Uso de perfis vinculados ao serviço do EC2 Capacity Manager
O EC2 Capacity Manager usa perfis vinculados ao serviço do AWS Identity and Access Management (IAM). Um perfil vinculado ao serviço é um tipo exclusivo de perfil do IAM vinculado diretamente ao Capacity Manager. Os perfis vinculados a serviços são predefinidos pelo Capacity Manager e incluem todas as permissões que o serviço requer para chamar outros serviços da AWS em seu nome.
Um perfil vinculado ao serviço facilita a configuração do Capacity Manager, pois não é preciso adicionar as permissões necessárias manualmente. O Capacity Manager define as permissões dos perfis vinculados ao serviço e, exceto se definido de outra forma, somente o Capacity Manager pode assumir os perfis. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.
Um perfil vinculado ao serviço poderá ser excluído somente após excluir seus atributos relacionados. Isso protege seus recursos do Capacity Manager, pois não é possível remover por engano as permissões para acessar os recursos.
Para obter mais informações sobre outros serviços que são compatíveis com perfis vinculados ao serviço, consulte Serviços da AWS que funcionam com o IAM e procure por serviços que indiquem Sim na coluna de perfis vinculados ao serviço. Escolha um Sim com um link para visualizar a documentação do perfil vinculado a esse serviço.
Permissões dos perfis vinculados ao serviço do Capacity Manager
O Capacity Manager usa o perfil vinculado ao serviço denominado AWSServiceRoleForEC2CapacityManager para permitir que você gerencie recursos de capacidade e se integrar ao AWS Organizations em seu nome.
O perfil vinculado ao serviço AWSServiceRoleForEC2CapacityManager confia nos serviços a seguir para assumir o perfil:
-
ec2.capacitymanager.amazonaws.com
A política de permissões de perfil denominada AWSEC2CapacityManagerServiceRolePolicy permite que o Capacity Manager execute as ações a seguir:
-
organizations:DescribeOrganization -
organizations:ListAccounts -
organizations:ListChildren -
organizations:ListAWSServiceAccessForOrganization -
organizations:ListDelegatedAdministrators
Você deve configurar permissões para permitir que seus usuários, grupos ou perfis criem, editem ou excluam um perfil vinculado ao serviço. Para obter mais informações, consulte Service-linked role permissions (Permissões de nível vinculado a serviços) no Guia do usuário do IAM.
Criar um perfil vinculado ao serviço no Capacity Manager
Também é possível usar o console do IAM para criar um perfil vinculado ao serviço com o caso de uso AWSEC2CapacityManagerServiceRolePolicy. Na AWS CLI ou na API do AWS, crie um perfil vinculado a serviço com o nome de serviço ec2.capacitymanager.amazonaws.com. Para obter mais informações, consulte Criar uma função vinculada ao serviço no Manual do usuário do IAM. Se você excluir essa função vinculada ao serviço, será possível usar esse mesmo processo para criar a função novamente.
Edição de um perfil vinculado a serviço no Capacity Manager
O Capacity Manager não permite editar o perfil vinculado ao serviço AWSServiceRoleForEC2CapacityManager. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para obter mais informações, consulte Editar um perfil vinculado ao serviço no Guia do usuário do IAM.
Exclusão de um perfil vinculado a serviço no Capacity Manager
Se você não precisar mais usar um recurso ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-lo. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar os recursos de seu perfil vinculado ao serviço antes de excluí-lo manualmente.
nota
Se o serviço do Capacity Manager estiver usando o perfil quando você tentar excluir os atributos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.
Para remover recursos do Capacity Manager usados por AWSServiceRoleForEC2CapacityManager
-
Todos os administradores delegados devem ter desabilitado o Capacity Manager antes de remover o acesso da organização.
-
É necessário excluir todas as exportações de dados ativas antes de desabilitar um Capacity Manager.
Como excluir manualmente o perfil vinculado ao serviço usando o IAM
Use o console do IAM, a AWS CLI ou a API da AWS para excluir o perfil vinculado ao serviço AWSServiceRoleForEC2CapacityManager. Para obter mais informações, consulte Excluir um perfil vinculado ao serviço no Guia do usuário do IAM.
Regiões com suporte a perfis vinculados ao serviço do Capacity Manager
O Capacity Manager oferece suporte ao uso de perfis vinculados ao serviço em todas as regiões em que o serviço estiver disponível. Para obter mais informações, consulte Regiões e endpoints da AWS.
O Capacity Manager não oferece suporte ao uso de perfis vinculados a serviços em todas as regiões em que o serviço estiver disponível. É possível usar o perfil AWSServiceRoleForEC2CapacityManager nas regiões a seguir.
| Nome da região | Identidade da região | Suporte no Capacity Manager |
|---|---|---|
| Leste dos EUA (Norte da Virgínia) | us-east-1 | Sim |
| Leste dos EUA (Ohio) | us-east-2 | Sim |
| Oeste dos EUA (N. da Califórnia) | us-west-1 | Sim |
| Oeste dos EUA (Oregon) | us-west-2 | Sim |
| África (Cidade do Cabo) | af-south-1 | Não |
| Ásia-Pacífico (Hong Kong) | ap-east-1 | Não |
| Ásia-Pacífico (Jacarta) | ap-southeast-3 | Não |
| Ásia-Pacífico (Mumbai) | ap-south-1 | Sim |
| Ásia Pacifico (Osaka) | ap-northeast-3 | Sim |
| Ásia-Pacífico (Seul) | ap-northeast-2 | Sim |
| Ásia-Pacífico (Singapura) | ap-southeast-1 | Sim |
| Ásia-Pacífico (Sydney) | ap-southeast-2 | Sim |
| Ásia-Pacífico (Tóquio) | ap-northeast-1 | Sim |
| Canadá (Central) | ca-central-1 | Sim |
| Europa (Frankfurt) | eu-central-1 | Sim |
| Europa (Irlanda) | eu-west-1 | Sim |
| Europa (Londres) | eu-west-2 | Sim |
| Europa (Milão) | eu-south-1 | Não |
| Europa (Paris) | eu-west-3 | Sim |
| Europa (Estocolmo) | eu-north-1 | Sim |
| Oriente Médio (Barém) | me-south-1 | Não |
| Oriente Médio (Emirados Árabes Unidos) | me-central-1 | Não |
| América do Sul (São Paulo) | sa-east-1 | Sim |
| AWS GovCloud (Leste dos EUA) | us-gov-east-1 | Não |
| AWS GovCloud (Oeste dos EUA) | us-gov-west-1 | Não |
