AWS Identity and Access Management Berechtigungen in AWS ParallelCluster - AWS ParallelCluster

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS Identity and Access Management Berechtigungen in AWS ParallelCluster

AWS ParallelCluster verwendet IAM-Berechtigungen, um den Zugriff auf Ressourcen bei der Erstellung und Verwaltung von Clustern zu steuern.

Um Cluster in einem AWS Konto zu erstellen und zu verwalten, AWS ParallelCluster sind Berechtigungen auf zwei Ebenen erforderlich:
  • Berechtigungen, die der pcluster Benutzer benötigt, um die pcluster CLI-Befehle zum Erstellen und Verwalten von Clustern aufzurufen.

  • Berechtigungen, die die Clusterressourcen für die Ausführung von Clusteraktionen benötigen.

AWS ParallelCluster verwendet ein Amazon EC2 EC2-Instance-Profil und eine Rolle, um Cluster-Ressourcenberechtigungen bereitzustellen. Für die Verwaltung von Cluster-Ressourcenberechtigungen sind AWS ParallelCluster auch Berechtigungen für IAM-Ressourcen erforderlich. Weitere Informationen finden Sie unter AWS ParallelCluster Benutzerbeispielrichtlinien für die Verwaltung von IAM-Ressourcen.

pclusterBenutzer benötigen IAM-Berechtigungen, um die pcluster CLI zum Erstellen und Verwalten eines Clusters und seiner Ressourcen zu verwenden. Diese Berechtigungen sind in IAM-Richtlinien enthalten, die einem Benutzer oder einer Rolle hinzugefügt werden können. Weitere Informationen zu IAM-Rollen finden Sie unter Erstellen einer Benutzerrolle im AWS Identity and Access Management Benutzerhandbuch.

Sie können auch AWS ParallelCluster Konfigurationsparameter zur Verwaltung von IAM-Berechtigungen verwenden.

Die folgenden Abschnitte enthalten die erforderlichen Berechtigungen mit Beispielen.

Um die Beispielrichtlinien zu verwenden <REGION><AWS ACCOUNT ID>, ersetzen Sie die Zeichenfolgen und ähnliche Zeichenfolgen durch die entsprechenden Werte.

Die folgenden Beispielrichtlinien beinhalten Amazon Resource Names (ARNs) für die Ressourcen. Wenn Sie in den Partitionen AWS GovCloud (US) oder AWS China arbeiten, müssen die ARNs geändert werden. Insbesondere müssen sie von „arn:aws“ auf „arn:aws-us-gov“ für die AWS GovCloud (US) Partition oder „arn:aws-cn“ für die China-Partition geändert werden. AWS Weitere Informationen finden Sie unter Amazon Resource Names (ARNs) in AWS GovCloud (US) Regionen im AWS GovCloud (US) Benutzerhandbuch und ARNs für AWS Services in China unter Erste Schritte mit AWS Services in China.

Sie können Änderungen an den Beispielrichtlinien in der AWS ParallelCluster Dokumentation unter nachverfolgen. GitHub

AWS ParallelCluster Amazon EC2 EC2-Instance-Rollen

Wenn Sie einen Cluster mit den Standardkonfigurationseinstellungen erstellen, AWS ParallelCluster verwendet Amazon EC2 EC2-Instance-Profile, um automatisch eine standardmäßige Cluster-Amazon EC2-Instance-Rolle zu erstellen, die die für die Erstellung und Verwaltung des Clusters und seiner Ressourcen erforderlichen Berechtigungen bereitstellt.

Alternativen zur Verwendung der Standard-Instance-Rolle AWS ParallelCluster

Anstelle der AWS ParallelCluster Standard-Instanzrolle können Sie die InstanceRole Cluster-Konfigurationseinstellung verwenden, um Ihre eigene bestehende IAM-Rolle für EC2 anzugeben. Weitere Informationen finden Sie unter AWS ParallelCluster Konfigurationsparameter zur Verwaltung von IAM-Berechtigungen. In der Regel geben Sie vorhandene IAM-Rollen an, um die EC2 erteilten Berechtigungen vollständig zu kontrollieren.

Wenn Sie beabsichtigen, der Standard-Instance-Rolle zusätzliche Richtlinien hinzuzufügen, empfehlen wir Ihnen, die zusätzlichen IAM-Richtlinien mithilfe der AdditionalIamPoliciesKonfigurationseinstellung anstelle der InstanceProfile Einstellungen oder zu übergeben. InstanceRole Sie können aktualisieren, AdditionalIamPolicies wenn Sie Ihren Cluster aktualisieren, jedoch nicht, InstanceRole wenn Sie Ihren Cluster aktualisieren.

AWS ParallelCluster Beispiele pcluster für Benutzerrichtlinien

Die folgenden Beispiele zeigen die Benutzerrichtlinien, die für die Erstellung AWS ParallelCluster und Verwaltung der zugehörigen Ressourcen mithilfe der pcluster CLI erforderlich sind. Sie können Richtlinien an einen Benutzer oder eine Rolle anhängen.

AWS ParallelCluster pclusterGrundlegende Benutzerrichtlinie

Die folgende Richtlinie zeigt die Berechtigungen, die zum Ausführen von AWS ParallelCluster pcluster Befehlen erforderlich sind.

Die letzte in der Richtlinie aufgeführte Aktion dient der Überprüfung aller in der Clusterkonfiguration angegebenen Geheimnisse. Beispielsweise wird ein AWS Secrets Manager Geheimnis verwendet, um die DirectoryServiceIntegration zu konfigurieren. In diesem Fall wird ein Cluster nur erstellt, wenn ein gültiges Geheimnis im vorhanden ist PasswordSecretArn. Wenn diese Aktion ausgelassen wird, wird die geheime Überprüfung übersprungen. Um Ihre Sicherheitslage zu verbessern, empfehlen wir, dass Sie diese Richtlinienerklärung einschränken und nur die in Ihrer Clusterkonfiguration angegebenen Geheimnisse hinzufügen.

Anmerkung

Wenn bestehende Amazon EFS-Dateisysteme die einzigen Dateisysteme sind, die in Ihrem Cluster verwendet werden, können Sie die Amazon EFS-Beispielrichtlinien auf die spezifischen Dateisysteme beschränken, auf die in SharedStorage Abschnitt der Cluster-Konfigurationsdatei verwiesen wird.

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ec2:Describe*" ], "Resource": "*", "Effect": "Allow", "Sid": "EC2Read" }, { "Action": [ "ec2:AllocateAddress", "ec2:AssociateAddress", "ec2:AttachNetworkInterface", "ec2:AuthorizeSecurityGroupEgress", "ec2:AuthorizeSecurityGroupIngress", "ec2:CreateFleet", "ec2:CreateLaunchTemplate", "ec2:CreateLaunchTemplateVersion", "ec2:CreateNetworkInterface", "ec2:CreatePlacementGroup", "ec2:CreateSecurityGroup", "ec2:CreateSnapshot", "ec2:CreateTags", "ec2:DeleteTags", "ec2:CreateVolume", "ec2:DeleteLaunchTemplate", "ec2:DeleteNetworkInterface", "ec2:DeletePlacementGroup", "ec2:DeleteSecurityGroup", "ec2:DeleteVolume", "ec2:DisassociateAddress", "ec2:ModifyLaunchTemplate", "ec2:ModifyNetworkInterfaceAttribute", "ec2:ModifyVolume", "ec2:ModifyVolumeAttribute", "ec2:ReleaseAddress", "ec2:RevokeSecurityGroupEgress", "ec2:RevokeSecurityGroupIngress", "ec2:RunInstances", "ec2:TerminateInstances" ], "Resource": "*", "Effect": "Allow", "Sid": "EC2Write" }, { "Action": [ "dynamodb:DescribeTable", "dynamodb:ListTagsOfResource", "dynamodb:CreateTable", "dynamodb:DeleteTable", "dynamodb:GetItem", "dynamodb:PutItem", "dynamodb:UpdateItem", "dynamodb:Query", "dynamodb:TagResource" ], "Resource": "arn:aws:dynamodb:*:<AWS ACCOUNT ID>:table/parallelcluster-*", "Effect": "Allow", "Sid": "DynamoDB" }, { "Action": [ "route53:ChangeResourceRecordSets", "route53:ChangeTagsForResource", "route53:CreateHostedZone", "route53:DeleteHostedZone", "route53:GetChange", "route53:GetHostedZone", "route53:ListResourceRecordSets", "route53:ListQueryLoggingConfigs" ], "Resource": "*", "Effect": "Allow", "Sid": "Route53HostedZones" }, { "Action": [ "cloudformation:*" ], "Resource": "*", "Effect": "Allow", "Sid": "CloudFormation" }, { "Action": [ "cloudwatch:PutDashboard", "cloudwatch:ListDashboards", "cloudwatch:DeleteDashboards", "cloudwatch:GetDashboard", "cloudwatch:PutMetricAlarm", "cloudwatch:DeleteAlarms", "cloudwatch:DescribeAlarms" "cloudwatch:PutCompositeAlarm" ], "Resource": "*", "Effect": "Allow", "Sid": "CloudWatch" }, { "Action": [ "iam:GetRole", "iam:GetRolePolicy", "iam:GetPolicy", "iam:SimulatePrincipalPolicy", "iam:GetInstanceProfile" ], "Resource": [ "arn:aws:iam::<AWS ACCOUNT ID>:role/*", "arn:aws:iam::<AWS ACCOUNT ID>:policy/*", "arn:aws:iam::aws:policy/*", "arn:aws:iam::<AWS ACCOUNT ID>:instance-profile/*" ], "Effect": "Allow", "Sid": "IamRead" }, { "Action": [ "iam:CreateInstanceProfile", "iam:DeleteInstanceProfile", "iam:AddRoleToInstanceProfile", "iam:RemoveRoleFromInstanceProfile" ], "Resource": [ "arn:aws:iam::<AWS ACCOUNT ID>:instance-profile/parallelcluster/*" ], "Effect": "Allow", "Sid": "IamInstanceProfile" }, { "Condition": { "StringEqualsIfExists": { "iam:PassedToService": [ "lambda.amazonaws.com", "ec2.amazonaws.com", "spotfleet.amazonaws.com" ] } }, "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::<AWS ACCOUNT ID>:role/parallelcluster/*" ], "Effect": "Allow", "Sid": "IamPassRole" }, { "Action": [ "lambda:CreateFunction", "lambda:DeleteFunction", "lambda:GetFunctionConfiguration", "lambda:GetFunction", "lambda:InvokeFunction", "lambda:AddPermission", "lambda:RemovePermission", "lambda:UpdateFunctionConfiguration", "lambda:TagResource", "lambda:ListTags", "lambda:UntagResource" ], "Resource": [ "arn:aws:lambda:*:<AWS ACCOUNT ID>:function:parallelcluster-*", "arn:aws:lambda:*:<AWS ACCOUNT ID>:function:pcluster-*" ], "Effect": "Allow", "Sid": "Lambda" }, { "Action": [ "s3:*" ], "Resource": [ "arn:aws:s3:::parallelcluster-*", "arn:aws:s3:::aws-parallelcluster-*" ], "Effect": "Allow", "Sid": "S3ResourcesBucket" }, { "Action": [ "s3:Get*", "s3:List*" ], "Resource": "arn:aws:s3:::*-aws-parallelcluster*", "Effect": "Allow", "Sid": "S3ParallelClusterReadOnly" }, { "Action": [ "elasticfilesystem:*" ], "Resource": [ "arn:aws:elasticfilesystem:*:<AWS ACCOUNT ID>:*" ], "Effect": "Allow", "Sid": "EFS" }, { "Action": [ "logs:DeleteLogGroup", "logs:PutRetentionPolicy", "logs:DescribeLogGroups", "logs:CreateLogGroup", "logs:TagResource", "logs:UntagResource", "logs:FilterLogEvents", "logs:GetLogEvents", "logs:CreateExportTask", "logs:DescribeLogStreams", "logs:DescribeExportTasks", "logs:DescribeMetricFilters", "logs:PutMetricFilter", "logs:DeleteMetricFilter" ], "Resource": "*", "Effect": "Allow", "Sid": "CloudWatchLogs" }, { "Action": [ "resource-groups:ListGroupResources" ], "Resource": "*", "Effect": "Allow", "Sid": "ResourceGroupRead" }, { "Sid": "AllowDescribingFileCache", "Effect": "Allow", "Action": [ "fsx:DescribeFileCaches" ], "Resource": "*" }, { "Action": "secretsmanager:DescribeSecret", "Resource": "arn:aws:secretsmanager:<REGION>:<AWS ACCOUNT ID>:secret:<SECRET NAME>", "Effect": "Allow" } ] }

Zusätzliche AWS ParallelCluster pcluster Benutzerrichtlinie bei der Verwendung des AWS Batch Schedulers

Falls Sie einen Cluster mit AWS Batch Scheduler erstellen und verwalten müssen, ist die folgende zusätzliche Richtlinie erforderlich.

{ "Version": "2012-10-17", "Statement": [ { "Condition": { "StringEqualsIfExists": { "iam:PassedToService": [ "ecs-tasks.amazonaws.com", "batch.amazonaws.com", "codebuild.amazonaws.com" ] } }, "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::<AWS ACCOUNT ID>:role/parallelcluster/*" ], "Effect": "Allow", "Sid": "IamPassRole" }, { "Condition": { "StringEquals": { "iam:AWSServiceName": [ "batch.amazonaws.com" ] } }, "Action": [ "iam:CreateServiceLinkedRole", "iam:DeleteServiceLinkedRole" ], "Resource": [ "arn:aws:iam::<AWS ACCOUNT ID>:role/aws-service-role/batch.amazonaws.com/*" ], "Effect": "Allow" }, { "Action": [ "codebuild:*" ], "Resource": "arn:aws:codebuild:*:<AWS ACCOUNT ID>:project/pcluster-*", "Effect": "Allow" }, { "Action": [ "ecr:*" ], "Resource": "*", "Effect": "Allow", "Sid": "ECR" }, { "Action": [ "batch:*" ], "Resource": "*", "Effect": "Allow", "Sid": "Batch" }, { "Action": [ "events:*" ], "Resource": "*", "Effect": "Allow", "Sid": "AmazonCloudWatchEvents" }, { "Action": [ "ecs:DescribeContainerInstances", "ecs:ListContainerInstances" ], "Resource": "*", "Effect": "Allow", "Sid": "ECS" } ] }

Zusätzliche AWS ParallelCluster pcluster Benutzerrichtlinie bei der Verwendung von Amazon FSx for Lustre

Falls Sie einen Cluster mit Amazon FSx for Lustre erstellen und verwalten müssen, ist die folgende zusätzliche Richtlinie erforderlich.

Anmerkung

Wenn bestehende Amazon FSx-Dateisysteme die einzigen Dateisysteme sind, die in Ihrem Cluster verwendet werden, können Sie die Amazon FSx-Beispielrichtlinien auf die spezifischen Dateisysteme beschränken, auf die in SharedStorage Abschnitt der Cluster-Konfigurationsdatei verwiesen wird.

{ "Version": "2012-10-17", "Statement": [ { "Condition": { "StringEquals": { "iam:AWSServiceName": [ "fsx.amazonaws.com", "s3.data-source.lustre.fsx.amazonaws.com" ] } }, "Action": [ "iam:CreateServiceLinkedRole", "iam:DeleteServiceLinkedRole" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "fsx:*" ], "Resource": [ "arn:aws:fsx:*:<AWS ACCOUNT ID>:*" ], "Effect": "Allow", "Sid": "FSx" }, { "Action": [ "iam:CreateServiceLinkedRole", "iam:AttachRolePolicy", "iam:PutRolePolicy" ], "Resource": "arn:aws:iam::<AWS ACCOUNT ID>:role/aws-service-role/s3.data-source.lustre.fsx.amazonaws.com/*", "Effect": "Allow" }, { "Action": [ "s3:Get*", "s3:List*", "s3:PutObject" ], "Resource": "arn:aws:s3:::<S3 NAME>", "Effect": "Allow" } ] }

AWS ParallelCluster Benutzerrichtlinie zum Erstellen pcluster von Images

Benutzer, die beabsichtigen, benutzerdefinierte Amazon EC2 EC2-Images mit zu erstellen, AWS ParallelCluster müssen über die folgenden Berechtigungen verfügen.

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ec2:DescribeImages", "ec2:DescribeInstanceTypeOfferings", "ec2:DescribeInstanceTypes", "ec2:DeregisterImage", "ec2:DeleteSnapshot" ], "Resource": "*", "Effect": "Allow", "Sid": "EC2" }, { "Action": [ "iam:CreateInstanceProfile", "iam:AddRoleToInstanceProfile", "iam:GetRole", "iam:GetRolePolicy", "iam:GetInstanceProfile", "iam:RemoveRoleFromInstanceProfile" ], "Resource": [ "arn:aws:iam::<AWS ACCOUNT ID>:instance-profile/parallelcluster/*", "arn:aws:iam::<AWS ACCOUNT ID>:instance-profile/ParallelClusterImage*", "arn:aws:iam::<AWS ACCOUNT ID>:role/parallelcluster/*" ], "Effect": "Allow", "Sid": "IAM" }, { "Condition": { "StringEquals": { "iam:PassedToService": [ "lambda.amazonaws.com", "ec2.amazonaws.com" ] } }, "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::<AWS ACCOUNT ID>:instance-profile/parallelcluster/*", "arn:aws:iam::<AWS ACCOUNT ID>:role/parallelcluster/*" ], "Effect": "Allow", "Sid": "IAMPassRole" }, { "Action": [ "logs:CreateLogGroup", "logs:TagResource", "logs:UntagResource", "logs:DeleteLogGroup" ], "Resource": [ "arn:aws:logs:*:<AWS ACCOUNT ID>:log-group:/aws/imagebuilder/ParallelClusterImage-*", "arn:aws:logs:*:<AWS ACCOUNT ID>:log-group:/aws/lambda/ParallelClusterImage-*" ], "Effect": "Allow", "Sid": "CloudWatch" }, { "Action": [ "cloudformation:DescribeStacks", "cloudformation:CreateStack", "cloudformation:DeleteStack" ], "Resource": [ "arn:aws:cloudformation:*:<AWS ACCOUNT ID>:stack/*" ], "Effect": "Allow", "Sid": "CloudFormation" }, { "Action": [ "lambda:CreateFunction", "lambda:GetFunction", "lambda:AddPermission", "lambda:RemovePermission", "lambda:DeleteFunction", "lambda:TagResource", "lambda:ListTags", "lambda:UntagResource" ], "Resource": [ "arn:aws:lambda:*:<AWS ACCOUNT ID>:function:ParallelClusterImage-*" ], "Effect": "Allow", "Sid": "Lambda" }, { "Action": [ "imagebuilder:Get*" ], "Resource": "*", "Effect": "Allow", "Sid": "ImageBuilderGet" }, { "Action": [ "imagebuilder:CreateImage", "imagebuilder:TagResource", "imagebuilder:CreateImageRecipe", "imagebuilder:CreateComponent", "imagebuilder:CreateDistributionConfiguration", "imagebuilder:CreateInfrastructureConfiguration", "imagebuilder:DeleteImage", "imagebuilder:DeleteComponent", "imagebuilder:DeleteImageRecipe", "imagebuilder:DeleteInfrastructureConfiguration", "imagebuilder:DeleteDistributionConfiguration" ], "Resource": [ "arn:aws:imagebuilder:*:<AWS ACCOUNT ID>:image/parallelclusterimage-*", "arn:aws:imagebuilder:*:<AWS ACCOUNT ID>:image-recipe/parallelclusterimage-*", "arn:aws:imagebuilder:*:<AWS ACCOUNT ID>:component/parallelclusterimage-*", "arn:aws:imagebuilder:*:<AWS ACCOUNT ID>:distribution-configuration/parallelclusterimage-*", "arn:aws:imagebuilder:*:<AWS ACCOUNT ID>:infrastructure-configuration/parallelclusterimage-*" ], "Effect": "Allow", "Sid": "ImageBuilder" }, { "Action": [ "s3:CreateBucket", "s3:ListBucket", "s3:ListBucketVersions" ], "Resource": [ "arn:aws:s3:::parallelcluster-*" ], "Effect": "Allow", "Sid": "S3Bucket" }, { "Action": [ "sns:GetTopicAttributes", "sns:TagResource", "sns:CreateTopic", "sns:Subscribe", "sns:Publish", "SNS:DeleteTopic", "SNS:Unsubscribe" ], "Resource": [ "arn:aws:sns:*:<AWS ACCOUNT ID>:ParallelClusterImage-*" ], "Effect": "Allow", "Sid": "SNS" }, { "Action": [ "s3:PutObject", "s3:GetObject", "s3:GetObjectVersion", "s3:DeleteObject", "s3:DeleteObjectVersion" ], "Resource": [ "arn:aws:s3:::parallelcluster-*/*" ], "Effect": "Allow", "Sid": "S3Objects" }, { "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/imagebuilder.amazonaws.com/AWSServiceRoleForImageBuilder", "Condition": { "StringLike": { "iam:AWSServiceName": "imagebuilder.amazonaws.com" } } } ] }

AWS ParallelCluster Benutzerbeispielrichtlinien für die Verwaltung von IAM-Ressourcen

Bei der Erstellung von AWS ParallelCluster Clustern oder benutzerdefinierten AMIs müssen IAM-Richtlinien bereitgestellt werden, die Berechtigungen enthalten, um Komponenten die erforderlichen Berechtigungen zu AWS ParallelCluster gewähren. Diese IAM-Ressourcen können entweder automatisch von einem Cluster oder einem benutzerdefinierten Image erstellt werden AWS ParallelCluster oder als Eingabe bei der Erstellung eines Clusters oder eines benutzerdefinierten Images bereitgestellt werden.

Sie können die folgenden Modi verwenden, um dem AWS ParallelCluster Benutzer die für den Zugriff auf IAM-Ressourcen erforderlichen Berechtigungen zu gewähren, indem Sie zusätzliche IAM-Richtlinien in der Konfiguration verwenden.

Privilegierter IAM-Zugriffsmodus

In diesem Modus AWS ParallelCluster werden automatisch alle erforderlichen IAM-Ressourcen erstellt. Diese IAM-Richtlinien sind so begrenzt, dass sie nur den Zugriff auf Clusterressourcen ermöglichen.

Um den privilegierten IAM-Zugriffsmodus zu aktivieren, fügen Sie der Benutzerrolle die folgende Richtlinie hinzu.

Anmerkung

Wenn Sie die AdditionalPoliciesParameter HeadNode/Iam/AdditionalPoliciesoder Scheduling/SlurmQueues/Iam/konfigurieren, müssen Sie dem AWS ParallelCluster Benutzer die Erlaubnis erteilen, Rollenrichtlinien für jede weitere Richtlinie anzuhängen und zu trennen, wie in der folgenden Richtlinie dargestellt. Fügen Sie die zusätzlichen Richtlinien-ARNs zur Bedingung für das Anhängen und Trennen von Rollenrichtlinien hinzu.

Warnung

In diesem Modus erhält der Benutzer IAM-Administratorrechte in AWS-Konto

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "iam:CreateServiceLinkedRole", "iam:DeleteRole", "iam:TagRole" ], "Resource": [ "arn:aws:iam::<AWS ACCOUNT ID>:role/parallelcluster/*" ], "Effect": "Allow", "Sid": "IamRole" }, { "Action": [ "iam:CreateRole" ], "Resource": [ "arn:aws:iam::<AWS ACCOUNT ID>:role/parallelcluster/*" ], "Effect": "Allow", "Sid": "IamCreateRole" }, { "Action": [ "iam:PutRolePolicy", "iam:DeleteRolePolicy" ], "Resource": "arn:aws:iam::<AWS ACCOUNT ID>:role/parallelcluster/*", "Effect": "Allow", "Sid": "IamInlinePolicy" }, { "Condition": { "ArnLike": { "iam:PolicyARN": [ "arn:aws:iam::<AWS ACCOUNT ID>:policy/parallelcluster*", "arn:aws:iam::<AWS ACCOUNT ID>:policy/parallelcluster/*", "arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy", "arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore", "arn:aws:iam::aws:policy/AWSBatchFullAccess", "arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess", "arn:aws:iam::aws:policy/service-role/AWSBatchServiceRole", "arn:aws:iam::aws:policy/service-role/AmazonEC2ContainerServiceforEC2Role", "arn:aws:iam::aws:policy/service-role/AmazonECSTaskExecutionRolePolicy", "arn:aws:iam::aws:policy/service-role/AmazonEC2SpotFleetTaggingRole", "arn:aws:iam::aws:policy/EC2InstanceProfileForImageBuilder", "arn:aws:iam::aws:policy/service-role/AWSLambdaBasicExecutionRole" ] } }, "Action": [ "iam:AttachRolePolicy", "iam:DetachRolePolicy" ], "Resource": "arn:aws:iam::<AWS ACCOUNT ID>:role/parallelcluster/*", "Effect": "Allow", "Sid": "IamPolicy" } ] }

Eingeschränkter IAM-Zugriffsmodus

Wenn dem Benutzer keine zusätzlichen IAM-Richtlinien gewährt werden, müssen IAM-Rollen, die für Cluster oder benutzerdefinierte Image-Builds erforderlich sind, manuell von einem Administrator erstellt und als Teil der Clusterkonfiguration übergeben werden.

Bei der Erstellung eines Clusters sind die folgenden Parameter erforderlich:

Beim Erstellen eines benutzerdefinierten Images sind die folgenden Parameter erforderlich:

Die IAM-Rollen, die als Teil der oben aufgeführten Parameter übergeben wurden, müssen mit dem /parallelcluster/ Pfadpräfix erstellt werden. Wenn dies nicht möglich ist, muss die Benutzerrichtlinie aktualisiert werden, um iam:PassRole Berechtigungen für die spezifischen benutzerdefinierten Rollen zu gewähren, wie im folgenden Beispiel gezeigt.

{ "Condition": { "StringEqualsIfExists": { "iam:PassedToService": [ "ecs-tasks.amazonaws.com", "lambda.amazonaws.com", "ec2.amazonaws.com", "spotfleet.amazonaws.com", "batch.amazonaws.com", "codebuild.amazonaws.com" ] } }, "Action": [ "iam:PassRole" ], "Resource": [ <list all custom IAM roles> ], "Effect": "Allow", "Sid": "IamPassRole" }
Warnung

Derzeit erlaubt dieser Modus nicht die Verwaltung von AWS Batch Clustern, da nicht alle IAM-Rollen in der Clusterkonfiguration übergeben werden können.

Modus PermissionsBoundary

Dieser Modus delegiert an AWS ParallelCluster die Erstellung von IAM-Rollen, die an die konfigurierten IAM-Berechtigungsgrenzen gebunden sind. Weitere Informationen zu den IAM-Berechtigungsgrenzen finden Sie unter Berechtigungsgrenzen für IAM-Entitäten im IAM-Benutzerhandbuch.

Die folgende Richtlinie muss der Benutzerrolle hinzugefügt werden.

Ersetzen Sie in der Richtlinie < permissions-boundary-arn > durch den ARN der IAM-Richtlinie, der als Berechtigungsgrenze durchgesetzt werden soll.

Warnung

Wenn Sie die AdditionalPoliciesParameter HeadNode//AdditionalPoliciesoder Iam/Scheduling/SlurmQueuesIam/konfigurieren, müssen Sie dem Benutzer die Berechtigung erteilen, Rollenrichtlinien für jede weitere Richtlinie anzuhängen und zu trennen, wie in der folgenden Richtlinie dargestellt. Fügen Sie die zusätzlichen Richtlinien-ARNs zur Bedingung für das Anhängen und Trennen von Rollenrichtlinien hinzu.

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "iam:CreateServiceLinkedRole", "iam:DeleteRole", "iam:TagRole" ], "Resource": [ "arn:aws:iam::<AWS ACCOUNT ID>:role/parallelcluster/*" ], "Effect": "Allow", "Sid": "IamRole" }, { "Condition": { "StringEquals": { "iam:PermissionsBoundary": [ <permissions-boundary-arn> ] } }, "Action": [ "iam:CreateRole" ], "Resource": [ "arn:aws:iam::<AWS ACCOUNT ID>:role/parallelcluster/*" ], "Effect": "Allow", "Sid": "IamCreateRole" }, { "Condition": { "StringEquals": { "iam:PermissionsBoundary": [ <permissions-boundary-arn> ] } }, "Action": [ "iam:PutRolePolicy", "iam:DeleteRolePolicy" ], "Resource": "arn:aws:iam::<AWS ACCOUNT ID>:role/parallelcluster/*", "Effect": "Allow", "Sid": "IamInlinePolicy" }, { "Condition": { "StringEquals": { "iam:PermissionsBoundary": [ <permissions-boundary-arn> ] }, "ArnLike": { "iam:PolicyARN": [ "arn:aws:iam::<AWS ACCOUNT ID>:policy/parallelcluster*", "arn:aws:iam::<AWS ACCOUNT ID>:policy/parallelcluster/*", "arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy", "arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore", "arn:aws:iam::aws:policy/AWSBatchFullAccess", "arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess", "arn:aws:iam::aws:policy/service-role/AWSBatchServiceRole", "arn:aws:iam::aws:policy/service-role/AmazonEC2ContainerServiceforEC2Role", "arn:aws:iam::aws:policy/service-role/AmazonECSTaskExecutionRolePolicy", "arn:aws:iam::aws:policy/service-role/AmazonEC2SpotFleetTaggingRole", "arn:aws:iam::aws:policy/EC2InstanceProfileForImageBuilder", "arn:aws:iam::aws:policy/service-role/AWSLambdaBasicExecutionRole" ] } }, "Action": [ "iam:AttachRolePolicy", "iam:DetachRolePolicy" ], "Resource": "arn:aws:iam::<AWS ACCOUNT ID>:role/parallelcluster/*", "Effect": "Allow", "Sid": "IamPolicy" } ] }

Wenn dieser Modus aktiviert ist, müssen Sie den ARN für die Berechtigungsgrenze im PermissionsBoundaryKonfigurationsparameter Iam/angeben, wenn Sie einen Cluster erstellen oder aktualisieren, und im PermissionBoundaryParameter Build/Iam/, wenn Sie ein benutzerdefiniertes Image erstellen.

AWS ParallelCluster Konfigurationsparameter zur Verwaltung von IAM-Berechtigungen

AWS ParallelCluster stellt eine Reihe von Konfigurationsoptionen zur Anpassung und Verwaltung der IAM-Berechtigungen und -Rollen bereit, die in einem Cluster oder bei der Erstellung benutzerdefinierter AMIs verwendet werden.

Cluster-Konfiguration

IAM-Rolle für den Hauptknoten

HeadNode / Iam / InstanceRole | InstanceProfile

Mit dieser Option überschreiben Sie die Standard-IAM-Rolle, die dem Hauptknoten des Clusters zugewiesen ist. Weitere Informationen finden Sie in der InstanceProfileReferenz.

Im Folgenden finden Sie die Mindestanzahl an Richtlinien, die im Rahmen dieser Rolle verwendet werden müssen, wenn der Scheduler Slurm ist:

  • arn:aws:iam::aws:policy/CloudWatchAgentServerPolicyverwaltete IAM-Richtlinie. Weitere Informationen finden Sie im CloudWatch Amazon-Benutzerhandbuch unter Erstellen von IAM-Rollen und -Benutzern zur Verwendung mit dem CloudWatch Agenten.

  • arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCoreverwaltete IAM-Richtlinie. Weitere Informationen finden Sie AWS Systems Manager im AWS Systems Manager Benutzerhandbuch unter AWS Verwaltete Richtlinien für.

  • Zusätzliche IAM-Richtlinie:

    { "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:GetObject", "s3:GetObjectVersion" ], "Resource": [ "arn:aws:s3:::<REGION>-aws-parallelcluster/*", "arn:aws:s3:::dcv-license.<REGION>/*", "arn:aws:s3:::parallelcluster-*-v1-do-not-delete/*" ], "Effect": "Allow" }, { "Action": [ "dynamodb:GetItem", "dynamodb:PutItem", "dynamodb:UpdateItem", "dynamodb:BatchWriteItem", "dynamodb:BatchGetItem" ], "Resource": "arn:aws:dynamodb:<REGION>:<AWS ACCOUNT ID>:table/parallelcluster-*", "Effect": "Allow" }, { "Condition": { "StringEquals": { "ec2:ResourceTag/parallelcluster:node-type": "Compute" } }, "Action": "ec2:TerminateInstances", "Resource": "*", "Effect": "Allow" }, { "Action": [ "ec2:RunInstances", "ec2:CreateFleet" ] "Resource": "*", "Effect": "Allow" }, { "Condition": { "StringEquals": { "iam:PassedToService": [ "ec2.amazonaws.com" ] } }, "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::<AWS ACCOUNT ID>:role/parallelcluster/*", "arn:aws:iam::<AWS ACCOUNT ID>:instance-profile/parallelcluster/*" ], "Effect": "Allow" }, { "Action": [ "ec2:DescribeInstances", "ec2:DescribeInstanceStatus", "ec2:DescribeVolumes", "ec2:DescribeInstanceAttribute", "ec2:DescribeCapacityReservations" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "ec2:CreateTags", "ec2:AttachVolume" ], "Resource": [ "arn:aws:ec2:<REGION>:<AWS ACCOUNT ID>:instance/*", "arn:aws:ec2:<REGION>:<AWS ACCOUNT ID>:volume/*" ], "Effect": "Allow" }, { "Action": [ "cloudformation:DescribeStacks", "cloudformation:DescribeStackResource", "cloudformation:SignalResource" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "route53:ChangeResourceRecordSets" ], "Resource": "*", "Effect": "Allow" }, { "Action": "secretsmanager:GetSecretValue", "Resource": "arn:aws:secretsmanager:<REGION>:<AWS ACCOUNT ID>:secret:<SECRET_ID>", "Effect": "Allow" } ] }

Beachten Sie, dass, falls SchedulingSlurmQueues//Iam/verwendet InstanceRolewird, um die Compute-IAM-Rolle außer Kraft zu setzen, die oben angegebene Headnode-Richtlinie diese Rolle in den Resource Abschnitt der iam:PassRole Berechtigung aufnehmen muss.

Im Folgenden finden Sie die Mindestanzahl an Richtlinien, die als Teil dieser Rolle verwendet werden können, wenn der Scheduler: AWS Batch

  • arn:aws:iam::aws:policy/CloudWatchAgentServerPolicyverwaltete IAM-Richtlinie. Weitere Informationen finden Sie im CloudWatch Amazon-Benutzerhandbuch unter Erstellen von IAM-Rollen und -Benutzern zur Verwendung mit dem CloudWatch Agenten.

  • arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCoreverwaltete IAM-Richtlinie. Weitere Informationen finden Sie AWS Systems Manager im AWS Systems Manager Benutzerhandbuch unter AWS Verwaltete Richtlinien für.

  • Zusätzliche IAM-Richtlinie:

    { "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:GetObject", "s3:PutObject", "s3:GetObjectVersion" ], "Resource": [ "arn:aws:s3:::parallelcluster-*-v1-do-not-delete/*" ], "Effect": "Allow" }, { "Action": "s3:GetObject", "Resource": [ "arn:aws:s3:::dcv-license.<REGION>/*", "arn:aws:s3:::<REGION>-aws-parallelcluster/*" ], "Effect": "Allow" }, { "Condition": { "StringEquals": { "iam:PassedToService": [ "batch.amazonaws.com" ] } }, "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::<AWS ACCOUNT ID>:role/parallelcluster/*", "arn:aws:iam::<AWS ACCOUNT ID>:instance-profile/parallelcluster/*" ], "Effect": "Allow" }, "Action": [ "batch:DescribeJobQueues", "batch:DescribeJobs", "batch:ListJobs", "batch:DescribeComputeEnvironments" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "batch:SubmitJob", "batch:TerminateJob", "logs:GetLogEvents", "ecs:ListContainerInstances", "ecs:DescribeContainerInstances", ], "Resource": [ "arn:aws:logs:<REGION>:<AWS ACCOUNT ID>:log-group:/aws/batch/job:log-stream:PclusterJobDefinition*", "arn:aws:ecs:<REGION>:<AWS ACCOUNT ID>:container-instance/AWSBatch-PclusterComputeEnviron*", "arn:aws:ecs:<REGION>:<AWS ACCOUNT ID>:cluster/AWSBatch-Pcluster*", "arn:aws:batch:<REGION>:<AWS ACCOUNT ID>:job-queue/PclusterJobQueue*", "arn:aws:batch:<REGION>:<AWS ACCOUNT ID>:job-definition/PclusterJobDefinition*:*", "arn:aws:batch:<REGION>:<AWS ACCOUNT ID>:job/*" ], "Effect": "Allow" }, { "Action": [ "ec2:DescribeInstances", "ec2:DescribeInstanceStatus", "ec2:DescribeVolumes", "ec2:DescribeInstanceAttribute" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "ec2:CreateTags", "ec2:AttachVolume" ], "Resource": [ "arn:aws:ec2:<REGION>:<AWS ACCOUNT ID>:instance/*", "arn:aws:ec2:<REGION>:<AWS ACCOUNT ID>:volume/*" ], "Effect": "Allow" }, { "Action": [ "cloudformation:DescribeStackResource", "cloudformation:DescribeStacks", "cloudformation:SignalResource" ], "Resource": "*", "Effect": "Allow" }, { "Action": "secretsmanager:GetSecretValue", "Resource": "arn:aws:secretsmanager:<REGION>:<AWS ACCOUNT ID>:secret:<SECRET_ID>", "Effect": "Allow" } ] }

Amazon S3 S3-Zugriff

HeadNode/Iam/S3Accessoder Scheduling/SlurmQueues/S3Access

In diesen Konfigurationsabschnitten können Sie den Amazon S3 S3-Zugriff anpassen, indem Sie den IAM-Rollen, die dem Hauptknoten oder den Rechenknoten des Clusters zugeordnet sind, zusätzliche Amazon S3 S3-Richtlinien zuweisen, wenn solche Rollen von AWS ParallelCluster erstellt werden. Weitere Informationen finden Sie in der Referenzdokumentation zu den einzelnen Konfigurationsparametern.

Dieser Parameter kann nur verwendet werden, wenn der Benutzer mit Privilegierter IAM-Zugriffsmodus oder konfiguriert istModus PermissionsBoundary.

Zusätzliche IAM-Richtlinien

HeadNode/Iam/AdditionalIamPoliciesoder SlurmQueues//IamAdditionalIamPolicies

Verwenden Sie diese Option, um zusätzliche verwaltete IAM-Richtlinien an die IAM-Rollen anzuhängen, die dem Hauptknoten oder den Rechenknoten des Clusters zugeordnet sind, wenn solche Rollen von erstellt werden. AWS ParallelCluster

Warnung

Um diese Option verwenden zu können, stellen Sie sicher, dass dem AWS ParallelCluster Benutzer die iam:DetachRolePolicy erforderlichen Berechtigungen für die IAM-Richtlinien erteilt wurdeniam:AttachRolePolicy.

AWS Lambda Funktionen, Rolle

Iam / Roles / LambdaFunctionsRole

Diese Option setzt die Rolle außer Kraft, die allen AWS Lambda Funktionen zugewiesen ist, die während der Clustererstellung verwendet werden. AWS Lambda muss so konfiguriert werden, dass der Principal die Rolle übernehmen darf.

Anmerkung

Falls DeploymentSettings/gesetzt LambdaFunctionsVpcConfigist, LambdaFunctionsRole muss er die AWS Lambda Rollenberechtigung zum Einstellen der VPC-Konfiguration beinhalten.

Im Folgenden finden Sie die Mindestanzahl an Richtlinien, die als Teil dieser Rolle verwendet werden können:

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "route53:ListResourceRecordSets", "route53:ChangeResourceRecordSets" ], "Resource": "arn:aws:route53:::hostedzone/*", "Effect": "Allow" }, { "Action": ["logs:CreateLogStream", "logs:PutLogEvents"], "Effect": "Allow", "Resource": "arn:aws:logs:<REGION>:<AWS ACCOUNT ID>:log-group:/aws/lambda/pcluster-*" }, { "Action": "ec2:DescribeInstances", "Effect": "Allow", "Resource": "*" }, { "Action": "ec2:TerminateInstances", "Condition": { "StringEquals": { "ec2:ResourceTag/parallelcluster:node-type": "Compute" } }, "Effect": "Allow", "Resource": "*" }, { "Action": [ "s3:DeleteObject", "s3:DeleteObjectVersion", "s3:ListBucket", "s3:ListBucketVersions" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::parallelcluster-*-v1-do-not-delete", "arn:aws:s3:::parallelcluster-*-v1-do-not-delete/*" ] } ] }

IAM-Rolle für Rechenknoten

Scheduling / SlurmQueues / Iam / InstanceRole | InstanceProfile

Diese Option ermöglicht es, die IAM-Rolle zu überschreiben, die den Rechenknoten des Clusters zugewiesen ist. Weitere Informationen finden Sie unter InstanceProfile.

Im Folgenden finden Sie die Mindestanzahl an Richtlinien, die als Teil dieser Rolle verwendet werden können:

  • arn:aws:iam::aws:policy/CloudWatchAgentServerPolicyverwaltete IAM-Richtlinie. Weitere Informationen finden Sie im CloudWatch Amazon-Benutzerhandbuch unter Erstellen von IAM-Rollen und -Benutzern zur Verwendung mit dem CloudWatch Agenten.

  • arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCoreverwaltete IAM-Richtlinie. Weitere Informationen finden Sie AWS Systems Manager im AWS Systems Manager Benutzerhandbuch unter AWS Verwaltete Richtlinien für.

  • Zusätzliche IAM-Richtlinie:

    { "Version": "2012-10-17", "Statement": [ { "Action": [ "dynamodb:Query", "dynamodb:UpdateItem", "dynamodb:PutItem", "dynamodb:GetItem" ], "Resource": "arn:aws:dynamodb:<REGION>:<AWS ACCOUNT ID>:table/parallelcluster-*", "Effect": "Allow" }, { "Action": "s3:GetObject", "Resource": [ "arn:aws:s3:::<REGION>-aws-parallelcluster/*" ], "Effect": "Allow" }, { "Action": "ec2:DescribeInstanceAttribute", "Resource": "*", "Effect": "Allow" }, { "Action": "cloudformation:DescribeStackResource", "Resource": [ "arn:aws:cloudformation:<REGION>:<AWS ACCOUNT ID>:stack/*/*" ], "Effect" "Allow" } ] }

Berechtigungsgrenze

Iam / PermissionsBoundary

Dieser Parameter erzwingt AWS ParallelCluster , die angegebene IAM-Richtlinie allen IAM-Rollen PermissionsBoundary zuzuweisen, die im Rahmen einer Clusterbereitstellung erstellt wurden.

Eine Liste der Richtlinien, die der Benutzer benötigt, wenn diese Einstellung definiert ist, finden Modus PermissionsBoundary Sie unter.

Benutzerdefinierte Image-Konfiguration

Instanzrolle für EC2 Image Builder

Build / Iam / InstanceRole | InstanceProfile

Mit dieser Option überschreiben Sie die IAM-Rolle, die der von EC2 Image Builder gestarteten Amazon EC2-Instance zugewiesen ist, um ein benutzerdefiniertes AMI zu erstellen.

Im Folgenden finden Sie die Mindestanzahl an Richtlinien, die als Teil dieser Rolle verwendet werden können:

  • arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCoreverwaltete IAM-Richtlinie. Weitere Informationen finden Sie AWS Systems Manager im AWS Systems Manager Benutzerhandbuch unter AWS Verwaltete Richtlinien für.

  • arn:aws:iam::aws:policy/EC2InstanceProfileForImageBuilderverwaltete IAM-Richtlinie. Weitere Informationen finden Sie unter EC2InstanceProfileForImageBuilderRichtlinie im Image Builder Builder-Benutzerhandbuch.

  • Zusätzliche IAM-Richtlinie:

    { "Version": "2012-10-17", "Statement": [ { "Action": [ "ec2:CreateTags", "ec2:ModifyImageAttribute" ], "Resource": "arn:aws:ec2:<REGION>::image/*", "Effect": "Allow" } ] }

AWS Lambda Rolle beim Aufräumen

Build / Iam / CleanupLambdaRole

Diese Option setzt die Rolle außer Kraft, die allen AWS Lambda Funktionen zugewiesen ist, die während der Erstellung eines benutzerdefinierten Images verwendet werden. AWS Lambda muss so konfiguriert werden, dass der Principal die Rolle übernehmen darf.

Anmerkung

Falls DeploymentSettings/gesetzt LambdaFunctionsVpcConfigist, CleanupLambdaRole muss er die AWS Lambda Rollenberechtigung zum Einstellen der VPC-Konfiguration beinhalten.

Im Folgenden finden Sie die Mindestanzahl an Richtlinien, die als Teil dieser Rolle verwendet werden können:

  • arn:aws:iam::aws:policy/service-role/AWSLambdaBasicExecutionRoleverwaltete IAM-Richtlinie. Weitere Informationen finden Sie im AWS Lambda Developer Guide unter AWS Verwaltete Richtlinien für Lambda-Funktionen.

  • Zusätzliche IAM-Richtlinie:

    { "Version": "2012-10-17", "Statement": [ { "Action": [ "iam:DetachRolePolicy", "iam:DeleteRole", "iam:DeleteRolePolicy" ], "Resource": "arn:aws:iam::<AWS ACCOUNT ID>:role/parallelcluster/*", "Effect": "Allow" }, { "Action": [ "iam:DeleteInstanceProfile", "iam:RemoveRoleFromInstanceProfile" ], "Resource": "arn:aws:iam::<AWS ACCOUNT ID>:instance-profile/parallelcluster/*", "Effect": "Allow" }, { "Action": "imagebuilder:DeleteInfrastructureConfiguration", "Resource": "arn:aws:imagebuilder:<REGION>:<AWS ACCOUNT ID>:infrastructure-configuration/parallelclusterimage-*", "Effect": "Allow" }, { "Action": [ "imagebuilder:DeleteComponent" ], "Resource": [ "arn:aws:imagebuilder:<REGION>:<AWS ACCOUNT ID>:component/parallelclusterimage-*/*" ], "Effect": "Allow" }, { "Action": "imagebuilder:DeleteImageRecipe", "Resource": "arn:aws:imagebuilder:<REGION>:<AWS ACCOUNT ID>:image-recipe/parallelclusterimage-*/*", "Effect": "Allow" }, { "Action": "imagebuilder:DeleteDistributionConfiguration", "Resource": "arn:aws:imagebuilder:<REGION>:<AWS ACCOUNT ID>:distribution-configuration/parallelclusterimage-*", "Effect": "Allow" }, { "Action": [ "imagebuilder:DeleteImage", "imagebuilder:GetImage", "imagebuilder:CancelImageCreation" ], "Resource": "arn:aws:imagebuilder:<REGION>:<AWS ACCOUNT ID>:image/parallelclusterimage-*/*", "Effect": "Allow" }, { "Action": "cloudformation:DeleteStack", "Resource": "arn:aws:cloudformation:<REGION>:<AWS ACCOUNT ID>:stack/*/*", "Effect": "Allow" }, { "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:<REGION>::image/*", "Effect": "Allow" }, { "Action": "tag:TagResources", "Resource": "*", "Effect": "Allow" }, { "Action": [ "lambda:DeleteFunction", "lambda:RemovePermission" ], "Resource": "arn:aws:lambda:<REGION>:<AWS ACCOUNT ID>:function:ParallelClusterImage-*", "Effect": "Allow" }, { "Action": "logs:DeleteLogGroup", "Resource": "arn:aws:logs:<REGION>:<AWS ACCOUNT ID>:log-group:/aws/lambda/ParallelClusterImage-*:*", "Effect": "Allow" }, { "Action": [ "SNS:GetTopicAttributes", "SNS:DeleteTopic", "SNS:GetSubscriptionAttributes", "SNS:Unsubscribe" ], "Resource": "arn:aws:sns:<REGION>:<AWS ACCOUNT ID>:ParallelClusterImage-*", "Effect": "Allow" } ] }

Zusätzliche IAM-Richtlinien

Build / Iam / AdditionalIamPolicies

Sie verwenden diese Option, um zusätzliche verwaltete IAM-Richtlinien an die Rolle anzuhängen, die der Amazon EC2 EC2-Instance zugeordnet ist, die von EC2 Image Builder zur Erstellung des benutzerdefinierten AMI verwendet wird.

Warnung

Um diese Option zu verwenden, stellen Sie sicher, dass dem AWS ParallelCluster Benutzer iam:DetachRolePolicy Berechtigungen für die IAM-Richtlinien erteilt wurdeniam:AttachRolePolicy, die angehängt werden müssen.

Berechtigungsgrenze

Build / Iam / PermissionsBoundary

Dieser Parameter erzwingt AWS ParallelCluster , die angegebene IAM-Richtlinie als an alle IAM-Rollen anzuhängen, die im Rahmen eines benutzerdefinierten AMI-Builds erstellt wurden. PermissionsBoundary

Eine Liste der Richtlinien, die Modus PermissionsBoundary für die Verwendung dieser Funktionen erforderlich sind, finden Sie unter.