Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Spot-Flotten-Berechtigungen
Wenn Ihre Benutzer eine Spot-Flotte erstellen oder verwalten sollen, müssen Sie diesen die erforderlichen Berechtigungen gewähren.
Wenn Sie die Amazon EC2-Konsole zum Erstellen einer Spot-Flotte verwenden, erstellt sie zwei serviceverknüpfte Rollen namens `AWSServiceRoleForEC2SpotFleet` und `AWSServiceRoleForEC2Spot` und eine Rolle namens `aws-ec2-spot-fleet-tagging-role`, die der Spot-Flotte die Berechtigungen zum Anfordern, Launchen, Beenden und Markieren von Ressourcen in Ihrem Namen erteilen. Wenn Sie die AWS CLI oder eine API verwenden, müssen Sie sicherstellen, dass diese Rollen existieren.
Verwenden Sie die folgenden Anweisungen, um die erforderlichen Berechtigungen zu erteilen und die Rollen zu erstellen.
**Topics**
+ [Benutzern die Berechtigung für Spot-Flotte gewähren](#spot-fleet-iam-users)
+ [Serviceverknüpfte Rolle für Spot-Flotte](#service-linked-roles-spot-fleet-requests)
+ [Serviceverknüpfte Rolle für Spot-Instances](#service-linked-roles-spot-instances)
+ [IAM-Rolle zum Markieren einer Spot-Flotte](#spot-fleet-service-linked-role)
## Benutzern die Berechtigung für Spot-Flotte gewähren
Wenn Ihre Benutzer eine Spot-Flotte erstellen oder verwalten, stellen Sie sicher, dass Sie ihnen die erforderlichen Berechtigungen gewähren.
**So erstellen Sie eine Richtlinie für Spot-Flotte**
1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.
1. Wählen Sie im Navigationsbereich **Policies** und **Create policy** aus.
1. Wählen Sie auf der Seite **Richtlinie erstellen** die Option **JSON** aus und ersetzen Sie den Text durch Folgendes.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:RunInstances",
"ec2:CreateTags",
"ec2:RequestSpotFleet",
"ec2:ModifySpotFleetRequest",
"ec2:CancelSpotFleetRequests",
"ec2:DescribeSpotFleetRequests",
"ec2:DescribeSpotFleetInstances",
"ec2:DescribeSpotFleetRequestHistory"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::*:role/aws-ec2-spot-fleet-tagging-role"
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole",
"iam:ListRoles",
"iam:ListInstanceProfiles"
],
"Resource": "*"
}
]
}
```
------
Die vorangehende Beispielrichtlinie gewährt einem Benutzer die Berechtigungen, die für die meisten Spot-Flotten-Anwendungsfälle erforderlich sind. Um den Benutzer auf bestimmte API-Aktionen zu beschränken, geben Sie stattdessen nur diese API-Aktionen an.
**EC2 und IAM erforderlich APIs**
Folgendes APIs muss in der Richtlinie enthalten sein:
+ `ec2:RunInstances` – erforderlich zum Launchen von Instances in einer Spot-Flotte
+ `ec2:CreateTags` – erforderlich zum Markieren der Spot-Flotten-Anforderung, der Instances oder der Volumes
+ `iam:PassRole` – erforderlich, um die Spot-Flotten-Rolle anzugeben
+ `iam:CreateServiceLinkedRole` – erforderlich zum Erstellen der serviceverknüpften Rolle
+ `iam:ListRoles` – erforderlich zum Aufzählen vorhandener IAM-Rollen
+ `iam:ListInstanceProfiles` – erforderlich zum Aufzählen vorhandener Instance-Profile
**Wichtig**
Wenn Sie in der Startspezifikation oder Startvorlage eine Rolle für das IAM-Instance-Profil angeben, müssen Sie dem Benutzer die Berechtigung gewähren, die Rolle an den Service zu übergeben. Schließen Sie hierzu in der IAM-Richtlinie `"arn:aws:iam::*:role/IamInstanceProfile-role"` als Ressource für die Aktion `iam:PassRole` ein. Weitere Informationen finden Sie im [*IAM-Benutzerhandbuch* unter Erteilen von Benutzerberechtigungen zur Übergabe einer Rolle an einen AWS Dienst](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html).
**Spot-Flotte APIs**
Fügen Sie Ihrer Richtlinie bei Bedarf die folgenden Spot Fleet API-Aktionen hinzu:
+ `ec2:RequestSpotFleet`
+ `ec2:ModifySpotFleetRequest`
+ `ec2:CancelSpotFleetRequests`
+ `ec2:DescribeSpotFleetRequests`
+ `ec2:DescribeSpotFleetInstances`
+ `ec2:DescribeSpotFleetRequestHistory`
**Optionales IAM APIs**
(Optional) Um einem Benutzer das Erstellen von Rollen oder Instance-Profilen mithilfe der IAM-Konsole zu ermöglichen, müssen Sie der Richtlinie die folgenden Aktionen hinzufügen:
+ `iam:AddRoleToInstanceProfile`
+ `iam:AttachRolePolicy`
+ `iam:CreateInstanceProfile`
+ `iam:CreateRole`
+ `iam:GetRole`
+ `iam:ListPolicies`
1. Wählen Sie **Review policy (Richtlinie prüfen)** aus.
1. Geben Sie auf der Seite **Review policy (Richtlinie überprüfen)** einen Richtlinienamen und eine Beschreibung ein und wählen Sie anschließend **Create policy (Richtlinie erstellen)** aus.
1. Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu:
+ Benutzer und Gruppen in AWS IAM Identity Center:
Erstellen Sie einen Berechtigungssatz. Befolgen Sie die Anweisungen unter [Erstellen eines Berechtigungssatzes](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) im *AWS IAM Identity Center -Benutzerhandbuch*.
+ Benutzer, die in IAM über einen Identitätsanbieter verwaltet werden:
Erstellen Sie eine Rolle für den Identitätsverbund. Befolgen Sie die Anleitung unter [Eine Rolle für einen externen Identitätsanbieter (Verbund) erstellen](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) im *IAM-Benutzerhandbuch*.
+ IAM-Benutzer:
+ Erstellen Sie eine Rolle, die Ihr Benutzer annehmen kann. Befolgen Sie die Anleitung unter [Eine Rolle für einen IAM-Benutzer erstellen](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) im *IAM-Benutzerhandbuch*.
+ (Nicht empfohlen) Weisen Sie einem Benutzer eine Richtlinie direkt zu oder fügen Sie einen Benutzer zu einer Benutzergruppe hinzu. Befolgen Sie die Anweisungen unter [Hinzufügen von Berechtigungen zu einem Benutzer (Konsole)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) im *IAM-Benutzerhandbuch*.
## Serviceverknüpfte Rolle für Spot-Flotte
Amazon EC2 nutzt serviceverknüpfte Rollen für die Berechtigungen, die für den Aufruf anderer AWS -Services in Ihrem Namen benötigt werden. Eine dienstverknüpfte Rolle ist ein einzigartiger Typ von IAM-Rolle, die direkt mit einem AWS Dienst verknüpft ist. Mit Diensten verknüpfte Rollen bieten eine sichere Möglichkeit, Berechtigungen an AWS Dienste zu delegieren, da nur der verknüpfte Dienst eine dienstbezogene Rolle übernehmen kann. Weitere Informationen finden Sie unter [Serviceverknüpfte Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html) im *IAM-Benutzerhandbuch*.
Amazon EC2 verwendet die angegebene serviceverknüpfte Rolle **AWSServiceRoleForEC2SpotFleet**, um Instances in Ihrem Namen zu starten und zu verwalten.
**Wichtig**
Wenn Sie in Ihrer Spot-Flotte ein verschlüsseltes [AMI](AMIEncryption.md) oder einen verschlüsselten Amazon EBS-Snapshot angeben, müssen Sie der **AWSServiceRoleForEC2SpotFleet**Rolle die Berechtigung zur Verwendung des CMK erteilen, damit Amazon EC2 Instances in Ihrem Namen starten kann. Weitere Informationen finden Sie unter [Gewähren Sie Zugriff auf CMKs zur Verwendung mit verschlüsselten Snapshots AMIs und EBS-Snapshots](#spot-fleet-service-linked-roles-access-to-cmks).
### Berechtigungen erteilt von AWSService RoleFor EC2 SpotFleet
Die **AWSServiceRoleForEC2SpotFleet**Rolle gewährt der Spot-Flotte die Berechtigung, Instances in Ihrem Namen anzufordern, zu starten, zu beenden und zu taggen. Amazon EC2 verwendet diese serviceverknüpfte Rolle, um die folgenden Aktionen durchzuführen:
+ `ec2:RequestSpotInstances` - Spot-Instances-Anforderung
+ `ec2:RunInstances` – Starten von Instances
+ `ec2:TerminateInstances` – Beenden von Instances
+ `ec2:DescribeImages`- Beschreiben Sie Amazon Machine Images (AMIs) für die Instanzen
+ `ec2:DescribeInstanceStatus` – Beschreiben des Status der Instances
+ `ec2:DescribeSubnets` – Beschreiben der Subnetze für die Instances
+ `ec2:CreateTags` – Hinzufügen von Tags zur Spot-Flotten-Anforderung, zu Instances und zu Volumes
+ `elasticloadbalancing:RegisterInstancesWithLoadBalancer` – Hinzufügen der angegebenen Instances zum angegebenen Load Balancer
+ `elasticloadbalancing:RegisterTargets` – Registrieren der die angegebenen Ziele bei der angegebenen Zielgruppe
### Erstellen der serviceverknüpften Rolle
Größtenteils müssen Sie die serviceverknüpfte Rolle nicht manuell erstellen. Amazon EC2 erstellt die **AWSServiceRoleForEC2SpotFleet**serviceverknüpfte Rolle, wenn Sie zum ersten Mal eine Spot-Flotte mithilfe der Konsole erstellen.
Wenn Sie vor Oktober 2017, als Amazon EC2 begann, diese servicebezogene Rolle zu unterstützen, eine aktive Spot-Flotte-Anfrage hatten, hat Amazon EC2 die **AWSServiceRoleForEC2SpotFleet**Rolle in Ihrem Konto erstellt. AWS Weitere Informationen finden Sie unter [Eine neue Rolle wurde in meinem AWS Konto](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared) angezeigt im *IAM-Benutzerhandbuch*.
Wenn Sie die AWS CLI oder eine API verwenden, um eine Spot-Flotte zu erstellen, müssen Sie zunächst sicherstellen, dass diese Rolle existiert.
**Um die AWSService RoleFor EC2 SpotFleet Rolle für Spot-Flotte mithilfe der Konsole zu erstellen**
1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.
1. Wählen Sie im Navigationsbereich **Rollen** aus.
1. Wählen Sie **Create role** (Rolle erstellen) aus.
1. Gehen Sie auf der Seite **Select trusted entity** (Vertrauenswürdige Entität auswählen) wie folgt vor:
1. Wählen Sie unter **Vertrauenswürdiger Entitätstyp** die Option **AWS -Service** aus.
1. Wählen Sie unter **Anwendungsfall** für **Service oder Anwendungsfall** **EC2**.
1. Wählen Sie für **Anwendungsfall** **EC2-Spot-Flotte** aus.
**Anmerkung**
Im Anwendungsfall **EC2 — Spot Fleet** wird automatisch eine Richtlinie mit den erforderlichen IAM-Berechtigungen erstellt und **AWSEC2SpotFleetServiceRolePolicy**als Rollennamen vorgeschlagen.
1. Wählen Sie **Weiter** aus.
1. Wählen Sie auf der Seite **Add permissions** (Berechtigungen hinzufügen) die Option **Next** (Weiter) aus.
1. Wählen Sie auf der Seite **Benennen, Überprüfen und Erstellen** die Option **Rolle erstellen** aus.
**Um die AWSService RoleFor EC2 SpotFleet Rolle für Spot Fleet mit dem zu erstellen AWS CLI**
Verwenden Sie den [create-service-linked-role](https://docs.aws.amazon.com/cli/latest/reference/iam/create-service-linked-role.html)-Befehl wie folgt:
```
aws iam create-service-linked-role --aws-service-name spotfleet.amazonaws.com
```
Wenn Sie Spot Fleet nicht mehr verwenden müssen, empfehlen wir Ihnen, die **AWSServiceRoleForEC2SpotFleet**Rolle zu löschen. Nachdem diese Rolle in Ihrem Konto gelöscht wurde, erstellt Amazon EC2 die Rolle erneut, wenn Sie eine Spot-Flotte über die Konsole anfordern. Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr) im *IAM-Benutzerhandbuch*.
### Gewähren Sie Zugriff auf CMKs zur Verwendung mit verschlüsselten Snapshots AMIs und EBS-Snapshots
Wenn Sie in Ihrer Spot-Flottenanfrage ein verschlüsseltes [AMI](AMIEncryption.md) oder einen verschlüsselten Amazon EBS-Snapshot angeben und einen vom Kunden verwalteten Schlüssel für die Verschlüsselung verwenden, müssen Sie der **AWSServiceRoleForEC2SpotFleet**Rolle die Berechtigung zur Verwendung des CMK erteilen, damit Amazon EC2 Instances in Ihrem Namen starten kann. Dazu müssen Sie eine Erteilung zum CMK hinzufügen, wie im Folgenden gezeigt:
Bei der Einrichtung von Berechtigungen ist die Erteilung von Berechtigung eine Alternative zu Schüsselrichtlinien. Weitere Informationen finden Sie unter [Verwenden von Erteilungen](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) und [Verwenden von Schlüsselrichtlinien in AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) im *Developer-Handbuch für AWS Key Management Service *.
**Um der AWSService RoleFor EC2 SpotFleet Rolle Berechtigungen zur Verwendung des CMK zu erteilen**
+ Verwenden Sie den Befehl [create-grant](https://docs.aws.amazon.com/cli/latest/reference/kms/create-grant.html), um dem CMK einen Grant hinzuzufügen und den Principal (die mit dem **AWSServiceRoleForEC2SpotFleet**Service verknüpfte Rolle) anzugeben, dem die Berechtigung erteilt wird, die mit dem Grant erlaubten Operationen auszuführen. Der CMK wird durch den Parameter `key-id` und den ARN des CMK spezifiziert. Der Principal wird durch den `grantee-principal` Parameter und den ARN der **AWSServiceRoleForEC2SpotFleet**dienstverknüpften Rolle angegeben.
```
aws kms create-grant \
--region us-east-1 \
--key-id arn:aws:kms:us-east-1:444455556666:key/1234abcd-12ab-34cd-56ef-1234567890ab \
--grantee-principal arn:aws:iam::111122223333:role/aws-service-role/spotfleet.amazonaws.com/AWSServiceRoleForEC2SpotFleet \
--operations "Decrypt" "Encrypt" "GenerateDataKey" "GenerateDataKeyWithoutPlaintext" "CreateGrant" "DescribeKey" "ReEncryptFrom" "ReEncryptTo"
```
## Serviceverknüpfte Rolle für Spot-Instances
Amazon EC2 verwendet die serviceverknüpfte Rolle namens **AWSServiceRoleForEC2Spot, um Spot-Instances** in Ihrem Namen zu starten und zu verwalten. Weitere Informationen finden Sie unter [Serviceverknüpfte Rolle für Spot-Instance-Anforderungen](service-linked-roles-spot-instance-requests.md).
## IAM-Rolle zum Markieren einer Spot-Flotte
Die IAM-Rolle `aws-ec2-spot-fleet-tagging-role` gewährt der Spot-Flotte die Berechtigung, die Spot-Flotten-Anforderung, -Instances und -Volumes zu markieren. Weitere Informationen finden Sie unter [Eine neue Spot-Flotte sowie die Instances und Volumes, die sie startet, markieren](tag-spot-fleet.md).
**Wichtig**
Wenn Sie sich dafür entscheiden, Instances in der Flotte zu markieren und gleichzeitig die Zielkapazität beizubehalten (die Spot-Flotten-Anfrage ist vom Typ `maintain`), können die Unterschiede in den Berechtigungen, die für den Benutzer und die `IamFleetRole` festgelegt sind, zu einem inkonsistenten Tag-Verhalten der Instances in der Flotte führen. Wenn `IamFleetRole` die `CreateTags`-Berechtigung nicht enthält, werden einige der von der Flotte gestarteten Instances möglicherweise nicht markiert. Während wir daran arbeiten, diese Inkonsistenz zu beheben, um sicherzustellen, dass alle Instances, die von der Flotte gestartet werden, markiert sind, empfehlen wir, die `aws-ec2-spot-fleet-tagging-role`-Rolle für die `IamFleetRole` zu verwenden. Um eine bestehende Rolle zu verwenden, können Sie alternativ die `AmazonEC2SpotFleetTaggingRole` AWS verwaltete Richtlinie an die bestehende Rolle anhängen. Andernfalls müssen Sie die `CreateTags`-Berechtigung manuell zu Ihrer vorhandenen Richtlinie hinzufügen.
**So erstellen Sie die IAM-Rolle zum Markieren einer Spot-Flotte:**
1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.
1. Wählen Sie im Navigationsbereich **Rollen** aus.
1. Wählen Sie **Create role** (Rolle erstellen) aus.
1. Wählen Sie auf der Seite **Select trusted entity** (Auswahl der vertrauenswürdigen Entität) unter **Trusted entity type** (Auswahl der vertrauenswürdigen Entität) die Option **AWS service** (-Service) aus.
1. Unter **Use case** (Anwendungsfall) wählen Sie ausgehend von **Use cases for other AWS services** (Anwendungsfälle für andere -Services) die Option **EC2** und danach **EC2 - Spot Fleet Tagging** (EC2 – Spot-Flotten-Markierung) aus.
1. Wählen Sie **Weiter** aus.
1. Wählen Sie auf der Seite **Add permissions** (Berechtigungen hinzufügen) die Option **Next** (Weiter) aus.
1. Geben Sie auf der Seite **Name, review, and create** (Benennen, überprüfen und erstellen) für **Role name** (Rollenname) einen Namen für die Rolle ein (z. B. **aws-ec2-spot-fleet-tagging-role**).
1. Überprüfen Sie die Informationen auf der Seite, und wählen Sie dann **Create role** (Rolle erstellen) aus.
### Serviceübergreifende Confused-Deputy-Prävention
Das [Confused-Deputy-Problem](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) ist ein Sicherheitsproblem, bei dem eine Entität, die nicht über die Berechtigung zum Ausführen einer Aktion verfügt, eine Entität mit größeren Rechten zwingen kann, die Aktion auszuführen. Wir empfehlen, dass Sie die globalen Bedingungskontext-Schlüssel [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) und [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) in der `aws-ec2-spot-fleet-tagging-role`-Vertrauensrichtlinie verwenden, um die Berechtigungen, welche die Spot-Flotte einem anderen Service erteilt, auf die Ressource zu beschränken.
**Um die SourceAccount Bedingungsschlüssel aws: SourceArn und aws: zur `aws-ec2-spot-fleet-tagging-role` Vertrauensrichtlinie hinzuzufügen**
1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.
1. Wählen Sie im Navigationsbereich **Rollen**.
1. Suchen Sie die `aws-ec2-spot-fleet-tagging-role`, die Sie zuvor erstellt haben, und wählen Sie den Link (nicht das Kontrollkästchen) aus.
1. Wählen Sie unter **Summary** (Zusammenfassung) die Registerkarte **Trust Relationships** (Vertrauensstellungen) und dann **Edit trust policy** (Vertrauensrichtlinie bearbeiten) aus.
1. Fügen Sie in der JSON-Anweisung ein `Condition`-Element hinzu, das Ihre globalen `aws:SourceAccount`- und `aws:SourceArn`-Bedingungskontextschlüssel zur Verhinderung des [Confused-Deputy-Problems](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) folgendermaßen festlegt:
```
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:ec2:us-east-1:111122223333:spot-fleet-request/sfr-*"
},
"StringEquals": {
"aws:SourceAccount": "111122223333"
}
```
**Anmerkung**
Wenn der `aws:SourceArn`-Wert die Konto-ID enthält und Sie beide globalen Bedingungskontextschlüssel verwenden, müssen der `aws:SourceAccount`-Wert und das Konto im `aws:SourceArn`-Wert dieselbe Konto-ID verwenden, wenn sie in der gleichen Richtlinienanweisung verwendet wird.
Die endgültige Vertrauensrichtlinie wird folgendermaßen aussehen:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Sid": "ConfusedDeputyPreventionExamplePolicy",
"Effect": "Allow",
"Principal": {
"Service": "spotfleet.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:ec2:us-east-1:111122223333:spot-fleet-request/sfr-*"
},
"StringEquals": {
"aws:SourceAccount": "111122223333"
}
}
}
}
```
------
1. Wählen Sie **Richtlinie aktualisieren**.
Die folgende Tabelle enthält potenzielle Werte für `aws:SourceArn`, um den Umfang Ihrer `aws-ec2-spot-fleet-tagging-role` in unterschiedlichem Grad an Spezifität einzuschränken.
****
| API-Operation | Aufgerufener Service | Scope | `aws:SourceArn` |
| --- | --- | --- | --- |
| RequestSpotFleet | AWS STS (AssumeRole) | Beschränken Sie die AssumeRole Funktion aws-ec2-spot-fleet-tagging-role spot-fleet-requests auf das angegebene Konto. | arn:aws:ec2:\$1:123456789012:spot-fleet-request/sfr-\$1 |
| RequestSpotFleet | AWS STS (AssumeRole) | Beschränkt die AssumeRole Funktion aws-ec2-spot-fleet-tagging-role spot-fleet-requests auf das angegebene Konto und die angegebene Region. Beachten Sie, dass diese Rolle in anderen Regionen nicht verwendbar ist. | arn:aws:ec2:us-east-1:123456789012:spot-fleet-request/sfr-\$1 |
| RequestSpotFleet | AWS STS (AssumeRole) | Begrenzen Sie die AssumeRole-Funktion in aws-ec2-spot-fleet-tagging-role nur auf Maßnahmen, welche die Flotte sfr-11111111-1111-1111-1111-111111111111 betreffen. Beachten Sie, dass diese Rolle möglicherweise nicht für andere Spot-Flotten verwendbar ist. Außerdem kann diese Rolle nicht verwendet werden, um neue Spot-Flotten zu starten. request-spot-fleet | arn:aws:ec2:us-east-1:123456789012:spot-fleet-request/sfr-11111111-1111-1111-1111-111111111111 |