Serviceverknüpfte Rolle für Spot-Instance-Anforderungen - Amazon Elastic Compute Cloud
Berechtigungen erteilt von AWSServiceRoleForEC2SpotErstellen der serviceverknüpften RolleGewähren Sie Zugriff auf vom Kunden verwaltete Schlüssel zur Verwendung mit verschlüsselten AMIs und EBS-Snapshots

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Serviceverknüpfte Rolle für Spot-Instance-Anforderungen

Amazon EC2 verwendet dienstbezogene Rollen für die Berechtigungen, die erforderlich sind, um andere AWS Dienste in Ihrem Namen aufzurufen. Eine serviceverknüpfte Rolle ist eine einzigartige Art von IAM-Rolle, die direkt mit einer verknüpft ist. AWS-Service Dienstbezogene Rollen bieten eine sichere Möglichkeit, Berechtigungen zu delegieren, AWS-Services da nur der verknüpfte Dienst eine dienstbezogene Rolle übernehmen kann. Weitere Informationen finden Sie unter Serviceverknüpfte Rollen im IAM-Benutzerhandbuch.

Amazon EC2 verwendet die servicebezogene Rolle namens AWSServiceRoleForEC2Spot, um Spot-Instances in Ihrem Namen zu starten und zu verwalten.

Berechtigungen erteilt von AWSServiceRoleForEC2Spot

Amazon EC2 verwendet AWSServiceRoleForEC2Spot, um die folgenden Aktionen durchzuführen:

  • ec2:DescribeInstances: Spot-Instances beschreiben

  • ec2:StopInstances: Spot-Instances stoppen

  • ec2:StartInstances: Spot-Instances starten

Erstellen der serviceverknüpften Rolle

Größtenteils müssen Sie die serviceverknüpfte Rolle nicht manuell erstellen. Amazon EC2 erstellt die mit dem AWSServiceRoleForEC2Spot-Dienst verknüpfte Rolle, wenn Sie zum ersten Mal eine Spot-Instance über die Konsole anfordern.

Wenn Sie vor Oktober 2017, als Amazon EC2 begann, diese servicebezogene Rolle zu unterstützen, eine aktive Spot-Instance-Anfrage hatten, EC2 hat Amazon die AWSServiceRoleForEC2Spot-Rolle in Ihrem AWS Konto erstellt. Weitere Informationen finden Sie unter In meinem Konto wird eine neue Rolle angezeigt im IAM-Benutzerhandbuch.

Wenn Sie die AWS CLI oder eine API verwenden, um eine Spot-Instance anzufordern, müssen Sie zunächst sicherstellen, dass diese Rolle existiert.

Um AWSServiceRoleForEC2Spot mit der Konsole zu erstellen

  1. Öffnen Sie unter https://console.aws.amazon.com/iam/ die IAM-Konsole.

  2. Wählen Sie im Navigationsbereich Rollen aus.

  3. Wählen Sie Rolle erstellen aus.

  4. Wählen Sie auf der Seite Typ der vertrauenswürdigen Entität auswählen EC2die Optionen EC2 - Spot-Instances und Weiter: Berechtigungen aus.

  5. Klicken Sie auf der nächsten Seite auf Next: Review (Nächster Schritt: Prüfen).

  6. Wählen Sie auf der Seite Review (Prüfen) Create role (Rolle erstellen) aus.

Um AWSServiceRoleForEC2Spot mit dem zu erstellen AWS CLI

Verwenden Sie den create-service-linked-role-Befehl wie folgt:

aws iam create-service-linked-role --aws-service-name spot.amazonaws.com

Wenn Sie Spot-Instances nicht mehr verwenden müssen, empfehlen wir Ihnen, die AWSServiceRoleForEC2Spot-Rolle zu löschen. Nachdem diese Rolle aus Ihrem Konto gelöscht wurde, erstellt Amazon EC2 die Rolle erneut, wenn Sie Spot-Instances anfordern.

Gewähren Sie Zugriff auf vom Kunden verwaltete Schlüssel zur Verwendung mit verschlüsselten AMIs und EBS-Snapshots

Wenn Sie ein verschlüsseltes AMI oder einen verschlüsselten Amazon EBS-Snapshot für Ihre Spot-Instances angeben und einen vom Kunden verwalteten Schlüssel für die Verschlüsselung verwenden, müssen Sie der AWSServiceRoleForEC2Spot-Rolle die Erlaubnis erteilen, den vom Kunden verwalteten Schlüssel zu verwenden, damit Amazon Spot-Instances in Ihrem Namen starten EC2 kann. Dazu müssen Sie dem vom Kunden verwalteten Schlüssel eine Erteilung hinzufügen, wie im Folgenden gezeigt:

Bei der Einrichtung von Berechtigungen ist die Erteilung von Berechtigung eine Alternative zu Schüsselrichtlinien. Weitere Informationen finden Sie unter Verwenden von Erteilungen und Verwenden von Schlüsselrichtlinien in AWS KMS im Developer-Handbuch für AWS Key Management Service .

Um der AWSServiceRoleForEC2Spot-Rolle Berechtigungen zur Verwendung des vom Kunden verwalteten Schlüssels zu erteilen

  • Verwenden Sie den Befehl create-grant, um dem vom Kunden verwalteten Schlüssel einen Grant hinzuzufügen und den Principal (die mit dem AWSServiceRoleForEC2Spot-Dienst verknüpfte Rolle) anzugeben, der die Berechtigung zur Ausführung der durch die Gewährung erlaubten Operationen erhält. Der vom Kunden verwaltete Schlüssel wird durch den key-id-Parameter und den ARN des vom Kunden verwalteten Schlüssels angegeben. Der Principal wird durch den grantee-principal Parameter und den ARN der mit dem AWSServiceRoleForEC2Spot-Dienst verknüpften Rolle angegeben.

    aws kms create-grant \
    --region us-east-1 \
    --key-id arn:aws:kms:us-east-1:444455556666:key/1234abcd-12ab-34cd-56ef-1234567890ab \
    --grantee-principal arn:aws:iam::111122223333:role/aws-service-role/spot.amazonaws.com/AWSServiceRoleForEC2Spot \
    --operations "Decrypt" "Encrypt" "GenerateDataKey" "GenerateDataKeyWithoutPlaintext" "CreateGrant" "DescribeKey" "ReEncryptFrom" "ReEncryptTo"