Rôle lié au service pour EC2 Fast Launch - Amazon Elastic Compute Cloud
Autorisations relatives aux rôlesCréer un rôle lié à un serviceAccès aux clés gérées par le clientModification d’un rôle lié à un serviceSupprimer un rôle lié à un serviceRégions prises en charge

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Rôle lié au service pour EC2 Fast Launch

Amazon EC2 utilise des rôles liés à un service pour obtenir les autorisations nécessaires pour appeler d'autres personnes en votre Services AWS nom. Un rôle lié à un service est un type unique de rôle IAM directement lié à un. Service AWS Les rôles liés à un service constituent un moyen sécurisé de déléguer des autorisations, Services AWS car seul le service lié peut assumer un rôle lié au service. Pour plus d'informations sur la manière dont Amazon EC2 utilise les rôles IAM, y compris les rôles liés à un service, consultez. Rôles IAM pour Amazon EC2

Amazon EC2 utilise le rôle lié au service nommé AWSServiceRoleForEC2FastLaunch pour créer et gérer un ensemble de snapshots préconfigurés qui réduisent le temps nécessaire au lancement des instances depuis votre AMI Windows.

Autorisations octroyées par AWSServiceRoleForEC2FastLaunch

Le rôle lié à un service AWSServiceRoleForEC2FastLaunch approuve le fait que le service suivant endosse le rôle :

  • ec2fastlaunch.amazonaws.com

Amazon EC2 utilise la politique EC2FastLaunchServiceRolePolicygérée pour effectuer les actions suivantes :

  • AWS CloudFormation— Autorisez EC2 Fast Launch pour obtenir une description des CloudFormation piles associées.

  • Amazon CloudWatch — Publiez les données métriques associées à EC2 Fast Launch dans l'espace de EC2 noms Amazon.

  • Amazon EC2 — L'accès est accordé à EC2 Fast Launch pour effectuer les actions suivantes :

    • Lancez des instances à partir d'une AMI Amazon EC2 Windows Server avec EC2 Fast Launch activé, afin d'effectuer les étapes de provisionnement. Spécifiez également le modèle ec2:RunInstances de ressources qui autorise une AMI associée à License Manager.

    • Arrêtez et mettez fin à une instance lancée par EC2 Fast Launch après avoir créé le snapshot préprovisionné.

    • Décrivez les ressources d'image et de type d'instance utilisées pour lancer des instances à partir d'une AMI Amazon EC2 Windows Server avec EC2 Fast Launch activé et créer des instantanés à partir de celles-ci.

    • Décrivez les ressources du modèle de lancement et lancez les instances à partir d'un modèle de lancement.

    • Décrivez les instances, les attributs d'instance et le statut des instances, les volumes et les attributs de volume.

    • Décrivez les interfaces réseau.

    • Supprimez les ressources créées par EC2 Fast Launch, notamment les instantanés, les modèles de lancement, les volumes et les interfaces réseau.

    • Étiquetez les ressources créées par EC2 Fast Launch pour lancer et préapprovisionner les instances Windows, et créez des instantanés à utiliser lors du processus de lancement final.

  • Amazon EventBridge — Inclut l'accès permettant de créer des règles d'EventBridge événement et de récupérer des informations sur les règles créées ou de les supprimer. EC2 Fast Launch peut également obtenir une liste des services cibles qui reçoivent des événements EC2 Fast Launch qui sont transférés en fonction des règles d'événements, et ajouter des services cibles ou les supprimer des règles d'événements qu'il a créées.

  • IAM — Permet à EC2 Fast Launch de créer le rôle EC2FastLaunchServiceRolePolicy lié au service, d'obtenir et d'utiliser des profils d'instance dont le nom est indiquéec2fastlaunch, et de lancer des instances en votre nom à l'aide du profil d'instance de votre modèle de lancement.

  • AWS KMS— Inclut l'accès pour créer des subventions et répertorier les subventions créées par EC2 Fast Launch qui peuvent être retirées. Également pour décrire ou utiliser des clés dans le but de chiffrer ou de déchiffrer les volumes attachés aux instances créées par EC2 Fast Launch, et pour générer des clés de données qui ne sont pas du texte brut.

Pour voir les autorisations de cette stratégie, consultez EC2FastLaunchServiceRolePolicy dans le AWS Guide de référence des stratégies gérées par.

Pour plus d'informations sur l'utilisation des politiques gérées pour Amazon EC2, consultezAWS politiques gérées pour Amazon EC2.

Créer un rôle lié à un service

Vous n’avez pas besoin de créer manuellement ce rôle lié à un service. Lorsque vous commencez à utiliser EC2 Fast Launch pour votre AMI, Amazon EC2 crée le rôle lié au service pour vous, s'il n'existe pas déjà.

Si le rôle lié au service est supprimé de votre compte, vous pouvez activer EC2 Fast Launch pour qu'une autre AMI Windows puisse recréer le rôle dans votre compte. Vous pouvez également désactiver le lancement EC2 rapide pour votre AMI actuelle, puis le réactiver. Cependant, si vous désactivez cette fonctionnalité, votre AMI utilise le processus de lancement standard pour toutes les nouvelles instances, tandis qu'Amazon EC2 supprime tous vos instantanés préprovisionnés. Une fois que tous les instantanés préprovisionnés ont disparu, vous pouvez réactiver l'utilisation de EC2 Fast Launch pour votre AMI.

Accès aux clés gérées par le client

Pour activer EC2 Fast Launch pour une AMI chiffrée qui utilise une clé gérée par le client pour le chiffrement, vous devez accorder au AWSServiceRoleForEC2FastLaunch rôle l'autorisation d'utiliser la clé CMK. Pour ce faire, appelez la commande create-grant. Pour--grantee-principal, spécifiez l'ARN du AWSServiceRoleForEC2FastLaunch rôle dans votre compte. Pour --operations, spécifiez CreateGrant.

aws kms create-grant \
    --key-id arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab \
    --grantee-principal arn:aws:iam::111122223333:role/AWSServiceRoleForEC2FastLaunch \
    --operations CreateGrant

Modification d’un rôle lié à un service

Amazon EC2 ne vous autorise pas à modifier le rôle AWSServiceRoleForEC2FastLaunch lié au service. Une fois que vous avez créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence au rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d’informations, consultez Modification d’un rôle lié à un service dans le IAM Guide de l’utilisateur.

Supprimer un rôle lié à un service

Vous pouvez supprimer un rôle lié à un service uniquement après la suppression préalable de toutes les ressources connexes. Cela protège les EC2 ressources Amazon associées à votre AMI Amazon EC2 Windows Server lorsque EC2 Fast Launch est activé, car vous ne pouvez pas supprimer par inadvertance l'autorisation d'accès aux ressources.

Utilisez la console IAM, le AWS CLI, ou l' AWS API pour supprimer le rôle lié au AWSServiceRoleForEC2FastLaunchservice. Pour plus d'informations, voir Supprimer un rôle lié à un service dans le Guide de l'utilisateur IAM.

Régions prises en charge

Amazon EC2 prend en charge le rôle lié au service EC2 Fast Launch dans toutes les régions où le EC2 service Amazon est disponible.