View a markdown version of this page

Service-linked ruolo per le richieste di istanze Spot - Amazon Elastic Compute Cloud

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Service-linked ruolo per le richieste di istanze Spot

Amazon EC2 utilizza ruoli collegati ai servizi per le autorizzazioni di cui ha bisogno per eseguire chiamate ad altri servizi AWS per tuo conto. Un ruolo collegato ai servizi è un tipo unico di ruolo IAM collegato direttamente a un. Servizio AWS Service-linked i ruoli forniscono un modo sicuro per delegare le autorizzazioni Servizi AWS perché solo il servizio collegato può assumere un ruolo collegato al servizio. Per ulteriori informazioni, consulta Service-linkedi ruoli nella Guida per l'utente IAM.

Amazon EC2 utilizza il ruolo collegato al servizio denominato AWSServiceRoleForEC2Spotper avviare e gestire le istanze Spot per tuo conto.

Autorizzazioni concesse da AWSServiceRoleForEC2Spot

Amazon EC2 utilizza AWSServiceRoleForEC2Spotper completare le seguenti azioni:

  • ec2:DescribeInstances - Descrive le istanze spot

  • ec2:StopInstances - Arresta istanze spot

  • ec2:StartInstances - Avvia istanze spot

Creazione del ruolo collegato ai servizi

In gran parte dei casi, non è necessario creare manualmente un ruolo collegato ai servizi. Amazon EC2 crea il ruolo AWSServiceRoleForEC2Spotcollegato al servizio la prima volta che richiedi un'istanza Spot utilizzando la console.

Se hai ricevuto una richiesta di istanza Spot attiva prima di ottobre 2017, quando Amazon EC2 ha iniziato a supportare questo ruolo collegato al servizio, Amazon EC2 ha creato il ruolo nel tuo account. AWSServiceRoleForEC2Spot AWS Per ulteriori informazioni, consulta Visualizzazione di un nuovo ruolo nell'account nella Guida per l'utente di IAM.

Se utilizzi AWS CLI o un'API per richiedere un'istanza Spot, devi prima assicurarti che questo ruolo esista.

Per creare AWSServiceRoleForEC2Spot utilizzando la console
  1. Aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel pannello di navigazione, seleziona Roles (Ruoli).

  3. Selezionare Create role (Crea ruolo).

  4. Nella pagina Select type of trusted entity (Seleziona tipo di entità attendibile) selezionare EC2, EC2 - Spot Instances (EC2 – Istanze spot), quindi scegliere Next: Permissions (Successivo: Autorizzazioni).

  5. Nella pagina successiva, scegli Next:Review.

  6. Nella pagina Review (Revisione), scegliere Create Role (Crea ruolo).

Per creare AWSServiceRoleForEC2Spot utilizzando il AWS CLI

Utilizzare il comando create-service-linked-role come segue.

aws iam create-service-linked-role --aws-service-name spot.amazonaws.com

Se non hai più bisogno di utilizzare le istanze Spot, ti consigliamo di eliminare il AWSServiceRoleForEC2Spotruolo. Dopo che questo ruolo è stato eliminato dall'account, Amazon EC2 creerà di nuovo il ruolo se verranno richieste le Istanze spot.

Concessione dell’accesso alle chiavi gestite dal cliente per l’uso con le AMI crittografate e gli snapshot EBS

Se specifichi un'AMI crittografata o uno snapshot Amazon EBS crittografato per le tue istanze Spot e utilizzi una chiave gestita dal cliente per la crittografia, devi concedere al AWSServiceRoleForEC2Spotruolo l'autorizzazione a utilizzare la chiave gestita dal cliente in modo che Amazon EC2 possa avviare istanze Spot per tuo conto. Per farlo, occorre aggiungere una concessione alla chiave gestita dal cliente, come mostrato nella procedura seguente.

Nel processo di assegnazione delle autorizzazioni, le concessioni rappresentano un’alternativa alle policy delle chiavi. Per ulteriori informazioni, consulta Utilizzo delle concessioni e Utilizzo delle policy delle chiavi in AWS KMS nella Guida per gli sviluppatori di AWS Key Management Service .

Per concedere il AWSServiceRoleForEC2Spot autorizzazioni di ruolo per utilizzare la chiave gestita dal cliente
  • Utilizza il comando create-grant per aggiungere una concessione alla chiave gestita dal cliente e per specificare il principale (il ruolo AWSServiceRoleForEC2Spotcollegato al servizio) a cui è concessa l'autorizzazione per eseguire le operazioni consentite dalla concessione. La chiave gestita dal cliente è specificata dal parametro key-id e dall’ARN della chiave gestita dal cliente. Il principale è specificato dal grantee-principal parametro e dall'ARN del ruolo collegato al AWSServiceRoleForEC2Spotservizio.

    aws kms create-grant \ --region us-east-1 \ --key-id arn:aws:kms:us-east-1:444455556666:key/1234abcd-12ab-34cd-56ef-1234567890ab \ --grantee-principal arn:aws:iam::111122223333:role/aws-service-role/spot.amazonaws.com/AWSServiceRoleForEC2Spot \ --operations "Decrypt" "Encrypt" "GenerateDataKey" "GenerateDataKeyWithoutPlaintext" "CreateGrant" "DescribeKey" "ReEncryptFrom" "ReEncryptTo"