Amazon ECS 服務自動擴展所需的 IAM 許可

透過結合 Amazon ECS、CloudWatch 和 Application Auto Scaling API 可實現服務自動擴展。服務是使用 Amazon ECS 建立與更新的，警示是使用 CloudWatch 建立的，而擴展政策是使用 Application Auto Scaling 建立的。

除了建立和更新服務的標準 IAM 許可外，還需要下列許可才能與 Service Auto Scaling 設定互動，如下列範例政策所示。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "application-autoscaling:*",
                "ecs:DescribeServices",
                "ecs:UpdateService",
                "cloudwatch:DescribeAlarms",
                "cloudwatch:PutMetricAlarm",
                "cloudwatch:DeleteAlarms",
                "cloudwatch:DescribeAlarmHistory",
                "cloudwatch:DescribeAlarmsForMetric",
                "cloudwatch:GetMetricStatistics",
                "cloudwatch:ListMetrics",
                "cloudwatch:DisableAlarmActions",
                "cloudwatch:EnableAlarmActions",
                "iam:CreateServiceLinkedRole",
                "sns:CreateTopic",
                "sns:Subscribe",
                "sns:Get*",
                "sns:List*"
            ],
            "Resource": ["*"]
        }
    ]
}

建立 Amazon ECS 服務範例 和 更新 Amazon ECS 服務範例 IAM 政策範例示範在 AWS Management Console中使用 Service Auto Scaling 所需的許可。

Application Auto Scaling 服務也需要描述 Amazon ECS 服務和 CloudWatch 警示的許可，以及代您修改服務所需計數的許可。此 sns: 權限許可用於 CloudWatch 在超出閾值時向 Amazon SNS 主題傳送的通知。如果您為 Amazon ECS 服務使用自動擴展，則會建立其名為 AWSServiceRoleForApplicationAutoScaling_ECSService 的服務連結角色。此服務連結角色會授與 Application Auto Scaling 許可以描述政策的警示、監控服務目前執行的任務計數，以及修改服務需要的計數。Application Auto Scaling 的原始受管 Amazon ECS 角色為 ecsAutoscaleRole，但已不再需要。服務連結的角色預設為 Application Auto Scaling。如需詳細資訊，請參閱「Application Auto Scaling 使用者指南」中的適用於 Application Auto Scaling 的服務連結角色。

如果您已在 Amazon ECS 可使用 CloudWatch 指標之前建立您的 Amazon ECS 容器執行個體角色，則您可能需要新增 ecs:StartTelemetrySession 許可。如需詳細資訊，請參閱考量事項。