Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Ruolo collegato ai servizi per le richieste di istanza spot
<a name="service-linked-roles-spot-instance-requests"></a>

Amazon EC2 utilizza ruoli collegati ai servizi per le autorizzazioni di cui ha bisogno per eseguire chiamate ad altri servizi AWS per tuo conto. Un ruolo collegato al servizio è un tipo unico di ruolo IAM collegato direttamente a un. Servizio AWS I ruoli collegati ai servizi forniscono un modo sicuro per delegare le autorizzazioni Servizi AWS perché solo il servizio collegato può assumere un ruolo collegato al servizio. Per ulteriori informazioni, consulta [Ruoli collegati ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html) nella *Guida per l’utente di IAM*.

Amazon EC2 utilizza il ruolo collegato al servizio denominato **AWSServiceRoleForEC2Spot** per avviare e gestire le istanze Spot per tuo conto.

## Autorizzazioni concesse da AWSServiceRoleForEC2Spot
<a name="service-linked-role-permissions-granted-by-AWSServiceRoleForEC2Spot"></a>

Amazon EC2 utilizza **AWSServiceRoleForEC2Spot** per completare le seguenti azioni:
+ `ec2:DescribeInstances` - Descrive le istanze spot
+ `ec2:StopInstances` - Arresta istanze spot
+ `ec2:StartInstances` - Avvia istanze spot

## Creazione del ruolo collegato ai servizi
<a name="service-linked-role-creating-for-spot"></a>

In gran parte dei casi, non è necessario creare manualmente un ruolo collegato ai servizi. Amazon EC2 crea il ruolo collegato al servizio **AWSServiceRoleForEC2Spot** la prima volta che richiedi un'istanza Spot utilizzando la console.

**Se hai ricevuto una richiesta di istanza Spot attiva prima di ottobre 2017, quando Amazon EC2 ha iniziato a supportare questo ruolo collegato al servizio, Amazon EC2 ha creato il AWSService RoleFor EC2 ruolo Spot nel tuo account.** AWS Per ulteriori informazioni, consulta [Visualizzazione di un nuovo ruolo nell'account ](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared) nella *Guida per l'utente di IAM*.

Se utilizzi AWS CLI o un'API per richiedere un'istanza Spot, devi prima assicurarti che questo ruolo esista.

**Per creare **AWSServiceRoleForEC2Spot** utilizzando la console**

1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Nel pannello di navigazione, seleziona **Roles** (Ruoli).

1. Selezionare **Create role (Crea ruolo)**.

1. Nella pagina **Select type of trusted entity (Seleziona tipo di entità attendibile)** selezionare **EC2**, **EC2 - Spot Instances (EC2 – Istanze spot)**, quindi scegliere **Next: Permissions (Successivo: Autorizzazioni)**.

1. Nella pagina successiva, scegliere **Next: Review (Successivo: Revisione)**.

1. Nella pagina **Review (Revisione)**, scegliere **Create Role (Crea ruolo)**.

**Per creare **AWSServiceRoleForEC2Spot** usando il AWS CLI**  
Utilizza il comando [create-service-linked-role](https://docs.aws.amazon.com/cli/latest/reference/iam/create-service-linked-role.html) come riportato di seguito.

```
aws iam create-service-linked-role --aws-service-name spot.amazonaws.com
```

Se non hai più bisogno di utilizzare le istanze Spot, ti consigliamo di eliminare il ruolo **AWSServiceRoleForEC2Spot**. Dopo che questo ruolo è stato eliminato dall'account, Amazon EC2 creerà di nuovo il ruolo se verranno richieste le Istanze spot.

## Concedi l'accesso alle chiavi gestite dal cliente da utilizzare con istantanee crittografate AMIs ed EBS
<a name="spot-instance-service-linked-roles-access-to-cmks"></a>

Se specifichi un'[AMI crittografata](AMIEncryption.md) o uno snapshot Amazon EBS crittografato per le tue istanze Spot e utilizzi una chiave gestita dal cliente per la crittografia, devi concedere al ruolo **AWSServiceRoleForEC2Spot** l'autorizzazione a utilizzare la chiave gestita dal cliente in modo che Amazon EC2 possa avviare istanze Spot per tuo conto. Per farlo, occorre aggiungere una concessione alla chiave gestita dal cliente, come mostrato nella procedura seguente.

Nel processo di assegnazione delle autorizzazioni, le concessioni rappresentano un’alternativa alle policy delle chiavi. Per ulteriori informazioni, consulta [Utilizzo delle concessioni](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) e [Utilizzo delle policy delle chiavi in AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) nella *Guida per gli sviluppatori di AWS Key Management Service *.

**Per concedere al ruolo **AWSServiceRoleForEC2Spot** le autorizzazioni per l'utilizzo della chiave gestita dal cliente**
+ Utilizza il comando [create-grant](https://docs.aws.amazon.com/cli/latest/reference/kms/create-grant.html) per aggiungere una concessione alla chiave gestita dal cliente e per specificare il principale (il ruolo collegato al servizio **AWSServiceRoleForEC2Spot**) a cui viene concessa l'autorizzazione per eseguire le operazioni consentite dalla concessione. La chiave gestita dal cliente è specificata dal parametro `key-id` e dall’ARN della chiave gestita dal cliente. Il principale è specificato dal `grantee-principal` parametro e dall'ARN del ruolo collegato al servizio **AWSServiceRoleForEC2Spot**.

  ```
  aws kms create-grant \
      --region {{us-east-1}} \
      --key-id arn:aws:kms:{{us-east-1}}:{{444455556666}}:key/{{1234abcd-12ab-34cd-56ef-1234567890ab}} \
      --grantee-principal arn:aws:iam::{{111122223333}}:role/aws-service-role/spot.amazonaws.com/AWSServiceRoleForEC2Spot \
      --operations "Decrypt" "Encrypt" "GenerateDataKey" "GenerateDataKeyWithoutPlaintext" "CreateGrant" "DescribeKey" "ReEncryptFrom" "ReEncryptTo"
  ```