As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# AWS Batch Função de execução do IAM
A função de execução concede ao contêiner e aos AWS Fargate agentes do Amazon ECS permissão para fazer chamadas de AWS API em seu nome.
**nota**
O papel de execução é compatível pela versão do atendente 1.16.0 do atendente de contêiner do Amazon ECS e superior.
É necessário informar o perfil de execução do IAM dependendo dos requisitos da sua tarefa. Você pode ter vários papéis de execução para diferentes objetivos e associações de serviço em sua conta.
**nota**
Para obter mais informações sobre a função da instância do Amazon ECS, consulte [Perfil de instância do Amazon ECS](instance_IAM_role.md). Para obter informações sobre perfis de serviço, consulte [Como AWS Batch funciona com o IAM](security_iam_service-with-iam.md).
O Amazon ECS fornece a política gerenciada `AmazonECSTaskExecutionRolePolicy`. Esta politica contém as permissões obrigatórias para os casos de uso comuns descritos acima. Talvez seja necessário adicionar políticas em linha ao seu perfil de execução de trabalhos para os casos de uso especiais resumidos abaixo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "*"
}
]
}
```
------
# Permissões em nível de recurso suportadas para ações de API AWS Batch
O termo *permissões em nível de recurso* se refere à capacidade de especificar os recursos nos quais os usuários podem realizar ações. AWS Batch tem suporte parcial para permissões em nível de recurso. Para algumas AWS Batch ações, você pode controlar quando os usuários podem usar essas ações com base nas condições que devem ser atendidas. Você também pode controlar com base nos recursos específicos que os usuários podem usar. Por exemplo, você pode conceder permissões aos usuários para enviar tarefas, mas somente para uma determinada fila de tarefas e apenas com uma determinada definição de tarefa.
Para obter detalhes sobre ações e tipos de recursos definidos pelo AWS Batch, incluindo o formato do ARNs para cada um dos tipos de recursos, consulte Actions, Resources, and Condition Keys for [AWS Batch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html)the *Service Authorization Reference*.
# Tutorial: criar o perfil de execução do IAM
Se a sua conta ainda não tiver um perfil de execução do IAM, use as etapas a seguir para criar o perfil.
1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação, escolha **Perfis**.
1. Escolha **Criar Perfil**.
1. Em **Tipo de Entidade Confiável**, escolha** AWS service (Serviço da AWS)**.
1. Em **Serviço ou Caso de uso**, escolha **Elastic Container Service**. Então escolha **Tarefa de serviço do Elastic Container** novamente.
1. Escolha **Próximo**.
1. Para **políticas de permissões**, pesquise por **Amazon ECSTask ExecutionRolePolicy**.
1. Escolha a caixa de seleção à esquerda da ECSTask ExecutionRolePolicy política da **Amazon** e, em seguida, escolha **Avançar**.
1. Em **Nome do perfil**, insira `ecsTaskExecutionRole` e então, escolha **Criar perfil**.
# Tutorial: verificar a perfil de execução do IAM
Use o procedimento a seguir para verificar se a sua conta já tem o perfil de execução do IAM e anexar a política gerenciada do IAM, caso necessário.
1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação, escolha **Perfis**.
1. Pesquise `ecsTaskExecutionRole` na lista de perfis. Se você não conseguir encontrar a função, consulte [Tutorial: criar o perfil de execução do IAM](create-execution-role.md). Se a função existir, escolha-a para visualizar as políticas anexadas.
1. Na guia **Permissões**, verifique se a política ECSTask ExecutionRolePolicy gerenciada da **Amazon** está vinculada à função. Se a política estiver anexada, isso significa que seu perfil de execução está configurado corretamente. Caso contrário, siga as etapas secundárias abaixo para anexar a política.
1. Escolha **Adicionar Permissões** e depois escolha **Anexar Políticas**.
1. Pesquise pela **Amazon ECSTask ExecutionRolePolicy**.
1. Marque a caixa à esquerda da ECSTask ExecutionRolePolicy política da **Amazon** e escolha **Anexar políticas**.
1. Escolha **Relações de Confiança**.
1. Verifique se a relação de confiança contém a seguinte política. Se a relação de confiança corresponder à política abaixo, a função será configurada corretamente. Se a relação de confiança não corresponder, escolha **Editar Política de Confiança**, insira o seguinte e escolha **Atualizar Política**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "ecs-tasks.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# Usando funções vinculadas a serviços para AWS Batch
AWS Batch usa funções [vinculadas ao serviço AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Uma função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente a. AWS Batch As funções vinculadas ao serviço são predefinidas AWS Batch e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.
AWS Batch usa duas funções vinculadas a serviços diferentes:
+ [AWSServiceRoleForBatch](using-service-linked-roles-batch-general.md)- Para AWS Batch operações, incluindo ambientes computacionais.
+ [AWSServiceRoleForAWSBatchWithSagemaker](using-service-linked-roles-batch-sagemaker.md)- Para gerenciamento de cargas de trabalho e filas de SageMaker IA.
**Topics**
+ [Usando funções para AWS Batch](using-service-linked-roles-batch-general.md)
+ [Usando funções para AWS Batch com SageMaker IA](using-service-linked-roles-batch-sagemaker.md)
# Usando funções para AWS Batch
AWS Batch usa funções [vinculadas ao serviço AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Uma função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente a. AWS Batch As funções vinculadas ao serviço são predefinidas AWS Batch e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.
Uma função vinculada ao serviço facilita a configuração AWS Batch porque você não precisa adicionar manualmente as permissões necessárias. AWS Batch define as permissões de suas funções vinculadas ao serviço e, a menos que seja definido de outra forma, só AWS Batch pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.
**nota**
Siga um destes procedimentos para especificar uma função de serviço para um ambiente AWS Batch computacional.
Use uma string vazia para o perfil de serviço. Isso permite AWS Batch criar a função de serviço.
Especifique o perfil de serviço no seguinte formato: `arn:aws:iam::account_number:role/aws-service-role/batch.amazonaws.com/AWSServiceRoleForBatch`.
Para obter mais informações, consulte [Nome do perfil ou ARN incorreto](invalid_compute_environment.md#invalid_service_role_arn) o Guia AWS Batch do usuário.
Um perfil vinculado ao serviço poderá ser excluído somente após excluir seus atributos relacionados. Isso protege seus AWS Batch recursos porque você não pode remover inadvertidamente a permissão para acessar os recursos.
Para obter informações sobre outros serviços que oferecem suporte a funções vinculadas a serviços, consulte [AWS Serviços que funcionam com IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e procure os serviços que têm **Sim** na coluna Funções **vinculadas ao serviço**. Escolha um **Sim** com um link para visualizar a documentação do perfil vinculado a esse serviço.
## Permissões de função vinculadas ao serviço para AWS Batch
AWS Batch usa a função vinculada ao serviço chamada **AWSServiceRoleForBatch**— Permite AWS Batch criar e gerenciar AWS recursos em seu nome.
A função AWSService RoleForBatch vinculada ao serviço confia nos seguintes serviços para assumir a função:
+ `batch.amazonaws.com`
A política de permissões de função nomeada [BatchServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-BatchServiceRolePolicy) AWS Batch permite concluir as seguintes ações nos recursos especificados:
+ `autoscaling`— Permite AWS Batch criar e gerenciar recursos do Amazon EC2 Auto Scaling. AWS Batch cria e gerencia grupos do Amazon EC2 Auto Scaling para a maioria dos ambientes computacionais.
+ `ec2`— Permite AWS Batch controlar o ciclo de vida das instâncias do Amazon EC2, bem como criar e gerenciar modelos e tags de lançamento. AWS Batch cria e gerencia solicitações do EC2 Spot Fleet para alguns ambientes computacionais EC2 Spot.
+ `ecs`- Permite AWS Batch criar e gerenciar clusters, definições de tarefas e tarefas do Amazon ECS para execução de trabalhos.
+ `eks`- Permite AWS Batch descrever o recurso de cluster Amazon EKS para validações.
+ `iam`- Permite AWS Batch validar e passar funções fornecidas pelo proprietário para Amazon EC2, Amazon EC2 Auto Scaling e Amazon ECS.
+ `logs`— Permite AWS Batch criar e gerenciar grupos de registros e fluxos de registros para AWS Batch trabalhos.
Você deve configurar permissões para permitir que seus usuários, grupos ou perfis criem, editem ou excluam um perfil vinculado ao serviço. Para obter mais informações, consulte [Permissões do perfil vinculado a serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) no *Guia do usuário do IAM*.
## Criação de uma função vinculada ao serviço para AWS Batch
Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você cria um ambiente computacional na Console de gerenciamento da AWS, na ou na AWS API AWS CLI, AWS Batch cria a função vinculada ao serviço para você.
**Importante**
Esse perfil vinculado ao serviço pode aparecer em sua conta se você concluiu uma ação em outro serviço que usa os atributos compatíveis com esse perfil. Se você estava usando o AWS Batch serviço antes de 10 de março de 2021, quando ele começou a oferecer suporte a funções vinculadas ao serviço, AWS Batch criou a AWSService RoleForBatch função em sua conta. Para saber mais, consulte [Uma nova função apareceu no meu Conta da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Se excluir esse perfil vinculado ao serviço e precisar criá-lo novamente, será possível usar esse mesmo processo para recriar o perfil em sua conta. Quando você cria um ambiente computacional, AWS Batch cria a função vinculada ao serviço para você novamente.
## Editando uma função vinculada ao serviço para AWS Batch
AWS Batch não permite que você edite a função AWSService RoleForBatch vinculada ao serviço. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para saber mais, consulte [Editar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.
**Para permitir que uma entidade do IAM edite a descrição da função AWSService RoleForBatch vinculada ao serviço**
Adicione a seguinte instrução a política de permissões. Isso permite que que uma entidade do IAM edite a descrição de uma função vinculada ao serviço.
```
{
"Effect": "Allow",
"Action": [
"iam:UpdateRoleDescription"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/batch.amazonaws.com/AWSServiceRoleForBatch",
"Condition": {"StringLike": {"iam:AWSServiceName": "batch.amazonaws.com"}}
}
```
## Excluindo uma função vinculada ao serviço para AWS Batch
Se você não precisar mais usar um atributo ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-lo. Dessa forma, você não terá uma entidade não utilizada que não seja ativamente monitorada ou mantida. No entanto, você deve limpar suo perfil vinculado ao serviço para excluí-la manualmente.
**Para permitir que uma entidade do IAM exclua a função AWSService RoleForBatch vinculada ao serviço**
Adicione a seguinte instrução a política de permissões. Isso permite que a entidade do IAM delete a função vinculada ao serviço.
```
{
"Effect": "Allow",
"Action": [
"iam:DeleteServiceLinkedRole",
"iam:GetServiceLinkedRoleDeletionStatus"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/batch.amazonaws.com/AWSServiceRoleForBatch",
"Condition": {"StringLike": {"iam:AWSServiceName": "batch.amazonaws.com"}}
}
```
### Limpar um perfil vinculado ao serviço
Antes de usar o IAM para excluir uma função vinculada ao serviço, você deve primeiro confirmar se a função não tem sessões ativas e excluir todos os ambientes AWS Batch computacionais que usam a função em todas as AWS regiões em uma única partição.
**Para verificar se a função vinculada ao serviço tem uma sessão ativa**
1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação, escolha **Funções** e, em seguida, o AWSService RoleForBatch nome (não a caixa de seleção).
1. Na página **Resumo**, escolha **Consultor de Acesso** e analise as atividades recentes para a função vinculada ao serviço.
**nota**
Se você não sabe se AWS Batch está usando a AWSService RoleForBatch função, você pode tentar excluir a função. Se o serviço estiver usando a função, haverá falha ao excluir a função. Você pode visualizar as regiões nas quais a função estiver sendo usada. Se a função estiver sendo usada, você deve aguardar a sessão final antes de excluir a função. Você não pode revogar a sessão de uma função vinculada ao serviço.
**Para remover AWS Batch recursos usados pela função vinculada ao AWSService RoleForBatch serviço**
Você deve excluir todos os ambientes AWS Batch computacionais que usam a AWSService RoleForBatch função em todas as AWS regiões antes de excluir a AWSService RoleForBatch função.
1. Abra o AWS Batch console em [https://console.aws.amazon.com/batch/](https://console.aws.amazon.com/batch/).
1. Na barra de navegação, selecione a Região a ser usada.
1. No painel de navegação, escolha **Ambientes de computação**.
1. Selecione o ambiente de computação.
1. Escolha **Desabilitar**. Espere até que o **Estado** mude para **DESATIVADO**.
1. Selecione o ambiente de computação.
1. Escolha **Deletar**. Confirme que você deseja excluir o ambiente de computação escolhendo **Excluir o ambiente computacional**.
1. Repita as etapas 1 a 7 para todos os ambientes de computação usando a função vinculada ao serviço em todas as regiões.
### Excluir uma função vinculada ao serviço no IAM (Console)
Você pode usar o console do IAM para excluir uma função vinculada ao serviço.
**Para excluir uma função vinculada ao serviço (console)**
1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação do console do IAM, escolha **Perfis**. Em seguida, marque a caixa de seleção ao lado AWSServiceRoleForBatch, não o nome ou a linha em si.
1. Escolha **Excluir perfil**.
1. Na caixa de diálogo de confirmação, revise os dados do último acesso ao serviço mostrando quando cada uma das perfis selecionadas acessou pela última vez um AWS service (Serviço da AWS). Isso ajuda você a confirmar se a função está ativo no momento. Se quiser prosseguir, escolha **Sim, Excluir** para enviar a função vinculada ao serviço para exclusão.
1. Monitore as notificações do console do IAM para progresso da exclusão da função vinculada ao serviço. Como a exclusão do perfil vinculado ao serviço do IAM é assíncrona, depois de enviar a função para exclusão, a exclusão da tarefa pode obter êxito ser reprovada.
+ Se a tarefa for bem-sucedida, a função será removida da lista e uma notificação de sucesso será exibida na parte superior da página.
+ Se a tarefa obtiver êxito, você poderá escolher **Visualizar Detalhes** ou **Visualizar Recursos** a partir das notificações para saber por que a exclusão falhou. Se a exclusão falhou porque a função está usando os recursos do serviço, a notificação incluirá uma lista de recursos, caso o serviço retorne essas informações. Você poderá então [limpar os recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-review-before-delete) e enviar novamente a exclusão.
**nota**
Você pode repetir esse processo várias vezes, a depender das informações que o serviço retornar. Por exemplo, a função vinculada ao serviço pode usar seis recursos, e seu serviço pode retornar informações sobre cinco deles. Se você limpar cinco recursos e enviar a função para exclusão novamente, a exclusão falhará e o serviço emitirá relatório sobre o recurso restante. Um serviço pode retornar todos os recursos, alguns deles, ou pode não retornar relatórios de nenhum dos recursos.
+ Se a tarefa falhar e a notificação não incluir uma lista de recursos, o serviço pode não retornar essas informações. Para saber como limpar os recursos para esse serviço, consulte [Serviços da AWS que Funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Descubra o serviço na tabela e escolha o link **Sim** para visualizar a documentação da função vinculada ao serviço.
### Excluir uma função vinculada ao serviço no IAM (AWS CLI)
Você pode usar os comandos do IAM do AWS Command Line Interface para excluir uma função vinculada ao serviço.
**Para excluir uma função vinculado ao serviço (CLI)**
1. Como uma função vinculada ao serviço não pode ser excluída se estiver sendo usada ou tiver recursos associados, você deve enviar uma solicitação de exclusão. Essa solicitação pode ser negada se essas condições não forem atendidas. Você deve capturar o `deletion-task-id` da resposta para verificar o status da tarefa de exclusão. Insira o seguinte comando para enviar uma solicitação de exclusão de função vinculada ao serviço:
```
$ aws iam delete-service-linked-role --role-name AWSServiceRoleForBatch
```
1. Use o seguinte comando para verificar o status da tarefa de exclusão:
```
$ aws iam get-service-linked-role-deletion-status --deletion-task-id deletion-task-id
```
O status da tarefa de exclusão pode ser `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED`, ou `FAILED`. Se a exclusão falhar, a chamada retornará o motivo de falha para que você possa acionar a solução de problemas. Se a exclusão falhar porque a função estiver usando os recursos do serviço, a notificação incluirá uma lista de recursos, caso o serviço retorne essas informações. Você poderá então [limpar os recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-review-before-delete) e enviar novamente a exclusão.
**nota**
Você pode repetir esse processo várias vezes, a depender das informações que o serviço retornar. Por exemplo, a função vinculada ao serviço pode usar seis recursos, e seu serviço pode retornar informações sobre cinco deles. Se você limpar cinco recursos e enviar a função para exclusão novamente, a exclusão falhará e o serviço emitirá relatório sobre o recurso restante. Um serviço pode retornar todos os recursos, alguns deles. Ou talvez não relate qualquer recurso. Saiba como limpar os recursos de um serviço que não reporta qualquer recurso consultando [Serviços da AWS compatíveis com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Descubra o seu serviço na tabela e escolha o link **Sim** para ver a documentação da função vinculada ao serviço.
### Excluir uma função vinculada ao serviço no IAM (API da AWS)
Você pode usar a API do IAM para excluir uma função vinculada ao serviço.
**Para excluir uma função vinculada ao serviço (API)**
1. Para enviar uma solicitação de exclusão de um roll vinculada ao serviço, chame [DeleteServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceLinkedRole.html). Na solicitação, especifique o nome da AWSService RoleForBatch função.
Como uma função vinculada ao serviço não podem ser excluída se estiver sendo usada ou tiver recursos associados, você deverá enviar uma solicitação de exclusão. Essa solicitação poderá ser negada se essas condições não forem atendidas. Você deve capturar o `DeletionTaskId` da resposta para verificar o status da tarefa de exclusão.
1. Para verificar o status da exclusão, chame [GetServiceLinkedRoleDeletionStatus](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLinkedRoleDeletionStatus.html). Na solicitação, especifique o `DeletionTaskId`.
O status da tarefa de exclusão pode ser `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED`, ou `FAILED`. Se a exclusão falhar, a chamada retornará o motivo de falha para que você possa acionar a solução de problemas. Se a exclusão falhar porque a função estiver usando os recursos do serviço, a notificação incluirá uma lista de recursos, caso o serviço retorne essas informações. Você poderá então [limpar os recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-review-before-delete) e enviar novamente a exclusão.
**nota**
Você pode repetir esse processo várias vezes, a depender das informações que o serviço retornar. Por exemplo, a função vinculada ao serviço pode usar seis recursos, e seu serviço pode retornar informações sobre cinco deles. Se você limpar cinco recursos e enviar a função para exclusão novamente, a exclusão falhará e o serviço emitirá relatório sobre o recurso restante. Um serviço pode retornar todos os recursos, alguns deles, ou pode não retornar relatórios de nenhum dos recursos. Saiba como limpar os recursos de um serviço que não relata qualquer recurso consultando[Serviços da AWS que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Descubra o seu serviço na tabela e escolha o link **Sim** para ver a documentação da função vinculada ao serviço.
## Regiões suportadas para funções vinculadas a AWS Batch serviços
AWS Batch suporta o uso de funções vinculadas ao serviço em todas as regiões em que o serviço está disponível. Para obter mais informações, consulte [Endpoints do AWS Batch](https://docs.aws.amazon.com/general/latest/gr/batch.html#batch_region).
# Usando funções para AWS Batch com SageMaker IA
AWS Batch usa funções [vinculadas ao serviço AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Uma função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente a. AWS Batch As funções vinculadas ao serviço são predefinidas AWS Batch e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.
Uma função vinculada ao serviço facilita a configuração AWS Batch porque você não precisa adicionar manualmente as permissões necessárias. AWS Batch define as permissões de suas funções vinculadas ao serviço e, a menos que seja definido de outra forma, só AWS Batch pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.
Um perfil vinculado ao serviço poderá ser excluído somente após excluir seus atributos relacionados. Isso protege seus AWS Batch recursos porque você não pode remover inadvertidamente a permissão para acessar os recursos.
Para obter informações sobre outros serviços que oferecem suporte a funções vinculadas a serviços, consulte [AWS Serviços que funcionam com IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e procure os serviços que têm **Sim** na coluna Funções **vinculadas ao serviço**. Escolha um **Sim** com um link para visualizar a documentação do perfil vinculado a esse serviço.
## Permissões de função vinculadas ao serviço para AWS Batch
AWS Batch usa a função vinculada ao serviço chamada **AWSServiceRoleForAWSBatchWithSagemaker**— Permite AWS Batch enfileirar e gerenciar trabalhos de SageMaker treinamento em seu nome.
A função AWSService RoleFor AWSBatch WithSagemaker vinculada ao serviço confia nos seguintes serviços para assumir a função:
+ `sagemaker-queuing.batch.amazonaws.com`
A política de permissões de função AWS Batch permite concluir as seguintes ações nos recursos especificados:
+ `sagemaker`— Permite AWS Batch gerenciar trabalhos de SageMaker treinamento, transformar trabalhos e outros recursos de SageMaker IA.
+ `iam:PassRole`— Permite AWS Batch passar funções de execução definidas pelo cliente para a SageMaker IA para execução de tarefas. A restrição de recursos permite passar funções para serviços de SageMaker IA.
Você deve configurar permissões para permitir que seus usuários, grupos ou perfis criem, editem ou excluam um perfil vinculado ao serviço. Para obter mais informações, consulte [Permissões do perfil vinculado a serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) no *Guia do usuário do IAM*.
## Criação de uma função vinculada ao serviço para AWS Batch
Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você cria um ambiente de serviço usando `CreateServiceEnvironment` na Console de gerenciamento da AWS, na ou na AWS API AWS CLI, AWS Batch cria a função vinculada ao serviço para você.
Se excluir esse perfil vinculado ao serviço e precisar criá-lo novamente, será possível usar esse mesmo processo para recriar o perfil em sua conta. Quando você cria um ambiente de serviço usando`CreateServiceEnvironment`, AWS Batch cria a função vinculada ao serviço para você novamente.
Para ver o JSON da política, consulte o [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html).
## Editando uma função vinculada ao serviço para AWS Batch
AWS Batch não permite que você edite a função AWSService RoleFor AWSBatch WithSagemaker vinculada ao serviço. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para saber mais, consulte [Editar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.
## Excluindo uma função vinculada ao serviço para AWS Batch
Se você não precisar mais usar um atributo ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-lo. Dessa forma, você não terá uma entidade não utilizada que não seja ativamente monitorada ou mantida. No entanto, você deve limpar suo perfil vinculado ao serviço para excluí-la manualmente.
### Limpar um perfil vinculado ao serviço
Antes de usar o IAM para excluir uma função vinculada ao serviço, você deve primeiro confirmar se a função não tem sessões ativas e excluir todos os ambientes de serviço que usam a função em todas as AWS regiões em uma única partição.
**Para verificar se a função vinculada ao serviço tem uma sessão ativa**
1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação, escolha **Funções** e, em seguida, o AWSService RoleFor AWSBatch WithSagemaker nome (não a caixa de seleção).
1. Na página **Resumo**, escolha **Consultor de Acesso** e analise as atividades recentes para a função vinculada ao serviço.
**nota**
Se você não sabe se AWS Batch está usando a AWSService RoleFor AWSBatch WithSagemaker função, tente excluir a função. Se o serviço estiver usando a função, haverá falha ao excluir a função. Você pode visualizar as regiões nas quais a função estiver sendo usada. Se a função estiver sendo usada, você deve aguardar a sessão final antes de excluir a função. Você não pode revogar a sessão de uma função vinculada ao serviço.
**Para remover AWS Batch recursos usados pela função vinculada ao AWSService RoleFor AWSBatch WithSagemaker serviço**
Você deve dissociar todas as filas de trabalhos de todos os ambientes de serviço e, em seguida, excluir todos os ambientes de serviço que usam a AWSService RoleFor AWSBatch WithSagemaker função em todas as AWS regiões antes de excluir a função. AWSService RoleFor AWSBatch WithSagemaker
1. Abra o AWS Batch console em [https://console.aws.amazon.com/batch/](https://console.aws.amazon.com/batch/).
1. Na barra de navegação, selecione a Região a ser usada.
1. No painel de navegação, escolha **Ambientes** e, então, **Ambientes de serviço**.
1. Selecione todos os **Ambientes de serviço**.
1. Escolha **Desabilitar**. Espere até que o **Estado** mude para **DESATIVADO**.
1. Selecione o ambiente de serviço.
1. Escolha **Excluir**. Confirme que você deseja excluir o ambiente de serviço escolhendo **Excluir o ambiente de serviço**.
1. Repita as etapas 1 a 7 para todos os ambientes de serviço usando o perfil vinculado ao serviço em todas as regiões.
### Excluir uma função vinculada ao serviço no IAM (Console)
Você pode usar o console do IAM para excluir uma função vinculada ao serviço.
**Para excluir uma função vinculada ao serviço (console)**
1. Faça login no Console de gerenciamento da AWS e abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação do console do IAM, escolha **Perfis**. Em seguida, marque a caixa de seleção ao lado AWSService RoleFor AWSBatchWithSagemaker, não o nome ou a linha em si.
1. Escolha **Excluir perfil**.
1. Na caixa de diálogo de confirmação, revise os dados do último acesso ao serviço mostrando quando cada uma das perfis selecionadas acessou pela última vez um AWS service (Serviço da AWS). Isso ajuda você a confirmar se a função está ativo no momento. Se quiser prosseguir, escolha **Sim, Excluir** para enviar a função vinculada ao serviço para exclusão.
1. Monitore as notificações do console do IAM para progresso da exclusão da função vinculada ao serviço. Como a exclusão do perfil vinculado ao serviço do IAM é assíncrona, depois de enviar a função para exclusão, a exclusão da tarefa pode obter êxito ser reprovada.
+ Se a tarefa for bem-sucedida, a função será removida da lista e uma notificação de sucesso será exibida na parte superior da página.
+ Se a tarefa obtiver êxito, você poderá escolher **Visualizar Detalhes** ou **Visualizar Recursos** a partir das notificações para saber por que a exclusão falhou. Se a exclusão falhou porque a função está usando os recursos do serviço, a notificação incluirá uma lista de recursos, caso o serviço retorne essas informações. Você poderá então [limpar os recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-review-before-delete) e enviar novamente a exclusão.
**nota**
Você pode repetir esse processo várias vezes, a depender das informações que o serviço retornar. Por exemplo, a função vinculada ao serviço pode usar seis recursos, e seu serviço pode retornar informações sobre cinco deles. Se você limpar cinco recursos e enviar a função para exclusão novamente, a exclusão falhará e o serviço emitirá relatório sobre o recurso restante. Um serviço pode retornar todos os recursos, alguns deles, ou pode não retornar relatórios de nenhum dos recursos.
+ Se a tarefa falhar e a notificação não incluir uma lista de recursos, o serviço pode não retornar essas informações. Para saber como limpar os recursos para esse serviço, consulte [Serviços da AWS que Funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Descubra o serviço na tabela e escolha o link **Sim** para visualizar a documentação da função vinculada ao serviço.
### Excluir uma função vinculada ao serviço no IAM (AWS CLI)
Você pode usar os comandos do IAM do AWS Command Line Interface para excluir uma função vinculada ao serviço.
**Para excluir uma função vinculado ao serviço (CLI)**
1. Como uma função vinculada ao serviço não pode ser excluída se estiver sendo usada ou tiver recursos associados, você deve enviar uma solicitação de exclusão. Essa solicitação pode ser negada se essas condições não forem atendidas. Você deve capturar o `deletion-task-id` da resposta para verificar o status da tarefa de exclusão. Insira o seguinte comando para enviar uma solicitação de exclusão de função vinculada ao serviço:
```
$ aws iam delete-service-linked-role --role-name AWSServiceRoleForAWSBatchWithSagemaker
```
1. Use o seguinte comando para verificar o status da tarefa de exclusão:
```
$ aws iam get-service-linked-role-deletion-status --deletion-task-id deletion-task-id
```
O status da tarefa de exclusão pode ser `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED`, ou `FAILED`. Se a exclusão falhar, a chamada retornará o motivo de falha para que você possa acionar a solução de problemas. Se a exclusão falhar porque a função estiver usando os recursos do serviço, a notificação incluirá uma lista de recursos, caso o serviço retorne essas informações. Você poderá então [limpar os recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-review-before-delete) e enviar novamente a exclusão.
**nota**
Você pode repetir esse processo várias vezes, a depender das informações que o serviço retornar. Por exemplo, a função vinculada ao serviço pode usar seis recursos, e seu serviço pode retornar informações sobre cinco deles. Se você limpar cinco recursos e enviar a função para exclusão novamente, a exclusão falhará e o serviço emitirá relatório sobre o recurso restante. Um serviço pode retornar todos os recursos, alguns deles. Ou talvez não relate qualquer recurso. Saiba como limpar os recursos de um serviço que não reporta qualquer recurso consultando [Serviços da AWS compatíveis com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Descubra o seu serviço na tabela e escolha o link **Sim** para ver a documentação da função vinculada ao serviço.
### Excluir uma função vinculada ao serviço no IAM (API da AWS)
Você pode usar a API do IAM para excluir uma função vinculada ao serviço.
**Para excluir uma função vinculada ao serviço (API)**
1. Para enviar uma solicitação de exclusão de um roll vinculada ao serviço, chame [DeleteServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceLinkedRole.html). Na solicitação, especifique o nome da AWSService RoleFor AWSBatch WithSagemaker função.
Como uma função vinculada ao serviço não podem ser excluída se estiver sendo usada ou tiver recursos associados, você deverá enviar uma solicitação de exclusão. Essa solicitação poderá ser negada se essas condições não forem atendidas. Você deve capturar o `DeletionTaskId` da resposta para verificar o status da tarefa de exclusão.
1. Para verificar o status da exclusão, chame [GetServiceLinkedRoleDeletionStatus](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLinkedRoleDeletionStatus.html). Na solicitação, especifique o `DeletionTaskId`.
O status da tarefa de exclusão pode ser `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED`, ou `FAILED`. Se a exclusão falhar, a chamada retornará o motivo de falha para que você possa acionar a solução de problemas. Se a exclusão falhar porque a função estiver usando os recursos do serviço, a notificação incluirá uma lista de recursos, caso o serviço retorne essas informações. Você poderá então [limpar os recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-review-before-delete) e enviar novamente a exclusão.
**nota**
Você pode repetir esse processo várias vezes, a depender das informações que o serviço retornar. Por exemplo, a função vinculada ao serviço pode usar seis recursos, e seu serviço pode retornar informações sobre cinco deles. Se você limpar cinco recursos e enviar a função para exclusão novamente, a exclusão falhará e o serviço emitirá relatório sobre o recurso restante. Um serviço pode retornar todos os recursos, alguns deles, ou pode não retornar relatórios de nenhum dos recursos. Saiba como limpar os recursos de um serviço que não relata qualquer recurso consultando[Serviços da AWS que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Descubra o seu serviço na tabela e escolha o link **Sim** para ver a documentação da função vinculada ao serviço.
## Regiões suportadas para funções vinculadas a AWS Batch serviços
AWS Batch suporta o uso de funções vinculadas ao serviço em todas as regiões em que o serviço está disponível. Para obter mais informações, consulte [Endpoints do AWS Batch](https://docs.aws.amazon.com/general/latest/gr/batch.html#batch_region).
# Perfil de instância do Amazon ECS
AWS Batch os ambientes computacionais são preenchidos com instâncias de contêiner do Amazon ECS. Eles executam o atendente de contêiner do Amazon ECS localmente. O agente de contêineres do Amazon ECS faz chamadas para várias operações de AWS API em seu nome. Portanto, as instâncias de contêiner que executam o atendente exigem uma política e um perfil do IAM para esses serviços para reconhecerem que o atendente pertence a você. Você deve criar um perfil do IAM e um perfil de instância para as instâncias de contêiner poderem usar quando iniciadas. Do contrário, você não poderá criar um ambiente de computação e iniciar instâncias de contêiner nele. Esse requisito se aplica a instâncias de contêiner iniciadas com ou sem o AMI otimizado Amazon ECS, fornecido pela Amazon. Para obter mais informações, consulte [Perfil de instância do Amazon ECS](#instance_IAM_role) no *Guia do desenvolvedor do Amazon Elastic Container Service*.
**Topics**
+ [Verificar o perfil de instância do Amazon ECS de sua conta](batch-check-ecsinstancerole.md)
# Verificar o perfil de instância do Amazon ECS de sua conta
A função e o perfil de instância Amazon ECS são criados automaticamente para você durante a primeira execução do console. No entanto, é possível seguir essas etapas para verificar se a sua conta já possui a função e perfil de instância do Amazon ECS. As etapas a seguir também abordam como anexar a política do IAM gerenciada.
**Tutorial: verificar `ecsInstanceRole` no campo de console do IAM**
1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. No painel de navegação, escolha **Perfis**.
1. Procure na lista de perfis por `ecsInstanceRole`. Caso o perfil não exista, use os seguintes passos para criá-lo.
1. Escolha **Criar Perfil**.
1. Em **Tipo de Entidade Confiável**, escolha **AWS service (Serviço da AWS)**.
1. Em **Ocasiões de Uso Comuns**, escolha**EC2**.
1. Escolha **Próximo**.
1. Para **políticas de permissões**, pesquise **Amazon EC2 ContainerServicefor EC2 Role**.
1. Escolha a caixa de seleção ao lado de **Amazon EC2 ContainerServicefor EC2 Role** e, em seguida, escolha **Avançar**.
1. Em **Nome do Perfil**, digite `ecsInstanceRole` e selecione **Criar Perfil**.
**nota**
Se você usar o Console de gerenciamento da AWS para criar uma função para o Amazon EC2, o console cria um perfil de instância com o mesmo nome da função.
Como alternativa, você pode usar o AWS CLI para criar a função `ecsInstanceRole` do IAM. O exemplo a seguir cria uma função do IAM com uma política de confiança e uma política AWS gerenciada.
**Tutorial: criar um perfil do IAM e um de instância (AWS CLI)**
1. Crie a seguinte política de confiança e salve-a em um arquivo de texto chamado `ecsInstanceRole-role-trust-policy.json`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": { "Service": "ec2.amazonaws.com"},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Use o comando [create-role](https://docs.aws.amazon.com/cli/latest/reference/iam/create-role.html) para criar o perfil `ecsInstanceRole`. Especifique a localização do arquivo da política de confiança no parâmetro `assume-role-policy-document`.
```
$ aws iam create-role \
--role-name ecsInstanceRole \
--assume-role-policy-document file://ecsInstanceRole-role-trust-policy.json
```
1. Use o [create-instance-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/create-instance-profile.html)comando para criar um perfil de instância chamado`ecsInstanceRole`.
**nota**
Você precisa criar funções e perfis de instância como ações separadas na AWS API AWS CLI e.
```
$ aws iam create-instance-profile --instance-profile-name ecsInstanceRole
```
O seguinte é um exemplo de resposta.
```
{
"InstanceProfile": {
"Path": "/",
"InstanceProfileName": "ecsInstanceRole",
"InstanceProfileId": "AIPAT46P5RDITREXAMPLE",
"Arn": "arn:aws:iam::123456789012:instance-profile/ecsInstanceRole",
"CreateDate": "2022-06-30T23:53:34.093Z",
"Roles": [], }
}
```
1. Use o comando [ add-role-to-instance-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/add-role-to-instance-profile.html) para adicionar a `ecsInstanceRole` função ao perfil da `ecsInstanceRole` instância.
```
aws iam add-role-to-instance-profile \
--role-name ecsInstanceRole --instance-profile-name ecsInstanceRole
```
1. Use o [attach-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-role-policy.html)comando para anexar a política `AmazonEC2ContainerServiceforEC2Role` AWS gerenciada à `ecsInstanceRole` função.
```
$ aws iam attach-role-policy \
--policy-arn arn:aws:iam::aws:policy/service-role/AmazonEC2ContainerServiceforEC2Role \
--role-name ecsInstanceRole
```
# Perfil de frota spot Amazon EC2
Caso crie um ambiente de computação gerenciado que faça uso de instâncias de frota spot Amazon EC2, você deve criar a política de `AmazonEC2SpotFleetTaggingRole`. Esta política concede à frota spot permissão para iniciar, marcar e encerrar instâncias em seu nome. Especifique a função em sua solicitação de frota Spot. Você também deve ter as funções **AWSServiceRoleForEC2spot** e **AWSServiceRoleForEC2SpotFleet**vinculadas ao serviço para Amazon EC2 Spot e Spot Fleet. Use as instruções a seguir para criar estes perfis. Para obter mais informações, consulte Como [usar funções vinculadas ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) e [Criar uma função para delegar permissões a um AWS serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) no Guia do usuário do *IAM*.
**Topics**
+ [Crie funções de frota spot do Amazon EC2 no Console de gerenciamento da AWS](spot-fleet-roles-console.md)
+ [Crie funções de frota spot do Amazon EC2 com o AWS CLI](spot-fleet-roles-cli.md)
# Crie funções de frota spot do Amazon EC2 no Console de gerenciamento da AWS
**Para criar o perfil do IAM `AmazonEC2SpotFleetTaggingRole` vinculado ao serviço para frota spot Amazon EC2**
1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Em **Gerenciamento de Acesso**, escolha **Perfis**,
1. Em **Perfis**, escolha **Criar Perfil**.
1. De **Selecionar Entidade Confiável** para **Tipo de Entidade Confiável**, escolha **AWS service (Serviço da AWS)**.
1. Para **casos de uso para outros Serviços da AWS**, escolha **EC2 e, em seguida, escolha EC2** **- Spot Fleet** Tagging.
1. Escolha **Próximo**.
1. De **Políticas de permissões** para **Nome da Política**, verifique `AmazonEC2SpotFleetTaggingRole`.
1. Escolha **Próximo**.
1. Em **Nomear, Revisar e Criar**:
1. Em **Nome do Perfil**, insira um nome para identificar o perfil.
1. Em **Descrição**, insira uma breve explicação para a política.
1. (Opcional) Para **Passo 1: Selecionar Entidades Confiáveis**, escolha **Editar** para modificar o código.
1. (Opcional) Para **Passo 2: Adicionar Permissões**, escolha **Editar** para modificar o código.
1. (Opcional) Em **Adicionar Marcações**, escolha **Adicionar Marcação** para adicionar marcações ao recurso.
1. Escolha **Criar Perfil**.
**nota**
No passado, havia duas políticas gerenciadas para o perfil de frota spot Amazon EC2.
**Amazon EC2 SpotFleetRole**: essa é a política gerenciada original para a função Spot Fleet. No entanto, não recomendamos mais que você o use com AWS Batch. Essa política não oferece suporte à marcação de Instância Spot em ambientes de computação, necessário para utilização do perfil vinculado ao serviço `AWSServiceRoleForBatch`. Caso já tenha criado um perfil de frota spot com essa política, aplique a nova política recomendada ao perfil. Para obter mais informações, consulte [Instâncias spot sem tags na criação](spot-instance-no-tag.md).
**Amazon EC2 SpotFleetTaggingRole**: essa função fornece todas as permissões necessárias para marcar instâncias spot do Amazon EC2. Use essa função para permitir a marcação de Instâncias Spot em seus ambientes AWS Batch computacionais.
# Crie funções de frota spot do Amazon EC2 com o AWS CLI
**Para criar a função do **Amazon EC2 SpotFleetTaggingRole** IAM para seus ambientes computacionais Spot Fleet**
1. Execute o seguinte comando com o AWS CLI.
```
$ aws iam create-role --role-name AmazonEC2SpotFleetTaggingRole \
--assume-role-policy-document '{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "spotfleet.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}'
```
1. Para anexar a política de IAM EC2 SpotFleetTaggingRole gerenciada pela **Amazon** **à sua EC2 SpotFleetTaggingRole função na Amazon**, execute o seguinte comando com AWS CLI o.
```
$ aws iam attach-role-policy \
--policy-arn \
arn:aws:iam::aws:policy/service-role/AmazonEC2SpotFleetTaggingRole \
--role-name \
AmazonEC2SpotFleetTaggingRole
```
**Para criar um perfil do IAM `AWSServiceRoleForEC2Spot` vinculado ao serviço Amazon EC2 Spot**
**nota**
Caso o perfil do IAM `AWSServiceRoleForEC2Spot` vinculado ao serviço já exista, você verá uma mensagem de erro semelhante à seguinte.
```
An error occurred (InvalidInput) when calling the CreateServiceLinkedRole operation:
Service role name AWSServiceRoleForEC2Spot has been taken in this account, please try a different suffix.
```
+ Execute o seguinte comando com o AWS CLI.
```
$ aws iam create-service-linked-role --aws-service-name spot.amazonaws.com
```
**Para criar o perfil do IAM `AWSServiceRoleForEC2SpotFleet` vinculado ao serviço para frota spot Amazon EC2**
**nota**
Caso o perfil do IAM `AWSServiceRoleForEC2SpotFleet` vinculado ao serviço já exista, você verá uma mensagem de erro semelhante à seguinte.
```
An error occurred (InvalidInput) when calling the CreateServiceLinkedRole operation:
Service role name AWSServiceRoleForEC2SpotFleet has been taken in this account, please try a different suffix.
```
+ Execute o seguinte comando com o AWS CLI.
```
$ aws iam create-service-linked-role --aws-service-name spotfleet.amazonaws.com
```
# EventBridge IAM role (Função do IAM)
A Amazon EventBridge fornece um fluxo quase em tempo real de eventos do sistema que descrevem mudanças nos AWS recursos. AWS Batch os empregos estão disponíveis como EventBridge alvos. Por meio de regras simples e rapidamente configuráveis, você pode equivaler eventos e submeter trabalhos AWS Batch em resposta. Antes de enviar AWS Batch trabalhos com EventBridge regras e metas, você EventBridge deve ter permissões para executar AWS Batch trabalhos em seu nome.
**nota**
Ao criar uma regra no EventBridge console que especifica uma AWS Batch fila como destino, você pode criar essa função. Para ver uma demonstração de exemplo, consulte [Trabalhos AWS Batch como destinos do EventBridge](batch-cwe-target.md). Você pode criar a EventBridge função manualmente usando o console do IAM. Para instruções, consulte [Criando um Perfil Usando Políticas de Confiança Customizadas (Console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html) no Guia de Usuário do IAM.
A relação de confiança da sua função EventBridge do IAM deve fornecer ao diretor do `events.amazonaws.com` serviço a capacidade de assumir a função.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "events.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Certifique-se de que a política anexada à sua função EventBridge do IAM permita `batch:SubmitJob` permissões em seus recursos. No exemplo a seguir, o AWS Batch fornece a política gerenciada `AWSBatchServiceEventTargetRole` para essas permissões.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:SubmitJob"
],
"Resource": "*"
}
]
}
```
------