Perfis vinculados ao serviço do Amazon EC2 Auto Scaling
O Amazon EC2 Auto Scaling usa perfis vinculados ao serviço para as permissões necessárias para chamar outros serviços da Serviços da AWS em seu nome. O perfil vinculado ao serviço é um tipo exclusivo de perfil do IAM vinculado diretamente ao AWS service (Serviço da AWS).
Os perfis vinculados a serviços oferecem uma maneira segura de delegar permissões a outros serviços da Serviços da AWS, pois somente o serviço vinculado pode assumir um perfil vinculado ao serviço. Para ter mais informações, consulte Criar um perfil vinculado ao serviço no Guia do usuário do IAM. Os perfis vinculados ao serviço também permitem que todas as chamadas de API fiquem visíveis por meio do AWS CloudTrail. Isso ajuda com os requisitos de monitoramento e auditoria porque você pode rastrear todas as ações que o Amazon EC2 Auto Scaling executa em seu nome. Para obter mais informações, consulte Registrar chamadas da API do Amazon EC2 Auto Scaling com o AWS CloudTrail.
As seções a seguir descrevem como criar e gerenciar perfis vinculados ao serviço do Amazon EC2 Auto Scaling. Comece configurando permissões para autorizar uma identidade do IAM (por exemplo, um usuário ou um perfil) a criar, editar ou excluir um perfil vinculado ao serviço.
Visão geral
Há dois tipos de funções vinculadas ao serviço do Amazon EC2 Auto Scaling:
-
A função vinculada ao serviço padrão para sua conta, chamada AWSServiceRoleForAutoScaling. Essa função é automaticamente atribuída aos seus grupos do Auto Scaling, a menos que você especifique outra função vinculada ao serviço.
-
Um perfil vinculado ao serviço com um sufixo personalizado que você especifica ao criar a função, por exemplo, AWSServiceRoleForAutoScaling_
meusufixo.
As permissões de um perfil vinculado ao serviço com sufixo personalizado são idênticas às do perfil vinculado ao serviço padrão. Em ambos os casos, você não poderá editar as funções nem excluí-las se elas ainda estiverem em uso por um grupo do Auto Scaling. A única diferença é o sufixo do nome do perfil.
Você pode especificar uma dessas funções ao editar suas políticas de chaves do AWS Key Management Service para permitir que as instâncias iniciadas pelo Amazon EC2 Auto Scaling sejam criptografadas com sua CMK gerenciada pelo cliente. No entanto, se você planeja conceder acesso granular a uma determinada CMK gerenciada pelo cliente, será necessário usar um perfil vinculado ao serviço com sufixo personalizado. O uso de um perfil vinculado ao serviço com sufixo personalizado fornece:
-
Mais controle sobre a chave gerenciada pelo cliente
-
A capacidade de rastrear qual grupo do Auto Scaling fez uma chamada de API em seus logs do CloudTrail
Se você criar chaves gerenciadas pelo cliente às quais nem todos os usuários devem ter acesso, siga estas etapas para permitir o uso de um perfil vinculado ao serviço com sufixo personalizado:
-
Crie um perfil vinculado ao serviço com um sufixo personalizado. Para obter mais informações, consulte Criar um perfil vinculado ao serviço (manual).
-
Conceda ao perfil vinculado ao serviço acesso a uma chave gerenciada pelo cliente. Para obter mais informações sobre a política de chaves que permite que a chave seja usada por um perfil vinculado ao serviço, consulte Política de chaves do AWS KMS obrigatórias para uso com volumes criptografados.
-
Dê aos usuários acesso ao perfil vinculado ao serviço que você criou. Para obter mais informações sobre como criar políticas do IAM, consulte Controlar qual perfil vinculado ao serviço pode ser passado (usando PassRole). Se os usuários tentarem especificar um perfil vinculado ao serviço sem permissão para passar esse perfil para o serviço, eles receberão um erro.
Permissões concedidas pelo perfil vinculado ao serviço
O Amazon EC2 Auto Scaling usa o perfil vinculado ao serviço chamado AWSServiceRoleForAutoScaling ou seu perfil vinculado ao serviço de sufixo personalizado.
O perfil vinculado ao serviço confia no seguinte serviço para assumir o perfil:
-
autoscaling.amazonaws.com
A política de permissões do perfil, AutoScalingServiceRolePolicy, permite que o Amazon EC2 Auto Scaling execute as ações a seguir:
-
ec2- Criar, descrever, modificar, iniciar/interromper e encerrar instâncias do EC2. -
iam- Passar perfis do IAM para instâncias do EC2 para que as aplicações em execução nas instâncias possam acessar credenciais temporárias para o perfil. -
iam- Crie o perfil vinculado ao serviço AWSServiceRoleForEC2Spot para permitir que o Amazon EC2 Auto Scaling execute instâncias spot em seu nome. -
elasticloadbalancing- Registrar e cancelar o registro de instâncias com o Elastic Load Balancing e verificar a integridade dos alvos registrados. -
cloudwatch- Criar, descrever, modificar e excluir alarmes do CloudWatch para políticas de escalabilidade e recuperação de métricas usadas para escalabilidade preditiva. -
sns- Publicar notificações no Amazon SNS quando as instâncias forem iniciadas ou encerradas. -
events- Criar, descrever, atualizar e excluir as regras do EventBridge em seu nome. -
ssm: leia os parâmetros do Parameter Store ao usar um parâmetro do Systems Manager como um alias para um ID de AMI em um modelo de execução. -
vpc-lattice- Registrar e cancelar o registro de instâncias com o Elastic Load Balancing e verificar a integridade dos alvos registrados. -
resource-groups: obtem todos os nomes de recursos (ARNs) dos recursos que sejam membros de um grupo de recursos especificado.
Regiões compatíveis com perfis vinculados ao serviço do Amazon EC2 Auto Scaling
O Amazon EC2 Auto Scaling é compatível com perfis vinculados ao serviço em todas as regiões da Regiões da AWS em que o serviço está disponível.
Criar, editar e excluir um perfil vinculado ao serviço
Criar uma função vinculada ao serviço (automática)
O Amazon EC2 Auto Scaling cria a função vinculada ao serviço AWSServiceRoleForAutoScaling para você na primeira vez que você cria um grupo do Auto Scaling, a menos que você crie manualmente uma função vinculada ao serviço com sufixo personalizado e especifique-a ao criar o grupo.
É necessário ter permissões do IAM para criar a função vinculada ao serviço. Caso contrário, a criação automática falhará. Para obter mais informações, consulte Permissões de perfil vinculado ao serviço no Manual do usuário do IAM e Criar um perfil vinculado ao serviço neste guia.
Criar um perfil vinculado ao serviço (manual)
Para criar um perfil vinculado ao serviço (console)
Abra o console do IAM, em https://console.aws.amazon.com/iam/
. -
No painel de navegação, selecione Perfil e então, Criar perfil.
-
Em Select trusted entity (Selecionar entidade confiável), escolha AWS service (serviço).
-
Em Choose the service that will use this role (Escolha o serviço que usará esse perfil), escolha EC2 Auto Scaling (Auto Scaling do EC2) e o caso de uso EC2 Auto Scaling (Auto Scaling do EC2) .
-
Escolha Next: Permissions (Próximo: permissões), Next: Tags (Próximo: tags) e Next: Review (Próximo: revisão). Observação: você não pode anexar tags a perfis vinculados ao serviço durante a criação.
-
Na página Revisão, deixe em branco Nome do perfil para criar um perfil vinculado ao serviço de nome AWSServiceRoleForAutoScaling, ou insira um sufixo para criar um perfil vinculado ao serviço de nome AWSServiceRoleForAutoScaling_
sufixo. -
(Opcional) Em Role description (Descrição do perfil), edite a descrição para o perfil vinculado ao serviço.
-
Selecione Criar perfil.
Para criar um perfil vinculado ao serviço (AWS CLI)
Use o comando da CLI create-service-linked-rolesufixo.
aws iam create-service-linked-role --aws-service-name autoscaling.amazonaws.com --custom-suffixsuffix
A saída desse comando inclui o ARN da função vinculada ao serviço, o qual você pode usar para conceder acesso à chave gerenciada pelo cliente para a função vinculada ao serviço.
{
"Role": {
"RoleId": "ABCDEF0123456789ABCDEF",
"CreateDate": "2018-08-30T21:59:18Z",
"RoleName": "AWSServiceRoleForAutoScaling_suffix",
"Arn": "arn:aws:iam::123456789012:role/aws-service-role/autoscaling.amazonaws.com/AWSServiceRoleForAutoScaling_suffix",
"Path": "/aws-service-role/autoscaling.amazonaws.com/",
"AssumeRolePolicyDocument": {
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"sts:AssumeRole"
],
"Principal": {
"Service": [
"autoscaling.amazonaws.com"
]
},
"Effect": "Allow"
}
]
}
}
}Para ter mais informações, consulte Criar um perfil vinculado ao serviço no Guia do usuário do IAM.
Editar o perfil vinculado ao serviço
Você não pode editar os perfis vinculados ao serviço criados para o Amazon EC2 Auto Scaling. Depois de criar um perfil vinculado ao serviço, você não pode alterar o nome do perfil ou suas permissões. No entanto, você poderá editar a descrição do perfil. Para obter mais informações, consulte Editar uma descrição de perfil vinculado ao serviço no Guia do usuário do IAM.
Excluir o perfil vinculado ao serviço
Se você não estiver usando um grupo do Auto Scaling, recomendamos excluir o perfil vinculado ao serviço. Excluir o perfil evita que você tenha uma entidade que não é usada ou mantida e monitorada ativamente.
Você poderá excluir um perfil vinculado ao serviço somente depois de excluir os recursos dependentes relacionados. Isso evita que você revogue acidentalmente as permissões do Amazon EC2 Auto Scaling para seus recursos. Se um perfil vinculado ao serviço é usado com vários grupos do Auto Scaling, é necessário excluir todos os grupos do Auto Scaling que usam o perfil vinculado ao serviço antes de excluí-lo. Para obter mais informações, consulte Excluir infraestrutura do Auto Scaling.
É possível usar o IAM para excluir um perfil vinculado ao serviço. Para obter mais informações, consulte Excluir uma função vinculada ao serviço no Guia do usuário do IAM.
Se você excluir a função vinculada ao serviço AWSServiceRoleForAutoScaling, o Amazon EC2 Auto Scaling criará a função novamente quando você criar um grupo do Auto Scaling sem especificar outra função vinculada ao serviço.
