本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS Batch IAM 執行角色
<a name="execution-IAM-role"></a>

執行角色會授予 Amazon ECS 容器代理程式和 AWS Fargate 代理程式代表您進行 AWS API 呼叫的許可。

**注意**  
Amazon ECS 容器代理程式 1.16.0 版及更新版本支援執行角色。

IAM 執行角色是必要的，視您的任務需求而定。您可以針對與您的帳戶相關聯的不同用途和服務，擁有多個執行角色。

**注意**  
如需 Amazon ECS 執行個體角色的相關資訊，請參閱 [Amazon ECS 執行個體角色](instance_IAM_role.md)。如需 服務角色的相關資訊，請參閱 [AWS Batch 如何使用 IAM](security_iam_service-with-iam.md)。

Amazon ECS 提供 `AmazonECSTaskExecutionRolePolicy`受管政策。此政策包含上述常見使用案例的必要許可。對於以下概述的特殊使用案例，可能需要將內嵌政策新增至執行角色。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ecr:GetAuthorizationToken",
        "ecr:BatchCheckLayerAvailability",
        "ecr:GetDownloadUrlForLayer",
        "ecr:BatchGetImage",
        "logs:CreateLogStream",
        "logs:PutLogEvents"
      ],
      "Resource": "*"
    }
  ]
}
```

------

# AWS Batch API 動作支援的資源層級許可
<a name="batch-supported-iam-actions-resources"></a>

資源*層級許可一詞*是指能夠指定允許使用者對 執行動作的資源。 AWS Batch 對資源層級許可有部分支援。對於某些 AWS Batch 動作，您可以根據必須符合的條件，控制何時允許使用者使用這些動作。您也可以根據允許使用者使用的特定資源來控制 。例如，您可以授予使用者提交任務的許可，但僅限特定任務佇列，且僅能藉由特定的任務定義來達成。

如需 AWS Batch 定義的動作和資源類型的詳細資訊，包括每種資源類型的 ARNs 格式，請參閱*《服務授權參考*[AWS Batch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html)》中的適用於 的動作、資源和條件金鑰。

# 教學課程：建立 IAM 執行角色
<a name="create-execution-role"></a>

如果您的帳戶還沒有 IAM 執行角色，請使用下列步驟來建立角色。

1. 在以下網址開啟 IAM 主控台：[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。

1. 在導覽窗格中，選擇**角色**。

1. 選擇 **Create Role** (建立角色)。

1. 針對**信任的實體類型**，選擇** AWS 服務**。

1. 針對**服務或使用案例**，選擇 **Elastic Container Service**。然後再次選擇**彈性容器服務任務**。

1. 選擇**下一步**。

1. 針對**許可政策**，搜尋 **AmazonECSTaskExecutionRolePolicy**。

1. 選擇 **AmazonECSTaskExecutionRolePolicy** 政策左側的核取方塊，然後選擇**下一步**。

1. 針對**角色名稱**，輸入 `ecsTaskExecutionRole`，然後選擇**建立角色**。

# 教學課程：檢查 IAM 執行角色
<a name="check-execution-role"></a>

使用下列程序來檢查您的帳戶是否已有 IAM 執行角色，並視需要連接 受管 IAM 政策。<a name="procedure_check_execution_role"></a>

1. 在以下網址開啟 IAM 主控台：[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。

1. 在導覽窗格中，選擇**角色**。

1. 搜尋 `ecsTaskExecutionRole` 的角色清單。如果您找不到角色，請參閱 [教學課程：建立 IAM 執行角色](create-execution-role.md)。如果您找到角色，請選擇角色以檢視連接的政策。

1. 在**許可**索引標籤上，確認 **AmazonECSTaskExecutionRolePolicy** 受管政策已連接至角色。如果連接政策，您的執行角色已正確設定。如未連接，請按照以下子步驟連接政策。

   1. 選擇**新增許可**，然後選擇**連接政策**。

   1. 搜尋 **AmazonECSTaskExecutionRolePolicy**。

   1. 勾選 **AmazonECSTaskExecutionRolePolicy** 政策左側的方塊，然後選擇**連接政策**。

1. 選擇 **Trust relationships (信任關係)**。

1. 確認信任關係包含下列政策。如果信任關係符合以下政策，則角色已正確設定。如果信任關係不相符，請選擇**編輯信任政策**，輸入以下內容，然後選擇**更新政策**。

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Sid": "",
         "Effect": "Allow",
         "Principal": {
           "Service": "ecs-tasks.amazonaws.com"
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }
   ```

------

# 使用 的服務連結角色 AWS Batch
<a name="using-service-linked-roles"></a>

AWS Batch use AWS Identity and Access Management (IAM) [ 服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服務連結角色是直接連結至 的唯一 IAM 角色類型 AWS Batch。服務連結角色由 預先定義， AWS Batch 並包含該服務代表您呼叫其他 AWS 服務所需的所有許可。

AWS Batch 使用兩種不同的服務連結角色：
+ [AWSServiceRoleForBatch](using-service-linked-roles-batch-general.md) - 用於包括運算環境 AWS Batch 的操作。
+ [AWSServiceRoleForAWSBatchWithSagemaker](using-service-linked-roles-batch-sagemaker.md) - 適用於 SageMaker AI 工作負載管理和佇列。

**Topics**
+ [使用 的角色 AWS Batch](using-service-linked-roles-batch-general.md)
+ [將 的角色 AWS Batch 與 SageMaker AI 搭配使用](using-service-linked-roles-batch-sagemaker.md)

# 使用 的角色 AWS Batch
<a name="using-service-linked-roles-batch-general"></a>

AWS Batch use AWS Identity and Access Management (IAM) [服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服務連結角色是直接連結至 的唯一 IAM 角色類型 AWS Batch。服務連結角色由 預先定義， AWS Batch 並包含該服務代表您呼叫其他 AWS 服務所需的所有許可。

服務連結角色可讓您更 AWS Batch 輕鬆地設定，因為您不必手動新增必要的許可。 AWS Batch 會定義其服務連結角色的許可，除非另有定義，否則 AWS Batch 只能擔任其角色。定義的許可包括信任政策和許可政策，且該許可政策無法附加至其他 IAM 實體。

**注意**  
執行下列其中一項操作來指定 AWS Batch 運算環境的服務角色。  
使用服務角色的空字串。這可讓 AWS Batch 建立服務角色。
以下列格式指定服務角色：`arn:aws:iam::account_number:role/aws-service-role/batch.amazonaws.com/AWSServiceRoleForBatch`。
如需詳細資訊，請參閱 AWS Batch 《 使用者指南[不正確的角色名稱或 ARN](invalid_compute_environment.md#invalid_service_role_arn)》中的 。

您必須先刪除服務連結角色的相關資源，才能將其刪除。這可保護您的 AWS Batch 資源，因為您不會不小心移除存取資源的許可。

如需有關支援服務連結角色的其他 服務的資訊，請參閱[AWS 使用 IAM 的服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)，並在**服務連結角色**欄中尋找具有**是**的服務。選擇具有連結的**是**，以檢視該服務的服務連結角色文件。

## 的服務連結角色許可 AWS Batch
<a name="service-linked-role-permissions-batch-general"></a>

AWS Batch 使用名為 **AWSServiceRoleForBatch** 的服務連結角色 – 允許 代表您 AWS Batch 建立和管理 AWS 資源。

AWSServiceRoleForBatch 服務連結角色信任下列服務擔任該角色：
+ `batch.amazonaws.com`

名為 [BatchServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-BatchServiceRolePolicy) 的角色許可政策允許 對指定的資源 AWS Batch 完成下列動作：
+ `autoscaling` – 允許 AWS Batch 建立和管理 Amazon EC2 Auto Scaling 資源。 AWS Batch 會建立和管理大多數運算環境的 Amazon EC2 Auto Scaling 群組。
+ `ec2` – 允許 AWS Batch 控制 Amazon EC2 執行個體的生命週期，以及建立和管理啟動範本和標籤。 AWS Batch 會建立和管理某些 EC2 Spot 運算環境的 EC2 Spot 機群請求。
+ `ecs` - 允許 AWS Batch 為任務執行建立和管理 Amazon ECS 叢集、任務定義和任務。
+ `eks` - 允許 AWS Batch 描述用於驗證的 Amazon EKS 叢集資源。
+ `iam` - 允許 AWS Batch 驗證擁有者提供的角色並將其傳遞給 Amazon EC2、Amazon EC2 Auto Scaling 和 Amazon ECS。
+ `logs` – 允許 AWS Batch 建立和管理 AWS Batch 任務的日誌群組和日誌串流。

您必須設定許可，以允許您的使用者、群組或角色建立、編輯或刪除服務連結角色。如需詳細資訊，請參閱 *IAM 使用者指南*中的[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。

## 為 建立服務連結角色 AWS Batch
<a name="create-service-linked-role-batch-general"></a>

您不需要手動建立服務連結角色，當您在 AWS 管理主控台、 AWS CLI或 AWS API 中建立運算環境時， AWS Batch 會為您建立服務連結角色。

**重要**  
此服務連結角色可以顯示在您的帳戶，如果您於其他服務中完成一項動作時，可以使用支援此角色的功能。如果您在 2021 年 3 月 10 日之前使用 AWS Batch 服務，當服務連結角色開始支援時， 會在您的帳戶中 AWS Batch 建立 AWSServiceRoleForBatch 角色。若要進一步了解，請參閱[我的 中出現的新角色 AWS 帳戶](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)。

若您刪除此服務連結角色，之後需要再次建立，您可以在帳戶中使用相同程序重新建立角色。當您建立運算環境時， 會再次為您 AWS Batch 建立服務連結角色。

## 編輯 的服務連結角色 AWS Batch
<a name="edit-service-linked-role-batch-general"></a>

AWS Batch 不允許您編輯 AWSServiceRoleForBatch 服務連結角色。因為有各種實體可能會參考服務連結角色，所以您無法在建立角色之後變更角色名稱。然而，您可使用 IAM 來編輯角色描述。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[編輯服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。

**允許 IAM 實體編輯 AWSServiceRoleForBatch 服務連結角色的描述**

將下列陳述式新增至許可政策。這可讓 IAM 實體編輯服務連結角色的描述。

```
{
    "Effect": "Allow",
    "Action": [
        "iam:UpdateRoleDescription"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/batch.amazonaws.com/AWSServiceRoleForBatch",
    "Condition": {"StringLike": {"iam:AWSServiceName": "batch.amazonaws.com"}}
}
```

## 刪除 的服務連結角色 AWS Batch
<a name="delete-service-linked-role-batch-general"></a>

若您不再使用需要服務連結角色的功能或服務，我們建議您刪除該角色。如此一來，您就沒有未主動監控或維護的未使用實體。然而，務必清除您的服務連結角色，之後才能以手動方式將其刪除。

**允許 IAM 實體刪除 AWSServiceRoleForBatch 服務連結角色**

將下列陳述式新增至許可政策。這可讓 IAM 實體刪除服務連結角色。

```
{
    "Effect": "Allow",
    "Action": [
        "iam:DeleteServiceLinkedRole",
        "iam:GetServiceLinkedRoleDeletionStatus"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/batch.amazonaws.com/AWSServiceRoleForBatch",
    "Condition": {"StringLike": {"iam:AWSServiceName": "batch.amazonaws.com"}}
}
```

### 清除服務連結角色
<a name="service-linked-role-review-before-delete-batch-general"></a>

您必須先確認角色沒有作用中工作階段，並刪除單一分割區中所有 AWS 區域中使用該角色的所有 AWS Batch 運算環境，才能使用 IAM 刪除服務連結角色。

**檢查服務連結角色是否有作用中工作階段**

1. 前往 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。

1. 在導覽窗格中，選擇**角色**，然後選擇 AWSServiceRoleForBatch 名稱 （而非核取方塊）。

1. 在 **Summary** (摘要) 頁面上，選擇 **Access Advisor** (存取 Advisor)，然後檢閱服務連結角色的近期活動。
**注意**  
如果您不知道 AWS Batch 是否使用 AWSServiceRoleForBatch 角色，您可以嘗試刪除該角色。如果服務使用 角色，則該角色將無法刪除。您可以檢視正在使用角色的區域。如果服務正在使用該角色，您必須先等到工作階段結束，才能刪除該角色。您無法撤銷服務連結角色的工作階段。

**移除 AWSServiceRoleForBatch 服務連結角色所使用的 AWS Batch 資源**

您必須刪除所有 AWS 區域中使用 AWSServiceRoleForBatch 角色的所有 AWS Batch 運算環境，才能刪除 AWSServiceRoleForBatch 角色。

1. 在 https：//[https://console.aws.amazon.com/batch/](https://console.aws.amazon.com/batch/) 開啟 AWS Batch 主控台。

1. 從導覽列中選取要使用的「區域」。

1. 在導覽窗格中，選擇 **Compute environments** (運算環境)。

1. 選取運算環境。

1. 選擇**停用**。等待**狀態**變更為 **DISABLED**。

1. 選取運算環境。

1. 選擇 **刪除**。選擇刪除運算環境，確認您想要**刪除運算環境**。

1. 針對在所有區域中使用服務連結角色的所有運算環境，重複步驟 1–7。

### 在 IAM 中刪除服務連結角色 （主控台）
<a name="delete-service-linked-role-iam-console"></a>

您可以使用 IAM 主控台刪除服務連結角色。

**刪除服務連結角色 (主控台)**

1. 登入 AWS 管理主控台 並開啟位於 https：//[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 的 IAM 主控台。

1. 在 IAM 主控台的導覽窗格中，選擇**角色**。然後選取 AWSServiceRoleForBatch 旁的核取方塊，而非名稱或資料列本身。

1. 選擇 **Delete role** (刪除角色)。

1. 在確認對話方塊中，檢閱服務上次存取資料，以顯示每個所選取角色上次存取 AWS 服務的時間。這可協助您確認角色目前是否作用中。如果您想要繼續進行，請選擇 **Yes, Delete (是，刪除)** 來提交服務連結角色以進行刪除。

1. 查看 IAM 主控台通知，監視服務連結角色刪除的進度。因為 IAM 服務連結角色刪除不同步，所以在您提交角色進行刪除之後，刪除任務可能會成功或失敗。
   + 如果任務成功，則會從清單中移除角色，而且成功通知會出現在頁面頂端。
   + 如果任務失敗，您可以從通知中選擇 **View details (檢視詳細資訊)** 或 **View Resources (檢視資源)**，以了解刪除失敗的原因。如果刪除因角色使用服務資源而失敗，則服務傳回該資訊時，通知會包含資源清單。您接著可以[清除資源](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-review-before-delete)，並重新提交刪除。
**注意**  
根據服務所傳回的資訊，您可能需要重複此程序數次。例如，您的服務連結角色可能會使用六個資源，而且您的服務可能傳回其中五項的相關資訊。如果您清除五個資源，並重新提交刪除角色，則刪除會失敗，而且服務會報告還有一個資源。服務可能會傳回所有資源、其中一些資源，或未報告任何資源。
   + 如果任務失敗，而且通知未包含資源清單，則服務可能未傳回該資訊。若要瞭解如何清除該服務的資源，請參閱[使用 IAM 的AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。請在表格中找到您的服務，然後選擇 **Yes** (是) 連結，檢視該服務的服務連結角色文件。

### 刪除 IAM 中的服務連結角色 (AWS CLI)
<a name="delete-service-linked-role-iam-cli"></a>

您可以從 使用 IAM 命令 AWS Command Line Interface 來刪除服務連結角色。

**刪除服務連結角色 (CLI)**

1. 因為無法刪除正在使用或具有相關聯資源的服務連結角色，所以您必須提交刪除要求。如果不符合這些條件，則可以拒絕該請求。您必須從回應中擷取 `deletion-task-id`，以檢查刪除任務的狀態。輸入下列命令，以提交服務連結角色刪除要求：

   ```
   $ aws iam delete-service-linked-role --role-name AWSServiceRoleForBatch
   ```

1. 使用下列命令，以檢查刪除任務的狀態：

   ```
   $ aws iam get-service-linked-role-deletion-status --deletion-task-id deletion-task-id
   ```

   刪除任務的狀態可以是 `NOT_STARTED`、`IN_PROGRESS`、`SUCCEEDED` 或 `FAILED`。如果刪除失敗，則呼叫會傳回失敗原因，以進行疑難排解。如果刪除因角色使用服務資源而失敗，則服務傳回該資訊時，通知會包含資源清單。您接著可以[清除資源](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-review-before-delete)，並重新提交刪除。
**注意**  
根據服務所傳回的資訊，您可能需要重複此程序數次。例如，您的服務連結角色可能會使用六個資源，而且您的服務可能傳回其中五項的相關資訊。如果您清除五個資源，並重新提交刪除角色，則刪除會失敗，而且服務會報告還有一個資源。服務可能會傳回所有資源，其中一些。或者，它可能不會報告任何資源。若要了解如何清除未報告任何資源之服務的資源，請參閱[AWS 使用 IAM 的 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。請在表格中找到您的服務，然後選擇 **Yes** (是) 連結，檢視該服務的服務連結角色文件。

### 在 IAM (AWS API) 中刪除服務連結角色
<a name="delete-service-linked-role-iam-api"></a>

您可以使用 IAM API 刪除服務連結角色。

**刪除服務連結角色 (API)**

1. 如需提交服務連結名單的刪除要求，請呼叫 [DeleteServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceLinkedRole.html)。在請求中，指定 AWSServiceRoleForBatch 角色名稱。

   因為無法刪除正在使用或具有相關聯資源的服務連結角色，所以您必須提交刪除要求。如果不符合這些條件，則可以拒絕該請求。您必須從回應中擷取 `DeletionTaskId`，以檢查刪除任務的狀態。

1. 若要檢查刪除的狀態，請呼叫 [GetServiceLinkedRoleDeletionStatus](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLinkedRoleDeletionStatus.html)。在請求中，指定 `DeletionTaskId`。

   刪除任務的狀態可以是 `NOT_STARTED`、`IN_PROGRESS`、`SUCCEEDED` 或 `FAILED`。如果刪除失敗，則呼叫會傳回失敗原因，以進行疑難排解。如果刪除因角色使用服務資源而失敗，則服務傳回該資訊時，通知會包含資源清單。您接著可以[清除資源](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-review-before-delete)，並重新提交刪除。
**注意**  
根據服務所傳回的資訊，您可能需要重複此程序數次。例如，您的服務連結角色可能會使用六個資源，而且您的服務可能傳回其中五項的相關資訊。如果您清除五個資源，並重新提交刪除角色，則刪除會失敗，而且服務會報告還有一個資源。服務可能會傳回所有資源、其中一些資源，或未報告任何資源。若要瞭解如何清除未報告任何資源之服務的資源，請參閱[使用 IAM 的AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。請在表格中找到您的服務，然後選擇 **Yes** (是) 連結，檢視該服務的服務連結角色文件。

## AWS Batch 服務連結角色支援的區域
<a name="slr-regions-batch-general"></a>

AWS Batch 支援在所有提供服務的區域中使用服務連結角色。如需詳細資訊，請參閱 [AWS Batch 端點](https://docs.aws.amazon.com/general/latest/gr/batch.html#batch_region)。

# 將 的角色 AWS Batch 與 SageMaker AI 搭配使用
<a name="using-service-linked-roles-batch-sagemaker"></a>

AWS Batch use AWS Identity and Access Management (IAM) [服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服務連結角色是直接連結至 的唯一 IAM 角色類型 AWS Batch。服務連結角色由 預先定義， AWS Batch 並包含該服務代表您呼叫其他 AWS 服務所需的所有許可。

服務連結角色可讓您更 AWS Batch 輕鬆地設定，因為您不必手動新增必要的許可。 AWS Batch 會定義其服務連結角色的許可，除非另有定義，否則只能 AWS Batch 擔任其角色。定義的許可包括信任政策和許可政策，且該許可政策無法附加至其他 IAM 實體。

您必須先刪除服務連結角色的相關資源，才能將其刪除。這可保護您的 AWS Batch 資源，因為您不會不小心移除存取資源的許可。

如需有關支援服務連結角色的其他 服務的資訊，請參閱[AWS 使用 IAM 的服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)，並在**服務連結角色**欄中尋找具有**是**的服務。選擇具有連結的**是**，以檢視該服務的服務連結角色文件。

## 的服務連結角色許可 AWS Batch
<a name="service-linked-role-permissions-batch-sagemaker"></a>

AWS Batch 使用名為 **AWSServiceRoleForAWSBatchWithSagemaker** 的服務連結角色 – 允許 代表您 AWS Batch 佇列和管理 SageMaker 訓練任務。

AWSServiceRoleForAWSBatchWithSagemaker 服務連結角色信任下列服務擔任該角色：
+ `sagemaker-queuing.batch.amazonaws.com`

角色許可政策允許 對指定的資源 AWS Batch 完成下列動作：
+ `sagemaker` – 允許 AWS Batch 管理 SageMaker 訓練任務、轉換任務和其他 SageMaker AI 資源。
+ `iam:PassRole` – 允許 AWS Batch 將客戶定義的執行角色傳遞至 SageMaker AI 以進行任務執行。資源限制允許將角色傳遞至 SageMaker AI 服務。

您必須設定許可，以允許您的使用者、群組或角色建立、編輯或刪除服務連結角色。如需詳細資訊，請參閱 *IAM 使用者指南*中的[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。

## 為 建立服務連結角色 AWS Batch
<a name="create-service-linked-role-batch-sagemaker"></a>

您不需要手動建立服務連結角色，當您在 AWS CLI、 AWS 管理主控台或 AWS API `CreateServiceEnvironment` 中使用 建立服務環境時， AWS Batch 會為您建立服務連結角色。

若您刪除此服務連結角色，之後需要再次建立，您可以在帳戶中使用相同程序重新建立角色。當您使用 建立服務環境時`CreateServiceEnvironment`， 會再次為您 AWS Batch 建立服務連結角色。

若要檢視政策的 JSON，請參閱《 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html)》中的 [AWSBatchServiceRolePolicyForSageMaker](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBatchServiceRolePolicyForSageMaker.html)。

## 編輯 的服務連結角色 AWS Batch
<a name="edit-service-linked-role-batch-sagemaker"></a>

AWS Batch 不允許您編輯 AWSServiceRoleForAWSBatchWithSagemaker 服務連結角色。因為有各種實體可能會參考服務連結角色，所以您無法在建立角色之後變更角色名稱。然而，您可使用 IAM 來編輯角色描述。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[編輯服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。

## 刪除 的服務連結角色 AWS Batch
<a name="delete-service-linked-role-batch-sagemaker"></a>

若您不再使用需要服務連結角色的功能或服務，我們建議您刪除該角色。如此一來，您就沒有未主動監控或維護的未使用實體。然而，務必清除您的服務連結角色，之後才能以手動方式將其刪除。

### 清除服務連結角色
<a name="service-linked-role-review-before-delete-batch-sagemaker"></a>

在您可以使用 IAM 刪除服務連結角色之前，您必須先確認角色沒有作用中的工作階段，並刪除單一分割區中所有 AWS 區域中使用該角色的所有服務環境。

**檢查服務連結角色是否有作用中工作階段**

1. 前往 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。

1. 在導覽窗格中，選擇**角色**，然後選擇 AWSServiceRoleForAWSBatchWithSagemaker 名稱 （而非核取方塊）。

1. 在 **Summary** (摘要) 頁面上，選擇 **Access Advisor** (存取 Advisor)，然後檢閱服務連結角色的近期活動。
**注意**  
如果您不知道 AWS Batch 是否使用 AWSServiceRoleForAWSBatchWithSagemaker 角色，您可以嘗試刪除該角色。如果服務使用 角色，則該角色將無法刪除。您可以檢視正在使用角色的區域。如果服務正在使用該角色，您必須先等到工作階段結束，才能刪除該角色。您無法撤銷服務連結角色的工作階段。

**移除 AWSServiceRoleForAWSBatchWithSagemaker 服務連結角色所使用的 AWS Batch 資源**

您必須取消所有任務佇列與所有服務環境的關聯，然後您必須刪除所有 AWS 區域中使用 AWSServiceRoleForAWSBatchWithSagemaker 角色的所有服務環境，才能刪除 AWSServiceRoleForAWSBatchWithSagemaker 角色。

1. 在 https：//[https://console.aws.amazon.com/batch/](https://console.aws.amazon.com/batch/) 開啟 AWS Batch 主控台。

1. 從導覽列中選取要使用的「區域」。

1. 在導覽窗格中，選擇**環境**，然後選擇**服務環境**。

1. 選取所有**服務環境**。

1. 選擇**停用**。等待**狀態**變更為 **DISABLED**。

1. 選取服務環境。

1. 選擇 **刪除**。選擇刪除服務環境，確認您想要**刪除服務環境**。

1. 針對在所有 區域中使用服務連結角色的所有服務環境，重複步驟 1–7。

### 在 IAM 中刪除服務連結角色 （主控台）
<a name="delete-service-linked-role-iam-console-batch-sagemaker"></a>

您可以使用 IAM 主控台刪除服務連結角色。

**刪除服務連結角色 (主控台)**

1. 登入 AWS 管理主控台 並開啟位於 https：//[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 的 IAM 主控台。

1. 在 IAM 主控台的導覽窗格中，選擇**角色**。然後選取 AWSServiceRoleForAWSBatchWithSagemaker 旁的核取方塊，而非名稱或資料列本身。

1. 選擇 **Delete role** (刪除角色)。

1. 在確認對話方塊中，檢閱服務上次存取資料，以顯示每個所選取角色上次存取 AWS 服務的時間。這可協助您確認角色目前是否作用中。如果您想要繼續進行，請選擇 **Yes, Delete (是，刪除)** 來提交服務連結角色以進行刪除。

1. 查看 IAM 主控台通知，監視服務連結角色刪除的進度。因為 IAM 服務連結角色刪除不同步，所以在您提交角色進行刪除之後，刪除任務可能會成功或失敗。
   + 如果任務成功，則會從清單中移除角色，而且成功通知會出現在頁面頂端。
   + 如果任務失敗，您可以從通知中選擇 **View details (檢視詳細資訊)** 或 **View Resources (檢視資源)**，以了解刪除失敗的原因。如果刪除因角色使用服務資源而失敗，則服務傳回該資訊時，通知會包含資源清單。您接著可以[清除資源](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-review-before-delete)，並重新提交刪除。
**注意**  
根據服務所傳回的資訊，您可能需要重複此程序數次。例如，您的服務連結角色可能會使用六個資源，而且您的服務可能傳回其中五項的相關資訊。如果您清除五個資源，並重新提交刪除角色，則刪除會失敗，而且服務會報告還有一個資源。服務可能會傳回所有資源、其中一些資源，或未報告任何資源。
   + 如果任務失敗，而且通知未包含資源清單，則服務可能未傳回該資訊。若要瞭解如何清除該服務的資源，請參閱[使用 IAM 的AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。請在表格中找到您的服務，然後選擇 **Yes** (是) 連結，檢視該服務的服務連結角色文件。

### 刪除 IAM 中的服務連結角色 (AWS CLI)
<a name="delete-service-linked-role-iam-cli-batch-sagemaker"></a>

您可以從 使用 IAM 命令 AWS Command Line Interface 來刪除服務連結角色。

**刪除服務連結角色 (CLI)**

1. 因為無法刪除正在使用或具有相關聯資源的服務連結角色，所以您必須提交刪除要求。如果不符合這些條件，則可以拒絕該請求。您必須從回應中擷取 `deletion-task-id`，以檢查刪除任務的狀態。輸入下列命令，以提交服務連結角色刪除要求：

   ```
   $ aws iam delete-service-linked-role --role-name AWSServiceRoleForAWSBatchWithSagemaker
   ```

1. 使用下列命令，以檢查刪除任務的狀態：

   ```
   $ aws iam get-service-linked-role-deletion-status --deletion-task-id deletion-task-id
   ```

   刪除任務的狀態可以是 `NOT_STARTED`、`IN_PROGRESS`、`SUCCEEDED` 或 `FAILED`。如果刪除失敗，則呼叫會傳回失敗原因，以進行疑難排解。如果刪除因角色使用服務資源而失敗，則服務傳回該資訊時，通知會包含資源清單。您接著可以[清除資源](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-review-before-delete)，並重新提交刪除。
**注意**  
根據服務所傳回的資訊，您可能需要重複此程序數次。例如，您的服務連結角色可能會使用六個資源，而且您的服務可能傳回其中五項的相關資訊。如果您清除五個資源，並重新提交刪除角色，則刪除會失敗，而且服務會報告還有一個資源。服務可能會傳回所有資源，其中一些。或者，它可能不會報告任何資源。若要了解如何清理未報告任何資源之服務的資源，請參閱[AWS 使用 IAM 的服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。請在表格中找到您的服務，然後選擇 **Yes** (是) 連結，檢視該服務的服務連結角色文件。

### 在 IAM (AWS API) 中刪除服務連結角色
<a name="delete-service-linked-role-iam-api-batch-sagemaker"></a>

您可以使用 IAM API 刪除服務連結角色。

**刪除服務連結角色 (API)**

1. 如需提交服務連結名單的刪除要求，請呼叫 [DeleteServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceLinkedRole.html)。在請求中，指定 AWSServiceRoleForAWSBatchWithSagemaker 角色名稱。

   因為無法刪除正在使用或具有相關聯資源的服務連結角色，所以您必須提交刪除要求。如果不符合這些條件，則可以拒絕該請求。您必須從回應中擷取 `DeletionTaskId`，以檢查刪除任務的狀態。

1. 若要檢查刪除的狀態，請呼叫 [GetServiceLinkedRoleDeletionStatus](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLinkedRoleDeletionStatus.html)。在請求中，指定 `DeletionTaskId`。

   刪除任務的狀態可以是 `NOT_STARTED`、`IN_PROGRESS`、`SUCCEEDED` 或 `FAILED`。如果刪除失敗，則呼叫會傳回失敗原因，以進行疑難排解。如果刪除因角色使用服務資源而失敗，則服務傳回該資訊時，通知會包含資源清單。您接著可以[清除資源](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-review-before-delete)，並重新提交刪除。
**注意**  
根據服務所傳回的資訊，您可能需要重複此程序數次。例如，您的服務連結角色可能會使用六個資源，而且您的服務可能傳回其中五項的相關資訊。如果您清除五個資源，並重新提交刪除角色，則刪除會失敗，而且服務會報告還有一個資源。服務可能會傳回所有資源、其中一些資源，或未報告任何資源。若要瞭解如何清除未報告任何資源之服務的資源，請參閱[使用 IAM 的AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。請在表格中找到您的服務，然後選擇 **Yes** (是) 連結，檢視該服務的服務連結角色文件。

## AWS Batch 服務連結角色支援的區域
<a name="slr-regions-batch-sagemaker"></a>

AWS Batch 支援在所有提供服務的區域中使用服務連結角色。如需詳細資訊，請參閱 [AWS Batch 端點](https://docs.aws.amazon.com/general/latest/gr/batch.html#batch_region)。

# Amazon ECS 執行個體角色
<a name="instance_IAM_role"></a>

AWS Batch 運算環境會填入 Amazon ECS 容器執行個體。它們會在本機執行 Amazon ECS 容器代理程式。Amazon ECS 容器代理程式會代表您呼叫各種 AWS API 操作。因此，執行代理程式的容器執行個體需要這些服務的 IAM 政策和角色，才能識別代理程式屬於您。您必須建立 IAM 角色和執行個體描述檔，容器執行個體才能在啟動時使用。否則，您無法建立運算環境，並在其中啟動容器執行個體。此要求適用於使用或不使用 Amazon 提供的 Amazon ECS 最佳化 AMI 啟動的容器執行個體。如需詳細資訊，請參閱*《Amazon Elastic Container Service 開發人員指南》*中的 [Amazon ECS 執行個體角色](#instance_IAM_role)。

**Topics**
+ [檢查您帳戶的 Amazon ECS 執行個體角色](batch-check-ecsinstancerole.md)

# 檢查您帳戶的 Amazon ECS 執行個體角色
<a name="batch-check-ecsinstancerole"></a>

Amazon ECS 執行個體角色和執行個體描述檔會在主控台初次執行體驗中自動為您建立。不過，您可以依照下列步驟來檢查您的帳戶是否已有 Amazon ECS 執行個體角色和執行個體描述檔。下列步驟也涵蓋如何連接 受管 IAM 政策。<a name="procedure_check_instance_role"></a>

**教學課程：在 IAM 主控台`ecsInstanceRole`中檢查**

1. 在以下網址開啟 IAM 主控台：[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。

1. 在導覽窗格中，選擇**角色**。

1. 搜尋 `ecsInstanceRole` 的角色清單。如果角色不存在，請使用下列步驟來建立角色。

   1. 選擇**建立角色**。

   1. 對於 **Trusted entity type** (信任的實體類型)，請選擇 **AWS 服務**。

   1. 針對**常用案例**，選擇 **EC2**。

   1. 選擇**下一步**。

   1. 針對**許可政策**，搜尋 **AmazonEC2ContainerServiceforEC2Role**。

   1. 選擇 **AmazonEC2ContainerServiceforEC2Role** 旁的核取方塊，然後選擇**下一步**。

   1. 針對 **Role Name (角色名稱)**，輸入 `ecsInstanceRole`，然後選擇 **Create Role (建立角色)**。
**注意**  
如果您使用 AWS 管理主控台 為 Amazon EC2 建立角色，主控台會建立與角色同名的執行個體描述檔。

或者，您可以使用 AWS CLI 來建立 IAM `ecsInstanceRole` 角色。下列範例會建立具有信任政策和 AWS 受管政策的 IAM 角色。<a name="create-iam-role-cli"></a>

**教學課程：建立 IAM 角色和執行個體描述檔 (AWS CLI)**

1. 建立下列信任政策，並將其儲存在名為 的文字檔案中`ecsInstanceRole-role-trust-policy.json`。

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": { "Service": "ec2.amazonaws.com"},
         "Action": "sts:AssumeRole"
       }
     ]
   }
   ```

------

1. 使用 [create-role](https://docs.aws.amazon.com/cli/latest/reference/iam/create-role.html) 命令來建立`ecsInstanceRole`角色。在 `assume-role-policy-document` 參數中指定信任政策檔案位置。

   ```
   $ aws iam create-role \
       --role-name ecsInstanceRole \
       --assume-role-policy-document file://ecsInstanceRole-role-trust-policy.json
   ```

1. 使用 [create-instance-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/create-instance-profile.html) 命令來建立名為 的執行個體描述檔`ecsInstanceRole`。
**注意**  
您需要在 和 AWS API 中將角色 AWS CLI 和執行個體描述檔建立為個別動作。

   ```
   $ aws iam create-instance-profile --instance-profile-name ecsInstanceRole
   ```

   以下是回應範例。

   ```
   {
       "InstanceProfile": {
           "Path": "/",
           "InstanceProfileName": "ecsInstanceRole",
           "InstanceProfileId": "AIPAT46P5RDITREXAMPLE",
           "Arn": "arn:aws:iam::123456789012:instance-profile/ecsInstanceRole",
           "CreateDate": "2022-06-30T23:53:34.093Z",
           "Roles": [],    }
   }
   ```

1. 使用 [ add-role-to-instance-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/add-role-to-instance-profile.html) 命令，將`ecsInstanceRole`角色新增至`ecsInstanceRole`執行個體描述檔。

   ```
   aws iam add-role-to-instance-profile \
       --role-name ecsInstanceRole --instance-profile-name ecsInstanceRole
   ```

1. 使用 [attach-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-role-policy.html) 命令將`AmazonEC2ContainerServiceforEC2Role` AWS 受管政策連接至`ecsInstanceRole`角色。

   ```
   $ aws iam attach-role-policy \
       --policy-arn arn:aws:iam::aws:policy/service-role/AmazonEC2ContainerServiceforEC2Role \
       --role-name ecsInstanceRole
   ```

# Amazon EC2 Spot 機群角色
<a name="spot_fleet_IAM_role"></a>

如果您建立使用 Amazon EC2 Spot 機群執行個體的受管運算環境，則必須建立 `AmazonEC2SpotFleetTaggingRole`政策。此政策授予 Spot Fleet 代表您啟動、標記和終止執行個體的許可。在您的 Spot Fleet 請求中指定角色。您還必須擁有 Amazon EC2**AWSServiceRoleForEC2Spot** **AWSServiceRoleForEC2SpotFleet** 服務連結角色。使用以下指示來建立所有這些角色。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[使用服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)和[建立角色以委派許可給 AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。

**Topics**
+ [在 中建立 Amazon EC2 Spot 機群角色 AWS 管理主控台](spot-fleet-roles-console.md)
+ [使用 建立 Amazon EC2 Spot 機群角色 AWS CLI](spot-fleet-roles-cli.md)

# 在 中建立 Amazon EC2 Spot 機群角色 AWS 管理主控台
<a name="spot-fleet-roles-console"></a>

**為 `AmazonEC2SpotFleetTaggingRole` Amazon EC2 Spot Fleet 建立 IAM 服務連結角色**

1. 前往 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。

1. 針對**存取管理**，選擇**角色**、

1. 針對**角色**，選擇**建立角色**。

1. 從**選取信任實體****類型的信任實體**中，選擇 **AWS 服務**。

1. 對於**其他的使用案例 AWS 服務**，請選擇 **EC2**，然後選擇 **EC2 - Spot 機群標記**。

1. 選擇**下一步**。

1. 從**政策名稱**的**許可政策**中，驗證 `AmazonEC2SpotFleetTaggingRole`。

1. 選擇**下一步**。

1. 針對**名稱、檢閱和建立**：

   1. 針對**角色名稱**，輸入名稱以識別角色。

   1. 針對**描述**，輸入政策的簡短說明。

   1. （選用） 對於**步驟 1：選取信任的實體**，選擇**編輯**以修改程式碼。

   1. （選用） 對於**步驟 2：新增許可**，選擇**編輯**以修改程式碼。

   1. （選用） 對於**新增標籤**，選擇**新增標籤**以將標籤新增至資源。

   1. 選擇建**立角色**。

**注意**  
在過去，Amazon EC2 Spot Fleet 角色有兩個受管政策。  
**AmazonEC2SpotFleetRole**：這是 Spot Fleet 角色的原始受管政策。不過，我們不再建議您將其與 搭配使用 AWS Batch。此政策不支援在運算環境中使用`AWSServiceRoleForBatch`服務連結角色所需的 Spot 執行個體標記。如果您先前已使用此政策建立 Spot Fleet 角色，請將新的建議政策套用至該角色。如需詳細資訊，請參閱[建立時未標記 Spot 執行個體](spot-instance-no-tag.md)。
**AmazonEC2SpotFleetTaggingRole**：此角色提供標記 Amazon EC2 Spot 執行個體的所有必要許可。使用此角色允許在 AWS Batch 運算環境中標記 Spot 執行個體。

# 使用 建立 Amazon EC2 Spot 機群角色 AWS CLI
<a name="spot-fleet-roles-cli"></a>

**為您的 Spot Fleet 運算環境建立 **AmazonEC2SpotFleetTaggingRole** IAM 角色**

1. 使用 執行下列命令 AWS CLI。

   ```
   $ aws iam create-role --role-name AmazonEC2SpotFleetTaggingRole \
        --assume-role-policy-document '{
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Sid": "",
         "Effect": "Allow",
         "Principal": {
           "Service": "spotfleet.amazonaws.com"
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }'
   ```

1. 若要將 **AmazonEC2SpotFleetTaggingRole** 受管 IAM 政策連接至 **AmazonEC2SpotFleetTaggingRole** 角色，請使用 執行下列命令 AWS CLI。

   ```
   $ aws iam attach-role-policy \
     --policy-arn \
       arn:aws:iam::aws:policy/service-role/AmazonEC2SpotFleetTaggingRole \
     --role-name \
       AmazonEC2SpotFleetTaggingRole
   ```

**為 `AWSServiceRoleForEC2Spot` Amazon EC2 Spot 建立 IAM 服務連結角色**
**注意**  
如果 `AWSServiceRoleForEC2Spot` IAM 服務連結角色已存在，您會看到類似以下的錯誤訊息。  

```
An error occurred (InvalidInput) when calling the CreateServiceLinkedRole operation:
Service role name AWSServiceRoleForEC2Spot has been taken in this account, please try a different suffix.
```
+ 使用 執行下列命令 AWS CLI。

  ```
  $ aws iam create-service-linked-role --aws-service-name spot.amazonaws.com
  ```

**為 `AWSServiceRoleForEC2SpotFleet` Amazon EC2 Spot Fleet 建立 IAM 服務連結角色**
**注意**  
如果 `AWSServiceRoleForEC2SpotFleet` IAM 服務連結角色已存在，您會看到類似以下的錯誤訊息。  

```
An error occurred (InvalidInput) when calling the CreateServiceLinkedRole operation:
Service role name AWSServiceRoleForEC2SpotFleet has been taken in this account, please try a different suffix.
```
+ 使用 執行下列命令 AWS CLI。

  ```
  $ aws iam create-service-linked-role --aws-service-name spotfleet.amazonaws.com
  ```

# EventBridge IAM 角色
<a name="CWE_IAM_role"></a>

Amazon EventBridge 提供近乎即時的系統事件串流，描述 AWS 資源的變更。 AWS Batch 任務可作為 EventBridge 目標使用。利用可快速設定的簡單規則，匹配事件並提交 AWS Batch 任務以回應事件。在使用 EventBridge 規則和目標提交 AWS Batch 任務之前，EventBridge 必須具有代表您執行 AWS Batch 任務的許可。

**注意**  
當您在 EventBridge 主控台中建立將 AWS Batch 佇列指定為目標的規則時，您可以建立此角色。如需範例演練，請參閱 [AWS Batch 任務做為 EventBridge 目標](batch-cwe-target.md)。您可以使用 IAM 主控台手動建立 EventBridge 角色。如需說明，請參閱《IAM 使用者指南》中的[使用自訂信任政策 （主控台） 建立角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html)。

EventBridge IAM 角色的信任關係必須提供`events.amazonaws.com`服務主體擔任角色的能力。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "events.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

------

請確定連接至 EventBridge IAM 角色的政策允許 資源的`batch:SubmitJob`許可。在下列範例中， AWS Batch 提供 `AWSBatchServiceEventTargetRole`受管政策來提供這些許可。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "batch:SubmitJob"
       ],
      "Resource": "*"
    }
  ]
}
```

------