Servicebezogene Rollen für Amazon EC2 Auto Scaling - Amazon EC2 Auto Scaling
ÜbersichtVon der serviceverknüpften Rolle erteilte BerechtigungenUnterstützte Regionen für Rollen im Zusammenhang mit dem Service von Amazon EC2 Auto ScalingEine serviceverknüpfte Rolle erstellen, bearbeiten und löschen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Servicebezogene Rollen für Amazon EC2 Auto Scaling

Amazon EC2 Auto Scaling verwendet serviceverknüpfte Rollen für die Berechtigungen, die erforderlich sind, um andere in AWS-Services Ihrem Namen anzurufen. Eine serviceverknüpfte Rolle ist ein einzigartiger IAM Rollentyp, der direkt mit einer verknüpft ist. AWS-Service

Serviceverknüpfte Rollen bieten eine sichere Möglichkeit, um Berechtigungen zu AWS-Services -Services zu delegieren, da nur der verknüpfte Service eine serviceverknüpfte Rolle annehmen kann. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Verwenden von dienstbezogenen Rollen. Serviceverknüpfte Rollen ermöglichen außerdem, dass alle API Anrufe sichtbar sind. AWS CloudTrail Dies hilft bei Überwachungs- und Prüfanforderungen, da Sie alle Aktionen verfolgen können, die Amazon EC2 Auto Scaling in Ihrem Namen durchführt. Weitere Informationen finden Sie unter Amazon EC2 Auto Scaling API Scaling-Anrufe protokollieren mit AWS CloudTrail.

In den folgenden Abschnitten wird beschrieben, wie Sie serviceverknüpfte Amazon EC2 Auto Scaling Scaling-Rollen erstellen und verwalten. Konfigurieren Sie zunächst die Berechtigungen, die es einer IAM Identität (z. B. einem Benutzer oder einer Rolle) ermöglichen, eine serviceverknüpfte Rolle zu erstellen, zu bearbeiten oder zu löschen. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Verwenden von dienstbezogenen Rollen.

Übersicht

Es gibt zwei Arten von Amazon EC2 Auto Scaling Scaling-Rollen, die mit dem Service verknüpft sind:

  • Die standardmäßige serviceverknüpfte Rolle für Ihr Konto, benannt. AWSServiceRoleForAutoScaling Diese Rolle wird automatisch Ihren Auto Scaling-Gruppen zugewiesen, es sei denn, Sie geben eine andere serviceverknüpfte Rolle an.

  • Eine dienstbezogene Rolle mit einem benutzerdefinierten Suffix, das Sie bei der Erstellung der Rolle angeben, z. B. _ AWSServiceRoleForAutoScalingmysuffix.

Eine serviceverknüpfte Rolle mit benutzerdefiniertem Suffix hat dieselben Berechtigungen wie die standardmäßige serviceverknüpfte Rolle. In beiden Fällen können Sie die Rollen nicht bearbeiten und auch nicht löschen, wenn sie noch von einer Auto Scaling-Gruppe verwendet werden. Der einzige Unterschied ist das Suffix des Rollennamens.

Sie können beide Rollen angeben, wenn Sie Ihre AWS Key Management Service Schlüsselrichtlinien bearbeiten, sodass Instances, die von Amazon EC2 Auto Scaling gestartet werden, mit Ihrem vom Kunden verwalteten Schlüssel verschlüsselt werden können. Wenn Sie jedoch vorhaben, einem bestimmten kundenverwalteten Schlüssel individuell Zugriff zu gewähren, sollten Sie eine serviceverknüpfte Rolle mit benutzerdefiniertem Suffix verwenden. Eine serviceverknüpfte Rolle mit benutzerdefiniertem Suffix bietet Ihnen:

  • Mehr Kontrolle über den kundenverwalteten Schlüssel

  • Die Möglichkeit, in Ihren CloudTrail Protokollen nachzuverfolgen, welche Auto Scaling Scaling-Gruppe einen API Anruf getätigt hat

Wenn Sie kundenverwaltete Schlüssel erstellen, auf die nicht alle Benutzer Zugriff haben sollen, führen Sie diese Schritte aus, um die Verwendung einer serviceverknüpften Rolle mit benutzerdefiniertem Suffix zuzulassen:

  1. Erstellen Sie eine serviceverknüpfte Rolle mit einem benutzerdefinierten Suffix. Weitere Informationen finden Sie unter Erstellen einer serviceverknüpften Rolle (manuell).

  2. Erteilen Sie der serviceverknüpften Rolle Zugriff auf einen kundenverwalteten Schlüssel. Weitere Informationen über die Schlüsselrichtlinie, die zulässt, dass der Schlüssel von einer serviceverknüpften Rolle verwendet wird, finden Sie unter Erforderliche AWS KMS Schlüsselrichtlinie für die Verwendung mit verschlüsselten Volumes.

  3. Geben Sie Benutzern Zugriff auf die von Ihnen erstellte serviceverknüpfte Rolle. Weitere Informationen zur Erstellung der IAM Richtlinie finden Sie unterSteuern Sie, welche serviceverknüpfte Rolle übergeben werden kann (mit) PassRole. Wenn Benutzer versuchen, eine serviceverknüpfte Rolle ohne Berechtigung anzugeben, diese Rolle an den Service weiterzugeben, wird eine Fehlermeldung angezeigt.

Von der serviceverknüpften Rolle erteilte Berechtigungen

Amazon EC2 Auto Scaling verwendet die benannte serviceverknüpfte Rolle AWSServiceRoleForAutoScalingoder Ihr benutzerdefiniertes Suffix für serviceverknüpfte Rolle.

Die serviceverknüpfte Rolle vertraut darauf, dass der folgende Service die Rolle annimmt:

  • autoscaling.amazonaws.com

Die Richtlinie für Rollenberechtigungen, AutoScalingServiceRolePolicy, ermöglicht Amazon EC2 Auto Scaling, die folgenden Aktionen durchzuführen:

  • ec2— Instances erstellen, beschreiben, ändern, starten/stoppen und beendenEC2.

  • iamÜbergeben Sie IAM Rollen an EC2 Instanzen, sodass Anwendungen, die auf den Instances ausgeführt werden, auf temporäre Anmeldeinformationen für die Rolle zugreifen können.

  • iam— Erstellen Sie die AWSServiceRoleForEC2Spotserviceverknüpfte Rolle, damit Amazon EC2 Auto Scaling Spot-Instances in Ihrem Namen starten kann.

  • elasticloadbalancing— Registrieren und deregistrieren Sie Instances mit Elastic Load Balancing und überprüfen Sie den Zustand registrierter Ziele.

  • cloudwatch— CloudWatch Alarme für Skalierungsrichtlinien erstellen, beschreiben, ändern und löschen und Metriken abrufen, die für die prädiktive Skalierung verwendet werden.

  • sns— Veröffentlichen Sie Benachrichtigungen an AmazonSNS, wenn Instances gestartet oder beendet werden.

  • events— EventBridge Regeln in Ihrem Namen erstellen, beschreiben, aktualisieren und löschen.

  • ssm— Liest Parameter aus dem Parameterspeicher, wenn Sie einen Systems Manager Manager-Parameter als Alias für eine AMI ID in einer Startvorlage verwenden.

  • vpc-lattice— Registrieren und deregistrieren Sie Instances bei VPC Lattice und überprüfen Sie den Zustand der registrierten Ziele.

  • resource-groups— Ruft alle Ressourcennamen (ARNs) der Ressourcen ab, die Mitglieder einer bestimmten Ressourcengruppe sind.

Unterstützte Regionen für Rollen im Zusammenhang mit dem Service von Amazon EC2 Auto Scaling

Amazon EC2 Auto Scaling unterstützt die Verwendung von serviceverknüpften Rollen überall AWS-Regionen dort, wo der Service verfügbar ist.

Eine serviceverknüpfte Rolle erstellen, bearbeiten und löschen

Erstellen einer serviceverknüpften Rolle (automatisch)

Amazon EC2 Auto Scaling erstellt die AWSServiceRoleForAutoScalingserviceverknüpfte Rolle für Sie, wenn Sie zum ersten Mal eine Auto Scaling Scaling-Gruppe erstellen, es sei denn, Sie erstellen manuell eine serviceverknüpfte Rolle mit benutzerdefiniertem Suffix und geben sie bei der Erstellung der Gruppe an.

Wichtig

Sie müssen über die IAM erforderlichen Berechtigungen verfügen, um die serviceverknüpfte Rolle zu erstellen. Andernfalls schlägt das automatische Erstellen fehl. Weitere Informationen finden Sie im IAMBenutzerhandbuch und Erstellen einer serviceverknüpften Rolle in diesem Handbuch unter Berechtigungen für dienstverknüpfte Rollen.

Amazon EC2 Auto Scaling begann im März 2018 mit der Unterstützung servicebezogener Rollen. Wenn Sie zuvor eine Auto Scaling-Gruppe erstellt haben, hat Amazon EC2 Auto Scaling die AWSServiceRoleForAutoScalingRolle in Ihrem Konto erstellt. Weitere Informationen finden Sie unter Eine neue Rolle ist AWS-Konto in meinem erschienen im IAMBenutzerhandbuch.

Erstellen einer serviceverknüpften Rolle (manuell)

So erstellen Sie eine serviceverknüpfte Rolle (Konsole)

  1. Öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich Roles (Rollen) und Create Role (Rolle erstellen) aus.

  3. Wählen Sie für Select trusted entity (Vertrauenswürdige Entität auswählen) die Option AWS -Dienst.

  4. Wählen Sie für Wählen Sie den Dienst aus, der diese Rolle verwenden wird die Option EC2Auto Scaling und den EC2Auto Scaling Scaling-Anwendungsfall aus.

  5. Wählen Sie Next: Permissions (Nächster Schritt: Berechtigungen), Next: Tags (Nächster Schritt: Tags) und dann Next: Review (Nächster Schritt: Prüfen) aus. Hinweis: Während der Erstellung können keine Tags an serviceverknüpfte Rollen angefügt werden.

  6. Lassen Sie auf der Seite Überprüfen das Feld Rollenname leer, um eine dienstbezogene Rolle mit dem Namen zu erstellen AWSServiceRoleForAutoScaling, oder geben Sie ein Suffix ein, um eine dienstbezogene Rolle mit dem Namen _ zu erstellen AWSServiceRoleForAutoScalingsuffix.

  7. (Optional:) Bearbeiten Sie in Role description (Rollenbeschreibung) die Beschreibung für die neue serviceverknüpfte Rolle.

  8. Wählen Sie Rolle erstellen.

So erstellen Sie eine serviceverknüpfte Rolle (AWS CLI)

Verwenden Sie den folgenden create-service-linked-roleCLIBefehl, um eine serviceverknüpfte Rolle für Amazon EC2 Auto Scaling mit dem Namen AWSServiceRoleForAutoScaling _ zu erstellensuffix. 

aws iam create-service-linked-role --aws-service-name autoscaling.amazonaws.com --custom-suffix suffix

Die Ausgabe dieses Befehls beinhaltet die ARN der serviceverknüpften Rolle, mit der Sie der servicebezogenen Rolle Zugriff auf Ihren vom Kunden verwalteten Schlüssel gewähren können. 

{
    "Role": {
        "RoleId": "ABCDEF0123456789ABCDEF",
        "CreateDate": "2018-08-30T21:59:18Z",
        "RoleName": "AWSServiceRoleForAutoScaling_suffix",
        "Arn": "arn:aws:iam::123456789012:role/aws-service-role/autoscaling.amazonaws.com/AWSServiceRoleForAutoScaling_suffix",
        "Path": "/aws-service-role/autoscaling.amazonaws.com/",
        "AssumeRolePolicyDocument": {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Action": [
                        "sts:AssumeRole"
                    ],
                    "Principal": {
                        "Service": [
                            "autoscaling.amazonaws.com"
                        ]
                    },
                    "Effect": "Allow"
                }
            ]
        }
    }
}

Weitere Informationen finden Sie im Benutzerhandbuch unter Erstellen einer dienstbezogenen Rolle. IAM

Bearbeiten der serviceverknüpften Rolle

Sie können die serviceverknüpften Rollen, die für Amazon EC2 Auto Scaling erstellt wurden, nicht bearbeiten. Nach dem Erstellen einer serviceverknüpften Rolle können Sie weder den Namen der Rolle noch ihre Berechtigungen ändern. Sie können jedoch die Beschreibung der Rolle bearbeiten. Weitere Informationen finden Sie unter Bearbeiten einer serviceverknüpften Rolle im IAMBenutzerhandbuch.

Löschen der serviceverknüpften Rolle

Wenn Sie eine Auto Scaling-Gruppe nicht verwenden, empfehlen wir, deren serviceverknüpfte Rolle zu löschen. Das Löschen der Rolle verhindert, dass Sie eine Entität haben, die nicht verwendet oder aktiv überwacht und verwaltet wird.

Sie können eine serviceverknüpfte Rolle erst löschen, nachdem die zugehörigen abhängigen Ressourcen gelöscht wurden. Dies schützt Sie davor, versehentlich Amazon EC2 Auto Scaling Scaling-Berechtigungen für Ihre Ressourcen zu widerrufen. Wenn eine serviceverknüpfte Rolle mit mehreren Auto Scaling-Gruppen verwendet wird, müssen Sie zunächst alle Auto Scaling-Gruppen, welche die serviceverknüpfte Rolle verwenden, löschen, bevor Sie sie löschen können. Weitere Informationen finden Sie unter Löschen der Auto-Scaling-Infrastruktur.

Sie können es verwenden, um eine IAM serviceverknüpfte Rolle zu löschen. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Löschen einer dienstbezogenen Rolle.

Wenn Sie die AWSServiceRoleForAutoScalingserviceverknüpfte Rolle löschen, erstellt Amazon EC2 Auto Scaling die Rolle erneut, wenn Sie eine Auto Scaling Scaling-Gruppe erstellen und keine andere serviceverknüpfte Rolle angeben.