翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
の Identity and Access Management AWS Compute Optimizer
AWS Identity and Access Management (IAM) を使用して ID (ユーザー、グループ、またはロール) を作成し、それらの ID に AWS Compute Optimizer コンソールと APIs へのアクセス許可を付与できます。
デフォルトでは、IAM ユーザーには Compute Optimizer コンソールと API へのアクセス権はありません。IAM ポリシーを単一のユーザー、ユーザーのグループ、またはロールにアタッチすることで、ユーザーにアクセス権を付与します。詳細については、「ID (ユーザー、グループ、ロール)」と「IAM ユーザーガイドの IAM ポリシーの概要」を参照してください。
IAM ユーザーを作成したら、これらのユーザーに個別のパスワードを付与できます。ユーザーは、アカウント固有のサインインページを使用して、アカウントにサインインし、Compute Optimizer の情報を表示できます。詳細については、「ユーザーがアカウントにサインインする方法」を参照してください。
重要
-
EC2 インスタンスのレコメンデーションを表示するには、IAM ユーザーに
ec2:DescribeInstances権限が必要です。 -
EBS ボリュームに関するレコメンデーションを表示するには、IAM ユーザーに
ec2:DescribeVolumes権限が必要です。 -
EC2 Auto Scaling グループのレコメンデーションを表示するには、IAM ユーザーには
autoscaling:DescribeAutoScalingGroupsおよび アクセスautoscaling:DescribeAutoScalingInstances許可が必要です。 -
Lambda 関数のレコメンデーションを表示するには、IAM ユーザーに
lambda:ListFunctionsおよびlambda:ListProvisionedConcurrencyConfigs権限が必要です。 -
Fargate の Amazon ECS サービスに関するレコメンデーションを表示するには、IAM ユーザーに
ecs:ListServicesおよびecs:ListClusters権限が必要です。 -
Compute Optimizer コンソールで現在の CloudWatch メトリクス データを表示するには、IAM ユーザーの
cloudwatch:GetMetricData権限が必要です。 -
推奨商用ソフトウェアライセンスを表示するには、特定の Amazon EC2 インスタンスロールと IAM ユーザー権限が必要です。詳細については、「商用ソフトウェアライセンス推奨を有効にするポリシー」を参照してください。
-
Amazon RDS に関するレコメンデーションを表示するには、IAM ユーザーに
rds:DescribeDBInstancesとrds:DescribeDBClustersのアクセス許可が必要です。
アクセス許可を付与するユーザーまたはグループに既にポリシーがある場合は、そのポリシーに対して、ここに示した Compute Optimizer 固有のポリシーステートメントを追加できます。
の信頼されたアクセス AWS Organizations
組織の管理アカウントを使用することをオプトインし、組織内のすべてのメンバー アカウントを含めると、Compute Optimizer の信頼されたアクセスが組織アカウントで自動的に有効になります。これにより、Compute Optimizer がメンバーアカウントのコンピューティングリソースを分析し、レコメンデーションを生成することができます。
メンバー アカウントのレコメンデーションにアクセスするたびに、Compute Optimizer は組織アカウントで信頼されたアクセスが有効であることを確認します。オプトインした後に Compute Optimizer の信頼されたアクセスを無効にすると、Compute Optimizer は組織のメンバー アカウントのレコメンデーションへのアクセスを拒否します。さらに、組織内のメンバーアカウントは Compute Optimizer にオプトインされていません。信頼されたアクセスを再度有効にするには、組織の管理アカウントを使用して Compute Optimizer に再度オプトインし、組織のすべてのメンバーアカウントを含めてください。詳細については、「へのオプトイン AWS Compute Optimizer」を参照してください。 AWS Organizations 信頼されたアクセスの詳細については、「 AWS Organizations ユーザーガイド」の「 を他の AWS のサービス AWS Organizations で使用する」を参照してください。
Compute Optimizer のポリシー例
トピック
Compute Optimizer へのオプトインに関するポリシー
このポリシーステートメントにより、以下が付与されます。
-
Compute Optimizer にオプトインするためのアクセス権。
-
Compute Optimizer のサービスリンクロールを作成するためのアクセス権。詳細については、「のサービスにリンクされたロールの使用 AWS Compute Optimizer」を参照してください。
-
Compute Optimizer サービスへの登録ステータスを更新するためのアクセス権。
重要
AWS Compute Optimizerにオプトインするには、この IAM ロールが必要です。
スタンドアロンの Compute Optimizer へのアクセスを許可するポリシー AWS アカウント
次のポリシーステートメントは、スタンドアロン AWS アカウントに Compute Optimizer へのフルアクセスを許可します。
次のポリシーステートメントは、スタンドアロン AWS アカウントに Compute Optimizer への読み取り専用アクセスを許可します。
組織の管理アカウントに Compute Optimizer へのアクセス権を付与するポリシー
次のポリシーステートメントは、組織の管理アカウントに Compute Optimizer へのフルアクセス権を付与します。
次のポリシーステートメントは、組織のマスターアカウントに Compute Optimizer への読み取り専用アクセス権を付与します。
Compute Optimizer のレコメンデーション設定を管理するアクセス権を付与するポリシー
次のポリシーステートメントは、レコメンデーション設定を表示および編集するためのアクセス権を付与します。
EC2 インスタンスのレコメンデーション設定のみを管理するアクセス権を付与する
EC2 Auto Scaling グループのレコメンデーション設定のみを管理するためのアクセス権を付与する
RDS インスタンスのレコメンデーション設定のみを管理するアクセス権を付与する
商用ソフトウェアライセンス推奨を有効にするポリシー
Compute Optimizer がライセンスレコメンデーションを生成するには、次の Amazon EC2 インスタンスロールとポリシーをアタッチします。
-
System Manager を有効にする
AmazonSSMManagedInstanceCoreロール。詳細については、AWS Systems Manager ユーザー ガイド の AWS Systems Manager ID ベースのポリシーの例を参照してください。 -
インスタンスのメトリクスとログを CloudWatch
CloudWatchAgentServerPolicyにリリースできるようにするポリシー。詳細については、Amazon CloudWatch CloudWatch ユーザーガイド の「CloudWatch エージェントで使用する IAM ロールとユーザーの作成」を参照してください。 -
次の IAM インラインポリシーステートメントは、 AWS Systems Managerに格納されているシークレットの Microsoft SQL Server 接続文字列を読み取ります。インラインポリシーの詳細については、「AWS Identity and Access Management IAM ユーザーガイド」 の「マネージドポリシーとインラインポリシー」を参照してください。
さらに、ライセンスに関するレコメンデーションを有効にし、受け取るには、ユーザー、グループ、ロールに次の IAM ポリシーをアタッチします。詳細については、Amazon CloudWatch ユーザーガイドの IAM ポリシーを参照してください。
Compute Optimizer へのアクセスを拒否するポリシー
次のポリシーステートメントは Compute Optimizer へのアクセスを拒否します。
自動化のポリシー例
トピック
アカウントのオートメーションを有効にするポリシー
次のポリシーステートメントは、 アカウントのオートメーションを有効にします。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/aco-automation.amazonaws.com/AWSServiceRoleForComputeOptimizerAutomation", "Condition": {"StringLike": {"iam:AWSServiceName": "aco-automation.amazonaws.com"}} }, { "Effect": "Allow", "Action": [ "iam:PutRolePolicy", "iam:AttachRolePolicy" ], "Resource": "arn:aws:iam::*:role/aws-service-role/aco-automation.amazonaws.com/AWSServiceRoleForComputeOptimizerAutomation" }, { "Effect": "Allow", "Action": "aco-automation:UpdateEnrollmentConfiguration", "Resource": "*" } ] }
組織全体で自動化を有効にするポリシー
次のポリシーステートメントは、組織全体で自動化を有効にします。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/aco-automation.amazonaws.com/AWSServiceRoleForComputeOptimizerAutomation", "Condition": {"StringLike": {"iam:AWSServiceName": "aco-automation.amazonaws.com"}} }, { "Effect": "Allow", "Action": [ "iam:PutRolePolicy", "iam:AttachRolePolicy" ], "Resource": "arn:aws:iam::*:role/aws-service-role/aco-automation.amazonaws.com/AWSServiceRoleForComputeOptimizerAutomation" }, { "Effect": "Allow", "Action": "aco-automation:UpdateEnrollmentConfiguration", "Resource": "*" }, { "Effect": "Allow", "Action": "aco-automation:AssociateAccounts", "Resource": "*" }, { "Effect": "Allow", "Action": "aco-automation:DisassociateAccounts", "Resource": "*" }, { "Effect": "Allow", "Action": "aco-automation:ListAccounts", "Resource": "*" } ] }
スタンドアロン AWS アカウントの Compute Optimizer Automation へのフルアクセスを付与するポリシー
次のポリシーは、スタンドアロン AWS アカウントの Compute Optimizer Automation へのフルアクセスを許可します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aco-automation:*", "ec2:DescribeVolumes" ], "Resource": "*" } ] }
スタンドアロン AWS アカウントの Compute Optimizer Automation への読み取り専用アクセスを許可するポリシー
次のポリシーは、スタンドアロン AWS アカウントの Compute Optimizer Automation への読み取り専用アクセスを許可します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aco-automation:GetEnrollmentConfiguration", "aco-automation:GetAutomationEvent", "aco-automation:GetAutomationRule", "aco-automation:ListAutomationEvents", "aco-automation:ListAutomationEventSteps", "aco-automation:ListAutomationEventSummaries", "aco-automation:ListAutomationRules", "aco-automation:ListAutomationRulePreview", "aco-automation:ListAutomationRulePreviewSummaries", "aco-automation:ListRecommendedActions", "aco-automation:ListRecommendedActionSummaries", "aco-automation:ListTagsForResource", "ec2:DescribeVolumes" ], "Resource": "*" } ] }
組織の管理アカウントに Compute Optimizer Automation へのフルアクセスを付与するポリシー
次のポリシーは、組織の管理アカウントの Compute Optimizer Automation へのフルアクセスを許可します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aco-automation:*", "ec2:DescribeVolumes", "organizations:ListAccounts", "organizations:DescribeOrganization", "organizations:DescribeAccount", "organizations:EnableAWSServiceAccess", "organizations:ListDelegatedAdministrators", "organizations:RegisterDelegatedAdministrator", "organizations:DeregisterDelegatedAdministrator" ], "Resource": "*" } ] }
組織の管理アカウントに Compute Optimizer Automation への読み取り専用アクセスを付与するポリシー
次のポリシーは、組織の管理アカウントに Compute Optimizer Automation への読み取り専用アクセスを許可します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "aco-automation:GetEnrollmentConfiguration", "aco-automation:GetAutomationEvent", "aco-automation:GetAutomationRule", "aco-automation:ListAccounts", "aco-automation:ListAutomationEvents", "aco-automation:ListAutomationEventSteps", "aco-automation:ListAutomationEventSummaries", "aco-automation:ListAutomationRules", "aco-automation:ListAutomationRulePreview", "aco-automation:ListAutomationRulePreviewSummaries", "aco-automation:ListRecommendedActions", "aco-automation:ListRecommendedActionSummaries", "aco-automation:ListTagsForResource", "ec2:DescribeVolumes" ], "Resource": "*" } ] }
その他のリソース
