As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Identity and Access Management para AWS Compute Optimizer
Você pode usar AWS Identity and Access Management (IAM) para criar identidades (usuários, grupos ou funções) e conceder a essas identidades permissões para acessar o AWS Compute Optimizer console e. APIs
Por padrão, os usuários do IAM não têm acesso ao console do Compute Optimizer e. APIs Para conceder acesso aos usuários, você pode anexar políticas do IAM a um único usuário, um grupo de usuários ou uma função. Para obter mais informações, consulte [Identidades (usuários, grupos e funções)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) e [Visão geral das políticas do IAM no Guia do usuário do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/PoliciesOverview.html).
Depois de criar usuários do IAM, é possível oferecer a esses usuários senhas individuais. Em seguida, eles poderão fazer login em sua conta e exibir as informações do Compute Optimizer usando uma página de login específica da conta. Para obter mais informações, consulte [Como usuários fazem login na conta](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_how-users-sign-in.html).
**Importante**
Para ver as recomendações para instâncias do EC2, o usuário do IAM precisa da permissão `ec2:DescribeInstances`.
Para ver as recomendações para volumes do EBS, o usuário do IAM precisa da permissão `ec2:DescribeVolumes`.
Para ver as recomendações para grupos do EC2 Auto Scaling, um usuário do IAM `autoscaling:DescribeAutoScalingGroups` precisa `autoscaling:DescribeAutoScalingInstances` das permissões e.
Para ver recomendações para funções do Lambda, o usuário do IAM precisa das permissões `lambda:ListFunctions` e `lambda:ListProvisionedConcurrencyConfigs`.
Para ver recomendações para serviços do Amazon ECS no Fargate, o usuário do IAM precisa das permissões `ecs:ListServices` e `ecs:ListClusters`.
Para visualizar os dados de CloudWatch métricas atuais no console do Compute Optimizer, um usuário do IAM precisa da permissão. `cloudwatch:GetMetricData`
Para ver recomendações de licenças de software comercial, certas funções de instâncias do Amazon EC2 e permissões de usuário do IAM são necessárias. Para ter mais informações, consulte [Políticas para permitir recomendações de licenças de software comercial](#license-access).
Para visualizar recomendações referentes ao Amazon RDS, o usuário do IAM precisa das permissões `rds:DescribeDBInstances` e `rds:DescribeDBClusters`.
Se o usuário ou grupo ao qual você deseja conceder permissões já tem uma política, é possível adicionar a essa política uma instrução específica do Compute Optimizer demonstrada aqui.
**Topics**
+ [Acesso confiável para AWS Organizations](#trusted-service-access)
+ [Exemplos de políticas para o Compute Optimizer](#CO-policy-examples)
+ [Exemplos de políticas para automação](#COA-policy-example)
+ [Recursos adicionais do](#iam-resources)
## Acesso confiável para AWS Organizations
Quando você opta por usar a conta de gerenciamento da organização e inclui todas as contas dos membros dela, o acesso confiável ao Compute Optimizer é habilitado automaticamente na conta da organização. Isso permite que o Compute Optimizer analise os recursos computacionais nessas contas de membros e gere recomendações para elas.
Sempre que você acessa recomendações para contas de membros, o Compute Optimizer verifica se o acesso confiável está habilitado na conta da sua organização. Se você desabilitar o acesso confiável do Compute Optimizer depois de aceitar a opção, o Compute Optimizer negará o acesso às recomendações para as contas de membros da organização. Além disso, as contas de membros da organização não estão habilitadas para o Compute Optimizer. Para reativar o acesso confiável, opte por usar o Compute Optimizer novamente usando a conta de gerenciamento da organização e inclua todas as contas de membros na organização. Para obter mais informações, consulte [Optando por AWS Compute Optimizer](account-opt-in.md). Para obter mais informações sobre acesso AWS Organizations confiável, consulte [Usando AWS Organizations com outros AWS serviços](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html) no *Guia do AWS Organizations usuário*.
## Exemplos de políticas para o Compute Optimizer
**Topics**
+ [Política de aceitação de uso do Compute Optimizer](#opting-in-access)
+ [Políticas para conceder acesso ao Compute Optimizer para uso autônomo Contas da AWS](#standalone-account-access)
+ [Políticas para conceder acesso ao Compute Optimizer para uma conta de gerenciamento de uma organização](#organization-account-access)
+ [Políticas para conceder acesso para gerenciar as preferências de recomendação do Compute Optimizer](#enhanced-infrastructure-metrics-permissions)
+ [Políticas para permitir recomendações de licenças de software comercial](#license-access)
+ [Política para negar acesso ao Compute Optimizer](#deny-access)
### Política de aceitação de uso do Compute Optimizer
Esta declaração de política concede o seguinte:
+ Acesso para optar pelo Compute Optimizer.
+ Acesso para criar um perfil vinculado ao serviço do Compute Optimizer. Para obter mais informações, consulte [Usando funções vinculadas a serviços para AWS Compute Optimizer](using-service-linked-roles.md).
+ Acesso para atualizar o status da inscrição no serviço Compute Optimizer.
**Importante**
Esse perfil do IAM é necessário para optar pelo AWS Compute Optimizer.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer*",
"Condition": {"StringLike": {"iam:AWSServiceName": "compute-optimizer.amazonaws.com"}}
},
{
"Effect": "Allow",
"Action": "iam:PutRolePolicy",
"Resource": "arn:aws:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer"
},
{
"Effect": "Allow",
"Action": "compute-optimizer:UpdateEnrollmentStatus",
"Resource": "*"
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws-cn:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer*",
"Condition": {"StringLike": {"iam:AWSServiceName": "compute-optimizer.amazonaws.com"}}
},
{
"Effect": "Allow",
"Action": "iam:PutRolePolicy",
"Resource": "arn:aws-cn:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer"
},
{
"Effect": "Allow",
"Action": "compute-optimizer:UpdateEnrollmentStatus",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "organizations:DescribeOrganization",
"Resource": "*"
}
]
}
```
------
### Políticas para conceder acesso ao Compute Optimizer para uso autônomo Contas da AWS
A declaração de política a seguir concede acesso total ao Compute Optimizer para Contas da AWS autônomas.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"compute-optimizer:*",
"ec2:DescribeInstances",
"ec2:DescribeVolumes",
"ecs:ListServices",
"ecs:ListClusters",
"autoscaling:DescribeAutoScalingGroups",
"autoscaling:DescribeAutoScalingInstances",
"lambda:ListFunctions",
"lambda:ListProvisionedConcurrencyConfigs",
"cloudwatch:GetMetricData"
],
"Resource": "*"
}
]
}
```
------
A declaração de política a seguir concede acesso somente leitura ao Compute Optimizer para Contas da AWS autônomas.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"compute-optimizer:GetEnrollmentStatus",
"compute-optimizer:GetEffectiveRecommendationPreferences",
"compute-optimizer:GetRecommendationPreferences",
"compute-optimizer:GetRecommendationSummaries",
"compute-optimizer:GetEC2InstanceRecommendations",
"compute-optimizer:GetEC2RecommendationProjectedMetrics",
"compute-optimizer:GetAutoScalingGroupRecommendations",
"compute-optimizer:GetEBSVolumeRecommendations",
"compute-optimizer:GetLambdaFunctionRecommendations",
"compute-optimizer:DescribeRecommendationExportJobs",
"compute-optimizer:GetEffectiveRecommendationPreferences",
"compute-optimizer:GetRecommendationPreferences",
"compute-optimizer:GetECSServiceRecommendations",
"compute-optimizer:GetECSServiceRecommendationProjectedMetrics",
"compute-optimizer:GetRDSDatabaseRecommendations",
"compute-optimizer:GetRDSDatabaseRecommendationProjectedMetrics",
"compute-optimizer:GetIdleRecommendations",
"ec2:DescribeInstances",
"ec2:DescribeVolumes",
"ecs:ListServices",
"ecs:ListClusters",
"autoscaling:DescribeAutoScalingGroups",
"autoscaling:DescribeAutoScalingInstances",
"lambda:ListFunctions",
"lambda:ListProvisionedConcurrencyConfigs",
"cloudwatch:GetMetricData",
"rds:DescribeDBInstances",
"rds:DescribeDBClusters"
],
"Resource": "*"
}
]
}
```
------
### Políticas para conceder acesso ao Compute Optimizer para uma conta de gerenciamento de uma organização
A declaração de política a seguir concede acesso total ao Compute Optimizer para uma conta de gerenciamento da sua organização.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"compute-optimizer:*",
"ec2:DescribeInstances",
"ec2:DescribeVolumes",
"ecs:ListServices",
"ecs:ListClusters",
"autoscaling:DescribeAutoScalingGroups",
"autoscaling:DescribeAutoScalingInstances",
"lambda:ListFunctions",
"lambda:ListProvisionedConcurrencyConfigs",
"cloudwatch:GetMetricData",
"organizations:ListAccounts",
"organizations:DescribeOrganization",
"organizations:DescribeAccount",
"organizations:EnableAWSServiceAccess",
"organizations:ListDelegatedAdministrators",
"organizations:RegisterDelegatedAdministrator",
"organizations:DeregisterDelegatedAdministrator"
],
"Resource": "*"
}
]
}
```
------
A declaração de política a seguir concede acesso somente leitura ao Compute Optimizer para uma conta de gerenciamento da sua organização.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"compute-optimizer:GetEnrollmentStatus",
"compute-optimizer:GetEnrollmentStatusesForOrganization",
"compute-optimizer:GetRecommendationSummaries",
"compute-optimizer:GetEC2InstanceRecommendations",
"compute-optimizer:GetEC2RecommendationProjectedMetrics",
"compute-optimizer:GetAutoScalingGroupRecommendations",
"compute-optimizer:GetEBSVolumeRecommendations",
"compute-optimizer:GetLambdaFunctionRecommendations",
"compute-optimizer:GetEffectiveRecommendationPreferences",
"compute-optimizer:GetRecommendationPreferences",
"compute-optimizer:GetECSServiceRecommendations",
"compute-optimizer:GetECSServiceRecommendationProjectedMetrics",
"compute-optimizer:GetRDSDatabaseRecommendations",
"compute-optimizer:GetRDSDatabaseRecommendationProjectedMetrics",
"compute-optimizer:GetIdleRecommendations",
"ec2:DescribeInstances",
"ec2:DescribeVolumes",
"ecs:ListServices",
"ecs:ListClusters",
"autoscaling:DescribeAutoScalingGroups",
"autoscaling:DescribeAutoScalingInstances",
"lambda:ListFunctions",
"lambda:ListProvisionedConcurrencyConfigs",
"cloudwatch:GetMetricData",
"organizations:ListAccounts",
"organizations:DescribeOrganization",
"organizations:DescribeAccount",
"organizations:ListDelegatedAdministrators",
"rds:DescribeDBInstances",
"rds:DescribeDBClusters"
],
"Resource": "*"
}
]
}
```
------
### Políticas para conceder acesso para gerenciar as preferências de recomendação do Compute Optimizer
As declarações de política a seguir concedem acesso para visualizar e editar preferências de recomendação.
**Conceder acesso para gerenciar preferências de recomendação somente para instâncias do EC2**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"compute-optimizer:DeleteRecommendationPreferences",
"compute-optimizer:GetEffectiveRecommendationPreferences",
"compute-optimizer:GetRecommendationPreferences",
"compute-optimizer:PutRecommendationPreferences"
],
"Resource": "*",
"Condition" : {
"StringEquals" : {
"compute-optimizer:ResourceType" : "Ec2Instance"
}
}
}
]
}
```
------
**Conceda acesso para gerenciar preferências de recomendação somente para grupos do EC2 Auto Scaling**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"compute-optimizer:DeleteRecommendationPreferences",
"compute-optimizer:GetEffectiveRecommendationPreferences",
"compute-optimizer:GetRecommendationPreferences",
"compute-optimizer:PutRecommendationPreferences"
],
"Resource": "*",
"Condition" : {
"StringEquals" : {
"compute-optimizer:ResourceType" : "AutoScalingGroup"
}
}
}
]
}
```
------
**Conceder acesso para gerenciar preferências de recomendação somente para instâncias do RDS**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"compute-optimizer:DeleteRecommendationPreferences",
"compute-optimizer:GetEffectiveRecommendationPreferences",
"compute-optimizer:GetRecommendationPreferences",
"compute-optimizer:PutRecommendationPreferences"
],
"Resource": "*",
"Condition" : {
"StringEquals" : {
"compute-optimizer:ResourceType" : "RdsDBInstance"
}
}
}
]
}
```
------
### Políticas para permitir recomendações de licenças de software comercial
Para que o Compute Optimizer gere recomendações de licença, anexe as funções e políticas de instâncias do Amazon EC2 a seguir.
+ A função `AmazonSSMManagedInstanceCore` para habilitar o Systems Manager. Para obter mais informações, consulte [Exemplos de políticas baseadas em identidade do AWS Systems Manager](https://docs.aws.amazon.com//systems-manager/latest/userguide/security_iam_id-based-policy-examples) no *Guia do usuário do AWS Systems Manager *.
+ A `CloudWatchAgentServerPolicy` política para permitir a liberação de métricas e registros da instância para CloudWatch. Para obter mais informações, consulte [Criar funções e usuários do IAM para uso com o CloudWatch agente](https://docs.aws.amazon.com//AmazonCloudWatch/latest/monitoring/create-iam-roles-for-cloudwatch-agent) no *Guia CloudWatch do usuário da Amazon*.
+ A seguinte declaração de política em linha do IAM para ler a cadeia de conexão secreta do Microsoft SQL Server armazenada em AWS Systems Manager. Para obter mais informações sobre políticas em linha, consulte [ Políticas gerenciadas e em linha](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_managed-vs-inline) no *Guia do usuário do AWS Identity and Access Management *.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue*"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:ApplicationInsights-*"
}
]
}
```
------
Além disso, para habilitar e receber recomendações de licença, anexe a política do IAM a seguir ao seu usuário, grupo ou função. Para obter mais informações, [consulte a política do IAM](https://docs.aws.amazon.com//AmazonCloudWatch/latest/monitoring/appinsights-iam) no *Guia CloudWatch do usuário da Amazon*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"applicationinsights:*",
"iam:CreateServiceLinkedRole",
"iam:ListRoles",
"resource-groups:ListGroups"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
### Política para negar acesso ao Compute Optimizer
A declaração de política a seguir nega o acesso ao Compute Optimizer.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "compute-optimizer:*",
"Resource": "*"
}
]
}
```
------
## Exemplos de políticas para automação
**Topics**
+ [Política para permitir a automação na sua conta](#policy-automation-enable)
+ [Política para permitir a automação em toda a sua organização](#automation-enable-org)
+ [Política para conceder acesso total à Automação do Compute Optimizer para contas autônomas AWS](#automation-account-full)
+ [Política para conceder acesso somente de leitura à Automação do Compute Optimizer para contas autônomas AWS](#automation-account-read)
+ [Política para conceder acesso total ao Compute Optimizer Automation para uma conta gerencial de uma organização](#automation-account-mgmt)
+ [Política para conceder acesso somente leitura ao Compute Optimizer Automation para uma conta gerencial de uma organização](#automation-account-mgmt-readonly)
### Política para permitir a automação na sua conta
A declaração de política a seguir ativa a automação para sua conta.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/aco-automation.amazonaws.com/AWSServiceRoleForComputeOptimizerAutomation",
"Condition": {"StringLike": {"iam:AWSServiceName": "aco-automation.amazonaws.com"}}
},
{
"Effect": "Allow",
"Action": [
"iam:PutRolePolicy",
"iam:AttachRolePolicy"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/aco-automation.amazonaws.com/AWSServiceRoleForComputeOptimizerAutomation"
},
{
"Effect": "Allow",
"Action": "aco-automation:UpdateEnrollmentConfiguration",
"Resource": "*"
}
]
}
```
### Política para permitir a automação em toda a sua organização
A declaração de política a seguir permite a automação em toda a sua organização.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/aco-automation.amazonaws.com/AWSServiceRoleForComputeOptimizerAutomation",
"Condition": {"StringLike": {"iam:AWSServiceName": "aco-automation.amazonaws.com"}}
},
{
"Effect": "Allow",
"Action": [
"iam:PutRolePolicy",
"iam:AttachRolePolicy"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/aco-automation.amazonaws.com/AWSServiceRoleForComputeOptimizerAutomation"
},
{
"Effect": "Allow",
"Action": "aco-automation:UpdateEnrollmentConfiguration",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "aco-automation:AssociateAccounts",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "aco-automation:DisassociateAccounts",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "aco-automation:ListAccounts",
"Resource": "*"
}
]
}
```
### Política para conceder acesso total à Automação do Compute Optimizer para contas autônomas AWS
A política a seguir concede acesso total à Automação do Compute Optimizer para contas autônomas. AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aco-automation:*",
"ec2:DescribeVolumes"
],
"Resource": "*"
}
]
}
```
### Política para conceder acesso somente de leitura à Automação do Compute Optimizer para contas autônomas AWS
A política a seguir concede acesso somente de leitura à Automação do Compute Optimizer para contas autônomas. AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aco-automation:GetEnrollmentConfiguration",
"aco-automation:GetAutomationEvent",
"aco-automation:GetAutomationRule",
"aco-automation:ListAutomationEvents",
"aco-automation:ListAutomationEventSteps",
"aco-automation:ListAutomationEventSummaries",
"aco-automation:ListAutomationRules",
"aco-automation:ListAutomationRulePreview",
"aco-automation:ListAutomationRulePreviewSummaries",
"aco-automation:ListRecommendedActions",
"aco-automation:ListRecommendedActionSummaries",
"aco-automation:ListTagsForResource",
"ec2:DescribeVolumes"
],
"Resource": "*"
}
]
}
```
### Política para conceder acesso total ao Compute Optimizer Automation para uma conta gerencial de uma organização
A política a seguir concede acesso total à Automação do Compute Optimizer para uma conta de gerenciamento de uma organização.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aco-automation:*",
"ec2:DescribeVolumes",
"organizations:ListAccounts",
"organizations:DescribeOrganization",
"organizations:DescribeAccount",
"organizations:EnableAWSServiceAccess",
"organizations:ListDelegatedAdministrators",
"organizations:RegisterDelegatedAdministrator",
"organizations:DeregisterDelegatedAdministrator"
],
"Resource": "*"
}
]
}
```
### Política para conceder acesso somente leitura ao Compute Optimizer Automation para uma conta gerencial de uma organização
A política a seguir concede acesso somente de leitura à Automação do Compute Optimizer para uma conta de gerenciamento de uma organização.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aco-automation:GetEnrollmentConfiguration",
"aco-automation:GetAutomationEvent",
"aco-automation:GetAutomationRule",
"aco-automation:ListAccounts",
"aco-automation:ListAutomationEvents",
"aco-automation:ListAutomationEventSteps",
"aco-automation:ListAutomationEventSummaries",
"aco-automation:ListAutomationRules",
"aco-automation:ListAutomationRulePreview",
"aco-automation:ListAutomationRulePreviewSummaries",
"aco-automation:ListRecommendedActions",
"aco-automation:ListRecommendedActionSummaries",
"aco-automation:ListTagsForResource",
"ec2:DescribeVolumes"
],
"Resource": "*"
}
]
}
```
## Recursos adicionais do
+ Solução de problemas: [Solução de problemas no Compute Optimizer](troubleshooting-account-opt-in.md)
+ [Optando por AWS Compute Optimizer](account-opt-in.md)
+ [AWS políticas gerenciadas para AWS Compute Optimizer](managed-policies.md)
+ [Usando funções vinculadas a serviços para AWS Compute Optimizer](using-service-linked-roles.md)
+ [Usando funções vinculadas a serviços para automação](using-service-linked-roles-automation.md)