Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Lambda-Operatorrolle für Lambda Managed Instances

Wenn Sie Lambda Managed Instances verwenden, benötigt Lambda Berechtigungen zur Verwaltung der Rechenkapazität in Ihrem Konto. Die Operatorrolle stellt diese Berechtigungen über IAM-Richtlinien bereit, die es Lambda ermöglichen, EC2 Instanzen im Kapazitätsanbieter zu verwalten.

Lambda übernimmt bei der Ausführung dieser Verwaltungsvorgänge die Operatorrolle, ähnlich wie Lambda eine Ausführungsrolle übernimmt, wenn Ihre Funktion ausgeführt wird.

Eine Operatorrolle erstellen

Sie können eine Operatorrolle in der IAM-Konsole oder mit der AWS CLI erstellen. Die Rolle muss Folgendes beinhalten:

Berechtigungsrichtlinie

Die Operatorrolle benötigt Berechtigungen zur Verwaltung von Kapazitätsanbietern und den zugrunde liegenden Rechenressourcen. Für die Rolle sind mindestens die Berechtigungen erforderlich, die in der AWSLambdaEC2ResourceOperatorverwalteten Richtlinie enthalten sind. Derzeit gilt Folgendes:

{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ec2:RunInstances",
        "ec2:CreateTags",
        "ec2:AttachNetworkInterface"
      ],
      "Resource": [
        "arn:aws:ec2:*:*:instance/*",
        "arn:aws:ec2:*:*:network-interface/*",
        "arn:aws:ec2:*:*:volume/*"
      ],
      "Condition": {
        "StringEquals": {
          "ec2:ManagedResourceOperator": "scaler.lambda.amazonaws.com"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeAvailabilityZones",
        "ec2:DescribeCapacityReservations",
        "ec2:DescribeInstances",
        "ec2:DescribeInstanceStatus",
        "ec2:DescribeInstanceTypeOfferings",
        "ec2:DescribeInstanceTypes",
        "ec2:DescribeSecurityGroups",
        "ec2:DescribeSubnets"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:RunInstances",
        "ec2:CreateNetworkInterface"
      ],
      "Resource": [
        "arn:aws:ec2:*:*:subnet/*",
        "arn:aws:ec2:*:*:security-group/*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:RunInstances"
      ],
      "Resource": [
        "arn:aws:ec2:*:*:image/*"
      ],
      "Condition": {
        "StringEquals": {
          "ec2:Owner": "amazon"
        }
      }
    }
  ]
}

Vertrauensrichtlinie

Die Vertrauensrichtlinie ermöglicht es Lambda, die Betreiberrolle zu übernehmen:

{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "lambda.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Serviceverknüpfte Rolle für verwaltete Lambda-Instances

Um den Lebenszyklus von Lambda Managed Instances verantwortungsbewusst zu verwalten, benötigt Lambda dauerhaften Zugriff, um verwaltete Instanzen in Ihrem Konto zu beenden. Lambda verwendet eine dienstgebundene Rolle (SLR) für AWS Identity and Access Management (IAM), um diese Operationen auszuführen.

Automatische Erstellung: Die serviceverknüpfte Rolle wird automatisch erstellt, wenn Sie zum ersten Mal einen Kapazitätsanbieter erstellen. Der Benutzer, der den ersten Kapazitätsanbieter erstellt, muss über die iam:CreateServiceLinkedRole Berechtigung für den lambda.amazonaws.com Prinzipal verfügen.

Berechtigungen: Die serviceverknüpfte Rolle gewährt Lambda die folgenden Berechtigungen für verwaltete Instanzen:

Löschung: Sie können diese serviceverknüpfte Rolle erst löschen, nachdem Sie alle Kapazitätsanbieter für Lambda Managed Instances in Ihrem Konto gelöscht haben.

Weitere Informationen zu serviceverknüpften Rollen finden Sie unter Verwenden von serviceverknüpften Rollen für Lambda.