本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS 的 受管政策 AWS Compute Optimizer
若要新增許可給使用者、群組和角色,請考慮使用 AWS 受管政策,而不是撰寫您自己的政策。建立 [IAM 客戶受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)需要時間和專業知識,而受管政策可為您的團隊提供其所需的許可。若要快速開始使用,您可以使用 AWS 受管政策。這些政策涵蓋常見的使用案例,並可在您的 AWS 帳戶中使用。如需 AWS 受管政策的詳細資訊,請參閱《*IAM 使用者指南*》中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
AWS 服務 維護和更新 AWS 受管政策。您無法變更 AWS 受管政策中的許可。服務偶爾會將其他許可新增至 AWS 受管政策,以支援新功能。此類型的更新會影響已連接政策的所有身分識別 (使用者、群組和角色)。當新功能啟動或新操作可用時,服務最有可能更新 AWS 受管政策。服務不會從 AWS 受管政策中移除許可,因此政策更新不會破壞您現有的許可。
此外,Amazon Web Services 支援跨多個 服務之任務函數的受管政策。例如,**ReadOnlyAccess** AWS 受管政策提供所有 和 資源的唯讀存取權。當服務啟動新功能時, 會為新操作和資源 AWS 新增唯讀許可。如需任務職能政策的清單和說明,請參閱 *IAM 使用者指南*中[有關任務職能的AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
**Topics**
+ [AWS 受管政策:ComputeOptimizerServiceRolePolicy](#security-iam-awsmanpol-ComputeOptimizerServiceRolePolicy)
+ [AWS 受管政策:ComputeOptimizerReadOnlyAccess](#security-iam-awsmanpol-ComputeOptimizerReadOnlyAccess)
+ [AWS 受管政策:ComputeOptimizerAutomationServiceRolePolicy](#security-iam-awsmanpol-ComputeOptimizerAutomationServiceRolePolicy)
+ [AWS 受管政策的 Compute Optimizer 更新](#security-iam-awsmanpol-updates)
## AWS 受管政策:ComputeOptimizerServiceRolePolicy
`ComputeOptimizerServiceRolePolicy` 受管政策會連接到服務連結角色,允許 Compute Optimizer 代表您執行動作。如需詳細資訊,請參閱[使用 的服務連結角色 AWS Compute Optimizer](using-service-linked-roles.md)。
**注意**
您不得將 `ComputeOptimizerServiceRolePolicy` 連接到 IAM 實體。
**許可詳細資訊**
此政策包含以下許可。
+ `compute-optimizer` – 授予 Compute Optimizer 中所有資源的完整管理許可。
+ `organizations` – 允許組織的 AWS 管理帳戶選擇將組織的成員帳戶加入 Compute Optimizer。
+ `cloudwatch` – 授予 CloudWatch 資源指標的存取權,以進行分析和產生 Compute Optimizer 資源建議。
+ `autoscaling` – 授予 EC2 Auto Scaling 群組和 EC2 Auto Scaling 群組中執行個體的存取權,以供驗證之用。
+ `Ec2` – 授予 Amazon EC2 執行個體和磁碟區的存取權。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ComputeOptimizerFullAccess",
"Effect": "Allow",
"Action": [
"compute-optimizer:*"
],
"Resource": "*"
},
{
"Sid": "AwsOrgsAccess",
"Effect": "Allow",
"Action": [
"organizations:DescribeOrganization",
"organizations:ListAccounts",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:ListDelegatedAdministrators"
],
"Resource": [
"*"
]
},
{
"Sid": "CloudWatchAccess",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricData",
"cloudwatch:DescribeAlarms"
],
"Resource": "*"
},
{
"Sid": "AutoScalingAccess",
"Effect": "Allow",
"Action": [
"autoscaling:DescribeAutoScalingInstances",
"autoscaling:DescribeAutoScalingGroups",
"autoscaling:DescribePolicies",
"autoscaling:DescribeScheduledActions"
],
"Resource": "*"
},
{
"Sid": "Ec2Access",
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeVolumes"
],
"Resource": "*"
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ComputeOptimizerFullAccess",
"Effect": "Allow",
"Action": [
"compute-optimizer:*"
],
"Resource": "*"
},
{
"Sid": "AwsOrgsAccess",
"Effect": "Allow",
"Action": [
"organizations:DescribeOrganization",
"organizations:ListAccounts",
"organizations:ListAWSServiceAccessForOrganization"
],
"Resource": [
"*"
]
},
{
"Sid": "CloudWatchAccess",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricData"
],
"Resource": "*"
}
]
}
```
------
## AWS 受管政策:ComputeOptimizerReadOnlyAccess
您可將 `ComputeOptimizerReadOnlyAccess` 政策連接到 IAM 身分。
此政策授予唯讀許可,允許 IAM 使用者檢視 Compute Optimizer 資源建議。
**許可詳細資訊**
此政策包含下列項目:
+ `compute-optimizer` – 授予 Compute Optimizer 資源建議的唯讀存取權。
+ `ec2` – 授予 Amazon EC2 執行個體和 Amazon EBS 磁碟區的唯讀存取權。
+ `autoscaling` – 授予 EC2 Auto Scaling 群組的唯讀存取權。
+ `lambda` – 授予對 AWS Lambda 函數及其組態的唯讀存取權。
+ `cloudwatch` – 針對 Compute Optimizer 支援的資源類型,授予 Amazon CloudWatch 指標資料的唯讀存取權。
+ `organizations` – 授予 AWS 組織的成員帳戶的唯讀存取權。
+ `ecs` – 准許存取 Fargate 上的 Amazon ECS 服務。
+ `rds` – 授予 Amazon RDS 執行個體和叢集的唯讀存取權。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"compute-optimizer:DescribeRecommendationExportJobs",
"compute-optimizer:GetEnrollmentStatus",
"compute-optimizer:GetEnrollmentStatusesForOrganization",
"compute-optimizer:GetRecommendationSummaries",
"compute-optimizer:GetEC2InstanceRecommendations",
"compute-optimizer:GetEC2RecommendationProjectedMetrics",
"compute-optimizer:GetAutoScalingGroupRecommendations",
"compute-optimizer:GetEBSVolumeRecommendations",
"compute-optimizer:GetLambdaFunctionRecommendations",
"compute-optimizer:GetRecommendationPreferences",
"compute-optimizer:GetEffectiveRecommendationPreferences",
"compute-optimizer:GetECSServiceRecommendations",
"compute-optimizer:GetECSServiceRecommendationProjectedMetrics",
"compute-optimizer:GetLicenseRecommendations",
"compute-optimizer:GetRDSDatabaseRecommendations",
"compute-optimizer:GetRDSDatabaseRecommendationProjectedMetrics",
"compute-optimizer:GetIdleRecommendations",
"ec2:DescribeInstances",
"ec2:DescribeVolumes",
"ecs:ListServices",
"ecs:ListClusters",
"autoscaling:DescribeAutoScalingGroups",
"autoscaling:DescribeAutoScalingInstances",
"lambda:ListFunctions",
"lambda:ListProvisionedConcurrencyConfigs",
"cloudwatch:GetMetricData",
"organizations:ListAccounts",
"organizations:DescribeOrganization",
"organizations:DescribeAccount",
"rds:DescribeDBInstances",
"rds:DescribeDBClusters"
],
"Resource": "*"
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"compute-optimizer:DescribeRecommendationExportJobs",
"compute-optimizer:GetEnrollmentStatus",
"compute-optimizer:GetEnrollmentStatusesForOrganization",
"compute-optimizer:GetRecommendationSummaries",
"compute-optimizer:GetEC2InstanceRecommendations",
"compute-optimizer:GetEC2RecommendationProjectedMetrics",
"compute-optimizer:GetAutoScalingGroupRecommendations",
"compute-optimizer:GetEBSVolumeRecommendations",
"compute-optimizer:GetLambdaFunctionRecommendations",
"compute-optimizer:GetECSServiceRecommendations",
"compute-optimizer:GetECSServiceRecommendationProjectedMetrics",
"compute-optimizer:GetLicenseRecommendations",
"ec2:DescribeInstances",
"ec2:DescribeVolumes",
"ecs:ListServices",
"ecs:ListClusters",
"autoscaling:DescribeAutoScalingGroups",
"lambda:ListFunctions",
"lambda:ListProvisionedConcurrencyConfigs",
"cloudwatch:GetMetricData",
"organizations:ListAccounts",
"organizations:DescribeOrganization",
"organizations:DescribeAccount"
],
"Resource": "*"
}
]
}
```
------
**注意**
下列政策陳述式僅授予對 Compute Optimizer 的唯讀存取權,供組織的管理帳戶檢視組織層級建議。如果您是委派管理員,而且想要檢視組織層級的建議,請參閱[政策以授予組織管理帳戶的 Compute Optimizer 存取權](https://docs.aws.amazon.com//compute-optimizer/latest/ug/security-iam.html#organization-account-access)。
## AWS 受管政策:ComputeOptimizerAutomationServiceRolePolicy
`ComputeOptimizerAutomationServiceRolePolicy` 受管政策會連接到服務連結角色,允許 Compute Optimizer 透過管理您帳戶中 AWS 的資源來實作最佳化建議。如需詳細資訊,請參閱[使用 的服務連結角色 AWS Compute Optimizer](using-service-linked-roles.md)。
**注意**
您不得將 `ComputeOptimizerAutomationServiceRolePolicy` 連接到 IAM 實體。
**許可詳細資訊**
此政策包含以下許可:
+ `ec2:DescribeVolumes`、`ec2:DescribeSnapshots`、 `ec2:DescribeVolumesModifications` – 授予唯讀存取權,以檢視 Amazon EBS 磁碟區、快照和磁碟區修改狀態,以供監控和驗證之用。
+ `ec2:ModifyVolume`、 `ec2:DeleteVolume` – 允許修改和刪除 Amazon EBS 磁碟區,但僅適用於沒有 `exclude-from-compute-optimizer-automation`標籤的資源。這可讓您從自動最佳化動作中排除資源。
+ `ec2:CreateSnapshot` – 准許在執行最佳化動作之前建立 Amazon EBS 磁碟區的快照以進行備份。
+ `ec2:CreateVolume` – 允許從快照建立 Amazon EBS 磁碟區,以支援復原操作,以防需要還原最佳化動作。
+ `ec2:CreateTags` – 准許將標籤新增至 Amazon EBS 資源,以追蹤自動化事件和維護資源中繼資料。
若要檢視此政策的許可,請參閱《 *AWS 受管政策參考*》中的 [ComputeOptimizerAutomationServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ComputeOptimizerAutomationServiceRolePolicy.html)。
## AWS 受管政策的 Compute Optimizer 更新
檢視自 Compute Optimizer 開始追蹤這些變更以來, AWS 受管政策更新的詳細資訊。如需此頁面變更的自動提醒,請訂閱本指南的 RSS 摘要。
| 變更 | 描述 | Date |
| --- | --- | --- |
| 新增新的 `ComputeOptimizerAutomationServiceRolePolicy` 受管政策 | 新增了新的`ComputeOptimizerAutomationServiceRolePolicy`服務連結角色政策。 | 2025 年 11 月 19 日 |
| 編輯 `ComputeOptimizerServiceRolePolicy` 受管政策 | 已將 `cloudwatch:DescribeAlarms`、 `autoscaling:DescribePolicies`和 `autoscaling:DescribeScheduledActions`動作新增至 `ComputeOptimizerServiceRolePolicy`受管政策。 | 2025 年 1 月 9 日 |
| 編輯 `ComputeOptimizerReadOnlyAccess` 受管政策 | 已將`compute-optimizer:GetIdleRecommendations`動作新增至 `ComputeOptimizerReadOnlyAccess`受管政策。 | 2024 年 11 月 20 日 |
| 編輯 `ComputeOptimizerReadOnlyAccess` 受管政策 | 已將 `compute-optimizer:GetRDSDatabaseRecommendations`、`rds:DescribeDBInstances`、 `compute-optimizer:GetRDSDatabaseRecommendationProjectedMetrics`和 `rds:DescribeDBClusters`動作新增至 `ComputeOptimizerReadOnlyAccess`受管政策。 | 2024 年 6 月 20 日 |
| 編輯 `ComputeOptimizerReadOnlyAccess` 受管政策 | 已將`compute-optimizer:GetLicenseRecommendations`動作新增至 `ComputeOptimizerReadOnlyAccess`受管政策。 | 2023 年 7 月 26 日 |
| 編輯 `ComputeOptimizerReadOnlyAccess` 受管政策 | 已將 `compute-optimizer:GetECSServiceRecommendations`、`ecs:ListServices`、 `compute-optimizer:GetECSServiceRecommendationProjectedMetrics`和 `ecs:ListClusters`動作新增至 `ComputeOptimizerReadOnlyAccess`受管政策。 | 2022 年 12 月 22 日 |
| 編輯 ComputeOptimizerServiceRolePolicy 受管政策 | 已將 ec2:DescribeInstances、 ec2:DescribeVolumes和 organizations:ListDelegatedAdministrators動作新增至 ComputeOptimizerServiceRolePolicy受管政策。 | 2022 年 7 月 25 日 |
| 編輯 `ComputeOptimizerServiceRolePolicy` 受管政策 | 已將 `autoscaling:DescribeAutoScalingInstances`和 `autoscaling:DescribeAutoScalingGroups`動作新增至 `ComputeOptimizerServiceRolePolicy`受管政策。 | 2021 年 11 月 29 日 |
| 編輯 `ComputeOptimizerReadOnlyAccess` 受管政策 | 已將 `compute-optimizer:GetRecommendationPreferences`、 `compute-optimizer:GetEffectiveRecommendationPreferences`和 `autoscaling:DescribeAutoScalingInstances`動作新增至 `ComputeOptimizerReadOnlyAccess`受管政策。 | 2021 年 11 月 29 日 |
| 編輯 `ComputeOptimizerReadOnlyAccess` 受管政策 | 新增 `GetEnrollmentStatusesForOrganization` 動作至 `ComputeOptimizerReadOnlyAccess` 受管政策。 | 2021 年 8 月 26 日 |
| Compute Optimizer 已開始追蹤變更 | Compute Optimizer 開始追蹤其 AWS 受管政策的變更。 | 2021 年 5 月 18 日 |