本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# AWS 的托管策略 AWS Compute Optimizer
要为用户、群组和角色添加权限,请考虑使用 AWS 托管策略,而不是自己编写策略。创建仅为团队提供所需权限的 [IAM 客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)需要时间和专业知识。要快速入门,您可以使用 AWS 托管策略。这些策略涵盖常见使用案例,可在您的 AWS 账户中使用。有关 AWS 托管策略的更多信息,请参阅 *IAM 用户指南*中的[AWS 托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
AWS 服务 维护和更新 AWS 托管策略。您无法更改 AWS 托管策略中的权限。服务偶尔会向 AWS 托管策略添加其他权限以支持新功能。此类更新会影响附加策略的所有身份(用户、组和角色)。当推出新功能或有新操作可用时,服务最有可能更新 AWS 托管策略。服务不会从 AWS 托管策略中移除权限,因此策略更新不会破坏您的现有权限。
此外,Amazon Web Services 还支持跨多种服务的工作职能的托管式策略。例如,**ReadOnlyAccess** AWS 托管策略提供对所有资源和资源的只读访问权限。当服务启动一项新功能时, AWS 会为新操作和资源添加只读权限。有关工作职能策略的列表和说明,请参阅 *IAM 用户指南*中的[适用于工作职能的AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
**Topics**
+ [AWS 托管策略: ComputeOptimizerServiceRolePolicy](#security-iam-awsmanpol-ComputeOptimizerServiceRolePolicy)
+ [AWS 托管策略: ComputeOptimizerReadOnlyAccess](#security-iam-awsmanpol-ComputeOptimizerReadOnlyAccess)
+ [AWS 托管策略: ComputeOptimizerAutomationServiceRolePolicy](#security-iam-awsmanpol-ComputeOptimizerAutomationServiceRolePolicy)
+ [Compute Optimizer 对托管策略的 AWS 更新](#security-iam-awsmanpol-updates)
## AWS 托管策略: ComputeOptimizerServiceRolePolicy
Compute Optimizer 采用附加到服务相关角色的 `ComputeOptimizerServiceRolePolicy` 托管式策略,代表您执行操作。有关更多信息,请参阅[将服务相关角色用于 AWS Compute Optimizer](using-service-linked-roles.md)。
**注意**
您不能将 `ComputeOptimizerServiceRolePolicy` 附加到自己的 IAM 实体。
**权限详细信息**
该策略包含以下权限。
+ `compute-optimizer` - 授予对 Compute Optimizer 中所有资源的完全管理权限。
+ `organizations` - 允许 AWS 组织的管理账户选择组织成员账户加入 Compute Optimizer。
+ `cloudwatch`— 授予访问 CloudWatch 资源指标的权限,以便对其进行分析并生成 Compute Optimizer 资源建议。
+ `autoscaling`— 授予访问 EC2 Auto Scaling 组和 EC2 Auto Scaling 组中的实例的访问权限以进行验证。
+ `Ec2` - 授予对 Amazon EC2 实例和卷的访问权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ComputeOptimizerFullAccess",
"Effect": "Allow",
"Action": [
"compute-optimizer:*"
],
"Resource": "*"
},
{
"Sid": "AwsOrgsAccess",
"Effect": "Allow",
"Action": [
"organizations:DescribeOrganization",
"organizations:ListAccounts",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:ListDelegatedAdministrators"
],
"Resource": [
"*"
]
},
{
"Sid": "CloudWatchAccess",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricData",
"cloudwatch:DescribeAlarms"
],
"Resource": "*"
},
{
"Sid": "AutoScalingAccess",
"Effect": "Allow",
"Action": [
"autoscaling:DescribeAutoScalingInstances",
"autoscaling:DescribeAutoScalingGroups",
"autoscaling:DescribePolicies",
"autoscaling:DescribeScheduledActions"
],
"Resource": "*"
},
{
"Sid": "Ec2Access",
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeVolumes"
],
"Resource": "*"
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ComputeOptimizerFullAccess",
"Effect": "Allow",
"Action": [
"compute-optimizer:*"
],
"Resource": "*"
},
{
"Sid": "AwsOrgsAccess",
"Effect": "Allow",
"Action": [
"organizations:DescribeOrganization",
"organizations:ListAccounts",
"organizations:ListAWSServiceAccessForOrganization"
],
"Resource": [
"*"
]
},
{
"Sid": "CloudWatchAccess",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricData"
],
"Resource": "*"
}
]
}
```
------
## AWS 托管策略: ComputeOptimizerReadOnlyAccess
您可以将 `ComputeOptimizerReadOnlyAccess` 策略附加到 IAM 身份。
此策略授予只读权限,这样 IAM 用户可以查看 Compute Optimizer 资源建议。
**权限详细信息**
此策略包括以下内容:
+ `compute-optimizer` - 授予对 Compute Optimizer 资源建议的只读访问权限。
+ `ec2` - 授予对 Amazon EC2 实例和 Amazon EBS 卷的只读访问权限。
+ `autoscaling`— 授予对 EC2 Auto Scaling 群组的只读访问权限。
+ `lambda`— 授予对 AWS Lambda 函数及其配置的只读访问权限。
+ `cloudwatch`— 授予对 Compute Optimizer 支持的资源类型的亚马逊 CloudWatch 指标数据的只读访问权限。
+ `organizations`— 授予对 AWS 组织成员帐户的只读访问权限。
+ `ecs` - 授予对 Fargate 上 Amazon ECS 服务的访问权限。
+ `rds` – 授予对 Amazon RDS 实例和集群的只读访问权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"compute-optimizer:DescribeRecommendationExportJobs",
"compute-optimizer:GetEnrollmentStatus",
"compute-optimizer:GetEnrollmentStatusesForOrganization",
"compute-optimizer:GetRecommendationSummaries",
"compute-optimizer:GetEC2InstanceRecommendations",
"compute-optimizer:GetEC2RecommendationProjectedMetrics",
"compute-optimizer:GetAutoScalingGroupRecommendations",
"compute-optimizer:GetEBSVolumeRecommendations",
"compute-optimizer:GetLambdaFunctionRecommendations",
"compute-optimizer:GetRecommendationPreferences",
"compute-optimizer:GetEffectiveRecommendationPreferences",
"compute-optimizer:GetECSServiceRecommendations",
"compute-optimizer:GetECSServiceRecommendationProjectedMetrics",
"compute-optimizer:GetLicenseRecommendations",
"compute-optimizer:GetRDSDatabaseRecommendations",
"compute-optimizer:GetRDSDatabaseRecommendationProjectedMetrics",
"compute-optimizer:GetIdleRecommendations",
"ec2:DescribeInstances",
"ec2:DescribeVolumes",
"ecs:ListServices",
"ecs:ListClusters",
"autoscaling:DescribeAutoScalingGroups",
"autoscaling:DescribeAutoScalingInstances",
"lambda:ListFunctions",
"lambda:ListProvisionedConcurrencyConfigs",
"cloudwatch:GetMetricData",
"organizations:ListAccounts",
"organizations:DescribeOrganization",
"organizations:DescribeAccount",
"rds:DescribeDBInstances",
"rds:DescribeDBClusters"
],
"Resource": "*"
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"compute-optimizer:DescribeRecommendationExportJobs",
"compute-optimizer:GetEnrollmentStatus",
"compute-optimizer:GetEnrollmentStatusesForOrganization",
"compute-optimizer:GetRecommendationSummaries",
"compute-optimizer:GetEC2InstanceRecommendations",
"compute-optimizer:GetEC2RecommendationProjectedMetrics",
"compute-optimizer:GetAutoScalingGroupRecommendations",
"compute-optimizer:GetEBSVolumeRecommendations",
"compute-optimizer:GetLambdaFunctionRecommendations",
"compute-optimizer:GetECSServiceRecommendations",
"compute-optimizer:GetECSServiceRecommendationProjectedMetrics",
"compute-optimizer:GetLicenseRecommendations",
"ec2:DescribeInstances",
"ec2:DescribeVolumes",
"ecs:ListServices",
"ecs:ListClusters",
"autoscaling:DescribeAutoScalingGroups",
"lambda:ListFunctions",
"lambda:ListProvisionedConcurrencyConfigs",
"cloudwatch:GetMetricData",
"organizations:ListAccounts",
"organizations:DescribeOrganization",
"organizations:DescribeAccount"
],
"Resource": "*"
}
]
}
```
------
**注意**
以下策略语句仅授予组织管理账户对 Compute Optimizer 的只读访问权限,以查看组织级别的建议。如果您是委派管理员,并希望查看组织级别的建议,请参阅[向组织管理账户授予对 Compute Optimizer 的访问权限的策略](https://docs.aws.amazon.com//compute-optimizer/latest/ug/security-iam.html#organization-account-access)。
## AWS 托管策略: ComputeOptimizerAutomationServiceRolePolicy
`ComputeOptimizerAutomationServiceRolePolicy`托管策略附加到服务相关角色,该角色允许 Compute Optimizer 通过 AWS 管理账户中的资源来实施优化建议。有关更多信息,请参阅 [将服务相关角色用于 AWS Compute Optimizer](using-service-linked-roles.md)。
**注意**
您不能将 `ComputeOptimizerAutomationServiceRolePolicy` 附加到自己的 IAM 实体。
**权限详细信息**
该策略包含以下权限:
+ `ec2:DescribeVolumes`,`ec2:DescribeSnapshots`, `ec2:DescribeVolumesModifications` — 授予只读访问权限以查看 Amazon EBS 卷、快照和卷修改状态,以进行监控和验证。
+ `ec2:ModifyVolume`,`ec2:DeleteVolume`— 允许修改和删除 Amazon EBS 卷,但仅限于没有`exclude-from-compute-optimizer-automation`标签的资源。这使您可以将资源排除在自动优化操作之外。
+ `ec2:CreateSnapshot`— 授予在执行优化操作之前创建 Amazon EBS 卷快照以进行备份的权限。
+ `ec2:CreateVolume`— 允许根据快照创建 Amazon EBS 卷,以便在需要恢复优化操作时支持回滚操作。
+ `ec2:CreateTags`— 授予向 Amazon EBS 资源添加标签的权限,以跟踪自动化事件和维护资源元数据。
要查看此策略的权限,请参阅[ComputeOptimizerAutomationServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ComputeOptimizerAutomationServiceRolePolicy.html)《*AWS 托管策略参考*》中的。
## Compute Optimizer 对托管策略的 AWS 更新
查看自该服务开始跟踪这些更改以来,Compute Optimizer AWS 托管策略更新的详细信息。要获得有关此页面更改的自动提示,请订阅 RSS 源以随时了解本指南。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| 添加了新的`ComputeOptimizerAutomationServiceRolePolicy`托管策略 | 添加了新的`ComputeOptimizerAutomationServiceRolePolicy`服务相关角色策略。 | 2025 年 11 月 19 日 |
| 编辑到 `ComputeOptimizerServiceRolePolicy` 托管式策略 | 向 `ComputeOptimizerServiceRolePolicy` 托管式策略添加了 `cloudwatch:DescribeAlarms`、`autoscaling:DescribePolicies` 和 `autoscaling:DescribeScheduledActions` 操作。 | 2025 年 1 月 9 日 |
| 编辑到 `ComputeOptimizerReadOnlyAccess` 托管式策略 | 向 `ComputeOptimizerReadOnlyAccess` 托管式策略添加了 `compute-optimizer:GetIdleRecommendations` 操作。 | 2024 年 11 月 20 日 |
| 编辑到 `ComputeOptimizerReadOnlyAccess` 托管式策略 | 向 `ComputeOptimizerReadOnlyAccess` 托管式策略添加了 `compute-optimizer:GetRDSDatabaseRecommendations`、`compute-optimizer:GetRDSDatabaseRecommendationProjectedMetrics`、`rds:DescribeDBInstances` 和 `rds:DescribeDBClusters` 操作。 | 2024 年 6 月 20 日 |
| 编辑到 `ComputeOptimizerReadOnlyAccess` 托管式策略 | 向 `ComputeOptimizerReadOnlyAccess` 托管式策略添加了 `compute-optimizer:GetLicenseRecommendations` 操作。 | 2023 年 7 月 26 日 |
| 编辑到 `ComputeOptimizerReadOnlyAccess` 托管式策略 | 向 `ComputeOptimizerReadOnlyAccess` 托管式策略添加了 `compute-optimizer:GetECSServiceRecommendations`、`compute-optimizer:GetECSServiceRecommendationProjectedMetrics`、`ecs:ListServices` 和 `ecs:ListClusters` 操作。 | 2022 年 12 月 22 日 |
| 编辑到 ComputeOptimizerServiceRolePolicy 托管式策略 | 向 ComputeOptimizerServiceRolePolicy 托管式策略添加了 ec2:DescribeInstances、ec2:DescribeVolumes 和 organizations:ListDelegatedAdministrators 操作。 | 2022 年 7 月 25 日 |
| 编辑到 `ComputeOptimizerServiceRolePolicy` 托管式策略 | 向 `ComputeOptimizerServiceRolePolicy` 托管式策略添加了 `autoscaling:DescribeAutoScalingInstances` 和 `autoscaling:DescribeAutoScalingGroups` 操作。 | 2021 年 11 月 29 日 |
| 编辑到 `ComputeOptimizerReadOnlyAccess` 托管式策略 | 向 `ComputeOptimizerReadOnlyAccess` 托管式策略添加了 `compute-optimizer:GetRecommendationPreferences`、`compute-optimizer:GetEffectiveRecommendationPreferences` 和 `autoscaling:DescribeAutoScalingInstances` 操作。 | 2021 年 11 月 29 日 |
| 编辑到 `ComputeOptimizerReadOnlyAccess` 托管式策略 | 向 `ComputeOptimizerReadOnlyAccess` 托管式策略添加了 `GetEnrollmentStatusesForOrganization` 操作。 | 2021 年 8 月 26 日 |
| Compute Optimizer 已开始跟踪更改 | Compute Optimizer 开始跟踪其 AWS 托管策略的更改。 | 2021 年 5 月 18 日 |