用於 EC2 Fast Launch 的服務連結角色 - Amazon Elastic Compute Cloud
角色許可建立服務連結角色存取客戶自管金鑰編輯服務連結角色刪除服務連結角色支援的區域

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

用於 EC2 Fast Launch 的服務連結角色

Amazon EC2 使用許可的服務連結角色,它需要代表您呼叫其他 AWS 服務 。服務連結角色是直接連結至 的唯一 IAM 角色類型 AWS 服務。服務連結角色提供將許可委派給 的安全方式, AWS 服務 因為只有連結的服務可以擔任服務連結角色。如需 Amazon EC2 如何使用 IAM 角色的詳細資訊,請參閱 Amazon EC2 的 IAM 的角色

Amazon EC2 使用名為 AWSServiceRoleForEC2FastLaunch 的服務連結角色建立和管理一組預先佈建的快照,從而縮短從 Windows AMI 啟動執行個體所需的時間。

AWSServiceRoleForEC2FastLaunch 授予的許可

AWSServiceRoleForEC2FastLaunch 服務連結角色信任下列服務來擔任此角色:

  • ec2fastlaunch.amazonaws.com

Amazon EC2 使用 EC2FastLaunchServiceRolePolicy 受管政策來完成下列動作:

  • AWS CloudFormation – 允許 EC2 Fast Launch 取得關聯 CloudFormation 堆疊的描述。

  • Amazon CloudWatch – 將與 EC2 Fast Launch 相關聯的指標資料發佈到 Amazon EC2 命名空間。

  • Amazon EC2 – 授予 EC2 Fast Launch 執行下列動作的存取權:

    • 從已啟用 EC2 Fast Launch 的 Amazon EC2 Windows Server AMI 啟動執行個體,以執行佈建步驟。另需指定資源模式,允許對與 License Manager 相關聯的 AMI 執行 ec2:RunInstances

    • 在建立預先佈建的快照後,停止並終止由 EC2 Fast Launch 啟動的執行個體。

    • 描述用於從已啟用 EC2 Fast Launch 的 Amazon EC2 Windows Server AMI 啟動執行個體的映像與執行個體類型資源,並從中建立快照。

    • 描述啟動範本資源,然後從啟動範本啟動執行個體。

    • 描述執行個體、執行個體屬性與執行個體狀態、磁碟區與磁碟區屬性。

    • 描述網路介面

    • 刪除 EC2 Fast Launch 建立的資源,包括快照、啟動範本、磁碟區與網路介面。

    • 為 EC2 Fast Launch 建立的資源加標籤,這些資源用於啟動和預先佈建 Windows 執行個體,並建立供最終啟動程序使用的快照。

  • Amazon EventBridge – 包含建立 EventBridge 事件規則、擷取其建立規則的詳細資訊或刪除這些規則的存取權。EC2 Fast Launch 亦可取得接收根據事件規則轉送之 EC2 Fast Launch 事件的目標服務清單,並在其建立的事件規則中新增或移除目標服務。

  • IAM – 允許 EC2 Fast Launch 建立 EC2FastLaunchServiceRolePolicy 服務連結角色、取得並使用名稱包含 ec2fastlaunch 的執行個體設定檔,以及使用您啟動範本中的執行個體設定檔代表您啟動執行個體。

  • AWS KMS – 包含建立授權、列出由 EC2 Fast Launch 建立且可淘汰的授權的存取權。另可描述或使用金鑰,以加密或解密連接至 EC2 Fast Launch 建立之執行個體的磁碟區,並產生非明文的資料金鑰。

若要檢視此政策的許可,請參閱 AWS 受管政策參考中的 EC2FastLaunchServiceRolePolicy

如需使用 Amazon EC2 受管政策的詳細資訊,請參閱 AWS Amazon EC2 的 受管政策

建立服務連結角色

您不需要手動建立此服務連結角色。當您開始為 AMI 使用 EC2 Fast Launch 時,Amazon EC2 會自動建立服務連結角色 (如果尚不存在此角色)。

如果從您的帳戶中刪除服務連結角色,您可以開始為另一個 Windows AMI 啟用 EC2 Fast Launch,從而在您的帳戶中重新建立此角色。或者,您可以針對目前 AMI 停用 EC2 Fast Launch,然後再次啟用。但是,停用該功能會導致 AMI 對所有新執行個體使用標準啟動過程,而 Amazon EC2 會移除您的所有預先佈建快照。所有預先佈建的快照都被刪除之後,您可以再次開始為 AMI 啟用 EC2 Fast Launch。

存取客戶自管金鑰

要為使用客戶自管金鑰 (CMK) 加密的加密的 AMI 啟用 EC2 Fast Launch,您必須授予 AWSServiceRoleForEC2FastLaunch 角色使用該 CMK 的許可。為此,呼叫 create-grant 命令 針對 --grantee-principal,指定您帳戶中 AWSServiceRoleForEC2FastLaunch 角色的 ARN。對於 --operations,請指定 CreateGrant

aws kms create-grant \
    --key-id arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab \
    --grantee-principal arn:aws:iam::111122223333:role/AWSServiceRoleForEC2FastLaunch \
    --operations CreateGrant

編輯服務連結角色

Amazon EC2 不允許您編輯 AWSServiceRoleForEC2FastLaunch 服務連結角色。因為可能有各種實體會參考服務連結角色,所以您無法在建立角色之後變更其名稱。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱《IAM 使用者指南》中的編輯服務連結角色

刪除服務連結角色

您必須先刪除所有相關的資源,才能刪除服務連結角色。這樣可保護與已啟用 EC2 Fast Launch 的 Amazon EC2 Windows Server AMI 相關聯的 Amazon EC2 資源,避免無意間移除了資源的存取許可。

使用 IAM 主控台 AWS CLI、 或 AWS API 來刪除 AWSServiceRoleForEC2FastLaunch 服務連結角色。如需詳細資訊,請參閱《IAM 使用者指南》中的刪除服務連結角色

支援的區域

Amazon EC2 支援所有提供 Amazon EC2 服務的區域中的 EC2 Fast Launch 服務連結角色。