Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Serviceverknüpfte Rolle für Spot-Instance-Anforderungen
<a name="service-linked-roles-spot-instance-requests"></a>

Amazon EC2 nutzt serviceverknüpfte Rollen für die Berechtigungen, die für den Aufruf anderer AWS -Services in Ihrem Namen benötigt werden. Eine serviceverknüpfte Rolle ist ein einzigartiger Typ von IAM-Rolle, die direkt mit einer verknüpft ist. AWS-Service Dienstverknüpfte Rollen bieten eine sichere Möglichkeit, Berechtigungen zu delegieren, AWS-Services da nur der verknüpfte Dienst eine dienstbezogene Rolle übernehmen kann. Weitere Informationen finden Sie unter [Serviceverknüpfte Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html) im *IAM-Benutzerhandbuch*.

Amazon EC2 verwendet die serviceverknüpfte Rolle namens **AWSServiceRoleForEC2Spot, um Spot-Instances** in Ihrem Namen zu starten und zu verwalten.

## Berechtigungen vonAWSServiceRoleForEC2Spot
<a name="service-linked-role-permissions-granted-by-AWSServiceRoleForEC2Spot"></a>

Amazon EC2 verwendet **AWSServiceRoleForEC2Spot**, um die folgenden Aktionen durchzuführen:
+ `ec2:DescribeInstances`: Spot-Instances beschreiben
+ `ec2:StopInstances`: Spot-Instances stoppen
+ `ec2:StartInstances`: Spot-Instances starten

## Erstellen der serviceverknüpften Rolle
<a name="service-linked-role-creating-for-spot"></a>

Größtenteils müssen Sie die serviceverknüpfte Rolle nicht manuell erstellen. Amazon EC2 erstellt die mit dem **AWSServiceRoleForEC2Spot-Dienst** verknüpfte Rolle, wenn Sie zum ersten Mal eine Spot-Instance über die Konsole anfordern.

Wenn Sie vor Oktober 2017, als Amazon EC2 begann, diese serviceverknüpfte Rolle zu unterstützen, eine aktive Spot-Instance-Anfrage hatten, hat Amazon EC2 die **AWSServiceRoleForEC2Spot-Rolle** in Ihrem Konto erstellt. AWS Weitere Informationen finden Sie unter [In meinem Konto wird eine neue Rolle angezeigt](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared) im *IAM-Benutzerhandbuch*.

Wenn Sie die AWS CLI oder eine API verwenden, um eine Spot-Instance anzufordern, müssen Sie zunächst sicherstellen, dass diese Rolle existiert.

**Um **AWSServiceRoleForEC2Spot** mit der Konsole zu erstellen**

1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.

1. Wählen Sie im Navigationsbereich **Rollen** aus.

1. Wählen Sie **Create role (Rolle erstellen)** aus.

1. Wählen Sie auf der Seite **Select type of trusted entity (Auswahl des Typs der vertrauenswürdigen Entität)** nacheinander **EC2**, **EC2 - Spot Instances (EC2 – Spot-Instances)** und **Next: Permissions (Weiter: Berechtigungen)** aus.

1. Klicken Sie auf der nächsten Seite auf **Next: Review (Nächster Schritt: Prüfen)**.

1. Wählen Sie auf der Seite **Review (Prüfen)** **Create role (Rolle erstellen)** aus.

**Um **AWSServiceRoleForEC2Spot** mit dem zu erstellen AWS CLI**  
Verwenden Sie den [create-service-linked-role](https://docs.aws.amazon.com/cli/latest/reference/iam/create-service-linked-role.html)-Befehl wie folgt:

```
aws iam create-service-linked-role --aws-service-name spot.amazonaws.com
```

Wenn Sie Spot-Instances nicht mehr verwenden müssen, empfehlen wir Ihnen, die **AWSServiceRoleForEC2Spot-Rolle** zu löschen. Wenn diese Rolle in Ihrem Konto gelöscht wurde, erstellt Amazon EC2 die Rolle erneut, sobald Sie Spot-Instances anfordern.

## Gewähren Sie Zugriff auf vom Kunden verwaltete Schlüssel zur Verwendung mit verschlüsselten AMIs und EBS-Snapshots
<a name="spot-instance-service-linked-roles-access-to-cmks"></a>

Wenn Sie ein [verschlüsseltes AMI oder einen verschlüsselten](AMIEncryption.md) Amazon EBS-Snapshot für Ihre Spot-Instances angeben und einen vom Kunden verwalteten Schlüssel für die Verschlüsselung verwenden, müssen Sie der **AWSServiceRoleForEC2Spot-Rolle** die Erlaubnis erteilen, den vom Kunden verwalteten Schlüssel zu verwenden, damit Amazon EC2 Spot-Instances in Ihrem Namen starten kann. Dazu müssen Sie dem vom Kunden verwalteten Schlüssel eine Erteilung hinzufügen, wie im Folgenden gezeigt:

Bei der Einrichtung von Berechtigungen ist die Erteilung von Berechtigung eine Alternative zu Schüsselrichtlinien. Weitere Informationen finden Sie unter [Verwenden von Erteilungen](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) und [Verwenden von Schlüsselrichtlinien in AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) im *Developer-Handbuch für AWS Key Management Service *.

**Um der **AWSServiceRoleForEC2Spot-Rolle** Berechtigungen zur Verwendung des vom Kunden verwalteten Schlüssels zu erteilen**
+ Verwenden Sie den Befehl [create-grant](https://docs.aws.amazon.com/cli/latest/reference/kms/create-grant.html), um dem vom Kunden verwalteten Schlüssel einen Grant hinzuzufügen und den Principal (die mit dem **AWSServiceRoleForEC2Spot-Dienst** verknüpfte Rolle) anzugeben, der die Berechtigung zur Ausführung der durch die Gewährung erlaubten Operationen erhält. Der vom Kunden verwaltete Schlüssel wird durch den `key-id`-Parameter und den ARN des vom Kunden verwalteten Schlüssels angegeben. Der Principal wird durch den `grantee-principal` Parameter und den ARN der mit dem **AWSServiceRoleForEC2Spot-Dienst** verknüpften Rolle angegeben.

  ```
  aws kms create-grant \
      --region us-east-1 \
      --key-id arn:aws:kms:us-east-1:444455556666:key/1234abcd-12ab-34cd-56ef-1234567890ab \
      --grantee-principal arn:aws:iam::111122223333:role/aws-service-role/spot.amazonaws.com/AWSServiceRoleForEC2Spot \
      --operations "Decrypt" "Encrypt" "GenerateDataKey" "GenerateDataKeyWithoutPlaintext" "CreateGrant" "DescribeKey" "ReEncryptFrom" "ReEncryptTo"
  ```