Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# AWS Batch Peran eksekusi IAM
Peran eksekusi memberikan izin kepada kontainer Amazon ECS dan AWS Fargate agen untuk melakukan panggilan AWS API atas nama Anda.
**catatan**
Peran eksekusi didukung oleh agen kontainer Amazon ECS versi 1.16.0 dan yang lebih baru.
Peran eksekusi IAM diperlukan tergantung pada persyaratan tugas Anda. Anda dapat memiliki beberapa peran eksekusi untuk berbagai tujuan dan layanan yang terkait dengan akun Anda.
**catatan**
Untuk informasi tentang peran instans Amazon ECS, lihat[Peran instans Amazon ECS](instance_IAM_role.md). Untuk informasi tentang peran layanan, lihat[Bagaimana AWS Batch bekerja dengan IAM](security_iam_service-with-iam.md).
Amazon ECS menyediakan kebijakan `AmazonECSTaskExecutionRolePolicy` terkelola. Kebijakan ini berisi izin yang diperlukan untuk kasus penggunaan umum yang dijelaskan di atas. Mungkin perlu menambahkan kebijakan sebaris ke peran eksekusi Anda untuk kasus penggunaan khusus yang diuraikan di bawah ini.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "*"
}
]
}
```
------
# Izin tingkat sumber daya yang didukung untuk tindakan API AWS Batch
Istilah *izin tingkat sumber daya* mengacu pada kemampuan untuk menentukan sumber daya yang diizinkan pengguna untuk melakukan tindakan. AWS Batch memiliki sebagian dukungan untuk izin tingkat sumber daya. Untuk beberapa AWS Batch tindakan, Anda dapat mengontrol kapan pengguna diizinkan untuk menggunakan tindakan tersebut berdasarkan kondisi yang harus dipenuhi. Anda juga dapat mengontrol berdasarkan sumber daya spesifik yang diizinkan untuk digunakan pengguna. Misalnya, Anda dapat memberikan izin kepada pengguna untuk mengirimkan tugas, tetapi hanya ke antrean tugas tertentu dan hanya dengan ketentuan tugas tertentu.
Untuk detail tentang tindakan dan jenis sumber daya yang ditentukan oleh AWS Batch, termasuk format ARNs untuk setiap jenis sumber daya, lihat Tindakan, Sumber Daya, dan Kunci Kondisi untuk [AWS Batch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html)dalam *Referensi Otorisasi Layanan*.
# Tutorial: Buat peran eksekusi IAM
Jika akun Anda belum memiliki peran eksekusi IAM, gunakan langkah-langkah berikut untuk membuat peran tersebut.
1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Peran**.
1. Pilih **Buat peran**.
1. Untuk **jenis entitas Tepercaya**, pilih ** Layanan AWS**.
1. Untuk **Service atau use case**, pilih **Elastic Container Service**. Kemudian pilih **Elastic Container Service Task** lagi.
1. Pilih **Berikutnya**.
1. Untuk **kebijakan Izin**, cari **Amazon ECSTask ExecutionRolePolicy**.
1. Pilih kotak centang di sebelah kiri ECSTask ExecutionRolePolicy kebijakan **Amazon**, lalu pilih **Berikutnya**.
1. Untuk **Nama Peran**, `ecsTaskExecutionRole` masukkan lalu pilih **Buat peran**.
# Tutorial: Periksa peran eksekusi IAM
Gunakan prosedur berikut untuk memeriksa apakah akun Anda sudah memiliki peran eksekusi IAM dan lampirkan kebijakan IAM terkelola, jika diperlukan.
1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Peran**.
1. Cari daftar peran untuk `ecsTaskExecutionRole`. Jika Anda tidak dapat menemukan peran, lihat[Tutorial: Buat peran eksekusi IAM](create-execution-role.md). Jika Anda menemukan peran, pilih peran untuk melihat kebijakan terlampir.
1. Pada tab **Izin**, verifikasi bahwa kebijakan ECSTask ExecutionRolePolicy terkelola **Amazon** dilampirkan ke peran. Jika kebijakan terlampir, peran eksekusi Anda sudah dikonfigurasi dengan benar. Jika tidak, ikuti langkah-langkah di bawah ini untuk melampirkan kebijakan.
1. Pilih **Tambahkan izin**, lalu pilih **Lampirkan kebijakan**.
1. Cari **Amazon ECSTask ExecutionRolePolicy**.
1. Centang kotak di sebelah kiri ECSTask ExecutionRolePolicy kebijakan **Amazon** dan pilih **Lampirkan kebijakan**.
1. Pilih **Hubungan kepercayaan**.
1. Verifikasi bahwa hubungan kepercayaan berisi kebijakan berikut. Jika hubungan kepercayaan cocok dengan kebijakan di bawah ini, peran dikonfigurasi dengan benar. Jika hubungan kepercayaan tidak cocok, pilih **Edit kebijakan kepercayaan**, masukkan yang berikut ini, dan pilih **Perbarui kebijakan**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "ecs-tasks.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# Menggunakan peran terkait layanan untuk AWS Batch
AWS Batch menggunakan AWS Identity and Access Management peran [terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Peran terkait layanan adalah jenis unik peran IAM yang ditautkan langsung ke. AWS Batch Peran terkait layanan telah ditentukan sebelumnya oleh AWS Batch dan mencakup semua izin yang diperlukan layanan untuk memanggil AWS layanan lain atas nama Anda.
AWS Batch menggunakan dua peran terkait layanan yang berbeda:
+ [AWSServiceRoleForBatch](using-service-linked-roles-batch-general.md)- Untuk AWS Batch operasi termasuk lingkungan komputasi.
+ [AWSServiceRoleForAWSBatchWithSagemaker](using-service-linked-roles-batch-sagemaker.md)- Untuk manajemen beban kerja SageMaker AI dan antrian.
**Topics**
+ [Menggunakan peran untuk AWS Batch](using-service-linked-roles-batch-general.md)
+ [Menggunakan peran untuk AWS Batch dengan SageMaker AI](using-service-linked-roles-batch-sagemaker.md)
# Menggunakan peran untuk AWS Batch
AWS Batch menggunakan AWS Identity and Access Management peran [terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Peran terkait layanan adalah jenis unik peran IAM yang ditautkan langsung ke. AWS Batch Peran terkait layanan telah ditentukan sebelumnya oleh AWS Batch dan mencakup semua izin yang diperlukan layanan untuk memanggil AWS layanan lain atas nama Anda.
Peran terkait layanan membuat pengaturan AWS Batch lebih mudah karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. AWS Batch mendefinisikan izin peran terkait layanan, dan kecuali ditentukan lain, hanya AWS Batch dapat mengambil perannya. Izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin, serta bahwa kebijakan izin tidak dapat dilampirkan ke entitas IAM lainnya.
**catatan**
Lakukan salah satu hal berikut untuk menentukan peran layanan untuk lingkungan AWS Batch komputasi.
Gunakan string kosong untuk peran layanan. Ini memungkinkan AWS Batch membuat peran layanan.
Tentukan peran layanan dalam format berikut:`arn:aws:iam::account_number:role/aws-service-role/batch.amazonaws.com/AWSServiceRoleForBatch`.
Untuk informasi selengkapnya, lihat [Nama peran atau ARN salah](invalid_compute_environment.md#invalid_service_role_arn) di Panduan AWS Batch Pengguna.
Anda dapat menghapus peran tertaut layanan hanya setelah menghapus sumber daya terkait terlebih dahulu. Ini melindungi AWS Batch sumber daya Anda karena Anda tidak dapat secara tidak sengaja menghapus izin untuk mengakses sumber daya.
Untuk informasi tentang layanan lain yang mendukung peran terkait layanan, silakan lihat [layanan AWS yang bisa digunakan dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dan carilah layanan yang memiliki opsi **Ya** di kolom **Peran terkait layanan**. Pilih **Ya** dengan sebuah tautan untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut.
## Izin peran terkait layanan untuk AWS Batch
AWS Batch menggunakan peran terkait layanan bernama **AWSServiceRoleForBatch**— Memungkinkan AWS Batch untuk membuat dan mengelola AWS sumber daya atas nama Anda.
Peran AWSService RoleForBatch terkait layanan mempercayai layanan berikut untuk mengambil peran:
+ `batch.amazonaws.com`
Kebijakan izin peran bernama [BatchServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-BatchServiceRolePolicy)memungkinkan AWS Batch untuk menyelesaikan tindakan berikut pada sumber daya yang ditentukan:
+ `autoscaling`— Memungkinkan AWS Batch untuk membuat dan mengelola sumber daya Amazon EC2 Auto Scaling. AWS Batch membuat dan mengelola grup Amazon EC2 Auto Scaling untuk sebagian besar lingkungan komputasi.
+ `ec2`— Memungkinkan AWS Batch untuk mengontrol siklus hidup instans Amazon EC2 serta membuat dan mengelola templat dan tag peluncuran. AWS Batch membuat dan mengelola permintaan Armada Spot EC2 untuk beberapa lingkungan komputasi EC2 Spot.
+ `ecs`- Memungkinkan AWS Batch untuk membuat dan mengelola cluster Amazon ECS, definisi tugas dan tugas untuk pelaksanaan pekerjaan.
+ `eks`- Memungkinkan AWS Batch untuk mendeskripsikan sumber daya kluster Amazon EKS untuk validasi.
+ `iam`- Memungkinkan AWS Batch untuk memvalidasi dan meneruskan peran yang disediakan oleh pemilik ke Amazon EC2, Amazon EC2 Auto Scaling dan Amazon ECS.
+ `logs`— Memungkinkan AWS Batch untuk membuat dan mengelola grup log dan aliran log untuk AWS Batch pekerjaan.
Anda harus mengonfigurasi izin agar pengguna, grup, atau peran Anda membuat, mengedit, atau menghapus peran terkait layanan. Untuk informasi selengkapnya, lihat [Izin peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dalam *Panduan Pengguna IAM*.
## Membuat peran terkait layanan untuk AWS Batch
Anda tidak perlu membuat peran terkait layanan secara manual. Saat Anda membuat lingkungan komputasi di Konsol Manajemen AWS, the AWS CLI, atau AWS API, akan AWS Batch membuat peran terkait layanan untuk Anda.
**penting**
Peran tertaut layanan ini dapat muncul di akun Anda jika Anda menyelesaikan tindakan di layanan lain yang menggunakan fitur yang disupport oleh peran ini. Jika Anda menggunakan AWS Batch layanan sebelum 10 Maret 2021, ketika mulai mendukung peran terkait layanan, maka AWS Batch buat AWSService RoleForBatch peran tersebut di akun Anda. Untuk mempelajari lebih lanjut, lihat [Peran baru muncul di saya Akun AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Jika Anda menghapus peran terkait layanan ini, dan ingin membuatnya lagi, Anda dapat mengulangi proses yang sama untuk membuat kembali peran tersebut di akun Anda. Saat Anda membuat lingkungan komputasi, AWS Batch buat peran terkait layanan untuk Anda lagi.
## Mengedit peran terkait layanan untuk AWS Batch
AWS Batch tidak memungkinkan Anda untuk mengedit peran AWSService RoleForBatch terkait layanan. Setelah membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin merujuk peran tersebut. Namun, Anda dapat mengedit penjelasan peran menggunakan IAM. Untuk informasi selengkapnya, lihat [Mengedit peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dalam *Panduan Pengguna IAM*.
**Untuk mengizinkan entitas IAM mengedit deskripsi peran terkait AWSService RoleForBatch layanan**
Tambahkan pernyataan berikut ke kebijakan izin. Anda dapat menggunakan entitas IAM untuk mengedit deskripsi peran yang terhubung dengan layanan.
```
{
"Effect": "Allow",
"Action": [
"iam:UpdateRoleDescription"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/batch.amazonaws.com/AWSServiceRoleForBatch",
"Condition": {"StringLike": {"iam:AWSServiceName": "batch.amazonaws.com"}}
}
```
## Menghapus peran terkait layanan untuk AWS Batch
Jika Anda tidak perlu lagi menggunakan fitur atau layanan yang memerlukan peran terkait layanan, kami merekomendasikan Anda menghapus peran tersebut. Dengan begitu, Anda tidak memiliki entitas tak terpakai yang tidak dipantau atau dipelihara secara aktif. Namun, Anda harus membersihkan peran tertaut-layanan sebelum dapat menghapusnya secara manual.
**Untuk mengizinkan entitas IAM menghapus peran terkait AWSService RoleForBatch layanan**
Tambahkan pernyataan berikut ke kebijakan izin. Hal ini mengizinkan entitas IAM menghapus peran yang terhubung dengan layanan.
```
{
"Effect": "Allow",
"Action": [
"iam:DeleteServiceLinkedRole",
"iam:GetServiceLinkedRoleDeletionStatus"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/batch.amazonaws.com/AWSServiceRoleForBatch",
"Condition": {"StringLike": {"iam:AWSServiceName": "batch.amazonaws.com"}}
}
```
### Membersihkan peran terkait layanan
Sebelum Anda dapat menggunakan IAM untuk menghapus peran terkait layanan, Anda harus terlebih dahulu mengonfirmasi bahwa peran tersebut tidak memiliki sesi aktif dan menghapus semua lingkungan AWS Batch komputasi yang menggunakan peran di semua AWS Wilayah dalam satu partisi.
**Untuk memeriksa apakah peran yang terhubung dengan layanan memiliki sesi aktif**
1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Peran** dan kemudian AWSService RoleForBatch nama (bukan kotak centang).
1. Di halaman **Summary** (Ringkasan), pilih **Access Advisor** (Penasihat Akses) dan tinjau aktivitas terbaru untuk peran yang terhubung dengan layanan.
**catatan**
Jika Anda tidak tahu AWS Batch apakah menggunakan AWSService RoleForBatch peran tersebut, Anda dapat mencoba menghapus peran tersebut. Jika layanan yang menggunakan peran tersebut, peran akan gagal dihapus. Anda dapat melihat Wilayah tempat peran tersebut digunakan. Jika peran tersebut sedang digunakan, Anda harus menunggu hingga sesi ini berakhir sebelum dapat menghapus peran tersebut. Anda tidak dapat mencabut sesi untuk peran tertaut layanan.
**Untuk menghapus AWS Batch sumber daya yang digunakan oleh peran AWSService RoleForBatch terkait layanan**
Anda harus menghapus semua lingkungan AWS Batch komputasi yang menggunakan AWSService RoleForBatch peran di semua AWS Wilayah sebelum Anda dapat menghapus AWSService RoleForBatch peran.
1. Buka AWS Batch konsol di [https://console.aws.amazon.com/batch/](https://console.aws.amazon.com/batch/).
1. Dari bilah navigasi, pilih Wilayah untuk digunakan.
1. Di panel navigasi, pilih **Compute environments** (Lingkungan komputasi).
1. Pilih lingkungan komputasi.
1. Pilih **Disable** (Nonaktifkan). Tunggu **State** (Status) berubah menjadi **DISABLED** (DINONAKTIFKAN).
1. Pilih lingkungan komputasi.
1. Pilih **Hapus**. Konfirmasikan bahwa Anda ingin menghapus lingkungan komputasi dengan memilih **Delete compute environment** (Hapus lingkungan komputasi).
1. Ulangi langkah 1-7 untuk semua lingkungan komputasi yang menggunakan peran yang terhubung dengan layanan di semua Wilayah.
### Menghapus peran yang terhubung dengan layanan (Konsol IAM)
Anda dapat menggunakan konsol IAM untuk menghapus sebuah peran terkait layanan.
**Untuk menghapus peran terkait layanan (konsol)**
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi konsol IAM, pilih **Peran**. Kemudian pilih kotak centang di sebelah AWSServiceRoleForBatch, bukan nama atau baris itu sendiri.
1. Pilih **Hapus peran**.
1. Di kotak dialog konfirmasi, tinjau data layanan yang terakhir diakses, yang menunjukkan kapan masing-masing peran yang dipilih terakhir mengakses file Layanan AWS. Hal ini membantu Anda mengonfirmasi aktif tidaknya peran tersebut saat ini. Jika Anda ingin melanjutkan, pilih **Ya, Hapus** guna mengirimkan peran terkait layanan untuk penghapusan.
1. Perhatikan notifikasi konsol IAM untuk memantau progres penghapusan peran terkait layanan. Karena penghapusan peran terkait layanan IAM bersifat asinkron, setelah Anda mengirimkan peran tersebut untuk dihapus, tugas penghapusan dapat berhasil atau gagal.
+ Jika tugas berhasil, maka peran tersebut dihapus dari daftar dan pemberitahuan keberhasilan muncul di bagian atas halaman.
+ Jika tugas tersebut gagal, Anda dapat memilih **Lihat rincian** atau **Lihat Sumber Daya** dari pemberitahuan untuk mempelajari alasan penghapusan gagal. Jika penghapusan gagal karena peran tersebut sedang menggunakan sumber daya layanan, maka pemberitahuan mencakup daftar sumber daya, jika layanan tersebut mengembalikan informasi tersebut. Anda kemudian dapat [membersihkan sumber daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-review-before-delete) dan mengirimkan penghapusan lagi.
**catatan**
Anda mungkin harus mengulangi proses ini beberapa kali, tergantung pada informasi yang dikembalikan oleh layanan. Misalnya, peran terkait layanan Anda mungkin menggunakan enam sumber daya dan layanan Anda mungkin akan mengembalikan informasi mengenai lima di antaranya. Jika Anda membersihkan lima sumber daya dan mengirim peran untuk penghapusan lagi, penghapusan tersebut gagal dan layanan melaporkan sumber daya yang tersisa. Layanan mungkin mengembalikan semua sumber daya, beberapa di antaranya, atau tidak melaporkan sumber daya apa pun.
+ Jika tugas gagal dan pemberitahuan tidak mencakup daftar sumber daya, maka layanan mungkin tidak mengembalikan informasi tersebut. Untuk mempelajari cara membersihkan sumber daya untuk layanan itu, lihat [Layanan AWS yang bekerja dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Cari layanan Anda dalam tabel, dan pilih tautan **Ya** untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut
### Menghapus peran yang terhubung dengan layanan di IAM (AWS CLI)
Anda dapat menggunakan perintah IAM dari AWS Command Line Interface untuk menghapus peran terkait layanan.
**Untuk menghapus peran yang terhubung dengan layanan (CLI)**
1. Karena peran yang terhubung dengan layanan tidak dapat dihapus jika sedang digunakan atau memiliki sumber daya terkait, Anda harus mengirimkan permintaan penghapusan. Permintaan tersebut dapat ditolak jika syarat-syarat ini tidak terpenuhi. Anda harus menangkap `deletion-task-id` dari tanggapan untuk memeriksa status tugas penghapusan. Ketik perintah berikut untuk mengirimkan permintaan penghapusan peran yang terhubung dengan layanan:
```
$ aws iam delete-service-linked-role --role-name AWSServiceRoleForBatch
```
1. Gunakan perintah berikut untuk memeriksa status tugas penghapusan:
```
$ aws iam get-service-linked-role-deletion-status --deletion-task-id deletion-task-id
```
Status tugas penghapusan dapat berupa `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED`, atau `FAILED`. Jika penghapusan gagal, panggilan akan mengembalikan alasan kegagalan panggilan sehingga Anda dapat memecahkan masalah. Jika penghapusan gagal karena peran tersebut sedang menggunakan sumber daya layanan, maka pemberitahuan mencakup daftar sumber daya, jika layanan tersebut mengembalikan informasi tersebut. Anda kemudian dapat [membersihkan sumber daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-review-before-delete) dan mengirimkan penghapusan lagi.
**catatan**
Anda mungkin harus mengulangi proses ini beberapa kali, tergantung pada informasi yang dikembalikan oleh layanan. Misalnya, peran terkait layanan Anda mungkin menggunakan enam sumber daya dan layanan Anda mungkin akan mengembalikan informasi mengenai lima di antaranya. Jika Anda membersihkan lima sumber daya dan mengirim peran untuk penghapusan lagi, penghapusan tersebut gagal dan layanan melaporkan sumber daya yang tersisa. Layanan mungkin mengembalikan semua sumber daya atau beberapa di antaranya. Layanan mungkin juga tidak melaporkan sumber daya apa pun. Untuk mempelajari cara membersihkan sumber daya untuk layanan yang tidak melaporkan sumber daya apa pun, lihat [Layanan AWS yang bekerja dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Cari layanan Anda dalam tabel, dan pilih tautan **Ya** untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut
### Menghapus peran yang terhubung dengan layanan di IAM (API AWS)
Anda dapat menggunakan API IAM untuk menghapus peran terkait layanan.
**Untuk menghapus peran terkait layanan (API)**
1. Untuk mengirimkan permintaan penghapusan untuk peran terkait layanan, panggil [DeleteServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceLinkedRole.html). Dalam permintaan, tentukan nama AWSService RoleForBatch peran.
Karena peran terkait layanan tidak dapat dihapus jika sedang digunakan atau memiliki sumber daya terkait, Anda harus mengirimkan permintaan penghapusan. Permintaan tersebut dapat ditolak jika kondisi ini tidak terpenuhi. Anda harus menangkap `DeletionTaskId` dari tanggapan untuk memeriksa status tugas penghapusan.
1. Untuk memeriksa status penghapusan, panggil [GetServiceLinkedRoleDeletionStatus](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLinkedRoleDeletionStatus.html). Di permintaan tersebut, tentukan `DeletionTaskId`.
Status tugas penghapusan dapat berupa `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED`, atau `FAILED`. Jika penghapusan gagal, panggilan akan mengembalikan alasan kegagalan panggilan sehingga Anda dapat memecahkan masalah. Jika penghapusan gagal karena peran tersebut sedang menggunakan sumber daya layanan, maka pemberitahuan mencakup daftar sumber daya, jika layanan tersebut mengembalikan informasi tersebut. Anda kemudian dapat [membersihkan sumber daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-review-before-delete) dan mengirimkan penghapusan lagi.
**catatan**
Anda mungkin harus mengulangi proses ini beberapa kali, tergantung pada informasi yang dikembalikan oleh layanan. Misalnya, peran terkait layanan Anda mungkin menggunakan enam sumber daya dan layanan Anda mungkin akan mengembalikan informasi mengenai lima di antaranya. Jika Anda membersihkan lima sumber daya dan mengirim peran untuk penghapusan lagi, penghapusan tersebut gagal dan layanan melaporkan sumber daya yang tersisa. Layanan mungkin mengembalikan semua sumber daya, beberapa di antaranya, atau tidak melaporkan sumber daya apa pun. Untuk mempelajari cara membersihkan sumber daya untuk layanan yang tidak melaporkan sumber daya apa pun, lihat [Layanan AWS yang berfungsi dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Cari layanan Anda dalam tabel, dan pilih tautan **Ya** untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut
## Wilayah yang Didukung untuk AWS Batch peran terkait layanan
AWS Batch mendukung penggunaan peran terkait layanan di semua Wilayah tempat layanan tersedia. Untuk informasi lebih lanjut, lihat [Titik akhir AWS Batch](https://docs.aws.amazon.com/general/latest/gr/batch.html#batch_region).
# Menggunakan peran untuk AWS Batch dengan SageMaker AI
AWS Batch menggunakan AWS Identity and Access Management peran [terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Peran terkait layanan adalah jenis unik peran IAM yang ditautkan langsung ke. AWS Batch Peran terkait layanan telah ditentukan sebelumnya oleh AWS Batch dan mencakup semua izin yang diperlukan layanan untuk memanggil AWS layanan lain atas nama Anda.
Peran terkait layanan membuat pengaturan AWS Batch lebih mudah karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. AWS Batch mendefinisikan izin peran terkait layanan, dan kecuali ditentukan lain, hanya AWS Batch dapat mengambil perannya. Izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin, dan kebijakan izin tersebut tidak dapat dilampirkan ke entitas IAM lainnya.
Anda dapat menghapus peran tertaut layanan hanya setelah menghapus sumber daya terkait terlebih dahulu. Ini melindungi AWS Batch sumber daya Anda karena Anda tidak dapat secara tidak sengaja menghapus izin untuk mengakses sumber daya.
Untuk informasi tentang layanan lain yang mendukung peran terkait layanan, silakan lihat [layanan AWS yang bisa digunakan dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dan carilah layanan yang memiliki opsi **Ya** di kolom **Peran terkait layanan**. Pilih **Ya** dengan sebuah tautan untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut.
## Izin peran terkait layanan untuk AWS Batch
AWS Batch menggunakan peran terkait layanan bernama **AWSServiceRoleForAWSBatchWithSagemaker**— Memungkinkan AWS Batch untuk mengantri dan mengelola pekerjaan SageMaker Pelatihan atas nama Anda.
Peran AWSService RoleFor AWSBatch WithSagemaker terkait layanan mempercayai layanan berikut untuk mengambil peran:
+ `sagemaker-queuing.batch.amazonaws.com`
Kebijakan izin peran memungkinkan AWS Batch untuk menyelesaikan tindakan berikut pada sumber daya yang ditentukan:
+ `sagemaker`— Memungkinkan AWS Batch untuk mengelola pekerjaan SageMaker pelatihan, mengubah pekerjaan, dan sumber daya SageMaker AI lainnya.
+ `iam:PassRole`— Memungkinkan AWS Batch untuk meneruskan peran eksekusi yang ditentukan pelanggan ke SageMaker AI untuk eksekusi pekerjaan. Kendala sumber daya memungkinkan meneruskan peran ke layanan SageMaker AI.
Anda harus mengonfigurasi izin agar pengguna, grup, atau peran Anda membuat, mengedit, atau menghapus peran terkait layanan. Untuk informasi selengkapnya, lihat [Izin peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dalam *Panduan Pengguna IAM*.
## Membuat peran terkait layanan untuk AWS Batch
Anda tidak perlu membuat peran terkait layanan secara manual. Saat Anda membuat lingkungan layanan menggunakan `CreateServiceEnvironment` di Konsol Manajemen AWS, the AWS CLI, atau AWS API, AWS Batch buat peran terkait layanan untuk Anda.
Jika Anda menghapus peran terkait layanan ini, dan ingin membuatnya lagi, Anda dapat mengulangi proses yang sama untuk membuat kembali peran tersebut di akun Anda. Saat Anda membuat lingkungan layanan menggunakan`CreateServiceEnvironment`, AWS Batch buat peran terkait layanan untuk Anda lagi.
Untuk melihat JSON untuk kebijakan, lihat [AWSBatchServiceRolePolicyForSageMaker](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBatchServiceRolePolicyForSageMaker.html)di [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html).
## Mengedit peran terkait layanan untuk AWS Batch
AWS Batch tidak memungkinkan Anda untuk mengedit peran AWSService RoleFor AWSBatch WithSagemaker terkait layanan. Setelah membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin merujuk peran tersebut. Namun, Anda dapat mengedit penjelasan peran menggunakan IAM. Untuk informasi selengkapnya, lihat [Mengedit peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dalam *Panduan Pengguna IAM*.
## Menghapus peran terkait layanan untuk AWS Batch
Jika Anda tidak perlu lagi menggunakan fitur atau layanan yang memerlukan peran terkait layanan, kami merekomendasikan Anda menghapus peran tersebut. Dengan begitu, Anda tidak memiliki entitas tak terpakai yang tidak dipantau atau dipelihara secara aktif. Namun, Anda harus membersihkan peran tertaut-layanan sebelum dapat menghapusnya secara manual.
### Membersihkan peran tertaut-layanan
Sebelum Anda dapat menggunakan IAM untuk menghapus peran terkait layanan, Anda harus terlebih dahulu mengonfirmasi bahwa peran tersebut tidak memiliki sesi aktif dan menghapus semua lingkungan layanan yang menggunakan peran di semua AWS Wilayah dalam satu partisi.
**Untuk memeriksa apakah peran yang terhubung dengan layanan memiliki sesi aktif**
1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Peran** dan kemudian AWSService RoleFor AWSBatch WithSagemaker nama (bukan kotak centang).
1. Di halaman **Summary** (Ringkasan), pilih **Access Advisor** (Penasihat Akses) dan tinjau aktivitas terbaru untuk peran yang terhubung dengan layanan.
**catatan**
Jika Anda tidak tahu AWS Batch apakah menggunakan AWSService RoleFor AWSBatch WithSagemaker peran tersebut, Anda dapat mencoba menghapus peran tersebut. Jika layanan yang menggunakan peran tersebut, peran akan gagal dihapus. Anda dapat melihat Wilayah tempat peran tersebut digunakan. Jika peran tersebut sedang digunakan, Anda harus menunggu hingga sesi ini berakhir sebelum dapat menghapus peran tersebut. Anda tidak dapat mencabut sesi untuk peran tertaut layanan.
**Untuk menghapus AWS Batch sumber daya yang digunakan oleh peran AWSService RoleFor AWSBatch WithSagemaker terkait layanan**
Anda harus memisahkan semua antrian pekerjaan dari semua lingkungan layanan maka Anda harus menghapus semua lingkungan layanan yang menggunakan AWSService RoleFor AWSBatch WithSagemaker peran di semua AWS Wilayah sebelum Anda dapat menghapus peran tersebut. AWSService RoleFor AWSBatch WithSagemaker
1. Buka AWS Batch konsol di [https://console.aws.amazon.com/batch/](https://console.aws.amazon.com/batch/).
1. Dari bilah navigasi, pilih Wilayah untuk digunakan.
1. Di panel navigasi, pilih **Lingkungan**, lalu **Lingkungan layanan**.
1. Pilih semua **lingkungan Layanan**.
1. Pilih **Disable** (Nonaktifkan). Tunggu **State** (Status) berubah menjadi **DISABLED** (DINONAKTIFKAN).
1. Pilih lingkungan layanan.
1. Pilih **Hapus**. Konfirmasikan bahwa Anda ingin menghapus lingkungan layanan dengan memilih **Hapus lingkungan layanan**.
1. Ulangi langkah 1—7 untuk semua lingkungan layanan yang menggunakan peran terkait layanan di semua Wilayah.
### Menghapus peran yang terhubung dengan layanan (Konsol IAM)
Anda dapat menggunakan konsol IAM untuk menghapus sebuah peran terkait layanan.
**Untuk menghapus peran terkait layanan (konsol)**
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi konsol IAM, pilih **Peran**. Kemudian pilih kotak centang di sebelah AWSService RoleFor AWSBatchWithSagemaker, bukan nama atau baris itu sendiri.
1. Pilih **Hapus peran**.
1. Di kotak dialog konfirmasi, tinjau data layanan yang terakhir diakses, yang menunjukkan kapan masing-masing peran yang dipilih terakhir mengakses file Layanan AWS. Hal ini membantu Anda mengonfirmasi aktif tidaknya peran tersebut saat ini. Jika Anda ingin melanjutkan, pilih **Ya, Hapus** guna mengirimkan peran terkait layanan untuk penghapusan.
1. Perhatikan notifikasi konsol IAM untuk memantau progres penghapusan peran terkait layanan. Karena penghapusan peran terkait layanan IAM bersifat asinkron, setelah Anda mengirimkan peran tersebut untuk dihapus, tugas penghapusan dapat berhasil atau gagal.
+ Jika tugas berhasil, maka peran tersebut dihapus dari daftar dan pemberitahuan keberhasilan muncul di bagian atas halaman.
+ Jika tugas tersebut gagal, Anda dapat memilih **Lihat rincian** atau **Lihat Sumber Daya** dari pemberitahuan untuk mempelajari alasan penghapusan gagal. Jika penghapusan gagal karena peran tersebut sedang menggunakan sumber daya layanan, maka pemberitahuan mencakup daftar sumber daya, jika layanan tersebut mengembalikan informasi tersebut. Anda kemudian dapat [membersihkan sumber daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-review-before-delete) dan mengirimkan penghapusan lagi.
**catatan**
Anda mungkin harus mengulangi proses ini beberapa kali, tergantung pada informasi yang dikembalikan oleh layanan. Misalnya, peran terkait layanan Anda mungkin menggunakan enam sumber daya dan layanan Anda mungkin akan mengembalikan informasi mengenai lima di antaranya. Jika Anda membersihkan lima sumber daya dan mengirim peran untuk penghapusan lagi, penghapusan tersebut gagal dan layanan melaporkan sumber daya yang tersisa. Layanan mungkin mengembalikan semua sumber daya, beberapa di antaranya, atau tidak melaporkan sumber daya apa pun.
+ Jika tugas gagal dan pemberitahuan tidak mencakup daftar sumber daya, maka layanan mungkin tidak mengembalikan informasi tersebut. Untuk mempelajari cara membersihkan sumber daya untuk layanan itu, lihat [Layanan AWS yang bekerja dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Cari layanan Anda dalam tabel, dan pilih tautan **Ya** untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut
### Menghapus peran yang terhubung dengan layanan di IAM (AWS CLI)
Anda dapat menggunakan perintah IAM dari AWS Command Line Interface untuk menghapus peran terkait layanan.
**Untuk menghapus peran yang terhubung dengan layanan (CLI)**
1. Karena peran yang terhubung dengan layanan tidak dapat dihapus jika sedang digunakan atau memiliki sumber daya terkait, Anda harus mengirimkan permintaan penghapusan. Permintaan tersebut dapat ditolak jika syarat-syarat ini tidak terpenuhi. Anda harus menangkap `deletion-task-id` dari tanggapan untuk memeriksa status tugas penghapusan. Ketik perintah berikut untuk mengirimkan permintaan penghapusan peran yang terhubung dengan layanan:
```
$ aws iam delete-service-linked-role --role-name AWSServiceRoleForAWSBatchWithSagemaker
```
1. Gunakan perintah berikut untuk memeriksa status tugas penghapusan:
```
$ aws iam get-service-linked-role-deletion-status --deletion-task-id deletion-task-id
```
Status tugas penghapusan dapat berupa `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED`, atau `FAILED`. Jika penghapusan gagal, panggilan akan mengembalikan alasan kegagalan panggilan sehingga Anda dapat memecahkan masalah. Jika penghapusan gagal karena peran tersebut sedang menggunakan sumber daya layanan, maka pemberitahuan mencakup daftar sumber daya, jika layanan tersebut mengembalikan informasi tersebut. Anda kemudian dapat [membersihkan sumber daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-review-before-delete) dan mengirimkan penghapusan lagi.
**catatan**
Anda mungkin harus mengulangi proses ini beberapa kali, tergantung pada informasi yang dikembalikan oleh layanan. Misalnya, peran terkait layanan Anda mungkin menggunakan enam sumber daya dan layanan Anda mungkin akan mengembalikan informasi mengenai lima di antaranya. Jika Anda membersihkan lima sumber daya dan mengirim peran untuk penghapusan lagi, penghapusan tersebut gagal dan layanan melaporkan sumber daya yang tersisa. Layanan mungkin mengembalikan semua sumber daya atau beberapa di antaranya. Layanan mungkin juga tidak melaporkan sumber daya apa pun. Untuk mempelajari cara membersihkan sumber daya untuk layanan yang tidak melaporkan sumber daya apa pun, lihat [Layanan AWS yang bekerja dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Cari layanan Anda dalam tabel, dan pilih tautan **Ya** untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut
### Menghapus peran yang terhubung dengan layanan di IAM (API AWS)
Anda dapat menggunakan API IAM untuk menghapus peran terkait layanan.
**Untuk menghapus peran terkait layanan (API)**
1. Untuk mengirimkan permintaan penghapusan untuk peran terkait layanan, panggil [DeleteServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceLinkedRole.html). Dalam permintaan, tentukan nama AWSService RoleFor AWSBatch WithSagemaker peran.
Karena peran terkait layanan tidak dapat dihapus jika sedang digunakan atau memiliki sumber daya terkait, Anda harus mengirimkan permintaan penghapusan. Permintaan tersebut dapat ditolak jika kondisi ini tidak terpenuhi. Anda harus menangkap `DeletionTaskId` dari tanggapan untuk memeriksa status tugas penghapusan.
1. Untuk memeriksa status penghapusan, panggil [GetServiceLinkedRoleDeletionStatus](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLinkedRoleDeletionStatus.html). Di permintaan tersebut, tentukan `DeletionTaskId`.
Status tugas penghapusan dapat berupa `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED`, atau `FAILED`. Jika penghapusan gagal, panggilan akan mengembalikan alasan kegagalan panggilan sehingga Anda dapat memecahkan masalah. Jika penghapusan gagal karena peran tersebut sedang menggunakan sumber daya layanan, maka pemberitahuan mencakup daftar sumber daya, jika layanan tersebut mengembalikan informasi tersebut. Anda kemudian dapat [membersihkan sumber daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-review-before-delete) dan mengirimkan penghapusan lagi.
**catatan**
Anda mungkin harus mengulangi proses ini beberapa kali, tergantung pada informasi yang dikembalikan oleh layanan. Misalnya, peran terkait layanan Anda mungkin menggunakan enam sumber daya dan layanan Anda mungkin akan mengembalikan informasi mengenai lima di antaranya. Jika Anda membersihkan lima sumber daya dan mengirim peran untuk penghapusan lagi, penghapusan tersebut gagal dan layanan melaporkan sumber daya yang tersisa. Layanan mungkin mengembalikan semua sumber daya, beberapa di antaranya, atau tidak melaporkan sumber daya apa pun. Untuk mempelajari cara membersihkan sumber daya untuk layanan yang tidak melaporkan sumber daya apa pun, lihat [Layanan AWS yang berfungsi dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Cari layanan Anda dalam tabel, dan pilih tautan **Ya** untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut
## Wilayah yang Didukung untuk AWS Batch peran terkait layanan
AWS Batch mendukung penggunaan peran terkait layanan di semua Wilayah tempat layanan tersedia. Untuk informasi lebih lanjut, lihat [Titik akhir AWS Batch](https://docs.aws.amazon.com/general/latest/gr/batch.html#batch_region).
# Peran instans Amazon ECS
AWS Batch lingkungan komputasi diisi dengan instans kontainer Amazon ECS. Mereka menjalankan agen kontainer Amazon ECS secara lokal. Agen penampung Amazon ECS melakukan panggilan ke berbagai operasi AWS API atas nama Anda. Oleh karena itu, instans kontainer yang menjalankan agen memerlukan kebijakan dan IAM role untuk layanan ini untuk mengenali bahwa agen tersebut merupakan milik Anda. Anda harus membuat peran IAM dan profil instance untuk instance container yang akan digunakan saat diluncurkan. Jika tidak, Anda tidak dapat membuat lingkungan komputasi dan meluncurkan instans kontainer ke dalamnya. Persyaratan ini berlaku untuk instans kontainer yang diluncurkan dengan atau tanpa AMI yang dioptimalkan untuk Amazon ECS yang disediakan oleh Amazon. Untuk informasi selengkapnya, lihat [Peran instans Amazon ECS](#instance_IAM_role) di *Panduan Pengembang Layanan Amazon Elastic Container*.
**Topics**
+ [Periksa peran instans Amazon ECS akun Anda](batch-check-ecsinstancerole.md)
# Periksa peran instans Amazon ECS akun Anda
Peran instans dan profil instans Amazon ECS secara otomatis dibuat untuk Anda di konsol pengalaman penjalanan pertama kali. Namun, Anda dapat mengikuti langkah-langkah ini untuk memeriksa apakah akun Anda sudah memiliki peran instans Amazon ECS dan profil instans. Langkah-langkah berikut juga mencakup cara melampirkan kebijakan IAM terkelola.
**Tutorial: Periksa `ecsInstanceRole` di konsol IAM**
1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Peran**.
1. Cari daftar peran untuk `ecsInstanceRole`. Jika peran tidak ada, gunakan langkah-langkah berikut untuk membuat peran.
1. Pilih **Buat Peran**.
1. Untuk **jenis entitas Tepercaya**, pilih **Layanan AWS**.
1. Untuk **kasus penggunaan umum**, pilih **EC2**.
1. Pilih **Berikutnya**.
1. Untuk **kebijakan Izin**, cari **EC2ContainerServiceforEC2Peran Amazon**.
1. Pilih kotak centang di samping **EC2ContainerServiceforEC2Peran Amazon**, lalu pilih **Berikutnya**.
1. Untuk **Role Name** (Nama Peran), ketik `ecsInstanceRole` dan pilih **Create Role** (Buat Peran).
**catatan**
Jika Anda menggunakan Konsol Manajemen AWS untuk membuat peran Amazon EC2, konsol akan membuat profil instans dengan nama yang sama dengan peran.
Atau, Anda dapat menggunakan AWS CLI untuk membuat peran `ecsInstanceRole` IAM. Contoh berikut membuat peran IAM dengan kebijakan kepercayaan dan kebijakan AWS terkelola.
**Tutorial: Membuat peran IAM dan profil instance ()AWS CLI**
1. Buat kebijakan kepercayaan berikut dan simpan dalam file teks yang diberi nama`ecsInstanceRole-role-trust-policy.json`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": { "Service": "ec2.amazonaws.com"},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Gunakan perintah [create-role](https://docs.aws.amazon.com/cli/latest/reference/iam/create-role.html) untuk membuat peran. `ecsInstanceRole` Tentukan lokasi file kebijakan kepercayaan dalam `assume-role-policy-document` parameter.
```
$ aws iam create-role \
--role-name ecsInstanceRole \
--assume-role-policy-document file://ecsInstanceRole-role-trust-policy.json
```
1. Gunakan [create-instance-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/create-instance-profile.html)perintah untuk membuat profil instance yang diberi nama`ecsInstanceRole`.
**catatan**
Anda perlu membuat peran dan profil instance sebagai tindakan terpisah di AWS API AWS CLI dan API.
```
$ aws iam create-instance-profile --instance-profile-name ecsInstanceRole
```
Berikut ini adalah contoh respons.
```
{
"InstanceProfile": {
"Path": "/",
"InstanceProfileName": "ecsInstanceRole",
"InstanceProfileId": "AIPAT46P5RDITREXAMPLE",
"Arn": "arn:aws:iam::123456789012:instance-profile/ecsInstanceRole",
"CreateDate": "2022-06-30T23:53:34.093Z",
"Roles": [], }
}
```
1. Gunakan perintah [ add-role-to-instance-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/add-role-to-instance-profile.html) untuk menambahkan `ecsInstanceRole` peran ke profil `ecsInstanceRole` instance.
```
aws iam add-role-to-instance-profile \
--role-name ecsInstanceRole --instance-profile-name ecsInstanceRole
```
1. Gunakan [attach-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-role-policy.html)perintah untuk melampirkan kebijakan `AmazonEC2ContainerServiceforEC2Role` AWS terkelola ke `ecsInstanceRole` peran.
```
$ aws iam attach-role-policy \
--policy-arn arn:aws:iam::aws:policy/service-role/AmazonEC2ContainerServiceforEC2Role \
--role-name ecsInstanceRole
```
# Peran armada spot Amazon EC2
Jika Anda membuat lingkungan komputasi terkelola yang menggunakan Instans Armada Spot Amazon EC2, Anda harus membuat kebijakan. `AmazonEC2SpotFleetTaggingRole` Kebijakan ini memberikan izin kepada Armada Spot untuk meluncurkan, menandai, dan menghentikan instans atas nama Anda. Tentukan peran dalam permintaan Armada Spot Anda. Anda juga harus memiliki peran **AWSServiceRoleForEC2Spot** dan **AWSServiceRoleForEC2SpotFleet**terkait layanan untuk Armada Spot dan Spot Amazon EC2. Gunakan instruksi berikut untuk membuat semua peran. *Untuk informasi selengkapnya, lihat [Menggunakan Peran Tertaut Layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) dan [Membuat Peran untuk Mendelegasikan Izin ke AWS Layanan di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) Pengguna IAM.*
**Topics**
+ [Buat peran armada spot Amazon EC2 di Konsol Manajemen AWS](spot-fleet-roles-console.md)
+ [Buat peran armada spot Amazon EC2 dengan AWS CLI](spot-fleet-roles-cli.md)
# Buat peran armada spot Amazon EC2 di Konsol Manajemen AWS
**Untuk membuat IAM role yang terhubung dengan layanan `AmazonEC2SpotFleetTaggingRole` untuk Armada Spot Amazon EC2**
1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Untuk **Manajemen Akses**, pilih **Peran**,
1. Untuk **Peran**, pilih **Buat peran**.
1. Dari **Pilih entitas tepercaya** **untuk jenis entitas Tepercaya**, pilih **Layanan AWS**.
1. Untuk **kasus Penggunaan untuk kasus lainnya Layanan AWS**, pilih **EC2 dan kemudian pilih EC2** **- Spot Fleet Tagging**.
1. Pilih **Berikutnya**.
1. Dari **kebijakan Izin** untuk **nama Kebijakan**, verifikasi`AmazonEC2SpotFleetTaggingRole`.
1. Pilih **Berikutnya**.
1. Untuk **Nama, tinjau, dan buat**:
1. Untuk **nama Peran**, masukkan nama untuk mengidentifikasi peran.
1. Untuk **Deskripsi**, masukkan penjelasan singkat untuk kebijakan tersebut.
1. (Opsional) Untuk **Langkah 1: Pilih entitas tepercaya**, pilih **Edit** untuk mengubah kode.
1. (Opsional) Untuk **Langkah 2: Tambahkan izin**, pilih **Edit** untuk mengubah kode.
1. (Opsional) Untuk **Tambahkan tag**, pilih **Tambahkan tag** untuk menambahkan tag ke sumber daya.
1. Pilih **Buat peran**.
**catatan**
Di masa lalu, ada dua kebijakan terkelola untuk peran Armada Spot Amazon EC2.
**Amazon EC2 SpotFleetRole**: Ini adalah kebijakan terkelola asli untuk peran Armada Spot. Namun, kami tidak lagi menyarankan Anda menggunakannya AWS Batch. Kebijakan ini tidak mendukung penandaan Instance Spot di lingkungan komputasi, yang diperlukan untuk menggunakan peran terkait `AWSServiceRoleForBatch` layanan. Jika sebelumnya Anda membuat peran Armada Spot dengan kebijakan ini, terapkan kebijakan baru yang direkomendasikan untuk peran tersebut. Untuk informasi selengkapnya, lihat [Instans Spot tidak ditandai pada pembuatan](spot-instance-no-tag.md).
**Amazon EC2 SpotFleetTaggingRole**: Peran ini menyediakan semua izin yang diperlukan untuk menandai Instans Spot Amazon EC2. Gunakan peran ini untuk memungkinkan penandaan Instance Spot di lingkungan AWS Batch komputasi Anda.
# Buat peran armada spot Amazon EC2 dengan AWS CLI
**Untuk membuat peran **Amazon EC2 SpotFleetTaggingRole** IAM untuk lingkungan komputasi Armada Spot Anda**
1. Jalankan perintah berikut dengan file AWS CLI.
```
$ aws iam create-role --role-name AmazonEC2SpotFleetTaggingRole \
--assume-role-policy-document '{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "spotfleet.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}'
```
1. Untuk melampirkan kebijakan IAM EC2 SpotFleetTaggingRole terkelola **Amazon** ke EC2 SpotFleetTaggingRole peran **Amazon** Anda, jalankan perintah berikut AWS CLI dengan.
```
$ aws iam attach-role-policy \
--policy-arn \
arn:aws:iam::aws:policy/service-role/AmazonEC2SpotFleetTaggingRole \
--role-name \
AmazonEC2SpotFleetTaggingRole
```
**Untuk membuat IAM role yang terhubung dengan layanan `AWSServiceRoleForEC2Spot` untuk Spot Amazon EC2**
**catatan**
Jika peran terkait layanan `AWSServiceRoleForEC2Spot` IAM sudah ada, Anda akan melihat pesan galat yang menyerupai berikut ini.
```
An error occurred (InvalidInput) when calling the CreateServiceLinkedRole operation:
Service role name AWSServiceRoleForEC2Spot has been taken in this account, please try a different suffix.
```
+ Jalankan perintah berikut dengan file AWS CLI.
```
$ aws iam create-service-linked-role --aws-service-name spot.amazonaws.com
```
**Untuk membuat IAM role yang terhubung dengan layanan `AWSServiceRoleForEC2SpotFleet` untuk Armada Spot Amazon EC2**
**catatan**
Jika peran terkait layanan `AWSServiceRoleForEC2SpotFleet` IAM sudah ada, Anda akan melihat pesan galat yang menyerupai berikut ini.
```
An error occurred (InvalidInput) when calling the CreateServiceLinkedRole operation:
Service role name AWSServiceRoleForEC2SpotFleet has been taken in this account, please try a different suffix.
```
+ Jalankan perintah berikut dengan file AWS CLI.
```
$ aws iam create-service-linked-role --aws-service-name spotfleet.amazonaws.com
```
# EventBridge Peran IAM
Amazon EventBridge memberikan aliran peristiwa sistem yang mendekati waktu nyata yang menggambarkan perubahan sumber daya. AWS AWS Batch pekerjaan tersedia sebagai EventBridge target. Menggunakan aturan sederhana yang dapat Anda siapkan dengan cepat, Anda dapat mencocokkan peristiwa dan mengirimkan tugas AWS Batch untuk meresponsnya. Sebelum Anda dapat mengirimkan AWS Batch pekerjaan dengan EventBridge aturan dan target, EventBridge harus memiliki izin untuk menjalankan AWS Batch pekerjaan atas nama Anda.
**catatan**
Saat membuat aturan di EventBridge konsol yang menentukan AWS Batch antrian sebagai target, Anda dapat membuat peran ini. Untuk panduan contoh, lihat [AWS Batch pekerjaan sebagai EventBridge target](batch-cwe-target.md). Anda dapat membuat EventBridge peran secara manual menggunakan konsol IAM. Untuk petunjuknya, lihat [Membuat peran menggunakan kebijakan kepercayaan khusus (konsol)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html) di Panduan Pengguna IAM.
Hubungan kepercayaan untuk peran EventBridge IAM Anda harus memberikan kepala `events.amazonaws.com` layanan kemampuan untuk mengambil peran tersebut.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "events.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Pastikan bahwa kebijakan yang dilampirkan ke peran EventBridge IAM Anda memungkinkan `batch:SubmitJob` izin pada sumber daya Anda. Dalam contoh berikut, AWS Batch berikan kebijakan `AWSBatchServiceEventTargetRole` terkelola untuk memberikan izin ini.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:SubmitJob"
],
"Resource": "*"
}
]
}
```
------