# Perfil vinculado ao serviço para o EC2 Fast Launch
<a name="slr-windows-fast-launch"></a>

O Amazon EC2 usa funções vinculadas ao serviço para as permissões necessárias para chamar outros Serviços da AWS em seu nome. O perfil vinculado ao serviço é um tipo exclusivo de perfil do IAM vinculado diretamente ao AWS service (Serviço da AWS). Os perfis vinculados a serviços oferecem uma maneira segura de delegar permissões a outros Serviços da AWS, pois somente o serviço vinculado pode assumir uma função vinculada ao serviço. Para obter mais informações sobre o Amazon EC2 usa as funções do IAM, incluindo funções vinculadas ao serviço, consulte [Funções do IAM para Amazon EC2](iam-roles-for-amazon-ec2.md).

O Amazon EC2 usa a função vinculada ao serviço de nome AWSServiceRoleForEC2FastLaunch para criar e gerenciar um conjunto de snapshots pré-provisionados que reduzem o tempo necessário para iniciar instâncias a partir da sua AMI do Windows.

## Permissões concedidas pelo AWSServiceRoleForEC2FastLaunch
<a name="slr-permissions-granted-win-faster-launching"></a>

A função vinculada ao serviço AWSServiceRoleForEC2FastLaunch confia no seguinte serviço para assumir a função:
+ `ec2fastlaunch.amazonaws.com`

O Amazon EC2 usa a política gerenciada [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/EC2FastLaunchServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/EC2FastLaunchServiceRolePolicy.html) para concluir as ações a seguir:
+ **AWS CloudFormation**: permitir que o EC2 Fast Launch obtenha uma descrição das pilhas do CloudFormation associadas.
+ **Amazon CloudWatch**: publicar os dados das métricas associadas ao EC2 Fast Launch para o namespace do Amazon EC2.
+ **Amazon EC2**: acesso concedido ao EC2 Fast Launch para realizar as seguintes ações:
  + Iniciar instâncias em uma AMI do Windows Server do Amazon EC2 com o EC2 Fast Launch habilitado para realizar as etapas de provisionamento. Além disso, especifique o padrão de recursos que permite `ec2:RunInstances` para uma AMI associada ao License Manager.
  + Parar e encerar uma instância que foi iniciada pelo EC2 Fast Launch depois que ela criar snapshot pré-provisionado.
  + Descrever os recursos do tipo imagem e instância usados para iniciar instâncias e criar snapshots de uma AMI do Amazon EC2 para Windows Server com o EC2 Fast Launch habilitado.
  + Descrever os recursos do modelo de inicialização e iniciar instâncias a partir de um modelo de inicialização.
  + Descrever instâncias, atributos de instâncias e status de instâncias, volumes e atributos de volumes.
  + Descrever interfaces de rede.
  + Excluir os recursos que o EC2 Fast Launch criou, incluindo snapshots, modelos de execução, volumes e interfaces de rede.
  + Marcar os recursos que o EC2 Fast Launch cria para iniciar e pré-provisionar instâncias do Windows e criar snapshots para o processo final de inicialização consumir.
+ **Amazon EventBridge**: inclui acesso para criar regras de eventos do EventBridge e recuperar detalhes sobre elas ou excluir as regras que ele criou. O EC2 Fast Launch também pode obter uma lista dos serviços que recebem eventos do EC2 Fast Launch que são encaminhados com base nas regras de eventos e adicionar serviços de destino ou removê-los das regras de eventos que ele criou.
+ **IAM**: permite que o EC2 Fast Launch crie o perfil vinculado ao serviço `EC2FastLaunchServiceRolePolicy`, obtenha e use perfis de instância cujo nome contenha `ec2fastlaunch` e inicie instâncias em seu nome usando o perfil de instância do modelo de inicialização.
+ **AWS KMS**: inclui acesso para criar concessões e listar as concessões que foram criadas pelo EC2 Fast Launch que podem ser retiradas. Também para descrever ou usar chaves com a finalidade de criptografar ou descriptografar volumes anexados às instâncias que o EC2 Fast Launch criar, e para gerar chaves de dados que não estejam em texto simples.

Para visualizar as permissões para esta política, consulte [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/EC2FastLaunchServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/EC2FastLaunchServiceRolePolicy.html) na *Referência de políticas gerenciadas pela AWS*.

Para obter mais informações sobre o uso de políticas gerenciadas no Amazon EC2, consulte [Políticas gerenciadas pela AWS para o Amazon EC2](security-iam-awsmanpol.md).

## Criar um perfil vinculado ao serviço
<a name="create-fast-launch-slr"></a>

Você não precisa criar manualmente essa função vinculada ao serviço. Quando você começa a usar o EC2 Fast Launch para a AMI, o Amazon EC2 cria o perfil vinculado ao serviço, caso ele ainda não exista.

Se o perfil vinculado ao serviço for excluído de sua conta, você poderá habilitar o EC2 Fast Launch para outra AMI do Windows a fim de recriar o perfil em sua conta. Ou então, você pode desabilitar o EC2 Fast Launch para a AMI atual e, em seguida, habilitá-lo novamente. No entanto, desabilitar o atributo resulta em sua AMI usando o processo de início padrão para todas as novas instâncias, enquanto o Amazon EC2 remove todos os snapshots pré-provisionados. Depois que todos os snapshots pré-provisionados são excluídos, você pode habilitar novamente o uso do EC2 Fast Launch para a AMI.

## Acesso às chaves gerenciadas pelo usuário
<a name="win-faster-launching-slr-access-to-cust-keys"></a>

Para habilitar o EC2 Fast Launch em uma [AMI criptografada](AMIEncryption.md) que usa uma chave gerenciada pelo cliente para criptografia, é necessário conceder ao perfil AWSServiceRoleForEC2FastLaunch permissão para usar a CMK. Para fazer isso, chame o comando [create-grant](https://docs.aws.amazon.com/cli/latest/reference/kms/create-grant.html). Para `--grantee-principal`, especifique o ARN para o perfil AWSServiceRoleForEC2FastLaunch em sua conta. Em `--operations`, especifique `CreateGrant`.

```
aws kms create-grant \
    --key-id arn:aws:kms:{{us-east-1}}:{{111122223333}}:key/{{1234abcd-12ab-34cd-56ef-1234567890ab}} \
    --grantee-principal arn:aws:iam::{{111122223333}}:role/AWSServiceRoleForEC2FastLaunch \
    --operations CreateGrant
```

## Editar um perfil vinculado ao serviço
<a name="edit-fast-launch-slr"></a>

O Amazon EC2 não permite que você edite a função vinculada ao serviço do AWSServiceRoleForEC2FastLaunch. Depois que você criar uma função vinculada a serviço, não poderá alterar o nome da função, pois várias entidades podem fazer referência à função. No entanto, será possível editar a descrição da função usando o IAM. Para saber mais, consulte [Editar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html) no *Guia do usuário do IAM*.

## Excluir um perfil vinculado ao serviço
<a name="delete-fast-launch-slr"></a>

É possível excluir uma função vinculada ao serviço somente depois de excluir todos os recursos relacionados. Isso protege os recursos do Amazon EC2 que estão associados à AMI do Windows Server do Amazon EC2 com o EC2 Fast Launch habilitado, pois não será possível remover acidentalmente a permissão para acessar os recursos.

Use o console do IAM, a AWS CLI ou a API da AWS para excluir o perfil vinculado ao serviço **AWSServiceRoleForEC2FastLaunch**. Para obter mais informações, consulte [Excluir uma função vinculada ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr) no *Guia do usuário do IAM*.

## Regiões com suporte
<a name="regions-fast-launch-slr"></a>

O Amazon EC2 é compatível com o perfil vinculado ao serviço do EC2 Fast Launch em todas as regiões em que o serviço do Amazon EC2 está disponível.