Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Usa i modelli di avvio di Amazon EC2 per controllare l'avvio delle istanze Amazon EC2
È possibile controllare la configurazione delle istanze Amazon EC2 specificando che gli utenti possono avviare istanze solo se utilizzando un modello di avvio, e che possono usare solo un modello di avvio specifico. Puoi anche controllare chi può creare, modificare, descrivere ed eliminare i modelli di avvio e le versioni del modello di avvio.
Utilizzo dei modelli di avvio per controllare i parametri di avvio
Un modello di avvio può contenere tutti o alcuni dei parametri per configurare un'istanza al momento dell'avvio. Tuttavia, quando avvii un'istanza utilizzando un modello di avvio, puoi sostituire i parametri specificati nel modello di avvio. Oppure puoi specificare parametri aggiuntivi che non si trovano nel modello di avvio.
Nota
Non è possibile rimuovere i parametri del modello di avvio durante l'avvio (ad esempio, non è possibile specificare un valore nullo per il parametro). Per rimuovere un parametro, crea una nuova versione del modello di avvio senza il parametro e utilizza tale versione per avviare l'istanza.
Per avviare le istanze, gli utenti devono disporre dell'autorizzazione per utilizzare l'operazione ec2:RunInstances. Gli utenti devono anche disporre delle autorizzazioni per creare o utilizzare le risorse create o associate all'istanza. Puoi utilizzare le autorizzazioni a livello di risorsa per l'operazione ec2:RunInstances per controllare i parametri di avvio che gli utenti possono specificare. In alternativa, puoi concedere agli utenti le autorizzazioni per avviare un'istanza utilizzando un modello di avvio. Ciò consente di gestire i parametri di lancio in un modello di avvio anziché in una policy IAM e utilizzare un modello di avvio come veicolo di autorizzazione per l'avvio delle istanze. Ad esempio, è possibile specificare che gli utenti possono solo avviare istanze utilizzando un solo modello di avvio specifico. È anche possibile controllare i parametri di lancio che gli utenti possono sovrascrivere nel modello di avvio. Per esempi di policy, consulta Modelli di avvio.
Controllo dell'utilizzo dei modelli di avvio
Per impostazione predefinita, gli utenti non dispongono delle autorizzazioni per lavorare con i modelli di lancio. Puoi creare una policy dell'utente che concede agli utenti le autorizzazioni per creare, modificare, descrivere ed eliminare i modelli di avvio e le versioni del modello di avvio. È anche possibile applicare le autorizzazioni a livello di risorsa ad alcune operazioni del modello di avvio per controllare la capacità di un utente di utilizzare risorse specifiche per tali azioni. Per ulteriori informazioni, consulta le seguenti policy di esempio: Esempio: utilizzo dei modelli di avvio.
Fai attenzione quando concedi agli utenti le autorizzazioni per utilizzare le operazioni ec2:CreateLaunchTemplate e ec2:CreateLaunchTemplateVersion. Non è possibile utilizzare le autorizzazioni a livello di risorse per controllare le risorse che gli utenti possono specificare nel modello di avvio. Per limitare le risorse utilizzate per avviare un'istanza, assicurarsi di concedere le autorizzazioni per creare modelli di avvio e le versioni del modello di avvio solo agli amministratori appropriati.
Importanti problemi di sicurezza quando si utilizzano modelli di avvio con parchi istanze EC2 o serie di istanze spot
Per utilizzare i modelli di avvio, devi concedere agli utenti le autorizzazioni per creare, modificare, descrivere ed eliminare tali modelli e le relative versioni. Puoi controllare chi può creare modelli di avvio e versioni del modello di avvio controllando l'accesso alle operazioni ec2:CreateLaunchTemplate e ec2:CreateLaunchTemplateVersion. Puoi anche controllare chi può modificare i modelli di avvio controllando l'accesso all'operazione ec2:ModifyLaunchTemplate.
Importante
Se un parco istanze EC2 o una serie di istanze spot è configurata per utilizzare la versione più recente o predefinita del modello di avvio, il parco istanze non sa se la versione Più recente o Predefinita viene successivamente modificata per puntare a una versione del modello di avvio diversa. Quando viene utilizzata una versione diversa del modello di avvio per Più recente o Predefinita, Amazon EC2 non ricontrolla le autorizzazioni per le operazioni da completare quando si avviano nuove istanze per soddisfare la capacità prevista del parco istanze. Questa è una considerazione importante quando si concedono le autorizzazioni a chi può creare e gestire le versioni dei modelli di avvio, in particolare l'operazione ec2:ModifyLaunchTemplate che consente a un utente di modificare la versione predefinita del modello di avvio.
Concedendo a un utente l'autorizzazione a utilizzare le azioni EC2 per il modello di lancio APIs, all'utente viene effettivamente concessa l'iam:PassRoleautorizzazione anche se crea o aggiorna una flotta EC2 o una flotta Spot in modo che punti a una versione diversa del modello di lancio che contiene un profilo di istanza (un contenitore per un ruolo IAM). Significa che un utente può potenzialmente aggiornare un modello di avvio per passare un ruolo IAM a un'istanza anche se non dispone dell'autorizzazione iam:PassRole. Per ulteriori informazioni e per una policy IAM di esempio, consulta la sezione Utilizzo di un ruolo IAM per concedere autorizzazioni ad applicazioni in esecuzione su istanze di Amazon EC2 nella Guida per l'utente di IAM.
Per ulteriori informazioni, consultare Controllo dell'utilizzo dei modelli di avvio e Esempio: utilizzo dei modelli di avvio.
