Políticas gerenciadas AWS para o AWS Batch
Você pode usar políticas gerenciadas da AWS para gerenciamento de acesso de identidade mais simples da sua equipe e dos recursos provisionados da AWS. As políticas gerenciadas da AWS abrangem uma variedade de casos de uso comuns, e estão disponíveis por padrão na sua conta da AWS, mantidas e atualizadas em seu nome. Não é possível alterar as permissões em políticas gerenciadas AWS. Se o requisito for maior flexibilidade, você também pode optar por criar políticas gerenciadas pelo cliente do IAM. Dessa forma, você pode fornecer a sua equipe recursos provisionados apenas com as permissões exatas de que ela precisa.
Para mais informações sobre as políticas gerenciadas da AWS, consulte Políticas Gerenciadas da AWS no Guia do Usuário do IAM.
Os serviços da AWS mantêm e atualizam políticas gerenciadas da AWS em seu nome. Periodicamente, os serviços da AWS incluem permissões adicionais a uma política da AWS gerenciada. As políticas gerenciadas da AWS provavelmente serão atualizadas quando o lançamento ou operação de um novo atributo for disponibilizado. Essas atualizações afetam automaticamente todas as identidades (usuários, grupos e perfis) em que a política está anexada. No entanto, eles não removem as permissões nem interrompem as permissões existentes.
Além disso, a AWS oferece apoio a políticas gerenciadas para perfis de trabalho que abrangem vários serviços. Por exemplo, a política gerenciada ReadOnlyAccess da AWS concede acesso somente leitura a todos os serviços e recursos da AWS. Quando um serviço inicia um novo atributo, a AWS adiciona permissões somente leitura para novas operações e atributos. Para obter uma lista e descrições das políticas de função do trabalho, consulte Políticas Gerenciadas pela AWS para Funções de Trabalho no Guia do Usuário do IAM.
Política gerenciada pela AWS: BatchServiceRolePolicy
A política de IAM gerenciada BatchServiceRolePolicy é usada pelo perfil vinculada a serviço AWSServiceRoleForBatch. Isso permite que o AWS Batch execute ações em seu nome. Não é possível anexar essa política a suas entidades do IAM. Para obter mais informações, consulte Uso de funções vinculadas ao serviço do AWS Batch.
Esta política permite que AWS Batch conclua as seguintes ações nos recursos específicos:
-
autoscaling: permite que o AWS Batch crie e gerencie recursos do Amazon EC2 Auto Scaling. O AWS Batch cria e gerencia grupos do Amazon EC2 Auto Scaling para a maioria dos ambientes de computação. -
ec2: permite que o AWS Batch controle o ciclo de vida das instâncias do Amazon EC2, além de criar e gerenciar modelos e etiquetas de lançamento. O AWS Batch cria e gerencia solicitações de frotas Spot do EC2 para alguns ambientes de computação do EC2 Spot. -
ecs– permite que o AWS Batch crie e gerencie clusters do Amazon ECS, definições de tarefas e tarefas para a execução de trabalhos. -
eks: permite que o AWS Batch descreva o recurso de cluster do Amazon EKS para validações. -
iam: permite que o AWS Batch valide e passe perfis fornecidas pelo proprietário para o Amazon EC2, Amazon EC2 Auto Scaling e Amazon ECS. -
logs: permite que o AWS Batch crie e gerencie grupos de logs e fluxos de logs para trabalhos do AWS Batch.
Para ver o JSON da política, consulte BatchServiceRolePolicy no Guia de referência de políticas gerenciadas AWS.
Política gerenciada AWS: AWSBatchServiceRolePolicyForSageMaker
O AWSServiceRoleForAWSBatchWithSagemaker permite que o AWS Batch execute ações em seu nome. Não é possível anexar essa política a suas entidades do IAM. Para obter mais informações, consulte Uso de funções vinculadas ao serviço do AWS Batch.
Esta política permite que AWS Batch conclua as seguintes ações nos recursos específicos:
-
sagemaker— Permite ao AWS Batch gerenciar trabalhos de treinamento de IA do SageMaker e outros recursos do SageMaker AI. -
iam:PassRole— Permite ao AWS Batch passar funções de execução definidas pelo cliente para o SageMaker AI para execução de trabalhos. A restrição de recursos permite passar funções para os serviços do SageMaker AI.
Para visualizar o JSON da política, consulte AWSBatchServiceRolePolicyForSageMaker no Guia de referência de políticas gerenciadas AWS.
Política gerenciada da AWS: política AWSBatchServiceRole
A política de permissões de perfil vinculado a serviço AWSBatchServiceRole permite que o AWS Batch conclua as seguintes ações nos recursos especificados:
A política de IAM gerenciada AWSBatchServiceRole é frequentemente usada por uma perfil denominada AWSBatchServiceRole e inclui as seguintes permissões. Ao seguir o aviso de segurança padrão de concessão de privilégios mínimos, a política gerenciada AWSBatchServiceRole pode ser usada como um guia. Se qualquer permissão concedida na política gerenciada não for necessária para o seu caso de uso, crie uma política personalizada e adicione apenas as permissões necessárias. Essa política e perfil gerenciados pelo AWS Batch podem ser usados com a maioria dos tipos de ambiente computacional, mas o uso do perfil vinculada ao serviço é preferível para uma experiência gerenciada menos propensa a erros, com melhor escopo e aprimorada.
-
autoscaling: permite que o AWS Batch crie e gerencie recursos do Amazon EC2 Auto Scaling. O AWS Batch cria e gerencia grupos do Amazon EC2 Auto Scaling para a maioria dos ambientes de computação. -
ec2: permite que o AWS Batch gerence o ciclo de vida das instâncias do Amazon EC2, além de criar e gerenciar modelos e etiquetas de lançamento. O AWS Batch cria e gerencia solicitações de frotas Spot do EC2 para alguns ambientes de computação do EC2 Spot. -
ecs– permite que o AWS Batch crie e gerencie clusters do Amazon ECS, definições de tarefas e tarefas para a execução de trabalhos. -
iam: permite que o AWS Batch valide e passe perfis fornecidas pelo proprietário para o Amazon EC2, Amazon EC2 Auto Scaling e Amazon ECS. -
logs: permite que o AWS Batch crie e gerencie grupos de logs e fluxos de logs para trabalhos do AWS Batch.
Para visualizar o JSON da política, consulte AWSBatchServiceRole no Guia de referência de políticas gerenciadas AWS.
Política gerenciada pela AWS: AWSBatchFullAccess
A política AWSBatchFullAccess concede às ações do AWS Batch acesso total aos recursos do AWS Batch. Também concede acesso para descrever e listar ações para serviços Amazon EC2, Amazon ECS, Amazon EKS, CloudWatch e IAM. O motivo é fazer com que as identidades do IAM, sejam usuárias ou perfis e possam visualizar os recursos gerenciados do AWS Batch criados em seu nome. Por fim, essa política também permite que perfis selecionados do IAM sejam passadas para esses serviços.
Você pode anexar AWSBatchFullAccess às suas entidades do IAM. O AWS Batch também anexa essa política a um perfil de serviço que permite que o AWS Batch realize ações em seu nome.
Para visualizar o JSON da política, consulte AWSBatchFullAccess no Guia de referência de políticas gerenciadas AWS.
Atualizações do AWS Batch para políticas gerenciadas pela AWS
Visualizar detalhes sobre atualizações em políticas gerenciadas pela AWS para o AWS Batch desde que esse serviço começou a monitorar essas alterações. Para receber alertas automáticos sobre alterações feitas nesta página, inscreva-se no feed de RSS na páginaAWS Batch Document History (Histórico do documento).
| Alteração | Descrição | Data |
|---|---|---|
|
Política AWSBatchServiceRolePolicyForSageMaker adicionada |
Foi adicionada uma nova política gerenciada AWS para a função vinculada ao serviço AWSBatchServiceRolePolicyForSageMaker, que permite ao AWS Batch gerenciar o SageMaker AI em seu nome. |
31 de julho de 2025 |
|
Política BatchServiceRolePolicy atualizada |
Atualização para adicionar suporte à descrição do histórico de solicitações do Spot Fleet e de atividades do Amazon EC2 Auto Scaling. |
5 de dezembro de 2023 |
|
Política AWSBatchServiceRole adicionada |
Atualização para adicionar IDs de extrato, conceder permissões do AWS Batch ao |
5 de dezembro de 2023 |
|
Política de BatchServiceRolePolicy atualizada |
Atualizada para adicionar suporte à descrição de clusters do Amazon EKS. |
20 de outubro de 2022 |
|
Política de AWSBatchFullAccess atualizada |
Atualizada para adicionar suporte a listagem e descrição de clusters do Amazon EKS. |
20 de outubro de 2022 |
|
Política de BatchServiceRolePolicy atualizada |
Atualizada para suportar grupos de reserva de capacidade do Amazon EC2 gerenciados por AWS Resource Groups. Para obter mais informações, consulte Trabalhar com grupos de reserva de capacidade, no Guia do usuário do Amazon EC2. |
18 de maio de 2022 |
|
Políticas BatchServiceRolePolicy e AWSBatchServiceRole atualizadas |
Atualizadas para suportar descrever o status das instâncias gerenciadas do AWS Batch no Amazon EC2 para que as instâncias não íntegras sejam substituídas. |
6 de dezembro de 2021 |
|
Política de BatchServiceRolePolicy atualizada |
Atualizada para adicionar suporte para grupos de posicionamento, reserva de capacidade, GPU elástica e recursos do Elastic Inference no Amazon EC2. |
26 de março de 2021 |
|
Política de BatchServiceRolePolicy adicionada |
Com a política gerenciada BatchServiceRolePolicy para a função vinculada ao serviço AWSServiceRoleForBatch, você pode usar uma função vinculada ao serviço gerenciada pelo AWS Batch. Com essa política, você não precisa manter sua própria função para uso em ambientes computacionais. |
10 de março de 2021 |
|
AWSBatchFullAccess: adicione permissão para adicionar uma função vinculada ao serviço |
Adicione permissões do IAM para permitir que o perfil vinculado ao AWSServiceRoleForBatch seja adicionado a conta. |
10 de março de 2021 |
|
O AWS Batch iniciou o rastreamento das alterações |
O AWS Batch começou a monitorar as alterações para as políticas gerenciadas pela AWS. |
10 de março de 2021 |
