Rôle lié au service pour le lancement rapide d’EC2 - Amazon Elastic Compute Cloud
Autorisations du rôleCréer un rôle lié à un serviceAccès aux clés gérées par le clientModification d’un rôle lié à un serviceSupprimer un rôle lié à un serviceRégions prises en charge

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Rôle lié au service pour le lancement rapide d’EC2

Amazon EC2 utilise des rôles liés à un service pour les autorisations requises pour appeler d’autres Services AWS en votre nom. Un rôle lié à un service est un type unique de rôle IAM lié directement à un Service AWS. Les rôles liés à un service offrent une manière sécurisée d’accorder des autorisations aux Services AWS, car seul le service lié peut assumer un rôle lié à un service. Pour plus d’informations sur la façon dont Amazon EC2 utilise les rôles IAM, y compris les rôles liés à un service, consultez Rôles IAM pour Amazon EC2.

Amazon EC2 utilise le rôle lié à un service intitulé AWSServiceRoleForEC2FastLaunch pour créer et gérer un ensemble d’instantanés approvisionnés préalablement qui réduisent le temps nécessaire au lancement d’instances à partir de votre AMI Windows.

Autorisations octroyées par AWSServiceRoleForEC2FastLaunch

Le rôle lié à un service AWSServiceRoleForEC2FastLaunch approuve le fait que le service suivant endosse le rôle :

  • ec2fastlaunch.amazonaws.com

Amazon EC2 utilise la politique gérée EC2FastLaunchServiceRolePolicy pour réaliser les actions suivantes :

  • AWS CloudFormation : autoriser EC2 Fast Launch à obtenir une description des piles CloudFormation associées.

  • Amazon CloudWatch : publier les données métriques associées au lancement rapide d’EC2 dans l’espace de noms d’Amazon EC2.

  • Amazon EC2 : l’accès est accordé à EC2 Fast Launch pour effectuer les actions suivantes :

    • Lancer des instances à partir d’une AMI Windows Server Amazon EC2 avec EC2 Fast Launch activé afin d’effectuer les étapes d’allocation. Spécifier également le modèle de ressources ec2:RunInstances qui autorise une AMI associée à License Manager.

    • Arrêtez et résiliez une instance lancée par EC2 Fast Launch après avoir créé l’instantané préalloué.

    • Décrire les ressources d’image et de type d’instance utilisés pour lancer des instances à partir d’une AMI Windows Server Amazon EC2 avec EC2 Fast Launch activé et créer des instantanés à partir de celles-ci.

    • Décrire les ressources du modèle de lancement et lancer les instances à partir d’un modèle de lancement.

    • Décrire les instances, les attributs d’instance et le statut des instances, les volumes et les attributs de volume.

    • Décrire les interfaces réseau.

    • Supprimer les ressources créées par EC2 Fast Launch, notamment les instantanés, les modèles de lancement, les volumes et les interfaces réseau.

    • Étiqueter les ressources créées par EC2 Fast Launch pour lancer et préallouer les instances Windows, et créer des instantanés à utiliser lors du processus de lancement final.

  • Amazon EventBridge : inclut l’accès permettant de créer des règles d’événement EventBridge et de récupérer des informations sur les règles créées ou de les supprimer. EC2 Fast Launch peut également obtenir une liste des services cibles qui reçoivent des événements EC2 Fast Launch transférés en fonction des règles d’événements, et ajouter des services cibles ou les supprimer des règles d’événements qu’il a créées.

  • IAM : autorise EC2 Fast Launch à créer le rôle lié à un service EC2FastLaunchServiceRolePolicy, à obtenir et à utiliser les profils d’instance dont le nom contient ec2fastlaunch, et à lancer des instances en votre nom à l’aide du profil d’instance de votre modèle de lancement.

  • AWS KMS : inclut l’accès pour créer des octrois et répertorier les octrois créés par EC2 Fast Launch qui peuvent être mis hors service. Décrire ou utiliser des clés dans le but de procéder au chiffrement ou au déchiffrement des volumes attachés à des instances créées par EC2 Fast Launch, et générer des clés de données qui ne sont pas en texte brut.

Pour voir les autorisations de cette stratégie, consultez EC2FastLaunchServiceRolePolicy dans le AWS Guide de référence des stratégies gérées par.

Pour plus d’informations sur l’utilisation des politiques gérées avec Amazon EC2, consultez AWS politiques gérées pour Amazon EC2.

Créer un rôle lié à un service

Vous n’avez pas besoin de créer manuellement ce rôle lié à un service. Lorsque vous commencez à utiliser le lancement rapide d’EC2 pour votre AMI, Amazon EC2 crée le rôle lié à un service pour vous, s’il n’existe pas déjà.

Si le rôle lié à un service est supprimé de votre compte, vous pouvez activer le lancement rapide d’EC2 pour une autre AMI Windows afin de créer à nouveau le rôle dans votre compte. Vous pouvez également désactiver le lancement rapide d’EC2 pour votre AMI actuelle, puis l’activer à nouveau. Toutefois, lorsque la fonctionnalité est désactivée, votre AMI commence à utiliser le processus de lancement standard pour toutes les nouvelles instances, tandis qu’Amazon EC2 supprime tous vos instantanés pré-approvisionnés. Une fois que tous les instantanés pré-approvisionnés ont disparu, vous pouvez à nouveau activer l’utilisation du lancement rapide d’EC2 pour votre AMI.

Accès aux clés gérées par le client

Pour activer EC2 Fast Launch pour une AMI chiffrée qui utilise une clé gérée par le client pour le chiffrement, vous devez accorder au rôle AWSServiceRoleForEC2FastLaunch l’autorisation d’utiliser la CMK. Pour ce faire, appelez la commande create-grant. Pour --grantee-principal, spécifiez l’ARN du rôle AWSServiceRoleForEC2FastLaunch dans votre compte. Pour --operations, spécifiez CreateGrant.

aws kms create-grant \
    --key-id arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab \
    --grantee-principal arn:aws:iam::111122223333:role/AWSServiceRoleForEC2FastLaunch \
    --operations CreateGrant

Modification d’un rôle lié à un service

Amazon EC2 ne vous autorise pas à modifier le rôle lié à un service AWSServiceRoleForEC2FastLaunch. Une fois que vous avez créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence au rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d’informations, consultez Modification d’un rôle lié à un service dans le Guide de l’utilisateur IAM.

Supprimer un rôle lié à un service

Vous pouvez supprimer un rôle lié à un service uniquement après la suppression préalable de toutes les ressources connexes. Cela protège les ressources Amazon EC2 associées à votre AMI Amazon EC2 Windows Server pour laquelle le lancement rapide d’EC2 est activé, car vous ne pouvez pas supprimer par erreur l’autorisation d’accès à ces ressources.

Utilisez la console IAM, l’AWS CLI ou l’API AWS pour supprimer le rôle lié à un service AWSServiceRoleForEC2FastLaunch. Pour plus d’informations, consultez la section Suppression d’un rôle lié à un service dans le Guide de l’utilisateur IAM.

Régions prises en charge

Amazon EC2 prend en charge le rôle lié à un service de lancement rapide d’EC2 dans toutes les régions où le service Amazon EC2 est disponible.