Ruolo collegato ai servizi per le richieste di istanza spot - Amazon Elastic Compute Cloud
Autorizzazioni concesse da AWSServiceRoleForEC2SpotCreazione del ruolo collegato ai serviziConcedi l'accesso alle chiavi gestite dal cliente da utilizzare con istantanee crittografate AMIs ed EBS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Ruolo collegato ai servizi per le richieste di istanza spot

Amazon EC2 utilizza ruoli collegati ai servizi per le autorizzazioni di cui ha bisogno per eseguire chiamate ad altri servizi AWS per tuo conto. Un ruolo collegato al servizio è un tipo unico di ruolo IAM collegato direttamente a un. Servizio AWS I ruoli collegati ai servizi forniscono un modo sicuro per delegare le autorizzazioni Servizi AWS perché solo il servizio collegato può assumere un ruolo collegato al servizio. Per ulteriori informazioni, consulta Ruoli collegati ai servizi nella Guida per l’utente di IAM.

Amazon EC2 utilizza il ruolo collegato al servizio denominato AWSServiceRoleForEC2Spot per avviare e gestire le istanze Spot per tuo conto.

Autorizzazioni concesse da AWSServiceRoleForEC2Spot

Amazon EC2 utilizza AWSServiceRoleForEC2Spot per completare le seguenti azioni:

  • ec2:DescribeInstances - Descrive le istanze spot

  • ec2:StopInstances - Arresta istanze spot

  • ec2:StartInstances - Avvia istanze spot

Creazione del ruolo collegato ai servizi

In gran parte dei casi, non è necessario creare manualmente un ruolo collegato ai servizi. Amazon EC2 crea il ruolo collegato al servizio AWSServiceRoleForEC2Spot la prima volta che richiedi un'istanza Spot utilizzando la console.

Se hai ricevuto una richiesta di istanza Spot attiva prima di ottobre 2017, quando Amazon EC2 ha iniziato a supportare questo ruolo collegato al servizio, Amazon EC2 ha creato il AWSService RoleFor EC2 ruolo Spot nel tuo account. AWS Per ulteriori informazioni, consulta Visualizzazione di un nuovo ruolo nell'account nella Guida per l'utente di IAM.

Se utilizzi AWS CLI o un'API per richiedere un'istanza Spot, devi prima assicurarti che questo ruolo esista.

Per creare AWSServiceRoleForEC2Spot utilizzando la console

  1. Aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel pannello di navigazione, seleziona Roles (Ruoli).

  3. Selezionare Create role (Crea ruolo).

  4. Nella pagina Select type of trusted entity (Seleziona tipo di entità attendibile) selezionare EC2, EC2 - Spot Instances (EC2 – Istanze spot), quindi scegliere Next: Permissions (Successivo: Autorizzazioni).

  5. Nella pagina successiva, scegliere Next: Review (Successivo: Revisione).

  6. Nella pagina Review (Revisione), scegliere Create Role (Crea ruolo).

Per creare AWSServiceRoleForEC2Spot usando il AWS CLI

Utilizza il comando create-service-linked-role come riportato di seguito.

aws iam create-service-linked-role --aws-service-name spot.amazonaws.com

Se non hai più bisogno di utilizzare le istanze Spot, ti consigliamo di eliminare il ruolo AWSServiceRoleForEC2Spot. Dopo che questo ruolo è stato eliminato dall'account, Amazon EC2 creerà di nuovo il ruolo se verranno richieste le Istanze spot.

Concedi l'accesso alle chiavi gestite dal cliente da utilizzare con istantanee crittografate AMIs ed EBS

Se specifichi un'AMI crittografata o uno snapshot Amazon EBS crittografato per le tue istanze Spot e utilizzi una chiave gestita dal cliente per la crittografia, devi concedere al ruolo AWSServiceRoleForEC2Spot l'autorizzazione a utilizzare la chiave gestita dal cliente in modo che Amazon EC2 possa avviare istanze Spot per tuo conto. Per farlo, occorre aggiungere una concessione alla chiave gestita dal cliente, come mostrato nella procedura seguente.

Nel processo di assegnazione delle autorizzazioni, le concessioni rappresentano un’alternativa alle policy delle chiavi. Per ulteriori informazioni, consulta Utilizzo delle concessioni e Utilizzo delle policy delle chiavi in AWS KMS nella Guida per gli sviluppatori di AWS Key Management Service .

Per concedere al ruolo AWSServiceRoleForEC2Spot le autorizzazioni per l'utilizzo della chiave gestita dal cliente

  • Utilizza il comando create-grant per aggiungere una concessione alla chiave gestita dal cliente e per specificare il principale (il ruolo collegato al servizio AWSServiceRoleForEC2Spot) a cui viene concessa l'autorizzazione per eseguire le operazioni consentite dalla concessione. La chiave gestita dal cliente è specificata dal parametro key-id e dall’ARN della chiave gestita dal cliente. Il principale è specificato dal grantee-principal parametro e dall'ARN del ruolo collegato al servizio AWSServiceRoleForEC2Spot.

    aws kms create-grant \
    --region us-east-1 \
    --key-id arn:aws:kms:us-east-1:444455556666:key/1234abcd-12ab-34cd-56ef-1234567890ab \
    --grantee-principal arn:aws:iam::111122223333:role/aws-service-role/spot.amazonaws.com/AWSServiceRoleForEC2Spot \
    --operations "Decrypt" "Encrypt" "GenerateDataKey" "GenerateDataKeyWithoutPlaintext" "CreateGrant" "DescribeKey" "ReEncryptFrom" "ReEncryptTo"