
        "secretsmanager:TagResource",
        "secretsmanager:UpdateSecret",
        "secretsmanager:RotateSecret"
      ],
      "Resource": "*"
    },
    { 
       "Sid": "ServiceLogsDelivery",
       "Effect": "Allow",
       "Action": [
         "pcs:AllowVendedLogDeliveryForResource",
         "logs:PutDeliverySource",
         "logs:PutDeliveryDestination",
         "logs:CreateDelivery"
       ],
       "Resource": "*"
    }
  ]
}