Rôle lié à un service pour les demandes d’instance Spot - Amazon Elastic Compute Cloud
Autorisations accordées par AWSServiceRoleForEC2SpotCréation du rôle lié à un serviceAccordez l'accès aux clés gérées par le client pour les utiliser avec des instantanés chiffrés AMIs et EBS

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Rôle lié à un service pour les demandes d’instance Spot

Amazon EC2 utilise des rôles liés à un service pour obtenir les autorisations dont il a besoin pour appeler d'autres AWS services en votre nom. Un rôle lié à un service est un type unique de rôle IAM directement lié à un. Service AWS Les rôles liés à un service constituent un moyen sécurisé de déléguer des autorisations, Services AWS car seul le service lié peut assumer un rôle lié au service. Pour plus d’informations, consultez Utilisation des rôles liés à un service dans le Guide de l’utilisateur IAM.

Amazon EC2 utilise le rôle lié au service nommé AWSServiceRoleForEC2Spot pour lancer et gérer les instances Spot en votre nom.

Autorisations accordées par AWSServiceRoleForEC2Spot

Amazon EC2 utilise AWSServiceRoleForEC2Spot pour effectuer les actions suivantes :

  • ec2:DescribeInstances – Décrire les instances Spot

  • ec2:StopInstances – Arrêter les instances Spot

  • ec2:StartInstances – Démarrer les instances Spot

Création du rôle lié à un service

Dans la plupart des cas, vous n’avez pas besoin de créer manuellement un rôle lié à un service. Amazon EC2 crée le rôle lié au service AWSServiceRoleForEC2Spot la première fois que vous demandez une instance Spot à l'aide de la console.

Si vous avez reçu une demande d'instance Spot active avant octobre 2017, date à laquelle Amazon EC2 a commencé à prendre en charge ce rôle lié à un service, Amazon EC2 a créé le rôle AWSServiceRoleForEC2Spot dans votre AWS compte. Pour plus d’informations, consultez Un nouveau rôle est apparu dans mon compte dans le IAM Guide de l’utilisateur.

Si vous utilisez l'API AWS CLI ou une API pour demander une instance Spot, vous devez d'abord vous assurer que ce rôle existe.

Pour créer AWSServiceRoleForEC2Spot à l'aide de la console

  1. Ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez Roles (Rôles).

  3. Sélectionnez Create role (Créer un rôle).

  4. Sur la page Sélectionner le type d'entité de confiance EC2, choisissez EC2 - Spot Instances, Next : Permissions.

  5. Sur la page suivante, choisissez Suivant : Vérification.

  6. Sur la page Vérification, choisissez Create Role (Créer un rôle).

Pour créer AWSServiceRoleForEC2Spot à l'aide du AWS CLI

Utilisez la commande create-service-linked-role comme suit.

aws iam create-service-linked-role --aws-service-name spot.amazonaws.com

Si vous n'avez plus besoin d'utiliser des instances Spot, nous vous recommandons de supprimer le rôle AWSServiceRoleForEC2Spot. Une fois ce rôle supprimé de votre compte, Amazon le EC2 créera à nouveau si vous demandez des instances Spot.

Accordez l'accès aux clés gérées par le client pour les utiliser avec des instantanés chiffrés AMIs et EBS

Si vous spécifiez une AMI chiffrée ou un instantané Amazon EBS chiffré pour vos instances Spot et que vous utilisez une clé gérée par le client pour le chiffrement, vous devez autoriser le rôle AWSServiceRoleForEC2Spot à utiliser la clé gérée par le client afin qu'Amazon EC2 puisse lancer des instances Spot en votre nom. Pour cela, vous devez ajouter une autorisation à la clé gérée par le client, comme indiqué dans la procédure suivante.

Lorsque vous définissez les autorisations, les octrois constituent une alternative aux politiques de clé. Pour plus d’informations, consultez Utilisation des octrois et Utilisation des stratégies de clé dans AWS KMS dans le Guide du développeur AWS Key Management Service .

Pour accorder au rôle AWSServiceRoleForEC2Spot l'autorisation d'utiliser la clé gérée par le client

  • Utilisez la commande create-grant pour ajouter une autorisation à la clé gérée par le client et pour spécifier le principal (le rôle lié au service AWSServiceRoleForEC2Spot) autorisé à effectuer les opérations autorisées par l'autorisation. La clé gérée par le client est spécifiée par le paramètre key-id et l’ARN de la clé gérée par le client. Le principal est spécifié par le grantee-principal paramètre et l'ARN du rôle lié au service AWSServiceRoleForEC2Spot.

    aws kms create-grant \
    --region us-east-1 \
    --key-id arn:aws:kms:us-east-1:444455556666:key/1234abcd-12ab-34cd-56ef-1234567890ab \
    --grantee-principal arn:aws:iam::111122223333:role/aws-service-role/spot.amazonaws.com/AWSServiceRoleForEC2Spot \
    --operations "Decrypt" "Encrypt" "GenerateDataKey" "GenerateDataKeyWithoutPlaintext" "CreateGrant" "DescribeKey" "ReEncryptFrom" "ReEncryptTo"