

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# EC2-Flotte-Voraussetzungen
<a name="ec2-fleet-prerequisites"></a>

**Topics**
+ [Startvorlage](#ec2-fleet-prerequisites-launch-template)
+ [Serviceverknüpfte Rolle für EC2-Flotte](#ec2-fleet-service-linked-role)
+ [Gewähren Sie Zugriff auf vom Kunden verwaltete Schlüssel zur Verwendung mit verschlüsselten AMIs und EBS-Snapshots](#ec2-fleet-service-linked-roles-access-to-cmks)
+ [Berechtigungen für EC2-Flotten-Benutzer](#ec2-fleet-iam-users)

## Startvorlage
<a name="ec2-fleet-prerequisites-launch-template"></a>

Eine Startvorlage gibt die Konfigurationsinformationen über die zu startenden Instances an, wie beispielsweise den Instance-Typ und die Availability Zone. Weitere Informationen über Startvorlagen finden Sie unter [Instance-Startparametern in Amazon-EC2-Startvorlagen speichern](ec2-launch-templates.md).

## Serviceverknüpfte Rolle für EC2-Flotte
<a name="ec2-fleet-service-linked-role"></a>

Die `AWSServiceRoleForEC2Fleet`-Rolle gewährt der EC2-Flotte die Berechtigung, in Ihrem Namen Instances anzufordern, zu launchen, zu beenden und zu markieren. Amazon EC2 verwendet diese serviceverknüpfte Rolle, um die folgenden Aktionen durchzuführen:
+ `ec2:RunInstances` – Instances starten.
+ `ec2:RequestSpotInstances` – Spot-Instances anfragen.
+ `ec2:TerminateInstances` – Instances beenden.
+ `ec2:DescribeImages`— Beschreiben Sie Amazon Machine Images (AMIs) für die Instances.
+ `ec2:DescribeInstanceStatus` – Beschreiben des Status der Instances.
+ `ec2:DescribeSubnets` – Beschreiben der Subnetze für Instances.
+ `ec2:CreateTags` – Tags (Markierungen) zu den EC2-Flotte, Instances und Volumes hinzufügen.

Stellen Sie sicher, dass diese Rolle vorhanden ist, bevor Sie die AWS CLI oder eine API verwenden, um eine EC2-Flotte zu erstellen.

**Anmerkung**  
Ein `instant` EC2-Flotte erfordert diese Rolle nicht.

Um die Rolle anzulegen, verwenden Sie die IAM-Konsole wie folgt.

**Um die AWSServiceRoleForEC2Fleet Rolle für die EC2-Flotte zu erstellen**

1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.

1. Wählen Sie im Navigationsbereich **Rollen** aus.

1. Wählen Sie **Create role** (Rolle erstellen) aus.

1. Gehen Sie auf der Seite **Select trusted entity** (Vertrauenswürdige Entität auswählen) wie folgt vor:

   1. Wählen Sie unter **Vertrauenswürdiger Entitätstyp** die Option **AWS -Service** aus.

   1. Wählen Sie unter **Anwendungsfall** für **Service oder Anwendungsfall** die Option **EC2-Flotte** aus.
**Tipp**  
Achten Sie darauf, **EC2-Flotte** auszuwählen. Wenn Sie **EC2** wählen, wird der Anwendungsfall **EC2-Flotte** nicht in der Liste der **Anwendungsfälle** angezeigt. Der Anwendungsfall **EC2 — Fleet** erstellt automatisch eine Richtlinie mit den erforderlichen IAM-Berechtigungen und schlägt **AWSServiceRoleForEC2Fleet** als Rollennamen vor.

   1. Wählen Sie **Weiter** aus.

1. Wählen Sie auf der Seite **Add permissions** (Berechtigungen hinzufügen) die Option **Next** (Weiter) aus.

1. Wählen Sie auf der Seite **Benennen, Überprüfen und Erstellen** die Option **Rolle erstellen** aus.

**Wenn Sie EC2 Fleet nicht mehr verwenden müssen, empfehlen wir Ihnen, die Fleet-Rolle zu löschen. AWSService RoleFor EC2** Nachdem diese Rolle aus Ihrem Konto gelöscht wurde, können Sie die Rolle erneut anlegen, wenn Sie eine andere Flotte anlegen.

Weitere Informationen finden Sie unter [Serviceverknüpfte Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html) im *IAM-Benutzerhandbuch*.

## Gewähren Sie Zugriff auf vom Kunden verwaltete Schlüssel zur Verwendung mit verschlüsselten AMIs und EBS-Snapshots
<a name="ec2-fleet-service-linked-roles-access-to-cmks"></a>

Wenn Sie in Ihrer EC2-Flotte ein [verschlüsseltes AMI](AMIEncryption.md) oder einen verschlüsselten Amazon EBS-Snapshot angeben und einen AWS KMS Schlüssel für die Verschlüsselung verwenden, müssen Sie der **AWSServiceRoleForEC2Flottenrolle** die Berechtigung zur Verwendung des vom Kunden verwalteten Schlüssels erteilen, damit Amazon EC2 Instances in Ihrem Namen starten kann. Dazu müssen Sie dem vom Kunden verwalteten Schlüssel eine Erteilung hinzufügen, wie im Folgenden gezeigt:

Bei der Einrichtung von Berechtigungen ist die Erteilung von Berechtigung eine Alternative zu Schüsselrichtlinien. Weitere Informationen finden Sie unter [Verwenden von Erteilungen](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) und [Verwenden von Schlüsselrichtlinien in AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) im *Entwicklerhandbuch für AWS Key Management Service *.

**Um der AWSService RoleFor EC2 Flottenrolle Berechtigungen zur Verwendung des vom Kunden verwalteten Schlüssels zu erteilen**
+ Verwenden Sie den Befehl [create-grant](https://docs.aws.amazon.com/cli/latest/reference/kms/create-grant.html), um dem vom Kunden verwalteten Schlüssel einen Grant hinzuzufügen und den Principal (die dienstbezogene **AWSServiceRoleForEC2Flottenrolle**) anzugeben, der die Berechtigung zur Ausführung der durch die Gewährung erlaubten Operationen erhält. Der vom Kunden verwaltete Schlüssel wird durch den `key-id`-Parameter und den ARN des vom Kunden verwalteten Schlüssels angegeben. Der Principal wird durch den `grantee-principal` Parameter und den ARN der mit dem **AWSServiceRoleForEC2Fleet-Service** verknüpften Rolle angegeben.

  ```
  aws kms create-grant \
      --region us-east-1 \
      --key-id arn:aws:kms:us-east-1:444455556666:key/1234abcd-12ab-34cd-56ef-1234567890ab \
      --grantee-principal arn:aws:iam::111122223333:role/AWSServiceRoleForEC2Fleet \
      --operations "Decrypt" "Encrypt" "GenerateDataKey" "GenerateDataKeyWithoutPlaintext" "CreateGrant" "DescribeKey" "ReEncryptFrom" "ReEncryptTo"
  ```

## Berechtigungen für EC2-Flotten-Benutzer
<a name="ec2-fleet-iam-users"></a>

Wenn Ihre Benutzer eine EC2-Flotte erstellen oder verwalten, stellen Sie sicher, dass Sie ihnen die erforderlichen Berechtigungen gewähren.

**So erstellen Sie eine Richtlinie für EC2-Flotte**

1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.

1. Wählen Sie im Navigationsbereich **Richtlinien**.

1. Wählen Sie **Richtlinie erstellen** aus.

1. Wählen Sie auf der Seite **Create policy** (Richtlinie erstellen) die Registerkarte **JSON**, ersetzen Sie den Text durch den im Folgenden gezeigten Text, und wählen Sie **Review policy** (Richtlinie überprüfen).

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "ec2:*"
               ],
               "Resource": "*"
           },
           {
               "Effect": "Allow",
               "Action": [
                 "iam:ListRoles",
                 "iam:PassRole",
                 "iam:ListInstanceProfiles"
               ],
               "Resource":"arn:aws:iam::123456789012:role/DevTeam*"
           }
       ]
   }
   ```

------

   `ec2:*` erteilt einem Benutzer die Berechtigung, alle Amazon-EC2-API-Aktionen aufzurufen. Sie können die Berechtigung eines Benutzer auf bestimmte Amazon EC2-API-Aktionen beschränken, indem Sie diese Aktionen stattdessen explizit angeben.

   Der Benutzer muss über die Berechtigung verfügen, die folgenden Aktionen aufzurufen: `iam:ListRoles`, um vorhandene IAM-Rollen aufzulisten, `iam:PassRole`, um die Rolle für die EC2-Flotte anzugeben und `iam:ListInstanceProfiles`, um vorhandene Instance-Profile aufzulisten.

   (Optional) Um einem Benutzer das Erstellen von Rollen oder Instance-Profilen mithilfe der IAM-Konsole zu ermöglichen, müssen Sie der Richtlinie auch die folgenden Aktionen hinzufügen:
   + `iam:AddRoleToInstanceProfile`
   + `iam:AttachRolePolicy`
   + `iam:CreateInstanceProfile`
   + `iam:CreateRole`
   + `iam:GetRole`
   + `iam:ListPolicies`

1. Geben Sie auf der Seite **Review policy (Richtlinie überprüfen)** einen Richtlinienamen und eine Beschreibung ein und wählen Sie anschließend **Create policy (Richtlinie erstellen)** aus.

1. Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:
   + Benutzer und Gruppen in AWS IAM Identity Center:

     Erstellen Sie einen Berechtigungssatz. Befolgen Sie die Anweisungen unter [Erstellen eines Berechtigungssatzes](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) im *AWS IAM Identity Center -Benutzerhandbuch*.
   + Benutzer, die in IAM über einen Identitätsanbieter verwaltet werden:

     Erstellen Sie eine Rolle für den Identitätsverbund. Befolgen Sie die Anleitung unter [Eine Rolle für einen externen Identitätsanbieter (Verbund) erstellen](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) im *IAM-Benutzerhandbuch*.
   + IAM-Benutzer:
     + Erstellen Sie eine Rolle, die Ihr Benutzer annehmen kann. Befolgen Sie die Anleitung unter [Eine Rolle für einen IAM-Benutzer erstellen](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) im *IAM-Benutzerhandbuch*.
     + (Nicht empfohlen) Weisen Sie einem Benutzer eine Richtlinie direkt zu oder fügen Sie einen Benutzer zu einer Benutzergruppe hinzu. Befolgen Sie die Anweisungen unter [Hinzufügen von Berechtigungen zu einem Benutzer (Konsole)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) im *IAM-Benutzerhandbuch*.