Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Identity and Access Management para AWS Compute Optimizer
Puede usar AWS Identity and Access Management (IAM) para crear identidades (usuarios, grupos o roles) y conceder a esas identidades permisos para acceder a la AWS Compute Optimizer consola y APIs.
De forma predeterminada, los usuarios de IAM no tienen acceso a la consola Compute Optimizer y. APIs Si desea conceder a los usuarios acceso asociando políticas de IAM a un único usuario, a un grupo de usuarios o a un rol. Para obtener más información, consulte [Identidades de IAM (usuarios, grupos de usuarios y roles)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) y [Resumen de las políticas de IAM en la guía del usuario de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/PoliciesOverview.html).
Después de crear los usuarios de IAM, puede asignarles contraseñas. De ese modo, podrán iniciar sesión en la cuenta y ver la información de Compute Optimizer a través de una página de inicio de sesión específica de la cuenta. Para obtener más información, consulte [Cómo inician sesión los usuarios en la cuenta](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_how-users-sign-in.html).
**importante**
Para ver las recomendaciones de las instancias EC2, un usuario de IAM necesita el permiso `ec2:DescribeInstances`.
Para ver las recomendaciones de los volúmenes de EBS, un usuario de IAM necesita el permiso `ec2:DescribeVolumes`.
Para ver las recomendaciones de los grupos de Auto Scaling de EC2, un usuario de IAM necesita `autoscaling:DescribeAutoScalingGroups` los `autoscaling:DescribeAutoScalingInstances` permisos y.
Para ver las recomendaciones de las funciones de Lambda, un usuario de IAM necesita los permisos `lambda:ListFunctions` y `lambda:ListProvisionedConcurrencyConfigs`.
Para ver las recomendaciones para los servicios de Amazon ECS en Fargate, un usuario de IAM necesita los permisos `ecs:ListServices` y `ecs:ListClusters`.
Para ver los datos de CloudWatch las métricas actuales en la consola de Compute Optimizer, un usuario de IAM necesita el permiso. `cloudwatch:GetMetricData`
Para ver las recomendaciones, las licencias de software comercial, se requieren determinados permisos de roles de instancia de Amazon EC2 y de usuario de IAM. Para obtener más información, consulte, [Políticas para habilitar las recomendaciones de licencias de software comercial](#license-access).
Para ver las recomendaciones para los servicios de Amazon RDS, un usuario de IAM necesita los permisos `rds:DescribeDBInstances` y `rds:DescribeDBClusters`.
Si el usuario o grupo al que desea conceder permisos ya tiene una política, puede agregar una de las políticas específicas de Compute Optimizer que se ilustran aquí.
**Topics**
+ [Acceso confiable para AWS Organizations](#trusted-service-access)
+ [Ejemplos de políticas para Compute Optimizer](#CO-policy-examples)
+ [Ejemplos de políticas de automatización](#COA-policy-example)
+ [Recursos adicionales](#iam-resources)
## Acceso confiable para AWS Organizations
Cuando activa el uso de la cuenta de administración de su organización e incluye todas las cuentas de los miembros de la organización, el acceso confiable a Compute Optimizer se habilita automáticamente en la cuenta de su organización. Esto permite a Compute Optimizer analizar los recursos de cómputo en las cuentas de esos miembros y generar recomendaciones para ellos.
Cada vez que accede a las recomendaciones de las cuentas de los miembros, Compute Optimizer verifica que el acceso confiable esté habilitado en la cuenta de su organización. Si inhabilita el acceso de confianza de Compute Optimizer después de registrarse, Compute Optimizer deniega el acceso a las recomendaciones de las cuentas de los miembros de su organización. Además, las cuentas de los miembros de la organización no están habilitadas para Compute Optimizer. Para volver a habilitar el acceso confiable, vuelva a activar Compute Optimizer con la cuenta de administración de su organización e incluya todas las cuentas de los miembros de la organización. Para obtener más información, consulte [Optar por: AWS Compute Optimizer](account-opt-in.md). Para obtener más información sobre el acceso de AWS Organizations confianza, consulte [Uso AWS Organizations con otros AWS servicios](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html) en la *Guía del AWS Organizations usuario*.
## Ejemplos de políticas para Compute Optimizer
**Topics**
+ [Política de suscripción a Compute Optimizer](#opting-in-access)
+ [Políticas para conceder acceso a Compute Optimizer de forma independiente Cuentas de AWS](#standalone-account-access)
+ [Políticas para conceder acceso a Compute Optimizer para una cuenta de administración de una organización](#organization-account-access)
+ [Políticas para conceder acceso a la administración de las preferencias de recomendación de Compute Optimizer](#enhanced-infrastructure-metrics-permissions)
+ [Políticas para habilitar las recomendaciones de licencias de software comercial](#license-access)
+ [Política para denegar el acceso a Compute Optimizer](#deny-access)
### Política de suscripción a Compute Optimizer
Esta declaración de la política incluye lo siguiente:
+ Acceso para suscribirse a Compute Optimizer.
+ Acceso para crear un rol vinculado al servicio de Compute Optimizer. Para obtener más información, consulte [Uso de roles vinculados a servicios para AWS Compute Optimizer](using-service-linked-roles.md).
+ Acceso para actualizar el estado de inscripción en el servicio Compute Optimizer.
**importante**
Este rol de IAM es obligatorio para inscribirse a AWS Compute Optimizer.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer*",
"Condition": {"StringLike": {"iam:AWSServiceName": "compute-optimizer.amazonaws.com"}}
},
{
"Effect": "Allow",
"Action": "iam:PutRolePolicy",
"Resource": "arn:aws:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer"
},
{
"Effect": "Allow",
"Action": "compute-optimizer:UpdateEnrollmentStatus",
"Resource": "*"
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws-cn:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer*",
"Condition": {"StringLike": {"iam:AWSServiceName": "compute-optimizer.amazonaws.com"}}
},
{
"Effect": "Allow",
"Action": "iam:PutRolePolicy",
"Resource": "arn:aws-cn:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer"
},
{
"Effect": "Allow",
"Action": "compute-optimizer:UpdateEnrollmentStatus",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "organizations:DescribeOrganization",
"Resource": "*"
}
]
}
```
------
### Políticas para conceder acceso a Compute Optimizer de forma independiente Cuentas de AWS
La siguiente instrucción de política concede acceso completo a Compute Optimizer para cuentas de Cuentas de AWS independientes.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"compute-optimizer:*",
"ec2:DescribeInstances",
"ec2:DescribeVolumes",
"ecs:ListServices",
"ecs:ListClusters",
"autoscaling:DescribeAutoScalingGroups",
"autoscaling:DescribeAutoScalingInstances",
"lambda:ListFunctions",
"lambda:ListProvisionedConcurrencyConfigs",
"cloudwatch:GetMetricData"
],
"Resource": "*"
}
]
}
```
------
La siguiente instrucción de política concede acceso de solo lectura a Compute Optimizer para cuentas de Cuentas de AWS independientes.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"compute-optimizer:GetEnrollmentStatus",
"compute-optimizer:GetEffectiveRecommendationPreferences",
"compute-optimizer:GetRecommendationPreferences",
"compute-optimizer:GetRecommendationSummaries",
"compute-optimizer:GetEC2InstanceRecommendations",
"compute-optimizer:GetEC2RecommendationProjectedMetrics",
"compute-optimizer:GetAutoScalingGroupRecommendations",
"compute-optimizer:GetEBSVolumeRecommendations",
"compute-optimizer:GetLambdaFunctionRecommendations",
"compute-optimizer:DescribeRecommendationExportJobs",
"compute-optimizer:GetEffectiveRecommendationPreferences",
"compute-optimizer:GetRecommendationPreferences",
"compute-optimizer:GetECSServiceRecommendations",
"compute-optimizer:GetECSServiceRecommendationProjectedMetrics",
"compute-optimizer:GetRDSDatabaseRecommendations",
"compute-optimizer:GetRDSDatabaseRecommendationProjectedMetrics",
"compute-optimizer:GetIdleRecommendations",
"ec2:DescribeInstances",
"ec2:DescribeVolumes",
"ecs:ListServices",
"ecs:ListClusters",
"autoscaling:DescribeAutoScalingGroups",
"autoscaling:DescribeAutoScalingInstances",
"lambda:ListFunctions",
"lambda:ListProvisionedConcurrencyConfigs",
"cloudwatch:GetMetricData",
"rds:DescribeDBInstances",
"rds:DescribeDBClusters"
],
"Resource": "*"
}
]
}
```
------
### Políticas para conceder acceso a Compute Optimizer para una cuenta de administración de una organización
La siguiente declaración de política otorga acceso total a Compute Optimizer para una cuenta de administración de su organización.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"compute-optimizer:*",
"ec2:DescribeInstances",
"ec2:DescribeVolumes",
"ecs:ListServices",
"ecs:ListClusters",
"autoscaling:DescribeAutoScalingGroups",
"autoscaling:DescribeAutoScalingInstances",
"lambda:ListFunctions",
"lambda:ListProvisionedConcurrencyConfigs",
"cloudwatch:GetMetricData",
"organizations:ListAccounts",
"organizations:DescribeOrganization",
"organizations:DescribeAccount",
"organizations:EnableAWSServiceAccess",
"organizations:ListDelegatedAdministrators",
"organizations:RegisterDelegatedAdministrator",
"organizations:DeregisterDelegatedAdministrator"
],
"Resource": "*"
}
]
}
```
------
La siguiente declaración de política otorga acceso de solo lectura a Compute Optimizer para una cuenta de administración de una organización.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"compute-optimizer:GetEnrollmentStatus",
"compute-optimizer:GetEnrollmentStatusesForOrganization",
"compute-optimizer:GetRecommendationSummaries",
"compute-optimizer:GetEC2InstanceRecommendations",
"compute-optimizer:GetEC2RecommendationProjectedMetrics",
"compute-optimizer:GetAutoScalingGroupRecommendations",
"compute-optimizer:GetEBSVolumeRecommendations",
"compute-optimizer:GetLambdaFunctionRecommendations",
"compute-optimizer:GetEffectiveRecommendationPreferences",
"compute-optimizer:GetRecommendationPreferences",
"compute-optimizer:GetECSServiceRecommendations",
"compute-optimizer:GetECSServiceRecommendationProjectedMetrics",
"compute-optimizer:GetRDSDatabaseRecommendations",
"compute-optimizer:GetRDSDatabaseRecommendationProjectedMetrics",
"compute-optimizer:GetIdleRecommendations",
"ec2:DescribeInstances",
"ec2:DescribeVolumes",
"ecs:ListServices",
"ecs:ListClusters",
"autoscaling:DescribeAutoScalingGroups",
"autoscaling:DescribeAutoScalingInstances",
"lambda:ListFunctions",
"lambda:ListProvisionedConcurrencyConfigs",
"cloudwatch:GetMetricData",
"organizations:ListAccounts",
"organizations:DescribeOrganization",
"organizations:DescribeAccount",
"organizations:ListDelegatedAdministrators",
"rds:DescribeDBInstances",
"rds:DescribeDBClusters"
],
"Resource": "*"
}
]
}
```
------
### Políticas para conceder acceso a la administración de las preferencias de recomendación de Compute Optimizer
Las siguientes declaraciones de política permiten ver y editar las preferencias de recomendación.
**Conceder acceso para gestionar las preferencias de recomendación únicamente para las instancias de EC2**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"compute-optimizer:DeleteRecommendationPreferences",
"compute-optimizer:GetEffectiveRecommendationPreferences",
"compute-optimizer:GetRecommendationPreferences",
"compute-optimizer:PutRecommendationPreferences"
],
"Resource": "*",
"Condition" : {
"StringEquals" : {
"compute-optimizer:ResourceType" : "Ec2Instance"
}
}
}
]
}
```
------
**Otorgue acceso para gestionar las preferencias de recomendación únicamente para los grupos de Auto Scaling de EC2**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"compute-optimizer:DeleteRecommendationPreferences",
"compute-optimizer:GetEffectiveRecommendationPreferences",
"compute-optimizer:GetRecommendationPreferences",
"compute-optimizer:PutRecommendationPreferences"
],
"Resource": "*",
"Condition" : {
"StringEquals" : {
"compute-optimizer:ResourceType" : "AutoScalingGroup"
}
}
}
]
}
```
------
**Conceder acceso para gestionar las preferencias de recomendación únicamente para las instancias de RDS**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"compute-optimizer:DeleteRecommendationPreferences",
"compute-optimizer:GetEffectiveRecommendationPreferences",
"compute-optimizer:GetRecommendationPreferences",
"compute-optimizer:PutRecommendationPreferences"
],
"Resource": "*",
"Condition" : {
"StringEquals" : {
"compute-optimizer:ResourceType" : "RdsDBInstance"
}
}
}
]
}
```
------
### Políticas para habilitar las recomendaciones de licencias de software comercial
Para que Compute Optimizer genere recomendaciones de licencias, adjunte las siguientes políticas y roles de instancia de Amazon EC2.
+ El rol de `AmazonSSMManagedInstanceCore` para habilitar Systems Manager. Para obtener más información, consulte [Ejemplos de políticas basadas en identidad de AWS Systems Manager](https://docs.aws.amazon.com//systems-manager/latest/userguide/security_iam_id-based-policy-examples) en la *Guía del usuario de AWS Systems Manager *.
+ La `CloudWatchAgentServerPolicy` política que permite la publicación de las métricas y los registros de las instancias a CloudWatch. Para obtener más información, consulte [Crear roles y usuarios de IAM para usarlos con el CloudWatch agente](https://docs.aws.amazon.com//AmazonCloudWatch/latest/monitoring/create-iam-roles-for-cloudwatch-agent) en la *Guía del CloudWatch usuario de Amazon*.
+ La siguiente declaración de política en línea de IAM para leer la cadena de conexión secreta de Microsoft SQL Server almacenada en AWS Systems Manager. Para obtener más información sobre las políticas insertadas, consulte [Políticas administradas y políticas insertadas](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_managed-vs-inline) en la *Guía del usuario de AWS Identity and Access Management *.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue*"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:ApplicationInsights-*"
}
]
}
```
------
Además, para habilitar y recibir recomendaciones de licencias, adjunte la siguiente política de IAM a su usuario, grupo o función. Para obtener más información, consulta la [política de IAM](https://docs.aws.amazon.com//AmazonCloudWatch/latest/monitoring/appinsights-iam) en la *Guía del CloudWatch usuario de Amazon*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"applicationinsights:*",
"iam:CreateServiceLinkedRole",
"iam:ListRoles",
"resource-groups:ListGroups"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
### Política para denegar el acceso a Compute Optimizer
La siguiente instrucción de política deniega el acceso a Compute Optimizer.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "compute-optimizer:*",
"Resource": "*"
}
]
}
```
------
## Ejemplos de políticas de automatización
**Topics**
+ [Política para habilitar la automatización de una cuenta](#policy-automation-enable)
+ [Política para habilitar la automatización en una organización](#automation-enable-org)
+ [Política para otorgar acceso completo a Compute Optimizer Automation para cuentas independientes AWS](#automation-account-full)
+ [Política para conceder acceso de solo lectura a Compute Optimizer Automation para cuentas independientes AWS](#automation-account-read)
+ [Política para conceder acceso completo a la automatización de Compute Optimizer para una cuenta de administración de una organización](#automation-account-mgmt)
+ [Política para conceder acceso de solo lectura a la automatización de Compute Optimizer para una cuenta de administración de una organización](#automation-account-mgmt-readonly)
### Política para habilitar la automatización de una cuenta
La siguiente declaración de política habilita la automatización de su cuenta.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/aco-automation.amazonaws.com/AWSServiceRoleForComputeOptimizerAutomation",
"Condition": {"StringLike": {"iam:AWSServiceName": "aco-automation.amazonaws.com"}}
},
{
"Effect": "Allow",
"Action": [
"iam:PutRolePolicy",
"iam:AttachRolePolicy"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/aco-automation.amazonaws.com/AWSServiceRoleForComputeOptimizerAutomation"
},
{
"Effect": "Allow",
"Action": "aco-automation:UpdateEnrollmentConfiguration",
"Resource": "*"
}
]
}
```
### Política para habilitar la automatización en una organización
La siguiente declaración de política permite la automatización en toda su organización.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/aco-automation.amazonaws.com/AWSServiceRoleForComputeOptimizerAutomation",
"Condition": {"StringLike": {"iam:AWSServiceName": "aco-automation.amazonaws.com"}}
},
{
"Effect": "Allow",
"Action": [
"iam:PutRolePolicy",
"iam:AttachRolePolicy"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/aco-automation.amazonaws.com/AWSServiceRoleForComputeOptimizerAutomation"
},
{
"Effect": "Allow",
"Action": "aco-automation:UpdateEnrollmentConfiguration",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "aco-automation:AssociateAccounts",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "aco-automation:DisassociateAccounts",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "aco-automation:ListAccounts",
"Resource": "*"
}
]
}
```
### Política para otorgar acceso completo a Compute Optimizer Automation para cuentas independientes AWS
La siguiente política otorga acceso completo a Compute Optimizer Automation para cuentas independientes AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aco-automation:*",
"ec2:DescribeVolumes"
],
"Resource": "*"
}
]
}
```
### Política para conceder acceso de solo lectura a Compute Optimizer Automation para cuentas independientes AWS
La siguiente política otorga acceso de solo lectura a Compute Optimizer Automation para cuentas independientes. AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aco-automation:GetEnrollmentConfiguration",
"aco-automation:GetAutomationEvent",
"aco-automation:GetAutomationRule",
"aco-automation:ListAutomationEvents",
"aco-automation:ListAutomationEventSteps",
"aco-automation:ListAutomationEventSummaries",
"aco-automation:ListAutomationRules",
"aco-automation:ListAutomationRulePreview",
"aco-automation:ListAutomationRulePreviewSummaries",
"aco-automation:ListRecommendedActions",
"aco-automation:ListRecommendedActionSummaries",
"aco-automation:ListTagsForResource",
"ec2:DescribeVolumes"
],
"Resource": "*"
}
]
}
```
### Política para conceder acceso completo a la automatización de Compute Optimizer para una cuenta de administración de una organización
La siguiente política otorga acceso completo a Compute Optimizer Automation para una cuenta de administración de una organización.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aco-automation:*",
"ec2:DescribeVolumes",
"organizations:ListAccounts",
"organizations:DescribeOrganization",
"organizations:DescribeAccount",
"organizations:EnableAWSServiceAccess",
"organizations:ListDelegatedAdministrators",
"organizations:RegisterDelegatedAdministrator",
"organizations:DeregisterDelegatedAdministrator"
],
"Resource": "*"
}
]
}
```
### Política para conceder acceso de solo lectura a la automatización de Compute Optimizer para una cuenta de administración de una organización
La siguiente política otorga acceso de solo lectura a Compute Optimizer Automation para una cuenta de administración de una organización.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aco-automation:GetEnrollmentConfiguration",
"aco-automation:GetAutomationEvent",
"aco-automation:GetAutomationRule",
"aco-automation:ListAccounts",
"aco-automation:ListAutomationEvents",
"aco-automation:ListAutomationEventSteps",
"aco-automation:ListAutomationEventSummaries",
"aco-automation:ListAutomationRules",
"aco-automation:ListAutomationRulePreview",
"aco-automation:ListAutomationRulePreviewSummaries",
"aco-automation:ListRecommendedActions",
"aco-automation:ListRecommendedActionSummaries",
"aco-automation:ListTagsForResource",
"ec2:DescribeVolumes"
],
"Resource": "*"
}
]
}
```
## Recursos adicionales
+ Resolución de problemas de [Resolución de problemas en Compute Optimizer](troubleshooting-account-opt-in.md)
+ [Optar por: AWS Compute Optimizer](account-opt-in.md)
+ [AWS políticas gestionadas para AWS Compute Optimizer](managed-policies.md)
+ [Uso de roles vinculados a servicios para AWS Compute Optimizer](using-service-linked-roles.md)
+ [Uso de roles vinculados a servicios para la automatización](using-service-linked-roles-automation.md)