Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Funzionamento di Amazon EC2 Auto Scaling con IAM
Prima di utilizzare IAM per gestire l'accesso a Dimensionamento automatico Amazon EC2, è necessario comprendere quali funzioni IAM sono disponibili per l'uso con Dimensionamento automatico Amazon EC2.
| Funzionalità IAM | Supporto di Dimensionamento automatico Amazon EC2 |
|---|---|
|
Sì |
|
|
No |
|
|
Sì |
|
|
Sì |
|
|
Sì |
|
|
No |
|
|
Parziale |
|
|
Sì |
|
|
Sì |
|
|
Sì |
Per avere una visione di alto livello del funzionamento di Amazon EC2 Auto Scaling e di Servizi AWS altro tipo con la maggior parte delle funzionalità IAM, Servizi AWS consulta la sezione relativa alla compatibilità con IAM nella IAM User Guide.
Policy basate su identità Dimensionamento automatico Amazon EC2
Supporta le policy basate sull’identità: sì
Le policy basate sull'identità sono documenti di policy di autorizzazione JSON che è possibile allegare a un'identità (utente, gruppo di utenti o ruolo IAM). Tali policy definiscono le operazioni che utenti e ruoli possono eseguire, su quali risorse e in quali condizioni. Per informazioni su come creare una policy basata su identità, consulta Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente nella Guida per l’utente di IAM.
Con le policy basate sull’identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o respinte, nonché le condizioni in base alle quali le operazioni sono consentite o respinte. Per informazioni su tutti gli elementi utilizzabili in una policy JSON, consulta Guida di riferimento agli elementi delle policy JSON IAM nella Guida per l’utente IAM.
Policy basate su risorse di Dimensionamento automatico Amazon EC2
Supporta le policy basate su risorse: no
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Esempi di policy basate sulle risorse sono le policy di attendibilità dei ruoli IAM e le policy di bucket Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. Quando è collegata a una risorsa, una policy definisce le operazioni che un principale può eseguire su tale risorsa e a quali condizioni. In una policy basata sulle risorse è obbligatorio specificare un’entità principale. I principali possono includere account, utenti, ruoli, utenti federati o. Servizi AWS
Per consentire l’accesso multi-account, è possibile specificare un intero account o entità IAM in un altro account come entità principale in una policy basata sulle risorse. Per ulteriori informazioni, consulta Accesso a risorse multi-account in IAM nella Guida per l’utente IAM.
Operazioni di policy per Dimensionamento automatico Amazon EC2
Supporta le operazioni di policy: si
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale entità principale può eseguire operazioni su quali risorse e in quali condizioni.
L'elemento Action di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso in una policy. Includere le operazioni in una policy per concedere le autorizzazioni a eseguire l’operazione associata.
Per visualizzare un elenco delle operazioni Dimensionamento automatico Amazon EC2, consulta Operazioni definite da Dimensionamento automatico Amazon EC2 nella Documentazione di riferimento alla autorizzazione di servizio.
Le operazioni delle policy in Dimensionamento automatico Amazon EC2 utilizzano il seguente prefisso prima dell'operazione:
autoscaling
Per specificare più operazioni in una sola istruzione, occorre separarle con la virgola.
"Action": [ "autoscaling:action1", "autoscaling:action2" ]
Puoi anche specificare più operazioni utilizzando i caratteri jolly (*). Ad esempio, per specificare tutte le azioni che iniziano con la parola Describe, includi la seguente azione:
"Action": "autoscaling:Describe*"
Risorse per le policy per Dimensionamento automatico Amazon EC2
Supporta le risorse relative alle policy: sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale entità principale può eseguire operazioni su quali risorse e in quali condizioni.
L’elemento JSON Resource della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Come best practice, specifica una risorsa utilizzando il suo nome della risorsa Amazon (ARN). Per le azioni che non supportano le autorizzazioni a livello di risorsa, si utilizza un carattere jolly (*) per indicare che l’istruzione si applica a tutte le risorse.
"Resource": "*"
È possibile utilizzarlo ARNs per identificare i gruppi di Auto Scaling e avviare le configurazioni a cui si applica la policy IAM.
Un gruppo con dimensionamento automatico ha il seguente ARN.
"Resource": "arn:aws:autoscaling:region:account-id:autoScalingGroup:uuid:autoScalingGroupName/asg-name"Una configurazione di avvio ha il seguente ARN.
"Resource": "arn:aws:autoscaling:region:account-id:launchConfiguration:uuid:launchConfigurationName/lc-name"Per specificare un gruppo con dimensionamento automatico con l'operazione CreateAutoScalingGroup, devi sostituire l'UUID con un carattere jolly (*), come mostrato di seguito.
"Resource": "arn:aws:autoscaling:region:account-id:autoScalingGroup:*:autoScalingGroupName/asg-name"Per specificare una configurazione di avvio con l'operazione CreateLaunchConfiguration, devi sostituire l'UUID con un carattere jolly (*), come mostrato di seguito.
"Resource": "arn:aws:autoscaling:region:account-id:launchConfiguration:*:launchConfigurationName/lc-name"Per ulteriori informazioni sui tipi di risorse di Amazon EC2 Auto Scaling e ARNs relativi, consulta Resources defined by Amazon EC2 Auto Scaling nel Service Authorization Reference. Per informazioni sulle operazioni con cui è possibile specificare l'ARN di ogni risorsa, consulta Operazioni definite da Dimensionamento automatico Amazon EC2.
Nota
Per un esempio di policy IAM che utilizza ARNs per controllare l'accesso ai gruppi di Auto Scaling, consulta. Verifica quale gruppo con dimensionamento automatico è possibile eliminare
Non tutte le operazioni Dimensionamento automatico Amazon EC2 supportano le autorizzazioni a livello di risorsa. Per le operazioni che non supportano le autorizzazioni a livello di risorsa, è necessario utilizzare un carattere joly (*) come risorsa.
Le seguenti Dimensionamento automatico Amazon EC2 non supportano le autorizzazioni a livello di risorsa.
-
DescribeAccountLimits -
DescribeAdjustmentTypes -
DescribeAutoScalingGroups -
DescribeAutoScalingInstances -
DescribeAutoScalingNotificationTypes -
DescribeInstanceRefreshes -
DescribeLaunchConfigurations -
DescribeLifecycleHooks -
DescribeLifecycleHookTypes -
DescribeLoadBalancers -
DescribeLoadBalancerTargetGroups -
DescribeMetricCollectionTypes -
DescribeNotificationConfigurations -
DescribePolicies -
DescribeScalingActivities -
DescribeScalingProcessTypes -
DescribeScheduledActions -
DescribeTags -
DescribeTerminationPolicyTypes -
DescribeWarmPool
Chiavi di condizione della policy per Dimensionamento automatico Amazon EC2
Supporta le chiavi di condizione delle policy specifiche del servizio: sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale entità principale può eseguire operazioni su quali risorse e in quali condizioni.
L’elemento Condition specifica quando le istruzioni vengono eseguite in base a criteri definiti. È possibile compilare espressioni condizionali che utilizzano operatori di condizione, ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di contesto delle condizioni AWS globali nella Guida per l'utente IAM.
Dimensionamento automatico Amazon EC2 supporta le seguenti chiavi di condizione che possono essere utilizzate per controllare l'accesso alle operazioni supportate e sulla configurazione dei gruppi con dimensionamento automatico:
-
autoscaling:InstanceTypes -
autoscaling:LaunchConfigurationName -
autoscaling:LaunchTemplateVersionSpecified -
autoscaling:LoadBalancerNames -
autoscaling:MaxSize -
autoscaling:MinSize -
autoscaling:ResourceTag/key-name:tag-value -
autoscaling:TargetGroupARNs -
autoscaling:VPCZoneIdentifiers -
autoscaling:ForceDelete
Le seguenti chiavi di condizione sono specifiche per creare richieste di configurazione di avvio:
-
autoscaling:ImageId -
autoscaling:InstanceType -
autoscaling:MetadataHttpEndpoint -
autoscaling:MetadataHttpPutResponseHopLimit -
autoscaling:MetadataHttpTokens -
autoscaling:SpotPrice
Dimensionamento automatico Amazon EC2 supporta anche le seguenti chiavi di condizione globali che puoi utilizzare per definire le autorizzazioni in base ai tag nella richiesta o presenti nel gruppo con dimensionamento automatico. Per ulteriori informazioni, consulta Tag di gruppi e istanze Auto Scaling.
-
aws:RequestTag/key-name:tag-value -
aws:ResourceTag/key-name:tag-value -
aws:TagKeys:[tag-key, ...]
Per scoprire con quali operazioni API di Dimensionamento automatico Amazon EC2 puoi utilizzare una chiave di condizione, consulta Operazioni definite da Dimensionamento automatico Amazon EC2 nella Documentazione di riferimento alla autorizzazione di servizio. Per ulteriori informazioni sull'utilizzo delle chiavi di condizione di Dimensionamento automatico Amazon EC2, consulta Chiavi di condizione per Dimensionamento automatico Amazon EC2.
Nota
Per esempi di policy IAM che utilizzano le chiavi di condizione per controllare l'accesso alle operazioni supportate e sull'applicazione della configurazione dei gruppi con dimensionamento automatico, consulta le seguenti risorse:
-
Richiesta di un modello di avvio e di un numero di versione— Questo esempio impone che un modello di avvio e il numero di versione del modello di avvio debbano essere specificati durante la creazione o l'aggiornamento dei gruppi di Auto Scaling.
-
Controlla le dimensioni dei gruppi con dimensionamento automatico che possono essere creati— Questo esempio impone vincoli sui possibili valori per le
MaxSizeproprietàMinSizeand durante la creazione o l'aggiornamento di gruppi Auto Scaling con un tag specifico. -
Verifica di quali policy di dimensionamento sia possibile eliminare— Questo esempio impone che l'eliminazione delle policy di scaling sia consentita solo per i gruppi Auto Scaling senza un tag specifico.
ACL in Dimensionamento automatico Amazon EC2
Supporti: No ACLs
Le liste di controllo degli accessi (ACLs) controllano quali principali (membri dell'account, utenti o ruoli) dispongono delle autorizzazioni per accedere a una risorsa. ACLs sono simili alle politiche basate sulle risorse, sebbene non utilizzino il formato del documento di policy JSON.
ABAC con Dimensionamento automatico Amazon EC2
Supporta ABAC (tag nelle policy): parzialmente
Il controllo degli accessi basato su attributi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base agli attributi, chiamati tag. È possibile allegare tag a entità e AWS risorse IAM, quindi progettare politiche ABAC per consentire operazioni quando il tag del principale corrisponde al tag sulla risorsa.
Per controllare l’accesso basato su tag, fornire informazioni sui tag nell’elemento condizione di una policy utilizzando le chiavi di condizione aws:ResourceTag/, key-nameaws:RequestTag/ o key-nameaws:TagKeys.
Se un servizio supporta tutte e tre le chiavi di condizione per ogni tipo di risorsa, il valore per il servizio è Sì. Se un servizio supporta tutte e tre le chiavi di condizione solo per alcuni tipi di risorsa, allora il valore sarà Parziale.
Per maggiori informazioni su ABAC, consulta Definizione delle autorizzazioni con autorizzazione ABAC nella Guida per l’utente di IAM. Per visualizzare un tutorial con i passaggi per l’impostazione di ABAC, consulta Utilizzo del controllo degli accessi basato su attributi (ABAC) nella Guida per l’utente di IAM.
ABAC è possibile per le risorse che supportano i tag, ma non tutto supporta i tag. Le configurazioni di avvio e le policy di dimensionamento non supportano i tag, ma i gruppi con dimensionamento automatico supportano i tag.
Per ulteriori informazioni, consulta Tag di gruppi e istanze Auto Scaling.
Utilizzo di credenziali temporanee con Dimensionamento automatico Amazon EC2
Supporta le credenziali temporanee: sì
Le credenziali temporanee forniscono l'accesso a breve termine alle AWS risorse e vengono create automaticamente quando si utilizza la federazione o si cambia ruolo. AWS consiglia di generare dinamicamente credenziali temporanee anziché utilizzare chiavi di accesso a lungo termine. Per ulteriori informazioni, consulta Credenziali di sicurezza temporanee in IAM e Servizi AWS compatibili con IAM nella Guida per l’utente IAM.
Ruoli di servizio per Dimensionamento automatico Amazon EC2
Supporta i ruoli di servizio: sì
Un ruolo di servizio è un ruolo IAM che un servizio assume per eseguire operazioni per tuo conto. Un amministratore IAM può creare, modificare ed eliminare un ruolo di servizio dall’interno di IAM. Per ulteriori informazioni, consulta Create a role to delegate permissions to an Servizio AWS nella Guida per l’utente IAM.
Quando si crea un hook del ciclo di vita che notifica un argomento Amazon SNS o una coda di Amazon SQS, è necessario specificare un ruolo per consentire a Dimensionamento automatico Amazon EC2 di accedere ad Amazon SNS o Amazon SQS per conto dell'utente. Utilizzare la console IAM per impostare il ruolo di servizio per il hook del ciclo di vita. La console consente di creare un ruolo con un set sufficiente di autorizzazioni utilizzando una policy gestita. Per ulteriori informazioni, consultare Ricezione di notifiche tramite Amazon SNS e Ricezione di notifiche tramite Amazon SQS.
Quando crei un gruppo Auto Scaling, puoi facoltativamente assegnare un ruolo di servizio per consentire alle istanze Amazon EC2 di accedere ad altre istanze per tuo conto. Servizi AWS Il ruolo di servizio per le istanze Amazon EC2 (chiamate anche profilo dell'istanza Amazon EC2 per un modello di avvio o configurazione di avvio) è un tipo speciale di ruolo di servizio che viene assegnato a ogni istanza EC2 in un gruppo con dimensionamento automatico quando l'istanza viene avviata. Puoi utilizzare la console IAM e creare o modificare AWS CLI questo ruolo di servizio. Per ulteriori informazioni, consulta Ruoli IAM per le applicazioni in esecuzione sulle istanze Amazon EC2.
avvertimento
La modifica delle autorizzazioni per un ruolo di servizio potrebbe compromettere la funzionalità di Dimensionamento automatico Amazon EC2. Modifica i ruoli del servizio solo quando Dimensionamento automatico Amazon EC2 fornisce le indicazioni per farlo.
Ruoli collegati ai servizi per Dimensionamento automatico Amazon EC2
Supporta i ruoli collegati ai servizi: sì
Un ruolo collegato al servizio è un tipo di ruolo di servizio collegato a un. Servizio AWS Il servizio può assumere il ruolo per eseguire un’operazione per tuo conto. I ruoli collegati al servizio vengono visualizzati nel tuo account Account AWS e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati al servizio, ma non modificarle.
Per dettagli su come creare e gestire i ruoli collegati ai servizi Amazon EC2 Auto Scaling, consulta Ruoli collegati ai servizi per Dimensionamento automatico Amazon EC2.
