Permissões mínimas para AWS PCS - AWS PCS
Permissões mínimas para usar ações de APIPermissões mínimas para usar tagsPermissões mínimas para suportar registrosPermissões mínimas para usar blocos de capacidadePermissões mínimas para um administrador de serviços

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Permissões mínimas para AWS PCS

Esta seção descreve as permissões mínimas do IAM necessárias para que uma identidade do IAM (usuário, grupo ou função) use o serviço.

Permissões mínimas para usar ações de API

Ação da API Permissões mínimas Permissões adicionais para o console

CreateCluster

 
ec2:CreateNetworkInterface,
ec2:DescribeVpcs,
ec2:DescribeSubnets,
ec2:DescribeSecurityGroups, 
ec2:GetSecurityGroupsForVpc, 
iam:CreateServiceLinkedRole,
secretsmanager:CreateSecret,
secretsmanager:TagResource,
secretsmanager:RotateSecret,
pcs:CreateCluster

ListClusters

 
pcs:ListClusters

GetCluster

 
pcs:GetCluster
 
ec2:DescribeSubnets

DeleteCluster

 
pcs:DeleteCluster

CreateComputeNodeGroup

 
ec2:DescribeVpcs,
ec2:DescribeSubnets,
ec2:DescribeSecurityGroups,
ec2:DescribeLaunchTemplates,
ec2:DescribeLaunchTemplateVersions,
ec2:DescribeInstanceTypes,
ec2:DescribeInstanceTypeOfferings,
ec2:RunInstances,
ec2:CreateFleet,
ec2:CreateTags,
iam:PassRole,
iam:GetInstanceProfile,
pcs:CreateComputeNodeGroup
 
iam:ListInstanceProfiles,
ec2:DescribeImages,
pcs:GetCluster

ListComputerNodeGroups

 
pcs:ListComputeNodeGroups
 
pcs:GetCluster

GetComputeNodeGroup

 
pcs:GetComputeNodeGroup
 
ec2:DescribeSubnets

UpdateComputeNodeGroup

 
ec2:DescribeVpcs,
ec2:DescribeSubnets,
ec2:DescribeSecurityGroups,
ec2:DescribeLaunchTemplates,
ec2:DescribeLaunchTemplateVersions,
ec2:DescribeInstanceTypes,
ec2:DescribeInstanceTypeOfferings,
ec2:RunInstances,
ec2:CreateFleet,
ec2:CreateTags,
iam:PassRole,
iam:GetInstanceProfile,
pcs:UpdateComputeNodeGroup
 
pcs:GetComputeNodeGroup,
iam:ListInstanceProfiles,
ec2:DescribeImages,
pcs:GetCluster

DeleteComputeNodeGroup

 
pcs:DeleteComputeNodeGroup

CreateQueue

 
pcs:CreateQueue
 
pcs:ListComputeNodeGroups,
pcs:GetCluster

ListQueues

 
pcs:ListQueues
 
pcs:GetCluster

GetQueue

 
pcs:GetQueue

UpdateQueue

 
pcs:UpdateQueue
 
pcs:ListComputeNodeGroups,
pcs:GetQueue

DeleteQueue

 
pcs:DeleteQueue

Permissões mínimas para usar tags

As permissões a seguir são necessárias para usar tags com seus recursos no AWS PCS. 

pcs:ListTagsForResource,
pcs:TagResource,
pcs:UntagResource

Permissões mínimas para suportar registros

AWS O PCS envia dados de log para o Amazon CloudWatch Logs (CloudWatch Logs). Você deve garantir que sua identidade tenha as permissões mínimas para usar o CloudWatch Logs. Para obter mais informações, consulte Visão geral do gerenciamento de permissões de acesso aos seus recursos de CloudWatch registros no Guia do usuário do Amazon CloudWatch Logs.

Para obter informações sobre as permissões necessárias para que um serviço envie CloudWatch registros para o Logs, consulte Habilitar o registro de AWS serviços no Guia do usuário do Amazon CloudWatch Logs.

Permissões mínimas para usar blocos de capacidade

O Amazon EC2 Capacity Blocks for ML é uma opção de EC2 compra da Amazon que permite que você pague antecipadamente para reservar instâncias de computação acelerada baseadas em GPU dentro de um intervalo específico de data e hora para suportar cargas de trabalho de curta duração. Para obter mais informações, consulte Usando Amazon EC2 Capacity Blocks para ML com AWS PCS.

Você escolhe usar blocos de capacidade ao criar ou atualizar um grupo de nós de computação. A identidade do IAM que você usa para criar ou atualizar o grupo de nós de computação precisa ter a seguinte permissão:

ec2:DescribeCapacityReservations

Permissões mínimas para um administrador de serviços

A política do IAM a seguir especifica as permissões mínimas necessárias para que uma identidade do IAM (usuário, grupo ou função) configure e gerencie o serviço AWS PCS.

nota

Os usuários que não configuram e gerenciam o serviço não precisam dessas permissões. Os usuários que executam apenas trabalhos usam o secure shell (SSH) para se conectar ao cluster. AWS Identity and Access Management (IAM) não lida com autenticação ou autorização para SSH.

{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "PCSAccess",
      "Effect": "Allow",
      "Action": [
        "pcs:*"
      ],
      "Resource": "*"
    },
    {
      "Sid": "EC2Access",
      "Effect": "Allow",
      "Action": [
        "ec2:CreateNetworkInterface",
        "ec2:DescribeImages",
        "ec2:GetSecurityGroupsForVpc",
        "ec2:DescribeSubnets",
        "ec2:DescribeSecurityGroups",
        "ec2:DescribeVpcs",
        "ec2:DescribeLaunchTemplates",
        "ec2:DescribeLaunchTemplateVersions",
        "ec2:DescribeInstanceTypes",
        "ec2:DescribeInstanceTypeOfferings",
        "ec2:RunInstances",
        "ec2:CreateFleet",
        "ec2:CreateTags",
        "ec2:DescribeCapacityReservations"
      ],
      "Resource": "*"
    },
    {
      "Sid": "IamInstanceProfile",
      "Effect": "Allow",
      "Action": [
        "iam:GetInstanceProfile"
      ],
      "Resource": "*"
    },
    {
      "Sid": "IamPassRole",
      "Effect": "Allow",
      "Action": [
        "iam:PassRole"
      ],
      "Resource": [
        "arn:aws:iam::*:role/*/AWSPCS*",
        "arn:aws:iam::*:role/AWSPCS*",
        "arn:aws:iam::*:role/aws-pcs/*",
        "arn:aws:iam::*:role/*/aws-pcs/*"
      ],
      "Condition": {
        "StringEquals": {
           "iam:PassedToService": [
             "ec2.amazonaws.com"
           ]
        }
      }
    },
    {
      "Sid": "SLRAccess",
      "Effect": "Allow",
      "Action": [
        "iam:CreateServiceLinkedRole"
      ],
      "Resource": [
        "arn:aws:iam::*:role/aws-service-role/pcs.amazonaws.com/AWSServiceRoleFor*",
        "arn:aws:iam::*:role/aws-service-role/spot.amazonaws.com/AWSServiceRoleFor*"
      ],
      "Condition": {
        "StringLike": {
          "iam:AWSServiceName": [
            "pcs.amazonaws.com",
            "spot.amazonaws.com"
          ]
        }
      }
    },
    {
      "Sid": "AccessKMSKey",
      "Effect": "Allow",
      "Action": [
        "kms:Decrypt",
        "kms:Encrypt",
        "kms:GenerateDataKey",
        "kms:CreateGrant",
        "kms:DescribeKey"
      ],
      "Resource": "*"
    },
    {
      "Sid": "SecretManagementAccess",
      "Effect": "Allow",
      "Action": [
        "secretsmanager:CreateSecret",
        "secretsmanager:TagResource",
        "secretsmanager:UpdateSecret",
        "secretsmanager:RotateSecret"
      ],
      "Resource": "*"
    },
    { 
       "Sid": "ServiceLogsDelivery",
       "Effect": "Allow",
       "Action": [
         "pcs:AllowVendedLogDeliveryForResource",
         "logs:PutDeliverySource",
         "logs:PutDeliveryDestination",
         "logs:CreateDelivery"
       ],
       "Resource": "*"
    }
  ]
}