AWS Parallel Computing Service の IAM インスタンスプロファイル - AWS PCS
要件追加ポリシー

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Parallel Computing Service の IAM インスタンスプロファイル

EC2 インスタンスで実行されるアプリケーションは、実行する AWS API リクエストに AWS 認証情報を含める必要があります。EC2 インスタンスの一時的な認証情報を管理するには、IAM ロールを使用することをお勧めします。これを行うインスタンスプロファイルを定義し、インスタンスにアタッチできます。詳細については、Amazon EC2 の IAM ロール」を参照してください。

注記

を使用して Amazon EC2 の IAM ロール AWS Management Console を作成すると、コンソールによってインスタンスプロファイルが自動的に作成され、IAM ロールと同じ名前が付けられます。 AWS CLI、 AWS API アクション、または AWS SDK を使用して IAM ロールを作成する場合は、別のアクションとしてインスタンスプロファイルを作成します。詳細については、「Amazon Elastic Compute Cloud ユーザーガイド」の「インスタンスプロファイル」を参照してください。

コンピューティングノードグループを作成するときは、インスタンスプロファイルの Amazon リソースネーム (ARN) を指定する必要があります。コンピューティングノードグループの一部またはすべてに異なるインスタンスプロファイルを選択できます。

要件

インスタンスプロファイルの IAM ロール

インスタンスプロファイルに関連付けられた IAM ロールは、パス/aws-pcs/に が含まれているか、名前が で始まる必要がありますAWSPCS

IAM ロール ARNs の例

  • arn:aws:iam::*:role/AWSPCS-example-role-1

  • arn:aws:iam::*:role/aws-pcs/example-role-2

アクセス許可

PCS のインスタンスプロファイルに関連付けられた IAM AWS ロールには、次のポリシーが含まれている必要があります。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "pcs:RegisterComputeNodeGroupInstance"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

追加ポリシー

インスタンスプロファイルに 管理ポリシーを追加することを検討してください。例:

  • AmazonS3ReadOnlyAccess は、すべての S3 バケットへの読み取り専用アクセスを提供します。

  • AmazonSSMManagedInstanceCore は、Amazon マネジメントコンソールから直接リモートアクセスするなど、AWS Systems Manager のサービスコア機能を有効にします。

  • CloudWatchAgentServerPolicy には、サーバーで AmazonCloudWatchAgent を使用するために必要なアクセス許可が含まれています。

特定のユースケースをサポートする独自の IAM ポリシーを含めることもできます。