本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Application Auto Scaling 如何搭配 IAM 一起使用
注意
在 2017 年 12 月,Application Auto Scaling 有一項更新,對 Application Auto Scaling 整合式服務啟用數個服務連結角色。使用者需要特定的 IAM 許可「和」Application Auto Scaling 服務連結角色 (或 Amazon EMR 自動擴展的服務角色),才能設定擴展。
在使用 IAM 來管理對 Application Auto Scaling 的存取權之前,請先了解哪些 IAM 功能可以與 Application Auto Scaling 搭配使用。
| IAM 功能 | 應用程式自動調整規模支援 |
|---|---|
|
是 |
|
|
是 |
|
|
是 |
|
|
是 |
|
|
否 |
|
|
否 |
|
|
部分 |
|
|
是 |
|
|
是 |
|
|
是 |
若要全面了解 Application Auto Scaling 和其他 如何與大多數 IAM 功能 AWS 服務 搭配使用,請參閱《AWS 服務 IAM 使用者指南》中的 與 IAM 搭配使用。
Application Auto Scaling 以身分為基礎的政策
支援身分型政策:是
身分型政策是可以附加到身分 (例如 IAM 使用者、使用者群組或角色) 的 JSON 許可政策文件。這些政策可控制身分在何種條件下能對哪些資源執行哪些動作。如需了解如何建立身分型政策,請參閱《IAM 使用者指南》中的透過客戶管理政策定義自訂 IAM 許可。
使用 IAM 身分型政策,您可以指定允許或拒絕的動作和資源,以及在何種條件下允許或拒絕動作。您無法在身分型政策中指定主體,因為這會套用至連接的使用者或角色。如要了解您在 JSON 政策中使用的所有元素,請參閱《IAM 使用者指南》中的 IAM JSON 政策元素參考。
Application Auto Scaling 的身分型政策範例
若要檢視 Application Auto Scaling 以身分為基礎的政策範例,請參閱 Application Auto Scaling 以身分為基礎的政策範例。
動作
支援政策動作:是
在 IAM 政策陳述式中,您可以從任何支援 IAM 的服務指定任何 API 動作。針對 Application Auto Scaling,請在 API 動作名稱使用下列字首:application-autoscaling:。例如:application-autoscaling:RegisterScalableTarget、application-autoscaling:PutScalingPolicy 和 application-autoscaling:DeregisterScalableTarget。
若要在單一陳述式中指定多個動作,請以逗號分隔它們,如下列範例所示。
"Action": [ "application-autoscaling:DescribeScalingPolicies", "application-autoscaling:DescribeScalingActivities"
您也可以使用萬用字元 (*) 來指定多個動作。例如,如需指定開頭是 Describe 文字的所有動作,請包含以下動作:
"Action": "application-autoscaling:Describe*"
如需 Application Auto Scaling 動作的清單,請參閱《服務授權參考》中的 AWS Application Auto Scaling 定義的動作。
資源
支援政策資源:是
在 IAM 政策陳述式中,Resource 元素指定陳述式所涵蓋的一個或多個物件。對於 Application Auto Scaling,每個 IAM 政策陳述式都會套用至您使用其 Amazon Resource Names (ARN) 指定的可擴展目標。
可擴展目標的 ARN 資源格式:
arn:aws:application-autoscaling:region:account-id:scalable-target/unique-identifier例如,您可以在陳述式中使用其 ARN 指定特定的可擴展目標,如下所示。唯一 ID (1234abcd56ab78cd901ef1234567890ab123) 是由 Application Auto Scaling 指派給可擴展目標的值。
"Resource": "arn:aws:application-autoscaling:us-east-1:123456789012:scalable-target/1234abcd56ab78cd901ef1234567890ab123"您也可以使用萬用字元 (*) 取代唯一標識符,以此指定所有屬於特定帳戶的執行個體,如下所示。
"Resource": "arn:aws:application-autoscaling:us-east-1:123456789012:scalable-target/*"若要指定所有資源,或如果特定的 API 動作不支援 ARN,請使用萬用字元 (*) 作為 Resource 元素,如下所示。
"Resource": "*"如需詳細資訊,請參閱《服務授權參考》中的 AWS Application Auto Scaling 定義的資源類型。
條件索引鍵
支援服務特定政策條件金鑰:是
您可以在 IAM 政策中指定條件,這些政策可以控制存取 Application Auto Scaling 資源。政策陳述式只有在符合下列條件時才有效。
Application Auto Scaling 支援下列服務定義條件金鑰,您可以在以身分為基礎的政策中使用這些金鑰來確定誰可以執行 Application Auto Scaling API 動作。
-
application-autoscaling:scalable-dimension -
application-autoscaling:service-namespace
若要了解您可以使用條件索引鍵的 Application Auto Scaling API 動作,請參閱《服務授權參考》中的 AWS Application Auto Scaling 定義的動作。如需使用 Application Auto Scaling 條件索引鍵的詳細資訊,請參閱 AWS Application Auto Scaling 的條件索引鍵。
若要檢視所有服務都可使用的全域條件金鑰,請參閱 IAM 使用者指南中的 AWS 全域條件金鑰。
資源型政策
支援資源型政策:否
其他 AWS 服務,例如 Amazon Simple Storage Service,支援以資源為基礎的許可政策。例如,您可以將許可政策連接至 S3 儲存貯體,以管理該儲存貯體的存取許可。
Application Auto Scaling 不支援以資源為基礎的政策。
存取控制清單 (ACL)
支援 ACL:否
Application Auto Scaling 不支援存取控制清單 (ACL)。
帶有 Application Auto Scaling 的 ABAC
支援 ABAC (政策中的標籤):部分
屬性型存取控制 (ABAC) 是一種授權策略,可根據屬性來定義許可。在 中 AWS,這些屬性稱為標籤。您可以將標籤連接至 IAM 實體 (使用者或角色) 和許多 AWS 資源。為實體和資源加上標籤是 ABAC 的第一步。您接著要設計 ABAC 政策,允許在主體的標籤與其嘗試存取的資源標籤相符時操作。
ABAC 在成長快速的環境中相當有幫助,並能在政策管理變得繁瑣時提供協助。
如需根據標籤控制存取,請使用 aws:ResourceTag/、key-nameaws:RequestTag/ 或 key-nameaws:TagKeys 條件索引鍵,在政策的條件元素中,提供標籤資訊。
ABAC 可用於支援標籤的資源,但並非所有支援標籤的資源。排程動作和擴展政策不支援標籤,但可擴展目標支援標籤。如需詳細資訊,請參閱Application Auto Scaling 的標籤支援。
如需 ABAC 的詳細資訊,請參閱 IAM 使用者指南中的什麼是 ABAC?。如要查看含有設定 ABAC 步驟的教學課程,請參閱 IAM 使用者指南中的使用屬性型存取控制 (ABAC)。
在 Application Auto Scaling 中使用臨時憑證
支援臨時憑證:是
當您使用臨時登入資料登入時,有些 AWS 服務 無法運作。如需詳細資訊,包括哪些 AWS 服務 使用臨時登入資料,請參閱《AWS 服務 IAM 使用者指南》中的 使用 IAM。
如果您 AWS Management Console 使用使用者名稱和密碼以外的任何方法登入 ,則會使用臨時登入資料。例如,當您 AWS 使用公司的單一登入 (SSO) 連結存取 時,該程序會自動建立臨時登入資料。當您以使用者身分登入主控台,然後切換角色時,也會自動建立臨時憑證。如需切換角色的詳細資訊,請參閱《IAM 使用者指南》中的從使用者切換至 IAM 角色 (主控台)。
您可以使用 AWS CLI 或 AWS API 手動建立臨時登入資料。然後,您可以使用這些臨時登入資料來存取 AWS。 AWS 建議您動態產生臨時登入資料,而不是使用長期存取金鑰。如需詳細資訊,請參閱 IAM 中的暫時性安全憑證。
服務角色
支援服務角色:是
如果您的 Amazon EMR 叢集使用自動擴展,則此功能可讓 Application Auto Scaling 代表您擔任服務角色。與服務連結角色類似,服務角色可讓服務存取其他服務中的資源,以代表您完成動作。服務角色會出現在您的 IAM 帳戶中,且由該帳戶所擁有。這表示 IAM 管理員可以變更此角色的許可。不過,這樣可能會破壞此服務的功能。
Application Auto Scaling 只對 Amazon EMR 支援服務角色。如需 EMR 服務角色的文件,請參閱《Amazon EMR 管理指南》中的對執行個體群組搭配自訂政策來使用自動擴展。
注意
隨著服務連結角色的推出,許多舊式服務角色的功能將被取代,例如 Amazon ECS 和 Spot 機群。
服務連結角色
支援服務連結角色:是
服務連結角色是連結至 的一種服務角色 AWS 服務。服務可以擔任代表您執行動作的角色。服務連結角色會出現在您的 中 AWS 帳戶 ,並由服務擁有。IAM 管理員可以檢視,但不能編輯服務連結角色的許可。
如需 Application Auto Scaling 服務連結角色的相關資訊,請參閱 Application Auto Scaling 的服務連結角色。
