Serviceverknüpfte Rollen für Amazon EC2 Auto Scaling - Amazon EC2 Auto Scaling
-ÜbersichtVon der serviceverknüpften Rolle erteilte BerechtigungenUnterstützte Regionen für Amazon EC2 Auto Scaling serviceverknüpfte RollenEine serviceverknüpfte Rolle erstellen, bearbeiten und löschen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Serviceverknüpfte Rollen für Amazon EC2 Auto Scaling

Amazon EC2 Auto Scaling nutzt serviceverknüpfte Rollen für die Berechtigungen, die für den Aufruf anderer AWS-Services -Services in Ihrem Namen benötigt werden. Eine serviceverknüpfte Rolle ist eine einzigartige Art von IAM-Rolle, die direkt mit einer verknüpft ist. AWS-Service

Serviceverknüpfte Rollen bieten eine sichere Möglichkeit, um Berechtigungen zu AWS-Services -Services zu delegieren, da nur der verknüpfte Service eine serviceverknüpfte Rolle annehmen kann. Weitere Informationen finden Sie im IAM-Benutzerhandbuch unter Erstellen einer serviceverknüpften Rolle. Serviceverknüpfte Rollen ermöglichen außerdem, dass alle API-Aufrufe sichtbar sind. AWS CloudTrail Das hilft bei Überwachungs- und Prüfungsanforderungen, da Sie alle in Ihrem Namen von Amazon EC2 Auto Scaling ausgeführten Aktionen nachverfolgen können. Weitere Informationen finden Sie unter Protokollieren Sie Amazon EC2 Auto Scaling API-Aufrufe mit AWS CloudTrail.

In den folgenden Abschnitten wird die Erstellung und Verwaltung von serviceverknüpften Amazon EC2 Auto Scaling-Rollen beschrieben. Beginnen Sie mit dem Konfigurieren von Berechtigungen, damit eine IAM-Identität (z. B. ein Benutzer oder eine Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann.

-Übersicht

Es gibt zwei Typen von serviceverknüpften Amazon EC2 Auto Scaling-Rollen:

  • Die standardmäßige serviceverknüpfte Rolle für Ihr Konto, mit dem Namen AWSServiceRoleForAutoScaling. Diese Rolle wird automatisch Ihren Auto Scaling-Gruppen zugewiesen, es sei denn, Sie geben eine andere serviceverknüpfte Rolle an.

  • Eine serviceverknüpfte Rolle mit einem benutzerdefinierten Suffix, das Sie beim Erstellen der Rolle angeben, z. B. AWSServiceRoleForAutoScaling_mysuffix.

Eine serviceverknüpfte Rolle mit benutzerdefiniertem Suffix hat dieselben Berechtigungen wie die standardmäßige serviceverknüpfte Rolle. In beiden Fällen können Sie die Rollen nicht bearbeiten und auch nicht löschen, wenn sie noch von einer Auto Scaling-Gruppe verwendet werden. Der einzige Unterschied ist das Suffix des Rollennamens.

Sie können beide Rollen angeben, wenn Sie Ihre AWS Key Management Service Schlüsselrichtlinien bearbeiten, sodass Instances, die von Amazon EC2 Auto Scaling gestartet werden, mit Ihrem vom Kunden verwalteten Schlüssel verschlüsselt werden können. Wenn Sie jedoch vorhaben, einem bestimmten kundenverwalteten Schlüssel individuell Zugriff zu gewähren, sollten Sie eine serviceverknüpfte Rolle mit benutzerdefiniertem Suffix verwenden. Eine serviceverknüpfte Rolle mit benutzerdefiniertem Suffix bietet Ihnen:

  • Mehr Kontrolle über den kundenverwalteten Schlüssel

  • Die Möglichkeit, in Ihren CloudTrail Protokollen nachzuverfolgen, welche Auto Scaling Scaling-Gruppe einen API-Aufruf getätigt hat

Wenn Sie kundenverwaltete Schlüssel erstellen, auf die nicht alle Benutzer Zugriff haben sollen, führen Sie diese Schritte aus, um die Verwendung einer serviceverknüpften Rolle mit benutzerdefiniertem Suffix zuzulassen:

  1. Erstellen Sie eine serviceverknüpfte Rolle mit einem benutzerdefinierten Suffix. Weitere Informationen finden Sie unter Erstellen einer serviceverknüpften Rolle (manuell).

  2. Erteilen Sie der serviceverknüpften Rolle Zugriff auf einen kundenverwalteten Schlüssel. Weitere Informationen über die Schlüsselrichtlinie, die zulässt, dass der Schlüssel von einer serviceverknüpften Rolle verwendet wird, finden Sie unter Erforderliche AWS KMS Schlüsselrichtlinie für die Verwendung mit verschlüsselten Volumes.

  3. Geben Sie Benutzern Zugriff auf die von Ihnen erstellte serviceverknüpfte Rolle. Weitere Informationen zum Erstellen der IAM-Richtlinie finden Sie unter Steuern Sie, welche serviceverknüpfte Rolle übergeben werden kann (mit) PassRole. Wenn Benutzer versuchen, eine serviceverknüpfte Rolle ohne Berechtigung anzugeben, diese Rolle an den Service weiterzugeben, wird eine Fehlermeldung angezeigt.

Von der serviceverknüpften Rolle erteilte Berechtigungen

Amazon EC2 Auto Scaling verwendet die benannte serviceverknüpfte Rolle AWSServiceRoleForAutoScaling oder Ihr benutzerdefiniertes Suffix für serviceverknüpfte Rolle.

Die serviceverknüpfte Rolle vertraut darauf, dass der folgende Service die Rolle annimmt:

  • autoscaling.amazonaws.com

Die Rollenberechtigungsrichtlinie, AutoScalingServiceRolePolicy, ermöglicht Amazon EC2 Auto Scaling, die folgenden Aktionen durchzuführen:

  • ec2— EC2-Instances erstellen, beschreiben, ändern, starten/stoppen und beenden.

  • iamÜbergeben Sie IAM-Rollen an EC2-Instances, sodass Anwendungen, die auf den Instances ausgeführt werden, auf temporäre Anmeldeinformationen für die Rolle zugreifen können.

  • iam— Erstellen Sie die mit dem AWSServiceRoleForEC2Spot-Dienst verknüpfte Rolle, damit Amazon EC2 Auto Scaling Spot-Instances in Ihrem Namen starten kann.

  • elasticloadbalancing— Registrieren und deregistrieren Sie Instances mit Elastic Load Balancing und überprüfen Sie den Zustand registrierter Ziele.

  • cloudwatch— Erstellen, beschreiben, ändern und löschen Sie CloudWatch Alarme für Skalierungsrichtlinien und rufen Sie Metriken ab, die für die prädiktive Skalierung verwendet werden.

  • sns— Veröffentlichen Sie Benachrichtigungen auf Amazon SNS, wenn Instances gestartet oder beendet werden.

  • events— EventBridge Regeln in Ihrem Namen erstellen, beschreiben, aktualisieren und löschen.

  • ssm— Liest Parameter aus dem Parameterspeicher, wenn Sie einen Systems Manager Manager-Parameter als Alias für eine AMI-ID in einer Startvorlage verwenden.

  • vpc-lattice— Registrieren und deregistrieren Sie Instances bei VPC Lattice und überprüfen Sie den Zustand der registrierten Ziele.

  • resource-groups— Ruft alle Ressourcennamen (ARNs) der Ressourcen ab, die Mitglieder einer angegebenen Ressourcengruppe sind.

Unterstützte Regionen für Amazon EC2 Auto Scaling serviceverknüpfte Rollen

Amazon EC2 Auto Scaling unterstützt die Verwendung von serviceverknüpften Rollen überall AWS-Regionen dort, wo der Service verfügbar ist.

Eine serviceverknüpfte Rolle erstellen, bearbeiten und löschen

Erstellen einer serviceverknüpften Rolle (automatisch)

Amazon EC2 Auto Scaling erstellt die serviceverknüpfte Rolle AWSServiceRoleForAutoScaling für Sie, wenn Sie das erste Mal eine Auto Scaling-Gruppe erstellen, es sei denn, Sie erstellen manuell eine serviceverknüpfte Rolle mit benutzerdefiniertem Suffix und geben diese beim Erstellen der Gruppe an.

Sie müssen über IAM-Berechtigungen zum Erstellen der serviceverknüpften Rolle verfügen. Andernfalls schlägt das automatische Erstellen fehl. Weitere Informationen finden Sie unter Berechtigungen von serviceverknüpften Rollen im IAM-Benutzerhandbuch und unter Erstellen einer serviceverknüpften Rolle in diesem Handbuch.

Erstellen einer serviceverknüpften Rolle (manuell)

So erstellen Sie eine serviceverknüpfte Rolle (Konsole)

  1. Öffnen Sie unter https://console.aws.amazon.com/iam/ die IAM-Konsole.

  2. Wählen Sie im Navigationsbereich Roles (Rollen) und Create Role (Rolle erstellen) aus.

  3. Wählen Sie für Select trusted entity (Vertrauenswürdige Entität auswählen) die Option AWS -Dienst.

  4. Wählen Sie bei Choose the service that will use this role (Service auswählen, der diese Rolle verwendet) die Option EC2 Auto Scaling und den Anwendungsfall EC2 Auto Scaling aus.

  5. Wählen Sie Next: Permissions (Nächster Schritt: Berechtigungen), Next: Tags (Nächster Schritt: Tags) und dann Next: Review (Nächster Schritt: Prüfen) aus. Hinweis: Während der Erstellung können keine Tags an serviceverknüpfte Rollen angefügt werden.

  6. Lassen Sie auf der Seite „Überprüfen“ das Feld Rollenname leer, um eine dienstbezogene Rolle mit dem Namen zu erstellen AWSServiceRoleForAutoScaling, oder geben Sie ein Suffix ein, um eine dienstbezogene Rolle mit dem Namen _ zu erstellen. AWSServiceRoleForAutoScaling suffix

  7. (Optional:) Bearbeiten Sie in Role description (Rollenbeschreibung) die Beschreibung für die neue serviceverknüpfte Rolle.

  8. Wählen Sie Rolle erstellen aus.

So erstellen Sie eine serviceverknüpfte Rolle (AWS CLI)

Verwenden Sie den folgenden create-service-linked-roleCLI-Befehl, um eine serviceverknüpfte Rolle für Amazon EC2 Auto Scaling mit dem Namen AWSServiceRoleForAutoScaling _ zu erstellen. suffix 

aws iam create-service-linked-role --aws-service-name autoscaling.amazonaws.com --custom-suffix suffix

Die Ausgabe dieses Befehls umfasst den ARN der serviceverknüpften Rolle, den Sie verwenden können, um der serviceverknüpften Rolle Zugriff auf Ihren vom Kunden verwalteten Schlüssel zu erteilen. 

{
    "Role": {
        "RoleId": "ABCDEF0123456789ABCDEF",
        "CreateDate": "2018-08-30T21:59:18Z",
        "RoleName": "AWSServiceRoleForAutoScaling_suffix",
        "Arn": "arn:aws:iam::123456789012:role/aws-service-role/autoscaling.amazonaws.com/AWSServiceRoleForAutoScaling_suffix",
        "Path": "/aws-service-role/autoscaling.amazonaws.com/",
        "AssumeRolePolicyDocument": {
            "Version": "2012-10-17",		 	 	 
            "Statement": [
                {
                    "Action": [
                        "sts:AssumeRole"
                    ],
                    "Principal": {
                        "Service": [
                            "autoscaling.amazonaws.com"
                        ]
                    },
                    "Effect": "Allow"
                }
            ]
        }
    }
}

Weitere Informationen finden Sie unter Erstellen einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.

Bearbeiten der serviceverknüpften Rolle

Die für Amazon EC2 Auto Scaling erstellten serviceverknüpften Rollen können nicht bearbeitet werden. Nach dem Erstellen einer serviceverknüpften Rolle können Sie weder den Namen der Rolle noch ihre Berechtigungen ändern. Sie können jedoch die Beschreibung der Rolle bearbeiten. Weitere Informationen finden Sie unter Bearbeiten einer serviceverknüpften Rollenbeschreibung im IAM-Benutzerhandbuch.

Löschen der serviceverknüpften Rolle

Wenn Sie eine Auto Scaling-Gruppe nicht verwenden, empfehlen wir, deren serviceverknüpfte Rolle zu löschen. Das Löschen der Rolle verhindert, dass Sie eine Entität haben, die nicht verwendet oder aktiv überwacht und verwaltet wird.

Sie können eine serviceverknüpfte Rolle erst löschen, nachdem die zugehörigen abhängigen Ressourcen gelöscht wurden. Dies schützt Sie vor der versehentlichen Aufkündigung von Amazon EC2 Auto Scaling-Berechtigungen für Ihre Ressourcen. Wenn eine serviceverknüpfte Rolle mit mehreren Auto Scaling-Gruppen verwendet wird, müssen Sie zunächst alle Auto Scaling-Gruppen, welche die serviceverknüpfte Rolle verwenden, löschen, bevor Sie sie löschen können. Weitere Informationen finden Sie unter Löschen der Auto-Scaling-Infrastruktur.

Sie können IAM zum Löschen der serviceverknüpften Rolle verwenden. Weitere Informationen finden Sie unter Löschen einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.

Falls Sie die serviceverknüpfte Rolle AWSServiceRoleForAutoScaling gelöscht haben, erstellt Amazon EC2 Auto Scaling die Rolle wieder, wenn Sie eine Auto Scaling-Gruppe erstellen und keine andere serviceverknüpfte Rolle angeben.