本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS 的托管策略 AWS Compute Optimizer
要为用户、群组和角色添加权限,请考虑使用 AWS 托管策略,而不是自己编写策略。创建仅为团队提供所需权限的 IAM 客户托管式策略需要时间和专业知识。要快速入门,您可以使用 AWS 托管式策略。这些策略涵盖常见使用案例,可在您的 AWS 账户中使用。有关 AWS 托管策略的更多信息,请参阅 IAM 用户指南中的AWS 托管策略。
AWS 服务 维护和更新 AWS 托管策略。您无法更改 AWS 托管策略中的权限。服务偶尔会向 AWS 托管策略添加其他权限以支持新功能。此类更新会影响附加策略的所有身份(用户、组和角色)。当推出新功能或有新操作可用时,服务最有可能更新 AWS 托管策略。服务不会从 AWS 托管策略中移除权限,因此策略更新不会破坏您的现有权限。
此外,Amazon Web Services 还支持跨多种服务的工作职能的托管式策略。例如,ReadOnlyAccess AWS 托管策略提供对所有资源和资源的只读访问权限。当服务启动一项新功能时, AWS 会为新操作和资源添加只读权限。有关工作职能策略的列表和说明,请参阅 IAM 用户指南中的适用于工作职能的AWS 托管式策略。
AWS 托管策略: ComputeOptimizerServiceRolePolicy
Compute Optimizer 采用附加到服务相关角色的 ComputeOptimizerServiceRolePolicy 托管式策略,代表您执行操作。有关更多信息,请参阅将服务相关角色用于 AWS Compute Optimizer。
您不能将 ComputeOptimizerServiceRolePolicy 附加到自己的 IAM 实体。
权限详细信息
该策略包含以下权限。
-
compute-optimizer - 授予对 Compute Optimizer 中所有资源的完全管理权限。
-
organizations - 允许 AWS
组织的管理账户选择组织成员账户加入 Compute Optimizer。
-
cloudwatch— 授予访问 CloudWatch 资源指标的权限,以便对其进行分析并生成 Compute Optimizer 资源建议。
-
autoscaling— 授予对 EC2 Auto Scaling 组和 A EC2 uto Scaling 组中实例的访问权限以进行验证。
-
Ec2— 授予对 Amazon EC2 实例和卷的访问权限。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ComputeOptimizerFullAccess",
"Effect": "Allow",
"Action": [
"compute-optimizer:*"
],
"Resource": "*"
},
{
"Sid": "AwsOrgsAccess",
"Effect": "Allow",
"Action": [
"organizations:DescribeOrganization",
"organizations:ListAccounts",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:ListDelegatedAdministrators"
],
"Resource": [
"*"
]
},
{
"Sid": "CloudWatchAccess",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricData",
"cloudwatch:DescribeAlarms"
],
"Resource": "*"
},
{
"Sid": "AutoScalingAccess",
"Effect": "Allow",
"Action": [
"autoscaling:DescribeAutoScalingInstances",
"autoscaling:DescribeAutoScalingGroups",
"autoscaling:DescribePolicies",
"autoscaling:DescribeScheduledActions"
],
"Resource": "*"
},
{
"Sid": "Ec2Access",
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeVolumes"
],
"Resource": "*"
}
]
}
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ComputeOptimizerFullAccess",
"Effect": "Allow",
"Action": [
"compute-optimizer:*"
],
"Resource": "*"
},
{
"Sid": "AwsOrgsAccess",
"Effect": "Allow",
"Action": [
"organizations:DescribeOrganization",
"organizations:ListAccounts",
"organizations:ListAWSServiceAccessForOrganization"
],
"Resource": [
"*"
]
},
{
"Sid": "CloudWatchAccess",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricData"
],
"Resource": "*"
}
]
}
AWS 托管策略: ComputeOptimizerReadOnlyAccess
您可以将 ComputeOptimizerReadOnlyAccess 策略附加到 IAM 身份。
此策略授予只读权限,这样 IAM 用户可以查看 Compute Optimizer 资源建议。
权限详细信息
此策略包括以下内容:
-
compute-optimizer - 授予对 Compute Optimizer 资源建议的只读访问权限。
-
ec2— 授予对亚马逊 EC2 实例和亚马逊 EBS 卷的只读访问权限。
-
autoscaling— 授予对 EC2 Auto Scaling 组的只读访问权限。
-
lambda— 授予对 AWS Lambda 函数及其配置的只读访问权限。
-
cloudwatch— 授予对 Compute Optimizer 支持的资源类型的亚马逊 CloudWatch 指标数据的只读访问权限。
-
organizations— 授予对 AWS 组织成员帐户的只读访问权限。
-
ecs - 授予对 Fargate 上 Amazon ECS 服务的访问权限。
-
rds – 授予对 Amazon RDS 实例和集群的只读访问权限。
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"compute-optimizer:DescribeRecommendationExportJobs",
"compute-optimizer:GetEnrollmentStatus",
"compute-optimizer:GetEnrollmentStatusesForOrganization",
"compute-optimizer:GetRecommendationSummaries",
"compute-optimizer:GetEC2InstanceRecommendations",
"compute-optimizer:GetEC2RecommendationProjectedMetrics",
"compute-optimizer:GetAutoScalingGroupRecommendations",
"compute-optimizer:GetEBSVolumeRecommendations",
"compute-optimizer:GetLambdaFunctionRecommendations",
"compute-optimizer:GetRecommendationPreferences",
"compute-optimizer:GetEffectiveRecommendationPreferences",
"compute-optimizer:GetECSServiceRecommendations",
"compute-optimizer:GetECSServiceRecommendationProjectedMetrics",
"compute-optimizer:GetLicenseRecommendations",
"compute-optimizer:GetRDSDatabaseRecommendations",
"compute-optimizer:GetRDSDatabaseRecommendationProjectedMetrics",
"compute-optimizer:GetIdleRecommendations",
"ec2:DescribeInstances",
"ec2:DescribeVolumes",
"ecs:ListServices",
"ecs:ListClusters",
"autoscaling:DescribeAutoScalingGroups",
"autoscaling:DescribeAutoScalingInstances",
"lambda:ListFunctions",
"lambda:ListProvisionedConcurrencyConfigs",
"cloudwatch:GetMetricData",
"organizations:ListAccounts",
"organizations:DescribeOrganization",
"organizations:DescribeAccount",
"rds:DescribeDBInstances",
"rds:DescribeDBClusters"
],
"Resource": "*"
}
]
}
- JSON
-
-
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"compute-optimizer:DescribeRecommendationExportJobs",
"compute-optimizer:GetEnrollmentStatus",
"compute-optimizer:GetEnrollmentStatusesForOrganization",
"compute-optimizer:GetRecommendationSummaries",
"compute-optimizer:GetEC2InstanceRecommendations",
"compute-optimizer:GetEC2RecommendationProjectedMetrics",
"compute-optimizer:GetAutoScalingGroupRecommendations",
"compute-optimizer:GetEBSVolumeRecommendations",
"compute-optimizer:GetLambdaFunctionRecommendations",
"compute-optimizer:GetECSServiceRecommendations",
"compute-optimizer:GetECSServiceRecommendationProjectedMetrics",
"compute-optimizer:GetLicenseRecommendations",
"ec2:DescribeInstances",
"ec2:DescribeVolumes",
"ecs:ListServices",
"ecs:ListClusters",
"autoscaling:DescribeAutoScalingGroups",
"lambda:ListFunctions",
"lambda:ListProvisionedConcurrencyConfigs",
"cloudwatch:GetMetricData",
"organizations:ListAccounts",
"organizations:DescribeOrganization",
"organizations:DescribeAccount"
],
"Resource": "*"
}
]
}
Compute Optimizer 对托管策略的 AWS 更新
查看自该服务开始跟踪这些更改以来,Compute Optimizer AWS 托管策略更新的详细信息。要获得有关此页面更改的自动提示,请订阅 RSS 源以随时了解本指南。
| 更改 |
描述 |
日期 |
|
编辑到 ComputeOptimizerServiceRolePolicy 托管式策略
|
向 ComputeOptimizerServiceRolePolicy 托管式策略添加了 cloudwatch:DescribeAlarms、autoscaling:DescribePolicies 和 autoscaling:DescribeScheduledActions 操作。
|
2025 年 1 月 9 日 |
|
编辑到 ComputeOptimizerReadOnlyAccess 托管式策略
|
向 ComputeOptimizerReadOnlyAccess 托管式策略添加了 compute-optimizer:GetIdleRecommendations 操作。
|
2024 年 11 月 20 日 |
|
编辑到 ComputeOptimizerReadOnlyAccess 托管式策略
|
向 ComputeOptimizerReadOnlyAccess 托管式策略添加了 compute-optimizer:GetRDSDatabaseRecommendations、compute-optimizer:GetRDSDatabaseRecommendationProjectedMetrics、rds:DescribeDBInstances 和 rds:DescribeDBClusters 操作。
|
2024 年 6 月 20 日 |
|
编辑到 ComputeOptimizerReadOnlyAccess 托管式策略
|
向 ComputeOptimizerReadOnlyAccess 托管式策略添加了 compute-optimizer:GetLicenseRecommendations 操作。
|
2023 年 7 月 26 日 |
|
编辑到 ComputeOptimizerReadOnlyAccess 托管式策略
|
向 ComputeOptimizerReadOnlyAccess 托管式策略添加了 compute-optimizer:GetECSServiceRecommendations、compute-optimizer:GetECSServiceRecommendationProjectedMetrics、ecs:ListServices 和 ecs:ListClusters 操作。
|
2022 年 12 月 22 日 |
编辑到 ComputeOptimizerServiceRolePolicy 托管式策略 |
向 ComputeOptimizerServiceRolePolicy 托管式策略添加了 ec2:DescribeInstances、ec2:DescribeVolumes 和 organizations:ListDelegatedAdministrators 操作。 |
2022 年 7 月 25 日 |
|
编辑到 ComputeOptimizerServiceRolePolicy 托管式策略
|
向 ComputeOptimizerServiceRolePolicy 托管式策略添加了 autoscaling:DescribeAutoScalingInstances 和 autoscaling:DescribeAutoScalingGroups 操作。
|
2021 年 11 月 29 日 |
|
编辑到 ComputeOptimizerReadOnlyAccess 托管式策略
|
向 ComputeOptimizerReadOnlyAccess 托管式策略添加了 compute-optimizer:GetRecommendationPreferences、compute-optimizer:GetEffectiveRecommendationPreferences 和 autoscaling:DescribeAutoScalingInstances 操作。
|
2021 年 11 月 29 日 |
|
编辑到 ComputeOptimizerReadOnlyAccess 托管式策略
|
向 ComputeOptimizerReadOnlyAccess 托管式策略添加了 GetEnrollmentStatusesForOrganization 操作。
|
2021 年 8 月 26 日 |
|
Compute Optimizer 已开始跟踪更改
|
Compute Optimizer 开始跟踪其 AWS 托管策略的更改。
|
2021 年 5 月 18 日 |
