Rôle lié à un service pour les demandes d’instance Spot - Amazon Elastic Compute Cloud
Autorisations octroyées par AWSServiceRoleForEC2SpotCréation du rôle lié à un serviceAccordez l'accès aux clés gérées par le client pour les utiliser avec le chiffrement AMIs et les EBS instantanés

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Rôle lié à un service pour les demandes d’instance Spot

Amazon EC2 utilise des rôles liés à un service pour obtenir les autorisations dont il a besoin pour appeler d'autres AWS services en votre nom. Un rôle lié à un service est un type unique de IAM rôle directement lié à un. Service AWS Les rôles liés à un service constituent un moyen sécurisé de déléguer des autorisations, Services AWS car seul le service lié peut assumer un rôle lié au service. Pour plus d'informations, consultez la section Rôles liés aux services dans le Guide de l'IAMutilisateur.

Amazon EC2 utilise le rôle lié au service nommé AWSServiceRoleForEC2Spotpour lancer et gérer les instances Spot en votre nom.

Autorisations octroyées par AWSServiceRoleForEC2Spot

Amazon EC2 utilise AWSServiceRoleForEC2Spotpour effectuer les actions suivantes :

  • ec2:DescribeInstances – Décrire les instances Spot

  • ec2:StopInstances – Arrêter les instances Spot

  • ec2:StartInstances – Démarrer les instances Spot

Création du rôle lié à un service

Dans la plupart des cas, vous n’avez pas besoin de créer manuellement un rôle lié à un service. Amazon EC2 crée le rôle AWSServiceRoleForEC2Spotlié au service la première fois que vous demandez une instance Spot à l'aide de la console.

Si vous avez reçu une demande d'instance Spot active avant octobre 2017, date à laquelle Amazon EC2 a commencé à prendre en charge ce rôle lié à un service, Amazon EC2 a créé le AWSServiceRoleForEC2Spotrôle dans votre AWS compte. Pour plus d'informations, voir Un nouveau rôle est apparu dans Mon compte dans le guide de IAM l'utilisateur.

Si vous utilisez le AWS CLI ou API pour demander une instance Spot, vous devez d'abord vous assurer que ce rôle existe.

Pour créer AWSServiceRoleForEC2Spot à l'aide de la console

  1. Ouvrez la IAM console à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez Roles (Rôles).

  3. Sélectionnez Create role (Créer un rôle).

  4. Sur la page Sélectionner le type d'entité de confiance EC2, choisissez EC2- Spot Instances, Next : Permissions.

  5. Sur la page suivante, choisissez Suivant : Vérification.

  6. Sur la page Vérification, choisissez Create Role (Créer un rôle).

Pour créer à AWSServiceRoleForEC2Spotl'aide du AWS CLI

Utilisez la commande create-service-linked-role comme suit.

aws iam create-service-linked-role --aws-service-name spot.amazonaws.com

Si vous n'avez plus besoin d'utiliser des instances Spot, nous vous recommandons de supprimer le AWSServiceRoleForEC2Spotrôle. Une fois ce rôle supprimé de votre compte, Amazon le EC2 créera à nouveau si vous demandez des instances Spot.

Accordez l'accès aux clés gérées par le client pour les utiliser avec le chiffrement AMIs et les EBS instantanés

Si vous spécifiez un EBS instantané Amazon chiffré AMI ou chiffré pour vos instances Spot et que vous utilisez une clé gérée par le client pour le chiffrement, vous devez accorder au AWSServiceRoleForEC2Spotrôle l'autorisation d'utiliser la clé gérée par le client afin qu'Amazon EC2 puisse lancer des instances Spot en votre nom. Pour cela, vous devez ajouter une autorisation à la clé gérée par le client, comme indiqué dans la procédure suivante.

Lorsque vous définissez les autorisations, les octrois constituent une alternative aux politiques de clé. Pour de plus amples informations, veuillez consulter Utilisation des octrois et Utilisation des stratégies de clé dans AWS KMS dans le Guide du développeur AWS Key Management Service .

Pour autoriser le rôle AWSServiceRoleForEC2Spot à utiliser la clé gérée par le client

  • Utilisez la commande create-grant pour ajouter une autorisation à la clé gérée par le client et pour spécifier le principal (le rôle AWSServiceRoleForEC2Spotlié au service) autorisé à effectuer les opérations autorisées par l'autorisation. La clé gérée par le client est spécifiée par le key-id paramètre et le ARN de la clé gérée par le client. Le principal est spécifié par le grantee-principal paramètre et le ARN rôle AWSServiceRoleForEC2Spotlié au service.

    aws kms create-grant \
    --region us-east-1 \
    --key-id arn:aws:kms:us-east-1:444455556666:key/1234abcd-12ab-34cd-56ef-1234567890ab \
    --grantee-principal arn:aws:iam::111122223333:role/aws-service-role/spot.amazonaws.com/AWSServiceRoleForEC2Spot \
    --operations "Decrypt" "Encrypt" "GenerateDataKey" "GenerateDataKeyWithoutPlaintext" "CreateGrant" "DescribeKey" "ReEncryptFrom" "ReEncryptTo"