本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AWS 的托管策略 AWS Batch
<a name="security-iam-awsmanpol"></a>







您可以使用 AWS 托管策略来简化团队和已配置 AWS 资源的身份访问管理。 AWS 托管政策涵盖各种常见用例，默认情况下可在您的 AWS 账户中使用，并以您的名义进行维护和更新。您无法更改 AWS 托管策略中的权限。如果您需要更大的灵活性，也可以选择创建 IAM 客户管理型策略。这样，您就可以为团队预配置的资源提供他们所需的确切权限。

有关 AWS 托管策略的更多信息，请参阅 *IAM 用户指南*中的[AWS 托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。

AWS 服务代表您维护和更新 AWS 托管政策。 AWS 服务会定期向 AWS 托管策略添加其他权限。 AWS 当有新功能启动或操作可用时，托管策略很可能会更新。此类更新会自动影响附加策略的所有身份（用户、组和角色）。但是，它们不会移除权限或破坏您的现有权限。

此外，还 AWS 支持跨多个服务的工作职能的托管策略。例如，`ReadOnlyAccess` AWS 托管策略提供对所有 AWS 服务和资源的只读访问权限。当服务启动一项新功能时， AWS 会为新操作和资源添加只读权限。有关工作职能策略的列表和说明，请参阅 *IAM 用户指南*中的[适用于工作职能的AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。









## AWS 托管策略：**BatchServiceRolePolicy**
<a name="security-iam-awsmanpol-BatchServiceRolePolicy"></a>

**BatchServiceRolePolicy**托管 IAM 策略由[`AWSServiceRoleForBatch`](using-service-linked-roles.md)服务相关角色使用。这 AWS Batch 允许您代表您执行操作。您不能将此策略附加到您的 IAM 实体。有关更多信息，请参阅 [将服务相关角色用于 AWS Batch](using-service-linked-roles.md)。



此策略 AWS Batch 允许对特定资源完成以下操作：
+ `autoscaling`— AWS Batch 允许创建和管理 Amazon EC2 Auto Scaling 资源。 AWS Batch 为大多数计算环境创建和管理 Amazon EC2 Auto Scaling 组。
+ `ec2`— AWS Batch 允许控制 Amazon EC2 实例的生命周期以及创建和管理启动模板和标签。 AWS Batch 为某些 EC2 竞价计算环境创建和管理 EC2 竞价型队列请求。
+ `ecs`- AWS Batch 允许创建和管理 Amazon ECS 集群、任务定义和任务执行任务。
+ `eks`- AWS Batch 允许描述用于验证的 Amazon EKS 集群资源。
+ `iam`-允许 AWS Batch 验证所有者提供的角色并将其传递给 Amazon EC2、Amazon EC2 Auto Scaling 和 Amazon ECS。
+ `logs`— AWS Batch 允许创建和管理 AWS Batch 作业的日志组和日志流。

要查看策略的 JSON，请参阅[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html)[BatchServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/BatchServiceRolePolicy.html)中的。

## AWS 托管策略：**AWSBatchServiceRolePolicyForSageMaker**
<a name="security-iam-awsmanpol-sagemaker-service-role-policy"></a>

[`AWSServiceRoleForAWSBatchWithSagemaker`](using-service-linked-roles-batch-sagemaker.md) AWS Batch 允许代表您执行操作。您不能将此策略附加到您的 IAM 实体。有关更多信息，请参阅 [将服务相关角色用于 AWS Batch](using-service-linked-roles.md)。

此策略 AWS Batch 允许对特定资源完成以下操作：
+ `sagemaker`— AWS Batch 允许管理 SageMaker AI 训练作业和其他 SageMaker AI 资源。
+ `iam:PassRole`— AWS Batch 允许将客户定义的执行角色传递给 SageMaker AI 以执行作业。资源限制允许将角色传递给 SageMaker AI 服务。

要查看策略的 JSON，请参阅[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html)[AWSBatchServiceRolePolicyForSageMaker](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBatchServiceRolePolicyForSageMaker.html)中的。

## AWS 托管策略:**AWSBatchServiceRole**策略
<a name="security-iam-awsmanpol-AWSBatchServiceRolePolicy"></a>

名为的角色权限策略**AWSBatchServiceRole** AWS Batch 允许对特定资源完成以下操作：

**AWSBatchServiceRole**托管 IAM 策略通常由名为的角色使用 **AWSBatchServiceRole**，该策略包含以下权限。遵循授予最低权限的标准安全建议，**AWSBatchServiceRole** 托管策略可用作指南。如果您的用例不需要托管策略中授予的任何权限，请创建自定义策略并仅添加所需的权限。此 AWS Batch 托管策略和角色可用于大多数计算环境类型，但最好使用与服务相关的角色，这样可以减少出错率、扩大范围并改善托管体验。
+ `autoscaling`— AWS Batch 允许创建和管理 Amazon EC2 Auto Scaling 资源。 AWS Batch 为大多数计算环境创建和管理 Amazon EC2 Auto Scaling 组。
+ `ec2`— AWS Batch 允许管理 Amazon EC2 实例的生命周期以及创建和管理启动模板和标签。 AWS Batch 为某些 EC2 竞价计算环境创建和管理 EC2 竞价型队列请求。
+ `ecs`- AWS Batch 允许创建和管理 Amazon ECS 集群、任务定义和任务执行任务。
+ `iam`-允许 AWS Batch 验证所有者提供的角色并将其传递给 Amazon EC2、Amazon EC2 Auto Scaling 和 Amazon ECS。
+ `logs`— AWS Batch 允许创建和管理 AWS Batch 作业的日志组和日志流。

要查看策略的 JSON，请参阅[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html)[AWSBatchServiceRole](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBatchServiceRole.html)中的。

## AWS 托管策略：**AWSBatchFullAccess**
<a name="security-iam-awsmanpol-BatchFullAccess"></a>

该**AWSBatchFullAccess**策略授予 AWS Batch 操作对 AWS Batch 资源的完全访问权限。它还授予亚马逊 EC2、Amazon ECS、Amazon EKS 和 IAM 服务的描述和列出操作权限。 CloudWatch这样，IAM 身份（无论是用户还是角色）都可以查看代表他们创建的 AWS Batch 托管资源。最后，该策略还允许将选定的 IAM 角色传递给这些服务。

您可以附加**AWSBatchFullAccess**到您的 IAM 实体。 AWS Batch 还将此策略附加 AWS Batch 到允许代表您执行操作的服务角色。

要查看策略的 JSON，请参阅[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html)[AWSBatchFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBatchFullAccess.html)中的。

## AWS Batch AWS 托管策略的更新
<a name="security-iam-awsmanpol-updates"></a>



查看 AWS Batch 自该服务开始跟踪这些更改以来 AWS 托管策略更新的详细信息。要获得有关此页面变更的自动提醒，请订阅 “ AWS Batch 文档历史记录” 页面上的 RSS feed。




| 更改 | 描述 | 日期 | 
| --- | --- | --- | 
|  ****[ AWSBatchServiceRolePolicyForSageMaker](using-service-linked-roles-batch-sagemaker.md)****策略已添加  |  为** AWSBatchServiceRolePolicyForSageMaker**服务相关角色添加了新的 AWS 托管策略， AWS Batch 允许代表您管理 SageMaker AI。  |  2025 年 7 月 31 日  | 
|  ****[BatchServiceRolePolicy](#security-iam-awsmanpol-BatchServiceRolePolicy)****政策已更新  |  进行了更新，以增加对描述竞价型实例集请求历史记录和 Amazon EC2 Auto Scaling 活动的支持。  |  2023 年 12 月 5 日  | 
|  ****[AWSBatchServiceRole](#security-iam-awsmanpol-AWSBatchServiceRolePolicy)****策略已添加  |  更新为添加语句 IDs、向`ec2:DescribeSpotFleetRequestHistory`和授予 AWS Batch 权限`autoscaling:DescribeScalingActivities`。  |  2023 年 12 月 5 日  | 
|  **[BatchServiceRolePolicy](#security-iam-awsmanpol-BatchServiceRolePolicy)**政策已更新  |  更新，增加了对描述 Amazon EKS 集群的支持。  |  2022 年 10 月 20 日  | 
|  **[AWSBatchFullAccess](#security-iam-awsmanpol-BatchFullAccess)**政策已更新  |  更新，增加了对列出和描述 Amazon EKS 集群的支持。  |  2022 年 10 月 20 日  | 
|  **[BatchServiceRolePolicy](#security-iam-awsmanpol-BatchServiceRolePolicy)**政策已更新  |  更新，增加了对由 AWS Resource Groups管理的 Amazon EC2 容量预留组的支持。有关更多信息，请参阅《Amazon EC2 用户指南》**中的[使用容量预留组](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/create-cr-group.html)。  |  2022 年 5 月 18 日  | 
|  **[BatchServiceRolePolicy](#security-iam-awsmanpol-BatchServiceRolePolicy)**并更新了**[AWSBatchServiceRole](using-service-linked-roles.md)**政策  |  已更新，增加了对描述 Amazon EC2 中 AWS Batch 托管实例状态的支持，以便替换运行状况不佳的实例。  |  2021 年 12 月 6 日  | 
|  **[BatchServiceRolePolicy](#security-iam-awsmanpol-BatchServiceRolePolicy)**政策已更新  |  更新，以增加对 Amazon EC2 中的置放群组、容量预留、弹性 GPU 和 Elastic Inference 资源的支持。  |  2021 年 3 月 26 日  | 
|  **[BatchServiceRolePolicy](#security-iam-awsmanpol-BatchServiceRolePolicy)**策略已添加  |  借助**AWSServiceRoleForBatch**服务相关角色的**BatchServiceRolePolicy**托管策略，您可以使用由管理的服务相关角色。 AWS Batch有了此策略，您无需维护自己的角色即可在计算环境中使用。  |  2021 年 3 月 10 日  | 
|  **[AWSBatchFullAccess](#security-iam-awsmanpol-BatchFullAccess)**-添加添加服务相关角色的权限  |  添加 IAM 权限以允许将**AWSServiceRoleForBatch**服务相关角色添加到账户。  |  2021 年 3 月 10 日  | 
|  AWS Batch 开始跟踪更改  |  AWS Batch 开始跟踪其 AWS 托管策略的更改。  | 2021 年 3 月 10 日 |