Serviceverknüpfte Rolle für EC2-Schnellstart - Amazon Elastic Compute Cloud
Rollen-BerechtigungenErstellen einer serviceverknüpften RolleZugriff auf kundenverwaltete SchlüsselBearbeiten einer serviceverknüpften RolleLöschen Sie eine serviceverknüpfte RolleUnterstützte Regionen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Serviceverknüpfte Rolle für EC2-Schnellstart

Amazon EC2 nutzt serviceverknüpfte Rollen für die Berechtigungen, die für den Aufruf anderer AWS-Services in Ihrem Namen benötigt werden. Eine serviceverknüpfte Rolle ist ein spezieller Typ einer IAM-Rolle, die direkt mit AWS-Service verknüpft ist. Serviceverknüpfte Rollen bieten eine sichere Möglichkeit, um Berechtigungen an AWS-Services zu delegieren, da nur der verknüpfte Service eine serviceverknüpfte Rolle annehmen kann. Weitere Informationen zur Verwendung von IAM-Rollen – einschließlich serviceverknüpfter Rollen – durch Amazon EC2 finden Sie unter IAM-Rollen für Amazon EC2.

Amazon EC2 verwendet die serviceverknüpfte Rolle namens AWSServiceRoleForEC2FastLaunch, um eine Reihe von vorab bereitgestellten Snapshots zu erstellen und zu verwalten, die die Zeit für den Start von Instances über Ihr Windows-AMI reduzieren.

Berechtigungen von AWSServiceRoleForEC2FastLaunch

Die serviceverknüpfte Rolle AWSServiceRoleForEC2FastLaunch vertraut darauf, dass der folgende Service die Rolle annimmt:

  • ec2fastlaunch.amazonaws.com

Amazon EC2 verwendet die verwaltete Richtlinie EC2FastLaunchServiceRolePolicy, um die folgenden Aktionen auszuführen:

  • AWS CloudFormation – Erlaubt EC2 Fast Launch, eine Beschreibung der zugeordenten CloudFormation-Stacks abzurufen.

  • Amazon CloudWatch – Veröffentlichen von Metrikdaten, die EC2 Fast Launch zugeordnet sind, im Amazon-EC2-Namespace.

  • Amazon EC2 – EC2 Fast Launch erhält Zugriff, um die folgenden Aktionen auszuführen:

    • Starten von Instances über ein Windows-Server-AMI von Amazon EC2 mit aktiviertem EC2 Fast Launch, um Bereitstellungsschritte durchzuführen. Geben Sie zusätzlich ein Ressourcenmuster an, das ec2:RunInstances für ein AMI ermöglicht, das License Manager zugeordnet ist.

    • Anhalten und Beenden einer Instance, die von EC2 Fast Launch gestartet wurde, nachdem sie den vorab bereitgestellten Snapshot erstellt hat.

    • Beschreiben von Image- und Instance-Typ-Ressourcen, die zum Starten von Instances über ein Windows-Server-AMI von Amazon EC2 mit aktiviertem EC2 Fast Launch dienen, und zum Erstellen von Snapshots aus diesen.

    • Beschreiben Sie Ressourcen für Startvorlagen und starten Sie Instances anhand einer Startvorlage.

    • Beschreiben Sie Instances, Instance-Attribute und Instance-Status, Volumes und Volume-Attribute.

    • Beschreiben Sie Netzwerkschnittstellen.

    • Löschen von Ressourcen, die EC2 Fast Launch erstellt hat, einschließlich Snapshots, Startvorlagen, Volumes und Netzwerkschnittstellen.

    • Markieren Sie Ressourcen, die EC2 Fast Launch für den Start und die Vorabbereitstellung von Windows-Instances erstellt, und erstellen Sie Snapshots, die für den letzten Startvorgang verwendet werden.

  • Amazon EventBridge – Beinhaltet Zugriff zum Erstellen von EventBridge-Ereignisregeln und zum Abrufen von Details zu den erstellten Regeln oder zum Löschen von Regeln. EC2 Fast Launch kann auch eine Liste von Zielservices abrufen, die Ereignisse von EC2 Fast Launch empfangen, die auf der Grundlage von Ereignisregeln weitergeleitet werden, und Zielservices zu den erstellten Ereignisregeln hinzufügen oder aus diesen entfernen.

  • IAM – Erlaubt EC2 Fast Launch das Erstellen der serviceverknüpften EC2FastLaunchServiceRolePolicy-Rolle, das Abrufen und Verwenden von Instance-Profilen, deren Name ec2fastlaunch enthält, und das Starten von Instances in Ihrem Namen unter Verwendung des Instance-Profils aus Ihrer Startvorlage

  • AWS KMS – Beinhaltet Zugriff zum Erstellen von Erteilungen und zum Auflisten von Erteilungen, die von EC2 Fast Launch erstellt wurden und außer Betrieb genommen werden können. Erteilt außerdem den Zugriff zum Beschreiben und Verwenden von Schlüsseln zum Verschlüsseln oder Entschlüsseln von Volumes, die an Instances angehängt sind, die von EC2 Fast Launch erstellt werden, und zur Generierung von Datenschlüsseln, die kein Klartext sind.

Informationen zu den Berechtigungen für diese Richtlinie finden Sie unter EC2FastLaunchServiceRolePolicy in der Referenz zu von AWS verwalteten Richtlinien.

Weitere Informationen zur Verwendung verwalteter Richtlinien für Amazon EC2 finden Sie unter AWS verwaltete Richtlinien für Amazon EC2.

Erstellen einer serviceverknüpften Rolle

Sie müssen diese serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie mit der Verwendung von EC2-Schnellstart für Ihr AMI beginnen, erstellt Amazon EC2 die serviceverknüpfte Rolle für Sie, sofern sie noch nicht vorhanden ist.

Wenn die serviceverknüpfte Rolle aus Ihrem Konto gelöscht wird, können Sie EC2-Schnellstart für ein anderes Windows-AMI aktivieren, um die Rolle in Ihrem Konto neu zu erstellen. Alternativ können Sie EC2-Schnellstart für Ihr aktuelles AMI deaktivieren und dann erneut aktivieren. Das Deaktivieren des Features führt jedoch dazu, dass das AMI den Standardstartprozess für alle neuen Instances verwendet, während Amazon EC2 alle vorab bereitgestellten Snapshots entfernt. Nachdem alle vorab bereitgestellten Snapshots entfernt wurden, können Sie die Verwendung von EC2-Schnellstart für Ihr AMI erneut aktivieren.

Zugriff auf kundenverwaltete Schlüssel

Um EC2 Fast Launch für ein verschlüsseltes AMI zu aktivieren, das einen kundenverwalteten Schlüssel für die Verschlüsselung verwendet, müssen Sie der AWSServiceRoleForEC2FastLaunch-Rolle die Berechtigung zur Verwendung des CMK erteilen. Rufen Sie dazu den Befehl create-grant auf. Geben Sie für --grantee-principal den ARN für die AWSServiceRoleForEC2FastLaunch-Rolle in Ihrem Konto an. Legen Sie für --operations die Option CreateGrant fest.

aws kms create-grant \
    --key-id arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab \
    --grantee-principal arn:aws:iam::111122223333:role/AWSServiceRoleForEC2FastLaunch \
    --operations CreateGrant

Bearbeiten einer serviceverknüpften Rolle

Amazon EC2 verhindert die Bearbeitung der serviceverknüpften Rolle AWSServiceRoleForEC2FastLaunch. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach der Erstellung einer serviceverknüpften Rolle nicht bearbeitet werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter Bearbeiten einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.

Löschen Sie eine serviceverknüpfte Rolle

Sie können eine serviceverknüpfte Rolle nur löschen, nachdem Sie alle zugehörigen Ressourcen gelöscht haben. Das schützt die Amazon-EC2-Ressourcen, die mit Ihrem Windows-Server-AMI von Amazon EC2 mit aktiviertem EC2-Schnellstart verknüpft sind, da Sie die Zugriffsberechtigung für die Ressourcen nicht versehentlich entfernen können.

Verwenden Sie die IAM-Konsole, die AWS CLI oder die AWS-API, um die serviceverknüpfte Rolle AWSServiceRoleForEC2FastLaunch zu löschen. Weitere Informationen finden Sie unter Löschen einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.

Unterstützte Regionen

Amazon EC2 unterstützt die serviceverknüpfte Rolle von EC2-Schnellstart in allen Regionen, in denen der Amazon-EC2-Service verfügbar ist.