Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# AWS Batch Rolle „IAM-Ausführung“
Die Ausführungsrolle erteilt dem Amazon ECS-Container-Agenten und dem AWS Fargate Agenten die Erlaubnis, AWS API-Aufrufe in Ihrem Namen durchzuführen.
**Anmerkung**
Die Ausführungsrolle wird vom Amazon ECS-Container-Agenten Version 1.16.0 und höher unterstützt.
Die IAM-Ausführungsrolle ist je nach den Anforderungen Ihrer Aufgabe erforderlich. Sie können mehrere Ausführungsrollen für unterschiedliche Zwecke und Dienste haben, die mit Ihrem Konto verknüpft sind.
**Anmerkung**
Informationen zur Amazon ECS-Instance-Rolle finden Sie unter[Amazon ECS-Instance-Rolle](instance_IAM_role.md). Informationen zu Servicerollen finden Sie unter[Wie AWS Batch funktioniert mit IAM](security_iam_service-with-iam.md).
Amazon ECS stellt die `AmazonECSTaskExecutionRolePolicy` verwaltete Richtlinie bereit. Diese Richtlinie enthält die erforderlichen Berechtigungen für die oben beschriebenen allgemeinen Anwendungsfälle. Für die unten beschriebenen speziellen Anwendungsfälle kann es erforderlich sein, Ihrer Ausführungsrolle Inline-Richtlinien hinzuzufügen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "*"
}
]
}
```
------
# Unterstützte Berechtigungen auf Ressourcenebene für API-Aktionen AWS Batch
Der Begriff *Berechtigungen auf Ressourcenebene* bezieht sich auf die Möglichkeit, die Ressourcen anzugeben, für die Benutzer Aktionen ausführen dürfen. AWS Batch unterstützt teilweise Berechtigungen auf Ressourcenebene. Bei einigen AWS Batch Aktionen können Sie auf der Grundlage von Bedingungen, die erfüllt sein müssen, steuern, wann Benutzer diese Aktionen verwenden dürfen. Sie können die Steuerung auch auf der Grundlage der spezifischen Ressourcen vornehmen, die Benutzer verwenden dürfen. Zum Beispiel können Sie Benutzern die Berechtigungen dazu erteilen, Aufträge zu übergeben, jedoch nur an eine bestimmte Auftragswarteschlange und nur mit einer bestimmten Auftragsdefinition.
Einzelheiten zu den von AWS Batch definierten Aktionen und Ressourcentypen, einschließlich des Formats ARNs für die einzelnen Ressourcentypen, finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für [AWS Batch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html)in der *Service Authorization Reference*.
# Tutorial: Erstellen Sie die IAM-Ausführungsrolle
Wenn Ihr Konto noch nicht über eine IAM-Ausführungsrolle verfügt, verwenden Sie die folgenden Schritte, um die Rolle zu erstellen.
1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.
1. Wählen Sie im Navigationsbereich **Rollen** aus.
1. Wählen Sie **Rolle erstellen** aus.
1. Wählen Sie unter **Vertrauenswürdiger Entitätstyp** die Option ** AWS-Service**.
1. Wählen Sie für **Service oder Anwendungsfall** **Elastic Container Service** aus. Wählen Sie dann erneut **Elastic Container Service Task**.
1. Wählen Sie **Weiter** aus.
1. Suchen Sie nach **Richtlinien für Berechtigungen** nach **Amazon ECSTask ExecutionRolePolicy**.
1. Aktivieren Sie das Kontrollkästchen links neben der **ECSTaskExecutionRolePolicyAmazon-Richtlinie** und wählen Sie dann **Weiter** aus.
1. Geben Sie **als Rollenname den Text Rolle** **erstellen ein `ecsTaskExecutionRole` und wählen Sie dann Create role** aus.
# Tutorial: Überprüfen Sie die IAM-Ausführungsrolle
Gehen Sie wie folgt vor, um zu überprüfen, ob Ihr Konto bereits über die IAM-Ausführungsrolle verfügt, und fügen Sie gegebenenfalls die verwaltete IAM-Richtlinie hinzu.
1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.
1. Wählen Sie im Navigationsbereich **Rollen**.
1. Suchen Sie in der Liste der Rollen nach `ecsTaskExecutionRole`. Wenn Sie die Rolle nicht finden können, finden Sie weitere Informationen unter. [Tutorial: Erstellen Sie die IAM-Ausführungsrolle](create-execution-role.md) Wenn Sie die Rolle gefunden haben, wählen Sie die Rolle aus, um die angehängten Richtlinien einzusehen.
1. Stellen Sie auf der Registerkarte **Berechtigungen** sicher, dass die von **Amazon ECSTask ExecutionRolePolicy** verwaltete Richtlinie mit der Rolle verknüpft ist. Wenn die Richtlinie angehängt ist, ist Ihre Ausführungsrolle ordnungsgemäß konfiguriert. Andernfalls führen Sie die folgenden Teilschritte aus, um die Richtlinie zuzuweisen.
1. Wählen Sie „**Berechtigungen hinzufügen**“ und anschließend „**Richtlinien anhängen**“.
1. Suchen Sie nach **Amazon ECSTask ExecutionRolePolicy**.
1. Markieren Sie das Kästchen links neben der **ECSTaskExecutionRolePolicyAmazon-Richtlinie** und wählen Sie **Richtlinien anhängen** aus.
1. Wählen Sie **Trust Relationships (Vertrauensbeziehungen)** aus.
1. Überprüfen Sie, dass die Vertrauensstellung die folgende Richtlinie enthält. Wenn das Vertrauensverhältnis mit der folgenden Richtlinie übereinstimmt, ist die Rolle korrekt konfiguriert. Wenn die Vertrauensstellung nicht übereinstimmt, wählen Sie **Vertrauensrichtlinie bearbeiten**, geben Sie Folgendes ein und wählen Sie **Richtlinie aktualisieren** aus.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "ecs-tasks.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# Verwenden von serviceverknüpften Rollen für AWS Batch
AWS Batch verwendet AWS Identity and Access Management (IAM) [serviceverknüpfte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Rollen. Eine serviceverknüpfte Rolle ist ein einzigartiger Typ von IAM-Rolle, mit der direkt verknüpft ist. AWS Batch Mit Diensten verknüpfte Rollen sind vordefiniert AWS Batch und enthalten alle Berechtigungen, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.
AWS Batch verwendet zwei verschiedene dienstbezogene Rollen:
+ [AWSServiceRoleForBatch](using-service-linked-roles-batch-general.md)- Für AWS Batch Operationen, einschließlich Rechenumgebungen.
+ [AWSServiceRoleForAWSBatchWithSagemaker](using-service-linked-roles-batch-sagemaker.md)- Für SageMaker KI-Workload-Management und Warteschlangen.
**Topics**
+ [Verwenden von Rollen für AWS Batch](using-service-linked-roles-batch-general.md)
+ [Verwendung von Rollen für AWS Batch mit KI SageMaker](using-service-linked-roles-batch-sagemaker.md)
# Verwenden von Rollen für AWS Batch
AWS Batch verwendet AWS Identity and Access Management (IAM) [serviceverknüpfte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Rollen. Eine serviceverknüpfte Rolle ist ein einzigartiger Typ von IAM-Rolle, mit der direkt verknüpft ist. AWS Batch Mit Diensten verknüpfte Rollen sind vordefiniert AWS Batch und enthalten alle Berechtigungen, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.
Eine dienstbezogene Rolle AWS Batch erleichtert die Einrichtung, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. AWS Batch definiert die Berechtigungen ihrer dienstbezogenen Rollen und AWS Batch kann, sofern nicht anders definiert, nur ihre Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesen werden.
**Anmerkung**
Führen Sie einen der folgenden Schritte aus, um eine Servicerolle für eine AWS Batch Rechenumgebung anzugeben.
Verwenden Sie eine leere Zeichenfolge für die Servicerolle. Dadurch können AWS Batch Sie die Servicerolle erstellen.
Geben Sie die Servicerolle im folgenden Format an:`arn:aws:iam::account_number:role/aws-service-role/batch.amazonaws.com/AWSServiceRoleForBatch`.
Weitere Informationen finden Sie [Falscher Rollenname oder ARN](invalid_compute_environment.md#invalid_service_role_arn) im AWS Batch Benutzerhandbuch.
Sie können eine serviceverknüpfte Rolle erst löschen, nachdem ihre verwandten Ressourcen gelöscht wurden. Dadurch werden Ihre AWS Batch Ressourcen geschützt, da Sie nicht versehentlich die Zugriffsberechtigung für die Ressourcen entziehen können.
**Informationen zu anderen Diensten, die dienstverknüpfte Rollen unterstützen, finden Sie unter [AWS Dienste, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie in der Spalte Dienstverknüpfte Rollen nach den Diensten, für die **Ja steht**.** Wählen Sie über einen Link **Ja** aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.
## Berechtigungen für dienstverknüpfte Rollen AWS Batch
AWS Batch verwendet die dienstbezogene Rolle mit dem Namen **AWSServiceRoleForBatch**— Ermöglicht AWS Batch das Erstellen und Verwalten von AWS Ressourcen in Ihrem Namen.
Die AWSService RoleForBatch dienstbezogene Rolle vertraut darauf, dass die folgenden Dienste die Rolle übernehmen:
+ `batch.amazonaws.com`
Die genannte Rollenberechtigungsrichtlinie [BatchServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-BatchServiceRolePolicy)ermöglicht es AWS Batch , die folgenden Aktionen für die angegebenen Ressourcen durchzuführen:
+ `autoscaling`— Ermöglicht das AWS Batch Erstellen und Verwalten von Amazon EC2 Auto Scaling Scaling-Ressourcen. AWS Batch erstellt und verwaltet Amazon EC2 Auto Scaling Scaling-Gruppen für die meisten Computerumgebungen.
+ `ec2`— Ermöglicht AWS Batch die Kontrolle des Lebenszyklus von Amazon EC2 EC2-Instances sowie die Erstellung und Verwaltung von Startvorlagen und Tags. AWS Batch erstellt und verwaltet EC2 Spot Fleet-Anfragen für einige EC2-Spot-Computerumgebungen.
+ `ecs`- Ermöglicht AWS Batch die Erstellung und Verwaltung von Amazon ECS-Clustern, Aufgabendefinitionen und Aufgaben für die Auftragsausführung.
+ `eks`- Ermöglicht AWS Batch die Beschreibung der Amazon EKS-Cluster-Ressource für Validierungen.
+ `iam`- Ermöglicht AWS Batch die Validierung und Weitergabe von Rollen, die vom Eigentümer bereitgestellt wurden, an Amazon EC2, Amazon EC2 Auto Scaling und Amazon ECS.
+ `logs`— Ermöglicht AWS Batch das Erstellen und Verwalten von Protokollgruppen und Protokollströmen für AWS Batch Jobs.
Sie müssen Berechtigungen konfigurieren, damit eine Benutzer, Gruppen oder Rollen eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen können. Weitere Informationen finden Sie unter [serviceverknüpfte Rollenberechtigung](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*.
## Erstellen einer serviceverknüpften Rolle für AWS Batch
Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie eine Rechenumgebung in der AWS-Managementkonsole, der oder der AWS API erstellen AWS CLI, AWS Batch wird die dienstbezogene Rolle für Sie erstellt.
**Wichtig**
Diese serviceverknüpfte Rolle kann in Ihrem Konto erscheinen, wenn Sie eine Aktion in einem anderen Service abgeschlossen haben, der die von dieser Rolle unterstützten Features verwendet. Wenn Sie den AWS Batch Dienst vor dem 10. März 2021 genutzt haben, als er begann, dienstbezogene Rollen zu unterstützen, AWS Batch haben Sie die AWSService RoleForBatch Rolle in Ihrem Konto erstellt. Weitere Informationen finden Sie unter [Eine neue Rolle ist in meinem AWS-Konto erschienen](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie eine Rechenumgebung erstellen, AWS Batch wird die serviceverknüpfte Rolle erneut für Sie erstellt.
## Bearbeitung einer serviceverknüpften Rolle für AWS Batch
AWS Batch erlaubt es Ihnen nicht, die AWSService RoleForBatch dienstbezogene Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
**Um es einer IAM-Entität zu ermöglichen, die Beschreibung der serviceverknüpften Rolle zu bearbeiten AWSService RoleForBatch **
Fügen Sie der Berechtigungsrichtlinie die folgende Anweisung hinzu. Dadurch kann die IAM-Entität die Beschreibung einer serviceverknüpften Rolle bearbeiten.
```
{
"Effect": "Allow",
"Action": [
"iam:UpdateRoleDescription"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/batch.amazonaws.com/AWSServiceRoleForBatch",
"Condition": {"StringLike": {"iam:AWSServiceName": "batch.amazonaws.com"}}
}
```
## Löschen einer serviceverknüpften Rolle für AWS Batch
Wenn Sie ein Feature oder einen Service, die bzw. der eine serviceverknüpfte Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte Entität, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch Ihre serviceverknüpfte Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.
**Um einer IAM-Entität das Löschen der serviceverknüpften Rolle zu ermöglichen AWSService RoleForBatch **
Fügen Sie der Berechtigungsrichtlinie die folgende Anweisung hinzu. Dadurch kann die IAM-Entität eine dienstverknüpfte Rolle löschen.
```
{
"Effect": "Allow",
"Action": [
"iam:DeleteServiceLinkedRole",
"iam:GetServiceLinkedRoleDeletionStatus"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/batch.amazonaws.com/AWSServiceRoleForBatch",
"Condition": {"StringLike": {"iam:AWSServiceName": "batch.amazonaws.com"}}
}
```
### Bereinigen einer serviceverknüpften Rolle
Bevor Sie IAM verwenden können, um eine dienstverknüpfte Rolle zu löschen, müssen Sie zunächst bestätigen, dass die Rolle keine aktiven Sitzungen hat, und alle AWS Batch Computerumgebungen, die die Rolle verwenden, in allen AWS Regionen in einer einzigen Partition löschen.
**So überprüfen Sie, ob die serviceverknüpfte Rolle über eine aktive Sitzung verfügt**
1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.
1. Wählen Sie im Navigationsbereich **Rollen** und dann den AWSService RoleForBatch Namen aus (nicht das Kontrollkästchen).
1. Wählen Sie auf der Seite **Summary** **Access Advisor** und überprüfen Sie die letzten Aktivitäten auf die serviceverknüpfte Rolle.
**Anmerkung**
Wenn Sie nicht wissen, ob die AWSService RoleForBatch Rolle verwendet AWS Batch wird, können Sie versuchen, die Rolle zu löschen. Wenn der Dienst die Rolle verwendet, kann die Rolle nicht gelöscht werden. Sie können die Regionen anzeigen, in denen die Rolle verwendet wird. Wenn die Rolle verwendet wird, müssen Sie warten, bis die Sitzung beendet wird, bevor Sie die Rolle löschen können. Die Sitzung für eine serviceverknüpfte Rolle können Sie nicht widerrufen.
**Um AWS Batch Ressourcen zu entfernen, die von der AWSService RoleForBatch serviceverknüpften Rolle verwendet werden**
Sie müssen alle AWS Batch Rechenumgebungen, die die AWSService RoleForBatch Rolle verwenden, in allen AWS Regionen löschen, bevor Sie die AWSService RoleForBatch Rolle löschen können.
1. Öffnen Sie die AWS Batch Konsole unter [https://console.aws.amazon.com/batch/](https://console.aws.amazon.com/batch/).
1. Wählen Sie die zu verwendende Region in der Navigationsleiste aus.
1. Wählen Sie im Navigationsbereich **Datenverarbeitungs-Umgebungen** aus.
1. Wählen Sie die Rechenumgebung aus.
1. Wählen Sie **Disable ** (deaktivieren) aus. Warten Sie, bis der **Status** auf **DEAKTIVIERT** wechselt.
1. Wählen Sie die Rechenumgebung aus.
1. Wählen Sie **Löschen** aus. Bestätigen Sie, dass Sie die Rechenumgebung löschen möchten, indem **Sie Rechenumgebung löschen** wählen.
1. Wiederholen Sie die Schritte 1—7 für alle Rechenumgebungen, die die serviceverknüpfte Rolle verwenden, in allen Regionen.
### Löschen einer serviceverknüpften Rolle in IAM (Konsole)
Sie können die IAM-Konsole für das Löschen einer serviceverknüpften Rolle verwenden.
**So löschen Sie eine serviceverknüpfte Rolle (Konsole)**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Wählen Sie im Navigationsbereich der IAM Console **Roles** (Rollen) aus. Aktivieren Sie dann das Kontrollkästchen neben AWSServiceRoleForBatch, nicht den Namen oder die Zeile selbst.
1. Wählen Sie **Delete role (Rolle löschen)** aus.
1. Überprüfen Sie im Bestätigungsdialogfeld die letzten Service-Zugriffsdaten, die zeigen, wann jede der ausgewählten Rollen zuletzt auf einen AWS-Service zugegriffen hat. Auf diese Weise können Sie leichter bestätigen, ob die Rolle derzeit aktiv ist. Wenn Sie fortfahren möchten, wählen Sie **Yes, Delete** aus, um die serviceverknüpfte Rolle zur Löschung zu übermitteln.
1. Sehen Sie sich die Benachrichtigungen in der IAM-Konsole an, um den Fortschritt der Löschung der serviceverknüpften Rolle zu überwachen. Da die Löschung der serviceverknüpften IAM-Rolle asynchron erfolgt, kann die Löschung nach dem Übermitteln der Rolle für die Löschung erfolgreich sein oder fehlschlagen.
+ Wenn der Vorgang erfolgreich ist, wird die Rolle aus der Liste entfernt und eine Benachrichtigung des Erfolgs oben auf der Seite angezeigt.
+ Wenn der Vorgang fehlschlägt, können Sie in den Benachrichtigungen **View details** oder **View Resources** auswählen, um zu erfahren, warum die Löschung fehlgeschlagen ist. Wenn die Löschung fehlschlägt, weil die Rolle Ressourcen des Services verwendet, enthält die Benachrichtigung eine Liste der Ressourcen – sofern der Service diese Informationen zurückgibt. Sie können dann [die Ressourcen bereinigen](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-review-before-delete) und die Löschung erneut durchführen.
**Anmerkung**
Möglicherweise müssen Sie diesen Vorgang abhängig von den Informationen, die der Service zurückgibt, mehrmals wiederholen. Ihre serviceverknüpfte Rolle könnte beispielsweise sechs Ressourcen verwenden und Ihr Service Informationen zu fünf davon zurückgeben. Wenn Sie die fünf Ressourcen bereinigen und die Rolle erneut für den Löschvorgang übermitteln, schlägt die Löschung fehl und der Service gibt die eine verbleibende Ressource zurück. Ein Service kann alle Ressourcen zurückgeben oder nur einige bzw. gar keine.
+ Wenn die Aufgabe fehlschlägt und die Benachrichtigung keine Liste der Ressourcen enthält, gibt der Service möglicherweise diese Informationen nicht zurück. Informationen zum Bereinigen von Ressourcen für diesen Service finden Sie unter [AWS-Services , die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Um die Dokumentation der serviceverknüpften Rolle für den Service anzuzeigen, suchen Sie Ihren Service in der Tabelle und wählen Sie den Link **Yes**.
### Löschen einer serviceverknüpften Rolle in IAM ()AWS CLI
Sie können IAM-Befehle von verwenden, um eine dienstverknüpfte AWS Command Line Interface Rolle zu löschen.
**So löschen Sie eine serviceverknüpfte Rolle (CLI)**
1. Da eine serviceverknüpfte Rolle nicht gelöscht werden kann, wenn sie verwendet wird oder ihr Ressourcen zugeordnet sind, müssen Sie eine Löschungsanforderung übermitteln. Diese Anforderung kann verweigert werden, wenn diese Bedingungen nicht erfüllt sind. Sie benötigen die `deletion-task-id` aus der Antwort, um den Status der Löschaufgabe zu überprüfen. Geben Sie den folgenden Befehl ein, um eine Löschanforderung für eine serviceverknüpfte Rolle zu übermitteln:
```
$ aws iam delete-service-linked-role --role-name AWSServiceRoleForBatch
```
1. Verwenden Sie den folgenden Befehl, um den Status der Löschaufgabe zu überprüfen:
```
$ aws iam get-service-linked-role-deletion-status --deletion-task-id deletion-task-id
```
Der Status der Löschaufgabe kann `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED` oder `FAILED` lauten. Wenn die Löschung fehlschlägt, gibt der Aufruf den Grund zurück, sodass Sie das Problem beheben können. Wenn die Löschung fehlschlägt, weil die Rolle Ressourcen des Services verwendet, enthält die Benachrichtigung eine Liste der Ressourcen – sofern der Service diese Informationen zurückgibt. Sie können dann [die Ressourcen bereinigen](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-review-before-delete) und die Löschung erneut durchführen.
**Anmerkung**
Möglicherweise müssen Sie diesen Vorgang abhängig von den Informationen, die der Service zurückgibt, mehrmals wiederholen. Ihre serviceverknüpfte Rolle könnte beispielsweise sechs Ressourcen verwenden und Ihr Service Informationen zu fünf davon zurückgeben. Wenn Sie die fünf Ressourcen bereinigen und die Rolle erneut für den Löschvorgang übermitteln, schlägt die Löschung fehl und der Service gibt die eine verbleibende Ressource zurück. Ein Dienst kann alle Ressourcen zurückgeben, einige davon. Oder es meldet möglicherweise keine Ressourcen. Informationen zum Bereinigen der Ressourcen für einen Dienst, der keine Ressourcen meldet, finden Sie unter [AWS Dienste, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Um die Dokumentation der serviceverknüpften Rolle für den Service anzuzeigen, suchen Sie Ihren Service in der Tabelle und wählen Sie den Link **Yes**.
### Löschen einer dienstverknüpften Rolle in IAM (API)AWS
Sie können die IAM-API für das Löschen einer serviceverknüpften Rolle verwenden.
**So löschen Sie eine serviceverknüpfte Rolle (API)**
1. Um eine Löschanfrage für eine serviceverknüpfte Rolle zu übermitteln, rufen Sie [DeleteServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceLinkedRole.html) auf. Geben Sie in der Anfrage den AWSService RoleForBatch Rollennamen an.
Da eine serviceverknüpfte Rolle nicht gelöscht werden kann, wenn sie verwendet wird oder ihr Ressourcen zugeordnet sind, müssen Sie eine Löschungsanforderung übermitteln. Diese Anforderung kann verweigert werden, wenn diese Bedingungen nicht erfüllt sind. Sie benötigen die `DeletionTaskId` aus der Antwort, um den Status der Löschaufgabe zu überprüfen.
1. Um den Status der Löschung zu überprüfen, rufen Sie [GetServiceLinkedRoleDeletionStatus](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLinkedRoleDeletionStatus.html) auf. Geben Sie in der Anforderung die `DeletionTaskId` an.
Der Status der Löschaufgabe kann `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED` oder `FAILED` lauten. Wenn die Löschung fehlschlägt, gibt der Aufruf den Grund zurück, sodass Sie das Problem beheben können. Wenn die Löschung fehlschlägt, weil die Rolle Ressourcen des Services verwendet, enthält die Benachrichtigung eine Liste der Ressourcen – sofern der Service diese Informationen zurückgibt. Sie können dann [die Ressourcen bereinigen](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-review-before-delete) und die Löschung erneut durchführen.
**Anmerkung**
Möglicherweise müssen Sie diesen Vorgang abhängig von den Informationen, die der Service zurückgibt, mehrmals wiederholen. Ihre serviceverknüpfte Rolle könnte beispielsweise sechs Ressourcen verwenden und Ihr Service Informationen zu fünf davon zurückgeben. Wenn Sie die fünf Ressourcen bereinigen und die Rolle erneut für den Löschvorgang übermitteln, schlägt die Löschung fehl und der Service gibt die eine verbleibende Ressource zurück. Ein Service kann alle Ressourcen zurückgeben oder nur einige bzw. gar keine. Informationen zum Bereinigen von Ressourcen für einen Service, der keine Ressourcen meldet, finden Sie unter [AWS-Services , die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Um die Dokumentation der serviceverknüpften Rolle für den Service anzuzeigen, suchen Sie Ihren Service in der Tabelle und wählen Sie den Link **Yes**.
## Unterstützte Regionen für AWS Batch serviceverknüpfte Rollen
AWS Batch unterstützt die Verwendung von dienstbezogenen Rollen in allen Regionen, in denen der Dienst verfügbar ist. Weitere Informationen finden Sie unter [AWS Batch -Endpunkte](https://docs.aws.amazon.com/general/latest/gr/batch.html#batch_region).
# Verwendung von Rollen für AWS Batch mit KI SageMaker
AWS Batch verwendet AWS Identity and Access Management (IAM) [serviceverknüpfte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Rollen. Eine serviceverknüpfte Rolle ist ein einzigartiger Typ von IAM-Rolle, mit der direkt verknüpft ist. AWS Batch Mit Diensten verknüpfte Rollen sind vordefiniert AWS Batch und enthalten alle Berechtigungen, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.
Eine dienstbezogene Rolle AWS Batch erleichtert die Einrichtung, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. AWS Batch definiert die Berechtigungen ihrer dienstbezogenen Rollen und AWS Batch kann, sofern nicht anders definiert, nur ihre Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesen werden.
Sie können eine serviceverknüpfte Rolle erst löschen, nachdem ihre verwandten Ressourcen gelöscht wurden. Dadurch werden Ihre AWS Batch Ressourcen geschützt, da Sie nicht versehentlich die Zugriffsberechtigung für die Ressourcen entziehen können.
**Informationen zu anderen Diensten, die dienstverknüpfte Rollen unterstützen, finden Sie unter [AWS Dienste, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie in der Spalte Dienstverknüpfte Rollen nach den Diensten, für die **Ja steht**.** Wählen Sie über einen Link **Ja** aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.
## Berechtigungen für dienstverknüpfte Rollen AWS Batch
AWS Batch verwendet die dienstbezogene Rolle mit dem Namen **AWSServiceRoleForAWSBatchWithSagemaker**— Ermöglicht es AWS Batch , SageMaker Schulungsjobs in Ihrem Namen in die Warteschlange zu stellen und zu verwalten.
Die AWSService RoleFor AWSBatch WithSagemaker dienstbezogene Rolle vertraut darauf, dass die folgenden Dienste die Rolle übernehmen:
+ `sagemaker-queuing.batch.amazonaws.com`
Die Richtlinie für Rollenberechtigungen AWS Batch ermöglicht es, die folgenden Aktionen für die angegebenen Ressourcen durchzuführen:
+ `sagemaker`— Ermöglicht AWS Batch die Verwaltung von SageMaker Schulungsjobs, die Transformation von Jobs und andere SageMaker KI-Ressourcen.
+ `iam:PassRole`— Ermöglicht AWS Batch die Übergabe von kundendefinierten Ausführungsrollen an SageMaker KI zur Auftragsausführung. Die Ressourcenbeschränkung ermöglicht die Übergabe von Rollen an SageMaker KI-Dienste.
Sie müssen Berechtigungen konfigurieren, damit eine Benutzer, Gruppen oder Rollen eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen können. Weitere Informationen finden Sie unter [serviceverknüpfte Rollenberechtigung](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*.
## Erstellen einer dienstbezogenen Rolle für AWS Batch
Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie eine Serviceumgebung mithilfe von `CreateServiceEnvironment` in AWS-Managementkonsole, der oder der AWS API erstellen AWS CLI, AWS Batch wird die dienstbezogene Rolle für Sie erstellt.
Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie mit, eine Serviceumgebung erstellen`CreateServiceEnvironment`, AWS Batch wird die dienstverknüpfte Rolle erneut für Sie erstellt.
Informationen zum JSON-Format für die Richtlinie finden Sie [AWSBatchServiceRolePolicyForSageMaker](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBatchServiceRolePolicyForSageMaker.html)im [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html)
## Bearbeitung einer serviceverknüpften Rolle für AWS Batch
AWS Batch erlaubt es Ihnen nicht, die AWSService RoleFor AWSBatch WithSagemaker dienstbezogene Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
## Löschen einer dienstbezogenen Rolle für AWS Batch
Wenn Sie ein Feature oder einen Service, die bzw. der eine serviceverknüpfte Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte Entität, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch Ihre serviceverknüpfte Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.
### Bereinigen einer serviceverknüpften Rolle
Bevor Sie IAM verwenden können, um eine dienstverknüpfte Rolle zu löschen, müssen Sie zunächst bestätigen, dass die Rolle keine aktiven Sitzungen hat, und alle Dienstumgebungen, die die Rolle verwenden, in allen AWS Regionen auf einer einzigen Partition löschen.
**So überprüfen Sie, ob die serviceverknüpfte Rolle über eine aktive Sitzung verfügt**
1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.
1. Wählen Sie im Navigationsbereich **Rollen** und dann den AWSService RoleFor AWSBatch WithSagemaker Namen aus (nicht das Kontrollkästchen).
1. Wählen Sie auf der Seite **Summary** **Access Advisor** und überprüfen Sie die letzten Aktivitäten auf die serviceverknüpfte Rolle.
**Anmerkung**
Wenn Sie nicht wissen, ob die AWSService RoleFor AWSBatch WithSagemaker Rolle verwendet AWS Batch wird, können Sie versuchen, die Rolle zu löschen. Wenn der Dienst die Rolle verwendet, kann die Rolle nicht gelöscht werden. Sie können die Regionen anzeigen, in denen die Rolle verwendet wird. Wenn die Rolle verwendet wird, müssen Sie warten, bis die Sitzung beendet wird, bevor Sie die Rolle löschen können. Die Sitzung für eine serviceverknüpfte Rolle können Sie nicht widerrufen.
**Um AWS Batch Ressourcen zu entfernen, die von der AWSService RoleFor AWSBatch WithSagemaker serviceverknüpften Rolle verwendet werden**
Sie müssen alle Auftragswarteschlangen von allen Serviceumgebungen trennen. Anschließend müssen Sie alle Serviceumgebungen löschen, die die AWSService RoleFor AWSBatch WithSagemaker Rolle in allen AWS Regionen verwenden, bevor Sie die Rolle löschen können. AWSService RoleFor AWSBatch WithSagemaker
1. Öffnen Sie die AWS Batch Konsole unter. [https://console.aws.amazon.com/batch/](https://console.aws.amazon.com/batch/)
1. Wählen Sie die zu verwendende Region in der Navigationsleiste aus.
1. Wählen Sie im Navigationsbereich **Umgebungen** und dann **Serviceumgebungen** aus.
1. Wählen Sie alle **Serviceumgebungen** aus.
1. Wählen Sie **Disable ** (deaktivieren) aus. Warten Sie, bis der **Status** auf **DEAKTIVIERT** wechselt.
1. Wählen Sie die Serviceumgebung aus.
1. Wählen Sie **Löschen** aus. Bestätigen Sie, dass Sie die Serviceumgebung löschen möchten, indem **Sie Serviceumgebung löschen** wählen.
1. Wiederholen Sie die Schritte 1—7 für alle Serviceumgebungen, die die serviceverknüpfte Rolle verwenden, in allen Regionen.
### Löschen einer serviceverknüpften Rolle in IAM (Konsole)
Sie können die IAM-Konsole für das Löschen einer serviceverknüpften Rolle verwenden.
**So löschen Sie eine serviceverknüpfte Rolle (Konsole)**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Wählen Sie im Navigationsbereich der IAM Console **Roles** (Rollen) aus. Aktivieren Sie dann das Kontrollkästchen neben AWSService RoleFor AWSBatchWithSagemaker, nicht den Namen oder die Zeile selbst.
1. Wählen Sie **Delete role (Rolle löschen)** aus.
1. Überprüfen Sie im Bestätigungsdialogfeld die letzten Service-Zugriffsdaten, die zeigen, wann jede der ausgewählten Rollen zuletzt auf einen AWS-Service zugegriffen hat. Auf diese Weise können Sie leichter bestätigen, ob die Rolle derzeit aktiv ist. Wenn Sie fortfahren möchten, wählen Sie **Yes, Delete** aus, um die serviceverknüpfte Rolle zur Löschung zu übermitteln.
1. Sehen Sie sich die Benachrichtigungen in der IAM-Konsole an, um den Fortschritt der Löschung der serviceverknüpften Rolle zu überwachen. Da die Löschung der serviceverknüpften IAM-Rolle asynchron erfolgt, kann die Löschung nach dem Übermitteln der Rolle für die Löschung erfolgreich sein oder fehlschlagen.
+ Wenn der Vorgang erfolgreich ist, wird die Rolle aus der Liste entfernt und eine Benachrichtigung des Erfolgs oben auf der Seite angezeigt.
+ Wenn der Vorgang fehlschlägt, können Sie in den Benachrichtigungen **View details** oder **View Resources** auswählen, um zu erfahren, warum die Löschung fehlgeschlagen ist. Wenn die Löschung fehlschlägt, weil die Rolle Ressourcen des Services verwendet, enthält die Benachrichtigung eine Liste der Ressourcen – sofern der Service diese Informationen zurückgibt. Sie können dann [die Ressourcen bereinigen](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-review-before-delete) und die Löschung erneut durchführen.
**Anmerkung**
Möglicherweise müssen Sie diesen Vorgang abhängig von den Informationen, die der Service zurückgibt, mehrmals wiederholen. Ihre serviceverknüpfte Rolle könnte beispielsweise sechs Ressourcen verwenden und Ihr Service Informationen zu fünf davon zurückgeben. Wenn Sie die fünf Ressourcen bereinigen und die Rolle erneut für den Löschvorgang übermitteln, schlägt die Löschung fehl und der Service gibt die eine verbleibende Ressource zurück. Ein Service kann alle Ressourcen zurückgeben oder nur einige bzw. gar keine.
+ Wenn die Aufgabe fehlschlägt und die Benachrichtigung keine Liste der Ressourcen enthält, gibt der Service möglicherweise diese Informationen nicht zurück. Informationen zum Bereinigen von Ressourcen für diesen Service finden Sie unter [AWS-Services , die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Um die Dokumentation der serviceverknüpften Rolle für den Service anzuzeigen, suchen Sie Ihren Service in der Tabelle und wählen Sie den Link **Yes**.
### Löschen einer serviceverknüpften Rolle in IAM ()AWS CLI
Sie können IAM-Befehle von verwenden, um eine dienstverknüpfte AWS Command Line Interface Rolle zu löschen.
**So löschen Sie eine serviceverknüpfte Rolle (CLI)**
1. Da eine serviceverknüpfte Rolle nicht gelöscht werden kann, wenn sie verwendet wird oder ihr Ressourcen zugeordnet sind, müssen Sie eine Löschungsanforderung übermitteln. Diese Anforderung kann verweigert werden, wenn diese Bedingungen nicht erfüllt sind. Sie benötigen die `deletion-task-id` aus der Antwort, um den Status der Löschaufgabe zu überprüfen. Geben Sie den folgenden Befehl ein, um eine Löschanforderung für eine serviceverknüpfte Rolle zu übermitteln:
```
$ aws iam delete-service-linked-role --role-name AWSServiceRoleForAWSBatchWithSagemaker
```
1. Verwenden Sie den folgenden Befehl, um den Status der Löschaufgabe zu überprüfen:
```
$ aws iam get-service-linked-role-deletion-status --deletion-task-id deletion-task-id
```
Der Status der Löschaufgabe kann `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED` oder `FAILED` lauten. Wenn die Löschung fehlschlägt, gibt der Aufruf den Grund zurück, sodass Sie das Problem beheben können. Wenn die Löschung fehlschlägt, weil die Rolle Ressourcen des Services verwendet, enthält die Benachrichtigung eine Liste der Ressourcen – sofern der Service diese Informationen zurückgibt. Sie können dann [die Ressourcen bereinigen](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-review-before-delete) und die Löschung erneut durchführen.
**Anmerkung**
Möglicherweise müssen Sie diesen Vorgang abhängig von den Informationen, die der Service zurückgibt, mehrmals wiederholen. Ihre serviceverknüpfte Rolle könnte beispielsweise sechs Ressourcen verwenden und Ihr Service Informationen zu fünf davon zurückgeben. Wenn Sie die fünf Ressourcen bereinigen und die Rolle erneut für den Löschvorgang übermitteln, schlägt die Löschung fehl und der Service gibt die eine verbleibende Ressource zurück. Ein Dienst kann alle Ressourcen zurückgeben, einige davon. Oder es meldet möglicherweise keine Ressourcen. Informationen zum Bereinigen der Ressourcen für einen Dienst, der keine Ressourcen meldet, finden Sie unter [AWS Dienste, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Um die Dokumentation der serviceverknüpften Rolle für den Service anzuzeigen, suchen Sie Ihren Service in der Tabelle und wählen Sie den Link **Yes**.
### Löschen einer dienstverknüpften Rolle in IAM (API)AWS
Sie können die IAM-API für das Löschen einer serviceverknüpften Rolle verwenden.
**So löschen Sie eine serviceverknüpfte Rolle (API)**
1. Um eine Löschanfrage für eine serviceverknüpfte Rolle zu übermitteln, rufen Sie [DeleteServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceLinkedRole.html) auf. Geben Sie in der Anfrage den AWSService RoleFor AWSBatch WithSagemaker Rollennamen an.
Da eine serviceverknüpfte Rolle nicht gelöscht werden kann, wenn sie verwendet wird oder ihr Ressourcen zugeordnet sind, müssen Sie eine Löschungsanforderung übermitteln. Diese Anforderung kann verweigert werden, wenn diese Bedingungen nicht erfüllt sind. Sie benötigen die `DeletionTaskId` aus der Antwort, um den Status der Löschaufgabe zu überprüfen.
1. Um den Status der Löschung zu überprüfen, rufen Sie [GetServiceLinkedRoleDeletionStatus](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLinkedRoleDeletionStatus.html) auf. Geben Sie in der Anforderung die `DeletionTaskId` an.
Der Status der Löschaufgabe kann `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED` oder `FAILED` lauten. Wenn die Löschung fehlschlägt, gibt der Aufruf den Grund zurück, sodass Sie das Problem beheben können. Wenn die Löschung fehlschlägt, weil die Rolle Ressourcen des Services verwendet, enthält die Benachrichtigung eine Liste der Ressourcen – sofern der Service diese Informationen zurückgibt. Sie können dann [die Ressourcen bereinigen](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-review-before-delete) und die Löschung erneut durchführen.
**Anmerkung**
Möglicherweise müssen Sie diesen Vorgang abhängig von den Informationen, die der Service zurückgibt, mehrmals wiederholen. Ihre serviceverknüpfte Rolle könnte beispielsweise sechs Ressourcen verwenden und Ihr Service Informationen zu fünf davon zurückgeben. Wenn Sie die fünf Ressourcen bereinigen und die Rolle erneut für den Löschvorgang übermitteln, schlägt die Löschung fehl und der Service gibt die eine verbleibende Ressource zurück. Ein Service kann alle Ressourcen zurückgeben oder nur einige bzw. gar keine. Informationen zum Bereinigen von Ressourcen für einen Service, der keine Ressourcen meldet, finden Sie unter [AWS-Services , die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Um die Dokumentation der serviceverknüpften Rolle für den Service anzuzeigen, suchen Sie Ihren Service in der Tabelle und wählen Sie den Link **Yes**.
## Unterstützte Regionen für AWS Batch serviceverknüpfte Rollen
AWS Batch unterstützt die Verwendung von dienstbezogenen Rollen in allen Regionen, in denen der Dienst verfügbar ist. Weitere Informationen finden Sie unter [AWS Batch -Endpunkte](https://docs.aws.amazon.com/general/latest/gr/batch.html#batch_region).
# Amazon ECS-Instance-Rolle
AWS Batch Rechenumgebungen sind mit Amazon ECS-Container-Instances gefüllt. Sie führen den Amazon ECS-Container-Agenten lokal aus. Der Amazon ECS-Container-Agent ruft in Ihrem Namen verschiedene AWS API-Operationen auf. Daher benötigen Container-Instances, auf denen der Agent ausgeführt wird, eine IAM-Richtlinie und eine IAM-Rolle, damit diese Services erkennen, dass der Agent Ihnen gehört. Sie müssen eine IAM-Rolle und ein Instance-Profil erstellen, damit die Container-Instances sie beim Start verwenden können. Andernfalls können Sie keine Rechenumgebung erstellen und Container-Instances darin starten. Diese Anforderung gilt für Container-Instances, die mit oder ohne das von Amazon bereitgestellte Amazon ECS-optimierte AMI gestartet wurden. Weitere Informationen finden Sie unter [Amazon ECS-Instance-Rolle](#instance_IAM_role) im *Entwicklerhandbuch für Amazon Elastic Container Service*.
**Topics**
+ [Überprüfen Sie die Amazon ECS-Instance-Rolle Ihres Kontos](batch-check-ecsinstancerole.md)
# Überprüfen Sie die Amazon ECS-Instance-Rolle Ihres Kontos
Die Amazon ECS-Instance-Rolle und das Instance-Profil werden in der ersten Ausführung der Konsole automatisch für Sie erstellt. Sie können jedoch diesen Schritten folgen, um zu überprüfen, ob Ihr Konto bereits über die Amazon ECS-Instance-Rolle und das Instance-Profil verfügt. In den folgenden Schritten wird auch beschrieben, wie Sie die verwaltete IAM-Richtlinie anhängen.
**Tutorial: Suchen Sie `ecsInstanceRole` in der IAM-Konsole nach**
1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.
1. Wählen Sie im Navigationsbereich **Rollen**.
1. Suchen Sie in der Liste der Rollen nach `ecsInstanceRole`. Wenn die Rolle nicht existiert, gehen Sie wie folgt vor, um die Rolle zu erstellen.
1. Wählen Sie **Rolle erstellen** aus.
1. Wählen Sie für **Vertrauenswürdige Entität** die Option **AWS-Service** aus.
1. Wählen Sie für **allgemeine Anwendungsfälle** **EC2** aus.
1. Wählen Sie **Weiter** aus.
1. Suchen **Sie für Berechtigungsrichtlinien** nach **Amazon EC2 ContainerServicefor EC2 Role**.
1. Aktivieren Sie das Kontrollkästchen neben **Amazon EC2 ContainerServicefor EC2 Role** und wählen Sie dann **Weiter**.
1. Geben Sie unter **Role Name (Rollenname)** den Namen `ecsInstanceRole` ein und wählen Sie **Create role (Rolle erstellen)** aus.
**Anmerkung**
Wenn Sie die verwenden AWS-Managementkonsole , um eine Rolle für Amazon EC2 zu erstellen, erstellt die Konsole ein Instance-Profil mit demselben Namen wie die Rolle.
Alternativ können Sie die verwenden, AWS CLI um die `ecsInstanceRole` IAM-Rolle zu erstellen. Im folgenden Beispiel wird eine IAM-Rolle mit einer Vertrauensrichtlinie und einer AWS verwalteten Richtlinie erstellt.
**Tutorial: Erstellen Sie eine IAM-Rolle und ein Instanzprofil ()AWS CLI**
1. Erstellen Sie die folgende Vertrauensrichtlinie und speichern Sie sie in einer Textdatei mit dem Namen`ecsInstanceRole-role-trust-policy.json`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": { "Service": "ec2.amazonaws.com"},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Verwenden Sie den Befehl [create-role](https://docs.aws.amazon.com/cli/latest/reference/iam/create-role.html), um die `ecsInstanceRole` Rolle zu erstellen. Geben Sie den Speicherort der Vertrauensrichtlinien-Datei im Parameter an`assume-role-policy-document`.
```
$ aws iam create-role \
--role-name ecsInstanceRole \
--assume-role-policy-document file://ecsInstanceRole-role-trust-policy.json
```
1. Verwenden Sie den [create-instance-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/create-instance-profile.html)Befehl, um ein benanntes Instanzprofil zu erstellen`ecsInstanceRole`.
**Anmerkung**
Sie müssen Rollen und Instanzprofile als separate Aktionen in der AWS CLI AWS AND-API erstellen.
```
$ aws iam create-instance-profile --instance-profile-name ecsInstanceRole
```
Nachfolgend finden Sie eine Beispielantwort.
```
{
"InstanceProfile": {
"Path": "/",
"InstanceProfileName": "ecsInstanceRole",
"InstanceProfileId": "AIPAT46P5RDITREXAMPLE",
"Arn": "arn:aws:iam::123456789012:instance-profile/ecsInstanceRole",
"CreateDate": "2022-06-30T23:53:34.093Z",
"Roles": [], }
}
```
1. Verwenden Sie den Befehl [ add-role-to-instance-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/add-role-to-instance-profile.html), um die `ecsInstanceRole` Rolle zum `ecsInstanceRole` Instanzprofil hinzuzufügen.
```
aws iam add-role-to-instance-profile \
--role-name ecsInstanceRole --instance-profile-name ecsInstanceRole
```
1. Verwenden Sie den [attach-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-role-policy.html)Befehl, um die `AmazonEC2ContainerServiceforEC2Role` AWS verwaltete Richtlinie an die `ecsInstanceRole` Rolle anzuhängen.
```
$ aws iam attach-role-policy \
--policy-arn arn:aws:iam::aws:policy/service-role/AmazonEC2ContainerServiceforEC2Role \
--role-name ecsInstanceRole
```
# Rolle der Amazon EC2-Spotflotte
Wenn Sie eine verwaltete Rechenumgebung erstellen, die Amazon EC2 Spot Fleet Instances verwendet, müssen Sie die `AmazonEC2SpotFleetTaggingRole` Richtlinie erstellen. Diese Richtlinie erteilt Spot Fleet die Erlaubnis, Instances in Ihrem Namen zu starten, zu kennzeichnen und zu beenden. Legen Sie die Rolle in Ihrer Spot-Flottenanforderung fest. Sie müssen außerdem über die Rollen **AWSServiceRoleForEC2Spot** und **AWSServiceRoleForEC2SpotFleet**serviceverknüpfte Rollen für Amazon EC2 Spot und Spot Fleet verfügen. Verwenden Sie die folgende Anleitung, um all diese Rollen zu erstellen. Weitere Informationen finden Sie unter [Verwenden von dienstbezogenen Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) und [Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS Dienst](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) im *IAM-Benutzerhandbuch*.
**Topics**
+ [Erstellen Sie Amazon EC2-Spot-Flottenrollen in der AWS-Managementkonsole](spot-fleet-roles-console.md)
+ [Erstellen Sie Amazon EC2-Spot-Flottenrollen mit dem AWS CLI](spot-fleet-roles-cli.md)
# Erstellen Sie Amazon EC2-Spot-Flottenrollen in der AWS-Managementkonsole
**So erstellen Sie die serviceverknüpfte `AmazonEC2SpotFleetTaggingRole` IAM-Rolle für Amazon EC2 Spot Fleet**
1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.
1. **Wählen Sie für **Access Management die Option** Rollen,**
1. Wählen Sie für **Rollen** die Option **Rolle erstellen** aus.
1. **Wählen Sie unter Vertrauenswürdige Entität** auswählen für **Vertrauenswürdigen Entitätstyp** die Option aus **AWS-Service**.
1. Wählen **Sie für Anwendungsfälle für andere AWS-Services** die Option **EC2** und dann **EC2 — Spot Fleet** Tagging aus.
1. Wählen Sie **Weiter** aus.
1. Überprüfen Sie unter **Berechtigungsrichtlinien** für den **Richtliniennamen den Wert**. `AmazonEC2SpotFleetTaggingRole`
1. Wählen Sie **Weiter** aus.
1. **Überprüfen und erstellen Sie für Name**:
1. Geben Sie **unter Rollenname** einen Namen ein, um die Rolle zu identifizieren.
1. Geben Sie unter **Beschreibung** eine kurze Erklärung für die Richtlinie ein.
1. (Optional) **Wählen Sie für Schritt 1: Vertrauenswürdige Entitäten** auswählen und **Bearbeiten** aus, um den Code zu ändern.
1. (Optional) Wählen Sie für **Schritt 2: Berechtigungen hinzufügen** die Option **Bearbeiten** aus, um den Code zu ändern.
1. (Optional) Wählen **Sie unter Tags hinzufügen** die Option **Tag hinzufügen** aus, um der Ressource Tags hinzuzufügen.
1. Wählen Sie **Rolle erstellen** aus.
**Anmerkung**
In der Vergangenheit gab es zwei verwaltete Richtlinien für die Amazon EC2 Spot Fleet-Rolle.
**Amazon EC2 SpotFleetRole**: Dies ist die ursprünglich verwaltete Richtlinie für die Spot-Flottenrolle. Wir empfehlen jedoch nicht mehr, sie zusammen mit zu verwenden AWS Batch. Diese Richtlinie unterstützt kein Spot-Instance-Tagging in Rechenumgebungen, das für die Verwendung der `AWSServiceRoleForBatch` serviceverknüpften Rolle erforderlich ist. Wenn Sie zuvor eine Spot-Flottenrolle mit dieser Richtlinie erstellt haben, wenden Sie die neue empfohlene Richtlinie auf diese Rolle an. Weitere Informationen finden Sie unter [Spot-Instances wurden bei der Erstellung nicht markiert](spot-instance-no-tag.md).
**Amazon EC2 SpotFleetTaggingRole**: Diese Rolle bietet alle erforderlichen Berechtigungen, um Amazon EC2-Spot-Instances zu taggen. Verwenden Sie diese Rolle, um Spot-Instance-Tagging in Ihren AWS Batch Computerumgebungen zu ermöglichen.
# Erstellen Sie Amazon EC2-Spot-Flottenrollen mit dem AWS CLI
**So erstellen Sie die **Amazon EC2 SpotFleetTaggingRole** IAM-Rolle für Ihre Spot-Flotte-Rechenumgebungen**
1. Führen Sie den folgenden Befehl mit dem AWS CLI aus.
```
$ aws iam create-role --role-name AmazonEC2SpotFleetTaggingRole \
--assume-role-policy-document '{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "spotfleet.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}'
```
1. Um die von **Amazon EC2 SpotFleetTaggingRole** verwaltete IAM-Richtlinie an Ihre **EC2SpotFleetTaggingRoleAmazon-Rolle** anzuhängen, führen Sie den folgenden Befehl mit dem AWS CLI aus.
```
$ aws iam attach-role-policy \
--policy-arn \
arn:aws:iam::aws:policy/service-role/AmazonEC2SpotFleetTaggingRole \
--role-name \
AmazonEC2SpotFleetTaggingRole
```
**So erstellen Sie die serviceverknüpfte `AWSServiceRoleForEC2Spot` IAM-Rolle für Amazon EC2 Spot**
**Anmerkung**
Wenn die serviceverknüpfte `AWSServiceRoleForEC2Spot` IAM-Rolle bereits existiert, wird Ihnen eine Fehlermeldung angezeigt, die der folgenden ähnelt.
```
An error occurred (InvalidInput) when calling the CreateServiceLinkedRole operation:
Service role name AWSServiceRoleForEC2Spot has been taken in this account, please try a different suffix.
```
+ Führen Sie den folgenden Befehl mit dem aus. AWS CLI
```
$ aws iam create-service-linked-role --aws-service-name spot.amazonaws.com
```
**So erstellen Sie die serviceverknüpfte `AWSServiceRoleForEC2SpotFleet` IAM-Rolle für Amazon EC2 Spot Fleet**
**Anmerkung**
Wenn die serviceverknüpfte `AWSServiceRoleForEC2SpotFleet` IAM-Rolle bereits existiert, wird eine Fehlermeldung angezeigt, die der folgenden ähnelt.
```
An error occurred (InvalidInput) when calling the CreateServiceLinkedRole operation:
Service role name AWSServiceRoleForEC2SpotFleet has been taken in this account, please try a different suffix.
```
+ Führen Sie den folgenden Befehl mit dem aus. AWS CLI
```
$ aws iam create-service-linked-role --aws-service-name spotfleet.amazonaws.com
```
# EventBridge IAM-Rolle
Amazon EventBridge liefert nahezu in Echtzeit einen Stream von Systemereignissen, die Änderungen an AWS Ressourcen beschreiben. AWS Batch Jobs sind als EventBridge Ziele verfügbar. Mit einfachen, schnell eingerichteten Regeln können Sie Ereignisse zuordnen und in Reaktion darauf AWS Batch -Aufträge ausführen. Bevor Sie AWS Batch Jobs mit EventBridge Regeln und Zielen einreichen können, EventBridge müssen Sie über die erforderlichen Berechtigungen verfügen, um AWS Batch Jobs in Ihrem Namen auszuführen.
**Anmerkung**
Wenn Sie in der EventBridge Konsole eine Regel erstellen, die eine AWS Batch Warteschlange als Ziel angibt, können Sie diese Rolle erstellen. Ein Beispiel-Walkthrough finden Sie unter [AWS Batch Jobs als EventBridge Ziele](batch-cwe-target.md). Sie können die EventBridge Rolle manuell mithilfe der IAM-Konsole erstellen. Anweisungen finden Sie im IAM-Benutzerhandbuch unter [Erstellen einer Rolle mithilfe benutzerdefinierter Vertrauensrichtlinien (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html).
Die Vertrauensstellung für Ihre EventBridge IAM-Rolle muss dem `events.amazonaws.com` Dienstprinzipal die Möglichkeit geben, die Rolle zu übernehmen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "events.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Stellen Sie sicher, dass die mit Ihrer EventBridge IAM-Rolle verknüpfte Richtlinie `batch:SubmitJob` Berechtigungen für Ihre Ressourcen zulässt. Im folgenden Beispiel wird die `AWSBatchServiceEventTargetRole` verwaltete Richtlinie zur Bereitstellung dieser Berechtigungen bereitgestellt. AWS Batch
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:SubmitJob"
],
"Resource": "*"
}
]
}
```
------