Anforderungen an das Instanzprofil Zusätzliche Richtlinien Erstellen eines Instance-Profils Instanzprofile für AWS PCS auflisten

IAM-Instanzprofile für Parallel Computing Service AWS

Anwendungen, die auf einer EC2 Instance ausgeführt werden, müssen in allen AWS API-Anfragen, die sie stellen, AWS Anmeldeinformationen enthalten. Wir empfehlen, eine IAM-Rolle zu verwenden, um temporäre Anmeldeinformationen auf der EC2 Instance zu verwalten. Sie können dafür ein Instance-Profil definieren und es an Ihre Instances anhängen. Weitere Informationen finden Sie unter IAM-Rollen für Amazon EC2 im Amazon Elastic Compute Cloud-Benutzerhandbuch.

Anmerkung

Wenn Sie die verwenden AWS Management Console , um eine IAM-Rolle für Amazon zu erstellen EC2, erstellt die Konsole automatisch ein Instance-Profil und weist diesem den gleichen Namen wie die IAM-Rolle zu. Wenn Sie die AWS CLI IAM-Rolle mithilfe von AWS API-Aktionen oder einem AWS SDK erstellen, erstellen Sie das Instance-Profil als separate Aktion. Weitere Informationen finden Sie unter Instanzprofile im Amazon Elastic Compute Cloud-Benutzerhandbuch.

Sie müssen den Amazon-Ressourcennamen (ARN) eines Instance-Profils angeben, wenn Sie Compute-Knotengruppen erstellen. Sie können verschiedene Instance-Profile für einige oder alle Compute-Knotengruppen wählen.

Anforderungen an das Instanzprofil

ARN für Instanzprofil

Der Teil des ARN mit dem IAM-Rollennamen muss entweder mit dem folgenden Pfad beginnen AWSPCS oder /aws-pcs/ Folgendes enthalten:

arn:aws:iam::*:instance-profile/AWSPCS-example-role-1 und
arn:aws:iam::*:instance-profile/aws-pcs/example-role-2.

Anmerkung

Wenn Sie den verwenden AWS CLI, geben Sie einen --path Wert an, der /aws-pcs/ in iam create-instance-profile den ARN-Pfad aufgenommen werden soll. Zum Beispiel:


aws iam create-instance-profile --path /aws-pcs/ --instance-profile-name example-role-2

Berechtigungen

Das Instanzprofil für AWS PCS muss mindestens die folgende Richtlinie enthalten. Es ermöglicht Rechenknoten, den AWS PCS-Service zu benachrichtigen, wenn sie betriebsbereit sind.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "pcs:RegisterComputeNodeGroupInstance"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

Zusätzliche Richtlinien

Sie könnten erwägen, verwaltete Richtlinien zum Instanzprofil hinzuzufügen. Zum Beispiel:

AmazonS3 ReadOnlyAccess bietet schreibgeschützten Zugriff auf alle S3-Buckets.
Amazon SSMManaged InstanceCore aktiviert die Kernfunktionen des AWS Systems Manager Manager-Service, wie z. B. den Fernzugriff direkt von der Amazon Management Console aus.
CloudWatchAgentServerPolicyenthält Berechtigungen, die für die Verwendung AmazonCloudWatchAgent auf Servern erforderlich sind.

Sie können auch Ihre eigenen IAM-Richtlinien angeben, die Ihren speziellen Anwendungsfall unterstützen.

Erstellen eines Instance-Profils

Sie können ein Instance-Profil direkt von der EC2 Amazon-Konsole aus erstellen. Weitere Informationen finden Sie unter Verwenden von Instance-Profilen im AWS Identity and Access Management Benutzerhandbuch.

Instanzprofile für AWS PCS auflisten

Sie können den folgenden AWS CLI Befehl verwenden, um die Instanzprofile in einer Liste aufzulisten AWS-Region , die die AWS PCS-Namensanforderungen erfüllen. us-east-1Ersetzen Sie es durch das entsprechende AWS-Region.


aws iam list-instance-profiles --region us-east-1 --query "InstanceProfiles[?starts_with(InstanceProfileName, 'AWSPCS') || contains(Path, '/aws-pcs/')].[InstanceProfileName]" --output text

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Mindestberechtigungen

Fehlerbehebung