Ruoli collegati ai servizi per Dimensionamento automatico Amazon EC2 - Amazon EC2 Auto Scaling
Panoramica di Autorizzazioni concesse dal ruolo collegato ai serviziRegioni supportate per i ruoli collegati ai servizi di Dimensionamento automatico Amazon EC2Crea, modifica ed elimina un ruolo collegato al servizio

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Ruoli collegati ai servizi per Dimensionamento automatico Amazon EC2

Dimensionamento automatico Amazon EC2 utilizza ruoli collegati ai servizi per le autorizzazioni di cui ha bisogno per eseguire chiamate ad altri Servizi AWS per tuo conto. Un ruolo collegato ai servizi è un tipo unico di ruolo IAM collegato direttamente a un. Servizio AWS

I ruoli collegati ai servizi offrono un modo sicuro per concedere autorizzazioni ad altri Servizi AWS , in quanto solo il servizio associato può assumere un ruolo collegato al servizio. Per ulteriori informazioni, consulta Creare un ruolo collegato ai servizi nella Guida per l'utente IAM. I ruoli collegati ai servizi consentono inoltre di rendere visibili tutte le chiamate API. AWS CloudTrail In questo modo, il monitoraggio e i requisiti di controllo sono più semplici perché è possibile tenere traccia di tutte le operazioni che Dimensionamento automatico Amazon EC2 esegue per te. Per ulteriori informazioni, consulta Registra le chiamate API di Amazon EC2 Auto Scaling con AWS CloudTrail.

Le seguenti sezioni descrivono come creare e gestire i ruoli legati al servizio Dimensionamento automatico Amazon EC2. Per iniziare, configura le autorizzazioni per consentire a un'identità IAM (ad esempio un utente o un ruolo) di creare, modificare o eliminare un ruolo collegato ai servizi.

Panoramica di

Esistono due tipi di ruoli collegati ai servizi di Dimensionamento automatico Amazon EC2 :

  • Il servizio di default collegato per il tuo account, denominato AWSServiceRoleForAutoScaling. Questo ruolo viene automaticamente assegnato ai tuoi gruppi Auto Scaling, a meno che non specifichi un diverso ruolo collegato ai servizi.

  • Un ruolo collegato ai servizi con un suffisso personalizzato che specifichi quando crei il ruolo, per esempio, AWSServiceRoleForAutoScaling_mysuffix.

Le autorizzazioni di un ruolo collegato al servizio con un suffisso personalizzato sono identiche a quelle del ruolo collegato al servizio predefinito. In entrambi i casi, non è possibile modificare i ruoli o eliminarli se sono ancora in uso da parte di un gruppo con dimensionamento automatico. L'unica differenza è il suffisso del nome del ruolo.

Puoi specificare entrambi i ruoli quando modifichi le politiche AWS Key Management Service chiave per consentire la crittografia delle istanze lanciate da Amazon EC2 Auto Scaling con la tua chiave gestita dal cliente. Tuttavia, se prevedi di fornire l'accesso granulare a una determinata chiave gestita dal cliente, ti consigliamo di utilizzare un ruolo collegato a un servizio con suffisso personalizzato. L'utilizzo di un ruolo collegato a un servizio con suffisso personalizzato offre:

  • Un maggiore controllo sulla chiave gestita dal cliente

  • La capacità di tracciare quale gruppo di Auto Scaling ha effettuato una chiamata API nei tuoi log CloudTrail

Se crei chiavi gestite dai clienti a cui non tutti gli utenti devono avere accesso, segui questi passaggi per permettere l'uso di un ruolo collegato al servizio con suffisso personalizzato:

  1. Creazione di un ruolo collegato al servizio con un suffisso personalizzato. Per ulteriori informazioni, consulta Creazione di un ruolo collegato ai servizi (manuale).

  2. Assegnazione al ruolo collegato al servizio l'accesso a una chiave gestita dal cliente. Per ulteriori informazioni sulla policy chiave che permette alla chiave di essere utilizzata da un ruolo collegato al servizio, vedi Policy AWS KMS chiave richiesta per l'uso con volumi crittografati.

  3. Concedere agli utenti l'accesso al ruolo collegato al servizio creato. Per ulteriori informazioni sulla creazione di policy IAM, consulta Controlla quale ruolo collegato al servizio può essere passato (utilizzando) PassRole. Se gli utenti provano a specificare un ruolo collegato al servizio senza l'autorizzazione necessaria per passare tale ruolo al servizio, riceveranno un messaggio d'errore.

Autorizzazioni concesse dal ruolo collegato ai servizi

Amazon EC2 Auto Scaling utilizza il ruolo collegato al servizio AWSServiceRoleForAutoScaling denominato o il tuo ruolo collegato al servizio con suffisso personalizzato.

Ai fini dell’assunzione del ruolo, il ruolo collegato ai servizi considera attendibile il seguente servizio:

  • autoscaling.amazonaws.com

La politica di autorizzazione dei ruoli consente AutoScalingServiceRolePolicyad Amazon EC2 Auto Scaling di completare le seguenti azioni:

  • ec2— Crea, descrivi, modifica, avvia/interrompi e termina le istanze EC2.

  • iamPassa i ruoli IAM alle istanze EC2 in modo che le applicazioni in esecuzione sulle istanze possano accedere alle credenziali temporanee per il ruolo.

  • iam— Crea il ruolo collegato al servizio AWSServiceRoleForEC2Spot per consentire ad Amazon EC2 Auto Scaling di avviare istanze Spot per tuo conto.

  • elasticloadbalancing— Registra e annulla la registrazione delle istanze con Elastic Load Balancing e verifica lo stato dei target registrati.

  • cloudwatch— Crea, descrivi, modifica ed elimina CloudWatch allarmi per le politiche di scalabilità e recupera le metriche utilizzate per la scalabilità predittiva.

  • sns— Pubblica notifiche su Amazon SNS all'avvio o alla chiusura delle istanze.

  • events— Crea, descrivi, aggiorna ed elimina EventBridge regole per tuo conto.

  • ssm— Leggi i parametri da Parameter Store quando usi un parametro Systems Manager come alias per un ID AMI in un modello di avvio.

  • vpc-lattice— Registra e annulla la registrazione delle istanze con VPC Lattice e controlla lo stato dei target registrati.

  • resource-groups— Ottiene tutti i nomi di risorse (ARNs) delle risorse che sono membri di un gruppo di risorse specificato.

Regioni supportate per i ruoli collegati ai servizi di Dimensionamento automatico Amazon EC2

Amazon EC2 Auto Scaling supporta l'utilizzo di ruoli collegati al servizio in tutti i luoghi in cui Regioni AWS il servizio è disponibile.

Crea, modifica ed elimina un ruolo collegato al servizio

Creazione di un ruolo collegato ai servizi (automatico)

Dimensionamento automatico Amazon EC2 crea il ruolo collegato al servizio AWSServiceRoleForAutoScalingla prima volta che viene creato il gruppo con scalabilità automatica, a meno che tu non crei manualmente un ruolo collegato al servizio con suffisso personalizzato e lo specifichi al momento della creazione del gruppo.

Per creare il ruolo collegato ai servizi, devi disporre delle autorizzazioni IAM. In caso contrario, la creazione automatica non va a buon fine. Per ulteriori informazioni, consulta Autorizzazioni del ruolo collegato ai servizi nella Guida per l'utente di IAM o le informazioni sulle Crea un ruolo collegato al servizio in questa guida.

Creazione di un ruolo collegato ai servizi (manuale)

Come creare un ruolo collegato ai servizi (console)

  1. Aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel pannello di navigazione seleziona Ruoli, quindi Crea ruolo.

  3. In Seleziona tipo di entità attendibile, scegli Servizio AWS .

  4. Per Choose the service that will use this role (Scegli il servizio che utilizzerà questo ruolo), scegli il caso d'uso EC2 Auto Scaling ed EC2 Auto Scaling .

  5. Scegli Next: Permissions (Successivo: autorizzazioni), Next: Tags (Successivo: tag), quindi Next: Review (Successivo: verifica). Nota: non è possibile allegare tag ai ruoli collegati ai servizi durante la creazione.

  6. Nella pagina Revisione, lascia vuoto il campo Nome ruolo per creare un ruolo collegato al servizio con il nome AWSServiceRoleForAutoScalingoppure inserisci un suffisso per creare un ruolo collegato al servizio con il nome _. AWSServiceRoleForAutoScaling suffix

  7. (Facoltativo) In Role description (Descrizione ruolo) modifica la descrizione per il ruolo collegato ai servizi.

  8. Scegli Create role (Crea ruolo).

Come creare un ruolo collegato ai servizi (AWS CLI)

Utilizza il seguente comando create-service-linked-roleCLI per creare un ruolo collegato ai servizi per Amazon EC2 Auto Scaling con il nome _. AWSServiceRoleForAutoScaling suffix 

aws iam create-service-linked-role --aws-service-name autoscaling.amazonaws.com --custom-suffix suffix

L'output di questo comando include l'ARN del ruolo collegato ai servizi, che puoi utilizzare per concedere a tale ruolo l'accesso alla chiave gestita dal cliente. 

{
    "Role": {
        "RoleId": "ABCDEF0123456789ABCDEF",
        "CreateDate": "2018-08-30T21:59:18Z",
        "RoleName": "AWSServiceRoleForAutoScaling_suffix",
        "Arn": "arn:aws:iam::123456789012:role/aws-service-role/autoscaling.amazonaws.com/AWSServiceRoleForAutoScaling_suffix",
        "Path": "/aws-service-role/autoscaling.amazonaws.com/",
        "AssumeRolePolicyDocument": {
            "Version": "2012-10-17",		 	 	 
            "Statement": [
                {
                    "Action": [
                        "sts:AssumeRole"
                    ],
                    "Principal": {
                        "Service": [
                            "autoscaling.amazonaws.com"
                        ]
                    },
                    "Effect": "Allow"
                }
            ]
        }
    }
}

Per ulteriori informazioni, consulta Creare un ruolo collegato ai servizi nella Guida per l'utente IAM.

Modifica del ruolo collegato ai servizi

Non è possibile modificare i ruoli collegati ai servizi che vengono creati per Dimensionamento automatico Amazon EC2. Dopo aver creato un ruolo collegato ai servizi, non è possibile modificare il nome del ruolo o delle sue autorizzazioni. Tuttavia, puoi modificare la descrizione del ruolo. Per ulteriori informazioni, consulta Edit a service-linked role description nella Guida per l’utente IAM.

Eliminazione del ruolo collegato ai servizi

Se stai utilizzando un gruppo con dimensionamento automatico, ti suggeriamo di eliminare il ruolo collegato al servizio. L'eliminazione del ruolo impedisce di avere un'entità che non viene utilizzata o monitorata e gestita attivamente.

È possibile eliminare un ruolo collegato ai servizi solo dopo aver eliminato le risorse correlate. Questo di protegge dalla possibilità di revocare inavvertitamente le autorizzazioni Dimensionamento automatico Amazon EC2 per le risorse. Se un ruolo collegato ai servizi viene utilizzato con più gruppi Auto Scaling, è necessario eliminare tutti quelli che utilizzano il ruolo collegato ai servizi, prima di poterlo eliminare. Per ulteriori informazioni, consulta Eliminazione dell'infrastruttura Auto Scaling.

Per eliminare il ruolo collegato ai servizi, puoi utilizzare l'IAM. Per ulteriori dettagli, consulta Delete a service-linked role nella Guida per l’utente IAM.

Se quando crei un gruppo con scalabilità automatica elimini il ruolo collegato ai servizi AWSServiceRoleForAutoScalinge non ne specifichi uno diverso, Dimensionamento automatico Amazon EC2 creerà nuovamente il ruolo.