Accès fiable pour AWS Organizations Politique d'adhésion à Compute Optimizer Accès pour les comptes autonomes Accès aux comptes de gestion Accès pour gérer les préférences de recommandation Activer les recommandations de licence Refuser l'accès Ressources supplémentaires

Identity and Access Management pour AWS Compute Optimizer

Vous pouvez utiliser AWS Identity and Access Management (IAM) pour créer des identités (utilisateurs, groupes ou rôles) et accorder à ces identités les autorisations d'accès à la AWS Compute Optimizer console etAPIs.

Par défaut, IAM les utilisateurs n'ont pas accès à la console Compute Optimizer et. APIs Vous accordez l'accès aux utilisateurs en attachant des IAM politiques à un seul utilisateur, à un groupe d'utilisateurs ou à un rôle. Pour plus d'informations, consultez les sections Identités (utilisateurs, groupes et rôles) et Présentation des IAM politiques dans le guide de IAM l'utilisateur.

Après avoir créé des IAM utilisateurs, vous pouvez leur attribuer des mots de passe individuels. Ils peuvent ensuite se connecter à votre compte et consulter les informations de Compute Optimizer en utilisant une page de connexion spécifique au compte. Pour plus d'informations, consultez Comment les utilisateurs se connectent à votre compte.

Important

Pour consulter les recommandations relatives aux EC2 instances, un IAM utilisateur doit disposer de cette ec2:DescribeInstances autorisation.
Pour consulter les recommandations relatives aux EBS volumes, un IAM utilisateur doit disposer d'une ec2:DescribeVolumes autorisation.
Pour consulter les recommandations relatives aux groupes Auto Scaling, un IAM utilisateur doit disposer des autoscaling:DescribeAutoScalingInstances autorisations autoscaling:DescribeAutoScalingGroups et.
Pour consulter les recommandations relatives aux fonctions Lambda, un IAM utilisateur doit disposer des autorisations lambda:ListFunctions etlambda:ListProvisionedConcurrencyConfigs.
Pour consulter les recommandations relatives ECS aux services Amazon sur Fargate, IAM un utilisateur doit disposer ecs:ListServices des autorisations et. ecs:ListClusters
Pour consulter CloudWatch les données des métriques actuelles dans la console Compute Optimizer, un IAM utilisateur doit disposer d'une autorisation. cloudwatch:GetMetricData
Pour consulter les recommandations relatives aux licences logicielles commerciales, certains rôles d'EC2instance Amazon et certaines autorisations IAM utilisateur sont requis. Pour de plus amples informations, veuillez consulter Politiques visant à activer les recommandations relatives aux licences logicielles commerciales.
Pour consulter les recommandations destinées à AmazonRDS, un IAM utilisateur doit disposer des rds:DescribeDBClusters autorisations rds:DescribeDBInstances et.

Si l'utilisateur ou le groupe auquel vous souhaitez accorder des autorisations dispose déjà d'une politique, vous pouvez ajouter à cette politique l'une des déclarations de politique spécifiques à Compute Optimizer illustrées ici.

Rubriques

Accès fiable pour AWS Organizations
Politique d'adhésion à Compute Optimizer
Politiques pour accorder l'accès à Compute Optimizer en mode autonome Comptes AWS
Politiques permettant d'accorder l'accès à Compute Optimizer pour le compte de gestion d'une organisation
Politiques autorisant l'accès à la gestion des préférences de recommandation de Compute Optimizer
Politiques visant à activer les recommandations relatives aux licences logicielles commerciales
Politique de refus d'accès à Compute Optimizer
Ressources supplémentaires

Accès fiable pour AWS Organizations

Lorsque vous choisissez d'utiliser le compte de gestion de votre organisation et que vous incluez tous les comptes membres de l'organisation, l'accès sécurisé pour Compute Optimizer est automatiquement activé dans le compte de votre organisation. Cela permet à Compute Optimizer d'analyser les ressources de calcul de ces comptes membres et de générer des recommandations à leur sujet.

Chaque fois que vous accédez aux recommandations relatives aux comptes des membres, Compute Optimizer vérifie que l'accès sécurisé est activé dans le compte de votre organisation. Si vous désactivez l'accès sécurisé à Compute Optimizer après vous être inscrit, Compute Optimizer refuse l'accès aux recommandations relatives aux comptes membres de votre organisation. De plus, les comptes des membres de l'organisation ne sont pas intégrés à Compute Optimizer. Pour réactiver l'accès sécurisé, réinscrivez-vous à Compute Optimizer en utilisant le compte de gestion de votre organisation et incluez tous les comptes membres de l'organisation. Pour de plus amples informations, veuillez consulter S'inscrire à AWS Compute Optimizer. Pour plus d'informations sur l'accès AWS Organizations sécurisé, consultez la section Utilisation AWS Organizations avec d'autres AWS services dans le Guide de AWS Organizations l'utilisateur.

Politique d'adhésion à Compute Optimizer

Cette déclaration de politique garantit ce qui suit :

Accès pour adhérer à Compute Optimizer.
Accès permettant de créer un rôle lié à un service pour Compute Optimizer. Pour de plus amples informations, veuillez consulter Utilisation de rôles liés à un service pour AWS Compute Optimizer.
Accès pour mettre à jour le statut d'inscription au service Compute Optimizer.

Important

Ce IAM rôle est obligatoire pour s'inscrire à AWS Compute Optimizer.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "arn:aws:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer*",
            "Condition": {"StringLike": {"iam:AWSServiceName": "compute-optimizer.amazonaws.com"}}
        },
        {
            "Effect": "Allow",
            "Action": "iam:PutRolePolicy",
            "Resource": "arn:aws:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer"
        },
        {
            "Effect": "Allow",
            "Action": "compute-optimizer:UpdateEnrollmentStatus",
            "Resource": "*"
        }
    ]
}

Politiques pour accorder l'accès à Compute Optimizer en mode autonome Comptes AWS

La déclaration de politique suivante accorde un accès complet à Compute Optimizer en mode autonome. Comptes AWS


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "compute-optimizer:*",
                "ec2:DescribeInstances",
                "ec2:DescribeVolumes",
                "ecs:ListServices",
                "ecs:ListClusters",
                "autoscaling:DescribeAutoScalingGroups",
                "autoscaling:DescribeAutoScalingInstances",
                "lambda:ListFunctions",
                "lambda:ListProvisionedConcurrencyConfigs",
                "cloudwatch:GetMetricData"
            ],
            "Resource": "*"
        }
    ]
}

La déclaration de politique suivante accorde un accès en lecture seule à Compute Optimizer en mode autonome. Comptes AWS


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "compute-optimizer:GetEnrollmentStatus",
                "compute-optimizer:GetEffectiveRecommendationPreferences",
                "compute-optimizer:GetRecommendationPreferences",
                "compute-optimizer:GetRecommendationSummaries",
                "compute-optimizer:GetEC2InstanceRecommendations",
                "compute-optimizer:GetEC2RecommendationProjectedMetrics",
                "compute-optimizer:GetAutoScalingGroupRecommendations",
                "compute-optimizer:GetEBSVolumeRecommendations",
                "compute-optimizer:GetLambdaFunctionRecommendations",
                "compute-optimizer:DescribeRecommendationExportJobs",
                "compute-optimizer:GetEffectiveRecommendationPreferences",
                "compute-optimizer:GetRecommendationPreferences",
                "compute-optimizer:GetECSServiceRecommendations",
                "compute-optimizer:GetECSServiceRecommendationProjectedMetrics",
                "compute-optimizer:GetRDSDatabaseRecommendations",
                "compute-optimizer:GetRDSDatabaseRecommendationProjectedMetrics",
                "ec2:DescribeInstances",
                "ec2:DescribeVolumes",
                "ecs:ListServices",
                "ecs:ListClusters",
                "autoscaling:DescribeAutoScalingGroups",
                "autoscaling:DescribeAutoScalingInstances",
                "lambda:ListFunctions",
                "lambda:ListProvisionedConcurrencyConfigs",
                "cloudwatch:GetMetricData",
                "rds:DescribeDBInstances",
                "rds:DescribeDBClusters"
            ],
            "Resource": "*"
        }
    ]
}

Politiques permettant d'accorder l'accès à Compute Optimizer pour le compte de gestion d'une organisation

La déclaration de politique suivante accorde un accès complet à Compute Optimizer pour un compte de gestion de votre organisation.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "compute-optimizer:*",
                "ec2:DescribeInstances",
                "ec2:DescribeVolumes",
                "ecs:ListServices",
                "ecs:ListClusters",
                "autoscaling:DescribeAutoScalingGroups",
                "autoscaling:DescribeAutoScalingInstances",
                "lambda:ListFunctions",
                "lambda:ListProvisionedConcurrencyConfigs",
                "cloudwatch:GetMetricData",
                "organizations:ListAccounts",
                "organizations:DescribeOrganization",
                "organizations:DescribeAccount",
                "organizations:EnableAWSServiceAccess",
                "organizations:ListDelegatedAdministrators",
                "organizations:RegisterDelegatedAdministrator",
                "organizations:DeregisterDelegatedAdministrator"
            ],
            "Resource": "*"
        }
    ]
}

La déclaration de politique suivante accorde un accès en lecture seule à Compute Optimizer pour le compte de gestion d'une organisation.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "compute-optimizer:GetEnrollmentStatus",
                "compute-optimizer:GetEnrollmentStatusesForOrganization",
                "compute-optimizer:GetRecommendationSummaries",
                "compute-optimizer:GetEC2InstanceRecommendations",
                "compute-optimizer:GetEC2RecommendationProjectedMetrics",
                "compute-optimizer:GetAutoScalingGroupRecommendations",
                "compute-optimizer:GetEBSVolumeRecommendations",
                "compute-optimizer:GetLambdaFunctionRecommendations",
                "compute-optimizer:GetEffectiveRecommendationPreferences",
                "compute-optimizer:GetRecommendationPreferences",
                "compute-optimizer:GetECSServiceRecommendations",
                "compute-optimizer:GetECSServiceRecommendationProjectedMetrics",
                "compute-optimizer:GetRDSDatabaseRecommendations",
                "compute-optimizer:GetRDSDatabaseRecommendationProjectedMetrics",
                "ec2:DescribeInstances",
                "ec2:DescribeVolumes",
                "ecs:ListServices",
                "ecs:ListClusters",
                "autoscaling:DescribeAutoScalingGroups",
                "autoscaling:DescribeAutoScalingInstances",
                "lambda:ListFunctions",
                "lambda:ListProvisionedConcurrencyConfigs",
                "cloudwatch:GetMetricData",
                "organizations:ListAccounts",
                "organizations:DescribeOrganization",
                "organizations:DescribeAccount",
                "organizations:ListDelegatedAdministrators",
                "rds:DescribeDBInstances",
                "rds:DescribeDBClusters"
            ],
            "Resource": "*"
        }
    ]
}

Politiques autorisant l'accès à la gestion des préférences de recommandation de Compute Optimizer

Les déclarations de politique suivantes autorisent l'accès à l'affichage et à la modification des préférences de recommandation.

Accorder l'accès pour gérer les préférences de recommandation pour EC2 les instances uniquement


{
	"Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "compute-optimizer:DeleteRecommendationPreferences",
                "compute-optimizer:GetEffectiveRecommendationPreferences",
                "compute-optimizer:GetRecommendationPreferences",
                "compute-optimizer:PutRecommendationPreferences"
            ],
            "Resource": "*",
            "Condition" :  {
                "StringEquals" : {
                    "compute-optimizer:ResourceType" : "Ec2Instance"
                }
            }            
        }
    ]
}

Accorder l'accès pour gérer les préférences de recommandation aux groupes Auto Scaling uniquement


{
	"Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "compute-optimizer:DeleteRecommendationPreferences",
                "compute-optimizer:GetEffectiveRecommendationPreferences",
                "compute-optimizer:GetRecommendationPreferences",
                "compute-optimizer:PutRecommendationPreferences"
            ],
            "Resource": "*",
            "Condition" :  {
                "StringEquals" : {
                    "compute-optimizer:ResourceType" : "AutoScalingGroup"
                }
            }            
        }
    ]
}

Accorder l'accès pour gérer les préférences de recommandation pour RDS les instances uniquement


{
	"Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "compute-optimizer:DeleteRecommendationPreferences",
                "compute-optimizer:GetEffectiveRecommendationPreferences",
                "compute-optimizer:GetRecommendationPreferences",
                "compute-optimizer:PutRecommendationPreferences"
            ],
            "Resource": "*",
            "Condition" :  {
                "StringEquals" : {
                    "compute-optimizer:ResourceType" : "RdsDBInstance"
                }
            }            
        }
    ]
}

Politiques visant à activer les recommandations relatives aux licences logicielles commerciales

Pour que Compute Optimizer puisse générer des recommandations de licence, associez les rôles et politiques d'EC2instance Amazon suivants.

AmazonSSMManagedInstanceCoreRôle permettant d'activer Systems Manager. Pour plus d'informations, consultez les exemples de politiques AWS Systems Manager basées sur l'identité dans le Guide de l'AWS Systems Manager utilisateur.
CloudWatchAgentServerPolicyPolitique permettant la publication des métriques d'instance et des journaux sur CloudWatch. Pour plus d'informations, consultez la section Création de IAM rôles et d'utilisateurs à utiliser avec l' CloudWatch agent dans le guide de CloudWatch l'utilisateur Amazon.
Déclaration de politique IAM intégrée suivante pour lire la chaîne de connexion secrète Microsoft SQL Server stockée dans AWS Systems Manager. Pour plus d'informations sur les politiques intégrées, voir Politiques gérées et politiques intégrées dans le Guide de l'AWS Identity and Access Management utilisateur.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue*"
            ],
            "Resource": "arn:aws:secretsmanager:*:*:secret:ApplicationInsights-*"
        }
    ]
}

En outre, pour activer et recevoir des recommandations de licence, associez la IAM politique suivante à votre utilisateur, groupe ou rôle. Pour plus d'informations, consultez la IAMpolitique dans le guide de CloudWatch l'utilisateur Amazon.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "applicationinsights:*",
                "iam:CreateServiceLinkedRole",
                "iam:ListRoles",
                "resource-groups:ListGroups"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

Politique de refus d'accès à Compute Optimizer

La déclaration de politique suivante refuse l'accès à Compute Optimizer.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "compute-optimizer:*",
            "Resource": "*"
        }
    ]
}

Ressources supplémentaires

Résolution des problèmes — Résolution des problèmes dans Compute Optimizer
S'inscrire à AWS Compute Optimizer
AWS politiques gérées pour AWS Compute Optimizer
Utilisation de rôles liés à un service pour AWS Compute Optimizer

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Désabonnement

AWS politiques gérées