Verwenden von serviceverknüpften Rollen für AWS Batch - AWS Batch
Berechtigungen für dienstverknüpfte Rollen für AWS BatchErstellen einer dienstbezogenen Rolle für AWS BatchBearbeitung einer serviceverknüpften Rolle für AWS BatchLöschen einer serviceverknüpften Rolle für AWS BatchUnterstützte Regionen für AWS Batch dienstbezogene Rollen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden von serviceverknüpften Rollen für AWS Batch

AWS Batch verwendet AWS Identity and Access Management (IAM) dienstbezogene Rollen. Eine dienstbezogene Rolle ist ein einzigartiger Rollentyp, mit dem direkt verknüpft ist. IAM AWS Batch Mit Diensten verknüpfte Rollen sind vordefiniert AWS Batch und enthalten alle Berechtigungen, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.

Eine dienstbezogene Rolle AWS Batch erleichtert die Einrichtung, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. AWS Batch definiert die Berechtigungen ihrer dienstbezogenen Rollen und AWS Batch kann, sofern nicht anders definiert, nur ihre Rollen übernehmen. Zu den definierten Berechtigungen gehören die Vertrauensrichtlinie und die Berechtigungsrichtlinie, und diese Berechtigungsrichtlinie kann keiner anderen IAM Entität zugeordnet werden.

Anmerkung

Führen Sie einen der folgenden Schritte aus, um eine Servicerolle für eine AWS Batch Rechenumgebung anzugeben.

  • Verwenden Sie eine leere Zeichenfolge für die Servicerolle. Auf diese Weise können AWS Batch Sie die Servicerolle erstellen.

  • Geben Sie die Servicerolle im folgenden Format an:arn:aws:iam::account_number:role/aws-service-role/batch.amazonaws.com/AWSServiceRoleForBatch.

Weitere Informationen finden Sie Falscher Rollenname oder ARN im AWS Batch Benutzerhandbuch.

Sie können eine serviceverknüpfte Rolle erst löschen, nachdem ihre verwandten Ressourcen gelöscht wurden. Dies schützt Ihre AWS Batch -Ressourcen, da Sie nicht versehentlich die Berechtigung für den Zugriff auf die Ressourcen entfernen können.

Informationen zu anderen Diensten, die dienstverknüpfte Rollen unterstützen, finden Sie unter AWS Dienste, die mit Diensten funktionieren, IAM und suchen Sie in der Spalte Serviceverknüpfte Rolle nach den Diensten, für die Ja steht. Wählen Sie über einen Link Ja aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.

Berechtigungen für dienstverknüpfte Rollen für AWS Batch

AWS Batch verwendet die benannte dienstverknüpfte Rolle. AWSServiceRoleForBatch Die AWSServiceRoleForBatchRolle ermöglicht es AWS Batch , AWS Ressourcen in Ihrem Namen zu erstellen und zu verwalten.

Die AWSServiceRoleForBatchdienstbezogene Rolle vertraut darauf, dass der batch.amazonaws.com Dienstprinzipal die Rolle übernimmt.

Mit der genannten IAM Richtlinie BatchServiceRolePolicykönnen AWS Batch die folgenden Aktionen für bestimmte Ressourcen ausgeführt werden:

  • autoscaling— Ermöglicht das AWS Batch Erstellen und Verwalten von Amazon EC2 Auto Scaling Scaling-Ressourcen. AWS Batch erstellt und verwaltet Amazon EC2 Auto Scaling Scaling-Gruppen für die meisten Computerumgebungen.

  • ec2— Ermöglicht AWS Batch die Kontrolle des Lebenszyklus von EC2 Amazon-Instances sowie die Erstellung und Verwaltung von Startvorlagen und Tags. AWS Batch erstellt und verwaltet EC2 Spot-Flottenanfragen für einige EC2 Spot-Computerumgebungen.

  • ecs- Ermöglicht AWS Batch die Erstellung und Verwaltung von ECS Amazon-Clustern, Aufgabendefinitionen und Aufgaben für die Auftragsausführung.

  • eks- Ermöglicht AWS Batch die Beschreibung der EKS Amazon-Cluster-Ressource für Validierungen.

  • iam- Ermöglicht AWS Batch die Validierung und Weitergabe von Rollen, die vom Eigentümer bereitgestellt wurden, an AmazonEC2, Amazon EC2 Auto Scaling und AmazonECS.

  • logs— Ermöglicht AWS Batch das Erstellen und Verwalten von Protokollgruppen und Protokollströmen für AWS Batch Jobs.

Sie müssen Berechtigungen konfigurieren, damit eine IAM Entität (z. B. ein Benutzer, eine Gruppe oder eine Rolle) eine dienstbezogene Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter Berechtigungen für dienstverknüpfte Rollen im IAMBenutzerhandbuch.

Erstellen einer dienstbezogenen Rolle für AWS Batch

Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie CreateComputeEnvironment in der AWS Management Console AWS CLI, der oder der AWS API sind und keinen Wert für den serviceRole Parameter angeben, AWS Batch wird die dienstverknüpfte Rolle für Sie erstellt.

Wichtig

Diese serviceverknüpfte Rolle kann in Ihrem Konto erscheinen, wenn Sie eine Aktion in einem anderen Service abgeschlossen haben, der die von dieser Rolle unterstützten Features verwendet. Außerdem, wenn Sie den AWS Batch Dienst vor dem 10. März 2021 genutzt haben, als er begann, dienstbezogene Rollen zu unterstützen, dann AWS Batch haben Sie die AWSServiceRoleForBatch Rolle in Ihrem Konto erstellt. Weitere Informationen findest du unter Eine neue Rolle wurde in „Mein IAM Konto“ angezeigt.

Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie CreateComputeEnvironment, AWS Batch erstellt die serviceverknüpfte Rolle erneut für Sie.

Bearbeitung einer serviceverknüpften Rolle für AWS Batch

Mit AWS Batch können Sie die AWSServiceRoleForBatch dienstverknüpfte Rolle nicht bearbeiten. Nachdem Sie eine serviceverknüpfte Rolle erstellt haben, können Sie den Namen der Rolle nicht mehr ändern, da verschiedene Entitäten auf die Rolle verweisen könnten. Sie können die Beschreibung der Rolle jedoch mithilfe IAM von bearbeiten. Weitere Informationen finden Sie unter Bearbeiten einer serviceverknüpften Rolle im IAMBenutzerhandbuch.

Um es einer IAM Entität zu ermöglichen, die Beschreibung der AWSServiceRoleForBatch dienstbezogenen Rolle zu bearbeiten

Fügen Sie der Berechtigungsrichtlinie die folgende Anweisung hinzu. Dadurch kann die IAM Entität die Beschreibung einer dienstbezogenen Rolle bearbeiten.

{
    "Effect": "Allow",
    "Action": [
        "iam:UpdateRoleDescription"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/batch.amazonaws.com/AWSServiceRoleForBatch",
    "Condition": {"StringLike": {"iam:AWSServiceName": "batch.amazonaws.com"}}
}

Löschen einer serviceverknüpften Rolle für AWS Batch

Wir empfehlen, dass Sie diese Rolle löschen, wenn Sie eine Funktion oder einen Dienst nicht mehr verwenden müssen, für den eine dienstbezogene Rolle erforderlich ist. Auf diese Weise verfügen Sie nicht über eine ungenutzte Entität, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpfte Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.

Um es einer IAM Entität zu ermöglichen, die mit dem AWSServiceRoleForBatch Dienst verknüpfte Rolle zu löschen

Fügen Sie der Berechtigungsrichtlinie die folgende Anweisung hinzu. Dadurch kann die IAM Entität eine dienstverknüpfte Rolle löschen.

{
    "Effect": "Allow",
    "Action": [
        "iam:DeleteServiceLinkedRole",
        "iam:GetServiceLinkedRoleDeletionStatus"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/batch.amazonaws.com/AWSServiceRoleForBatch",
    "Condition": {"StringLike": {"iam:AWSServiceName": "batch.amazonaws.com"}}
}

Bereinigen einer serviceverknüpften Rolle

Bevor Sie eine dienstverknüpfte Rolle löschen können, müssen Sie zunächst bestätigen, dass die Rolle keine aktiven Sitzungen hat, und alle AWS Batch Computerumgebungen, die die Rolle verwenden, in allen AWS Regionen auf einer einzigen Partition löschen. IAM

So überprüfen Sie, ob die serviceverknüpfte Rolle über eine aktive Sitzung verfügt

  1. Öffnen Sie die IAM Konsole unter. https://console.aws.amazon.com/iam/

  2. Wählen Sie im Navigationsbereich Rollen und dann den AWSServiceRoleForBatch Namen aus (nicht das Kontrollkästchen).

  3. Wählen Sie auf der Seite Summary Access Advisor und überprüfen Sie die letzten Aktivitäten auf die serviceverknüpfte Rolle.

    Anmerkung

    Wenn Sie nicht wissen, ob die AWSServiceRoleForBatch Rolle verwendet AWS Batch wird, können Sie versuchen, die Rolle zu löschen. Wenn der Dienst die Rolle verwendet, kann die Rolle nicht gelöscht werden. Sie können die Regionen anzeigen, in denen die Rolle verwendet wird. Wenn die Rolle verwendet wird, müssen Sie warten, bis die Sitzung beendet wird, bevor Sie die Rolle löschen können. Die Sitzung für eine serviceverknüpfte Rolle können Sie nicht widerrufen.

Um AWS Batch Ressourcen zu entfernen, die von der AWSServiceRoleForBatch serviceverknüpften Rolle verwendet werden

Sie müssen alle AWS Batch Rechenumgebungen, die die AWSServiceRoleForBatch Rolle verwenden, in allen AWS Regionen löschen, bevor Sie die AWSServiceRoleForBatch Rolle löschen können.

  1. Öffnen Sie die AWS Batch Konsole unter https://console.aws.amazon.com/batch/.

  2. Wählen Sie die zu verwendende Region in der Navigationsleiste aus.

  3. Wählen Sie im Navigationsbereich Datenverarbeitungs-Umgebungen aus.

  4. Wählen Sie die Rechenumgebung aus.

  5. Wählen Sie Disable (deaktivieren) aus. Warten Sie, bis der Status geändert wird DISABLED.

  6. Wählen Sie die Rechenumgebung aus.

  7. Wählen Sie Löschen. Bestätigen Sie, dass Sie die Rechenumgebung löschen möchten, indem Sie Rechenumgebung löschen wählen.

  8. Wiederholen Sie die Schritte 1—7 für alle Rechenumgebungen, die die serviceverknüpfte Rolle verwenden, in allen Regionen.

Löschen einer serviceverknüpften Rolle in IAM (Konsole)

Sie können die IAM Konsole verwenden, um eine dienstverknüpfte Rolle zu löschen.

So löschen Sie eine serviceverknüpfte Rolle (Konsole)

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich der IAM Konsole Rollen aus. Aktivieren Sie dann das Kontrollkästchen neben AWSServiceRoleForBatch, nicht den Namen oder die Zeile selbst.

  3. Wählen Sie Delete role (Rolle löschen) aus.

  4. Überprüfen Sie im Bestätigungsdialogfeld die letzten Service-Zugriffsdaten, die zeigen, wann jede der ausgewählten Rollen zuletzt auf einen AWS -Service zugegriffen hat. Auf diese Weise können Sie leichter bestätigen, ob die Rolle derzeit aktiv ist. Wenn Sie fortfahren möchten, wählen Sie Yes, Delete aus, um die serviceverknüpfte Rolle zur Löschung zu übermitteln.

  5. Sehen Sie sich die IAM Konsolenbenachrichtigungen an, um den Fortschritt beim Löschen der serviceverknüpften Rolle zu verfolgen. Da das Löschen der IAM dienstbezogenen Rolle asynchron erfolgt, kann die Löschaufgabe erfolgreich sein oder fehlschlagen, nachdem Sie die Rolle zum Löschen eingereicht haben.

    • Wenn der Vorgang erfolgreich ist, wird die Rolle aus der Liste entfernt und eine Benachrichtigung des Erfolgs oben auf der Seite angezeigt.

    • Wenn der Vorgang fehlschlägt, können Sie in den Benachrichtigungen View details oder View Resources auswählen, um zu erfahren, warum die Löschung fehlgeschlagen ist. Wenn die Löschung fehlschlägt, weil die Rolle Ressourcen des Services verwendet, enthält die Benachrichtigung eine Liste der Ressourcen – sofern der Service diese Informationen zurückgibt. Sie können dann die Ressourcen bereinigen und die Löschung erneut durchführen.

      Anmerkung

      Möglicherweise müssen Sie diesen Vorgang abhängig von den Informationen, die der Service zurückgibt, mehrmals wiederholen. Ihre serviceverknüpfte Rolle könnte beispielsweise sechs Ressourcen verwenden und Ihr Service Informationen zu fünf davon zurückgeben. Wenn Sie die fünf Ressourcen bereinigen und die Rolle erneut für den Löschvorgang übermitteln, schlägt die Löschung fehl und der Service gibt die eine verbleibende Ressource zurück. Ein Service kann alle Ressourcen zurückgeben oder nur einige bzw. gar keine.

    • Wenn die Aufgabe fehlschlägt und die Benachrichtigung keine Liste der Ressourcen enthält, gibt der Service möglicherweise diese Informationen nicht zurück. Um zu erfahren, wie Sie die Ressourcen für diesen Dienst bereinigen können, sehen Sie AWS -Services sich an, wie Sie mit arbeiten können. IAM Um die Dokumentation der serviceverknüpften Rolle für den Service anzuzeigen, suchen Sie Ihren Service in der Tabelle und wählen Sie den Link Yes.

Löschen einer mit einem Dienst verknüpften Rolle in IAM ()AWS CLI

Sie können IAM Befehle von verwenden, AWS Command Line Interface um eine dienstverknüpfte Rolle zu löschen.

Um eine dienstverknüpfte Rolle zu löschen () CLI

  1. Da eine serviceverknüpfte Rolle nicht gelöscht werden kann, wenn sie verwendet wird oder ihr Ressourcen zugeordnet sind, müssen Sie eine Löschungsanforderung übermitteln. Diese Anforderung kann verweigert werden, wenn diese Bedingungen nicht erfüllt sind. Sie benötigen die deletion-task-id aus der Antwort, um den Status der Löschaufgabe zu überprüfen. Geben Sie den folgenden Befehl ein, um eine Löschanforderung für eine serviceverknüpfte Rolle zu übermitteln:

    $ aws iam delete-service-linked-role --role-name AWSServiceRoleForBatch

  2. Verwenden Sie den folgenden Befehl, um den Status der Löschaufgabe zu überprüfen:

    $ aws iam get-service-linked-role-deletion-status --deletion-task-id deletion-task-id

    Der Status der Löschaufgabe kann NOT_STARTED, IN_PROGRESS, SUCCEEDED oder FAILED lauten. Wenn die Löschung fehlschlägt, gibt der Aufruf den Grund zurück, sodass Sie das Problem beheben können. Wenn die Löschung fehlschlägt, weil die Rolle Ressourcen des Services verwendet, enthält die Benachrichtigung eine Liste der Ressourcen – sofern der Service diese Informationen zurückgibt. Sie können dann die Ressourcen bereinigen und die Löschung erneut durchführen.

    Anmerkung

    Möglicherweise müssen Sie diesen Vorgang abhängig von den Informationen, die der Service zurückgibt, mehrmals wiederholen. Ihre serviceverknüpfte Rolle könnte beispielsweise sechs Ressourcen verwenden und Ihr Service Informationen zu fünf davon zurückgeben. Wenn Sie die fünf Ressourcen bereinigen und die Rolle erneut für den Löschvorgang übermitteln, schlägt die Löschung fehl und der Service gibt die eine verbleibende Ressource zurück. Ein Dienst kann alle Ressourcen zurückgeben, einige davon. Oder es meldet möglicherweise keine Ressourcen. Informationen zum Bereinigen der Ressourcen für einen Dienst, der keine Ressourcen meldet, finden Sie unter AWS Dienste, die mit funktionieren IAM. Um die Dokumentation der serviceverknüpften Rolle für den Service anzuzeigen, suchen Sie Ihren Service in der Tabelle und wählen Sie den Link Yes.

Löschen einer mit einem Dienst verknüpften Rolle in IAM ()AWS API

Sie können die verwenden IAMAPI, um eine dienstverknüpfte Rolle zu löschen.

Um eine dienstverknüpfte Rolle zu löschen () API

  1. Rufen Sie an, um einen Löschantrag für eine dienstbezogene Rolle einzureichen. DeleteServiceLinkedRole Geben Sie in der Anfrage den AWSServiceRoleForBatch Rollennamen an.

    Da eine serviceverknüpfte Rolle nicht gelöscht werden kann, wenn sie verwendet wird oder ihr Ressourcen zugeordnet sind, müssen Sie eine Löschungsanforderung übermitteln. Diese Anforderung kann verweigert werden, wenn diese Bedingungen nicht erfüllt sind. Sie benötigen die DeletionTaskId aus der Antwort, um den Status der Löschaufgabe zu überprüfen.

  2. Rufen Sie an, um den Status des Löschvorgangs zu überprüfen GetServiceLinkedRoleDeletionStatus. Geben Sie in der Anforderung die DeletionTaskId an.

    Der Status der Löschaufgabe kann NOT_STARTED, IN_PROGRESS, SUCCEEDED oder FAILED lauten. Wenn die Löschung fehlschlägt, gibt der Aufruf den Grund zurück, sodass Sie das Problem beheben können. Wenn die Löschung fehlschlägt, weil die Rolle Ressourcen des Services verwendet, enthält die Benachrichtigung eine Liste der Ressourcen – sofern der Service diese Informationen zurückgibt. Sie können dann die Ressourcen bereinigen und die Löschung erneut durchführen.

    Anmerkung

    Möglicherweise müssen Sie diesen Vorgang abhängig von den Informationen, die der Service zurückgibt, mehrmals wiederholen. Ihre serviceverknüpfte Rolle könnte beispielsweise sechs Ressourcen verwenden und Ihr Service Informationen zu fünf davon zurückgeben. Wenn Sie die fünf Ressourcen bereinigen und die Rolle erneut für den Löschvorgang übermitteln, schlägt die Löschung fehl und der Service gibt die eine verbleibende Ressource zurück. Ein Service kann alle Ressourcen zurückgeben oder nur einige bzw. gar keine. Informationen zum Bereinigen der Ressourcen für einen Dienst, der keine Ressourcen meldet AWS -Services , finden Sie unter Arbeiten mit IAM. Um die Dokumentation der serviceverknüpften Rolle für den Service anzuzeigen, suchen Sie Ihren Service in der Tabelle und wählen Sie den Link Yes.

Unterstützte Regionen für AWS Batch dienstbezogene Rollen

AWS Batch unterstützt die Verwendung von dienstbezogenen Rollen in allen Regionen, in denen der Dienst verfügbar ist. Weitere Informationen finden Sie unter AWS Batch -Endpunkte.