本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS 的托管策略 AWS Compute Optimizer
要为用户、群组和角色添加权限,请考虑使用 AWS 托管策略,而不是自己编写策略。创建仅为团队提供所需权限的 IAM 客户管理型策略需要时间和专业知识。要快速入门,您可以使用 AWS 托管策略。这些策略涵盖常见使用案例,可在您的 AWS 账户中使用。有关 AWS 托管策略的更多信息,请参阅 IAM 用户指南中的AWS 托管策略。
AWS 服务 维护和更新 AWS 托管策略。您无法更改 AWS 托管策略中的权限。服务偶尔会向 AWS 托管策略添加其他权限以支持新功能。此类更新会影响附加策略的所有身份(用户、组和角色)。当推出新功能或有新操作可用时,服务最有可能更新 AWS 托管策略。服务不会从 AWS 托管策略中移除权限,因此策略更新不会破坏您的现有权限。
此外,Amazon Web Services 还支持跨多种服务的工作职能的托管式策略。例如,ReadOnlyAccess AWS 托管策略提供对所有资源和资源的只读访问权限。当服务启动一项新功能时, AWS 会为新操作和资源添加只读权限。有关工作职能策略的列表和说明,请参阅 IAM 用户指南中的适用于工作职能的AWS 托管式策略。
主题
AWS 托管策略: ComputeOptimizerServiceRolePolicy
Compute Optimizer 采用附加到服务相关角色的 ComputeOptimizerServiceRolePolicy 托管式策略,代表您执行操作。有关更多信息,请参阅将服务相关角色用于 AWS Compute Optimizer。
注意
您不能将 ComputeOptimizerServiceRolePolicy 附加到自己的 IAM 实体。
权限详细信息
该策略包含以下权限。
-
compute-optimizer- 授予对 Compute Optimizer 中所有资源的完全管理权限。 -
organizations- 允许 AWS 组织的管理账户选择组织成员账户加入 Compute Optimizer。 -
cloudwatch— 授予访问 CloudWatch 资源指标的权限,以便对其进行分析并生成 Compute Optimizer 资源建议。 -
autoscaling— 授予访问 EC2 Amazon A EC2 uto Scaling 组和 EC2 Amazon A EC2 uto Scaling 组中的实例的访问权限以进行验证。 -
Ec2— 授予对 Amazon EC2 实例和卷的访问权限。
AWS 托管策略: ComputeOptimizerReadOnlyAccess
您可以将 ComputeOptimizerReadOnlyAccess 策略附加到 IAM 身份。
此策略授予只读权限,这样 IAM 用户可以查看 Compute Optimizer 资源建议。
权限详细信息
此策略包括以下内容:
-
compute-optimizer- 授予对 Compute Optimizer 资源建议的只读访问权限。 -
ec2— 授予对亚马逊 EC2 实例和亚马逊 EBS 卷的只读访问权限。 -
autoscaling— 授予对 EC2 Amazon A EC2 uto Scaling 群组的只读访问权限。 -
lambda— 授予对 AWS Lambda 函数及其配置的只读访问权限。 -
cloudwatch— 授予对 Compute Optimizer 支持的资源类型的亚马逊 CloudWatch 指标数据的只读访问权限。 -
organizations— 授予对 AWS 组织成员帐户的只读访问权限。 -
ecs- 授予对 Fargate 上 Amazon ECS 服务的访问权限。 -
rds– 授予对 Amazon RDS 实例和集群的只读访问权限。
注意
以下策略语句仅授予组织管理账户对 Compute Optimizer 的只读访问权限,以查看组织级别的建议。如果您是委派管理员,并希望查看组织级别的建议,请参阅向组织管理账户授予对 Compute Optimizer 的访问权限的策略。
AWS 托管策略: ComputeOptimizerAutomationServiceRolePolicy
ComputeOptimizerAutomationServiceRolePolicy托管策略附加到服务相关角色,该角色允许 Compute Optimizer 通过 AWS 管理账户中的资源来实施优化建议。有关更多信息,请参阅 将服务相关角色用于 AWS Compute Optimizer。
注意
您不能将 ComputeOptimizerAutomationServiceRolePolicy 附加到自己的 IAM 实体。
权限详细信息
该策略包含以下权限:
-
ec2:DescribeVolumes,ec2:DescribeSnapshots,ec2:DescribeVolumesModifications— 授予只读访问权限以查看 Amazon EBS 卷、快照和卷修改状态,以进行监控和验证。 -
ec2:ModifyVolume,ec2:DeleteVolume— 允许修改和删除 Amazon EBS 卷,但仅限于没有exclude-from-compute-optimizer-automation标签的资源。这允许您将资源排除在自动优化操作之外。 -
ec2:CreateSnapshot— 授予在执行优化操作之前创建 Amazon EBS 卷快照以进行备份的权限。 -
ec2:CreateVolume— 允许根据快照创建 Amazon EBS 卷,以便在需要恢复优化操作时支持回滚操作。 -
ec2:CreateTags— 授予向 Amazon EBS 资源添加标签的权限,以跟踪自动化事件和维护资源元数据。
要查看此策略的权限,请参阅ComputeOptimizerAutomationServiceRolePolicy《AWS 托管策略参考》中的。
Compute Optimizer 对托管策略的 AWS 更新
查看自该服务开始跟踪这些更改以来,Compute Optimizer AWS 托管策略更新的详细信息。要获得有关此页面更改的自动提示,请订阅 RSS 源以随时了解本指南。
| 更改 | 描述 | 日期 |
|---|---|---|
|
添加了新的 |
添加了新的 |
2025年11月19日 |
|
编辑到 |
向 |
2025 年 1 月 9 日 |
|
编辑到 |
向 |
2024 年 11 月 20 日 |
|
编辑到 |
向 |
2024 年 6 月 20 日 |
|
编辑到 |
向 |
2023 年 7 月 26 日 |
|
编辑到 |
向 |
2022 年 12 月 22 日 |
编辑到 ComputeOptimizerServiceRolePolicy 托管式策略 |
向 ComputeOptimizerServiceRolePolicy 托管式策略添加了 ec2:DescribeInstances、ec2:DescribeVolumes 和 organizations:ListDelegatedAdministrators 操作。 |
2022 年 7 月 25 日 |
|
编辑到 |
向 |
2021 年 11 月 29 日 |
|
编辑到 |
向 |
2021 年 11 月 29 日 |
|
编辑到 |
向 |
2021 年 8 月 26 日 |
|
Compute Optimizer 已开始跟踪更改 |
Compute Optimizer 开始跟踪其 AWS 托管策略的更改。 |
2021 年 5 月 18 日 |
