Autorizzazioni del ruolo Creare un ruolo collegato al servizio Accesso alle chiavi gestite dal cliente Modifica di un ruolo collegato al servizio Eliminazione di un ruolo collegato al servizio Regioni supportate

Ruolo collegato ai servizi per EC2 Fast Launch.

Amazon EC2 utilizza ruoli collegati ai servizi per le autorizzazioni di cui ha bisogno per eseguire chiamate ad altri Servizi AWS per tuo conto. Un ruolo collegato al servizio è un tipo di ruolo IAM univoco collegato direttamente a un Servizio AWS. I ruoli collegati ai servizi offrono un modo sicuro per concedere autorizzazioni ai Servizi AWS, in quanto solo il servizio associato può assumere un ruolo collegato al servizio. Per ulteriori informazioni sull’utilizzo dei ruoli IAM da parte di Amazon EC2, consultare Ruoli IAM per Amazon EC2.

Amazon EC2 utilizza il ruolo collegato ai servizi denominato AWSServiceRoleForEC2FastLaunch per creare e gestire una serie di snapshot pre-provisioning che riducono il tempo necessario all’avvio delle istanze dall’AMI di Windows.

Autorizzazioni concesse da AWSServiceRoleForEC2FastLaunch

Ai fini dell’assunzione del ruolo, il ruolo collegato ai servizi AWSServiceRoleForEC2FastLaunch considera attendibile il seguente servizio:

ec2fastlaunch.amazonaws.com

Amazon EC2 utilizza la policy gestita EC2FastLaunchServiceRolePolicy per completare le operazioni seguenti:

AWS CloudFormation: Consenti a EC2 Fast Launch di ottenere una descrizione degli stack CloudFormation associati.
Amazon CloudWatch: pubblica i dati delle metriche associati a EC2 Fast Launch nel namespace Amazon EC2.
Amazon EC2: viene concesso l’accesso a EC2 Fast Launch per eseguire le seguenti operazioni:
- Avvia istanze da un’AMI Windows Server Amazon EC2 con EC2 Fast Launch abilitato, per eseguire i passaggi di provisioning. Specifica inoltre un modello di risorse che consenta ec2:RunInstances per un’AMI associata a License Manager.
- Arresta e termina un’istanza lanciata da EC2 Fast Launch dopo che questa ha creato lo snapshot con pre-provisioning.
- Descrivi le risorse di immagine e di tipo di istanza utilizzate per avviare istanze da un’AMI Windows Server Amazon EC2 con EC2 Fast Launch abilitato e creare snapshot da esse.
- Descrivi le risorse del modello di avvio e avvia le istanze da un modello di avvio.
- Descrivi le istanze, gli attributi dell’istanza e lo stato dell’istanza, i volumi e gli attributi del volume.
- Descrivi le interfacce di rete.
- Elimina le risorse create da EC2 Fast Launch, tra cui snapshot, modelli di avvio, volumi e interfacce di rete.
- Contrassegna le risorse create da EC2 Fast Launch per avviare ed effettuare il pre-provisioning delle istanze Windows, e creare snapshot da utilizzare durante il processo di avvio finale.
Amazon EventBridge: include l’accesso per creare regole di eventi EventBridge e recuperare dettagli sulle regole create o eliminarle. EC2 Fast Launch può anche ottenere un elenco di servizi di destinazione che ricevono eventi EC2 Fast Launch inoltrati in base alle regole degli eventi e aggiungere o rimuovere servizi di destinazione dalle regole degli eventi creati.
IAM: consenti a EC2 Fast Launch di creare il ruolo collegato al servizio EC2FastLaunchServiceRolePolicy, di ottenere e utilizzare i profili dell’istanza il cui nome contiene ec2fastlaunch, e di avviare istanze per tuo conto utilizzando il profilo dell’istanza dal modello di avvio.
AWS KMS: include l’accesso per creare sovvenzioni ed elencare quelle create da EC2 Fast Launch che possono essere ritirate. Inoltre, per descrivere o utilizzare le chiavi allo scopo di crittografare o decriptare i volumi collegati alle istanze create da EC2 Fast Launch e per generare chiavi di dati che non siano testo normale.

Per vedere le autorizzazioni per questa policy, consulta EC2FastLaunchServiceRolePolicy nella Guida di riferimento sulle policy gestite da AWS.

Per ulteriori informazioni sulle policy gestite in Amazon EC2, consultare AWS politiche gestite per Amazon EC2.

Creare un ruolo collegato al servizio

Non è necessario creare manualmente questo ruolo collegato ai servizi. Quando inizi a utilizzare EC2 Fast Launch per l’AMI, Amazon EC2 crea automaticamente il ruolo collegato ai servizi, se non esiste ancora.

Se il ruolo collegato ai servizi viene eliminato dall’account, puoi abilitare EC2 Fast Launch per un’altra AMI Windows per ricreare il ruolo nell’account. In alternativa, puoi disabilitare EC2 Fast Launch per l’AMI corrente e quindi abilitarla nuovamente. Tuttavia, la disabilitazione della funzionalità comporta l’AMI del processo di avvio standard per tutte le nuove istanze mentre Amazon EC2 rimuove tutti gli snapshot con pre-provisioning. Dopo che tutti gli snapshot con pre-provisioning sono stati rimossi, puoi abilitare nuovamente EC2 Fast Launch per l’AMI.

Accesso alle chiavi gestite dal cliente

Per abilitare EC2 Fast Launch per un’AMI crittografata che utilizza una chiave gestita dal cliente per la crittografia, devi concedere l’autorizzazione al ruolo AWSServiceRoleForEC2FastLaunch per utilizzare la CMK. Per effettuare questa operazione, chiama il comando create-grant. Per --grantee-principal, specifica l’ARN per il ruolo AWSServiceRoleForEC2FastLaunch nel tuo account. Per --operations, specificare CreateGrant.


aws kms create-grant \
    --key-id arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab \
    --grantee-principal arn:aws:iam::111122223333:role/AWSServiceRoleForEC2FastLaunch \
    --operations CreateGrant

Modifica di un ruolo collegato al servizio

Amazon EC2 non consente di modificare il ruolo collegato ai servizi AWSServiceRoleForEC2FastLaunch. Dopo aver creato un ruolo collegato ai servizi, non è possibile modificarne il nome, perché varie entità possono farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta Modifica di un ruolo collegato ai servizi nella Guida per l’utente di IAM.

Eliminazione di un ruolo collegato al servizio

È possibile eliminare un ruolo collegato ai servizi solo dopo avere eliminato le risorse correlate. In tal modo, vengono protette le risorse Amazon EC2 associate alla tua AMI Windows Server Amazon EC2 con EC2 Fast Launch abilitato, in quanto impedisce la rimozione involontaria delle autorizzazioni di accesso alle risorse.

Utilizza la console IAM, la AWS CLI o l’API AWS per eliminare il ruolo collegato al servizio AWSServiceRoleForEC2FastLaunch. Per ulteriori dettagli, consulta Delete a service-linked role nella Guida per l’utente IAM.

Regioni supportate

Amazon EC2 supporta EC2 Fast Launch per il ruolo collegato ai servizi in tutte le regioni in cui è disponibile il servizio Amazon EC2.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Monitora EC2 Fast Launch

Risolvi i problemi relativi a EC2 Fast Launch