Exigences relatives au profil d'instance Politiques supplémentaires Création d'un profil d'instance Répertorier les profils d'instance pour AWS PCS

Profils d'instance IAM pour AWS Parallel Computing Service

Les applications qui s'exécutent sur une EC2 instance doivent inclure des AWS informations d'identification dans toutes les demandes AWS d'API qu'elles effectuent. Nous vous recommandons d'utiliser un rôle IAM pour gérer les informations d'identification temporaires sur l' EC2 instance. Pour ce faire, vous pouvez définir un profil d'instance et l'associer à vos instances. Pour plus d'informations, consultez les rôles IAM pour Amazon EC2 dans le guide de l'utilisateur d'Amazon Elastic Compute Cloud.

Note

Lorsque vous utilisez le AWS Management Console pour créer un rôle IAM pour Amazon EC2, la console crée automatiquement un profil d'instance et lui donne le même nom que le rôle IAM. Si vous utilisez les AWS CLI actions d' AWS API ou un AWS SDK pour créer le rôle IAM, vous créez le profil d'instance en tant qu'action distincte. Pour plus d'informations, consultez la section Profils d'instance dans le guide de l'utilisateur d'Amazon Elastic Compute Cloud.

Vous devez spécifier le nom de ressource Amazon (ARN) d'un profil d'instance lorsque vous créez un groupe de nœuds de calcul. Vous pouvez choisir différents profils d'instance pour certains ou pour tous les groupes de nœuds de calcul.

Exigences relatives au profil d'instance

ARN du profil d'instance

La partie du nom du rôle IAM de l'ARN doit commencer par AWSPCS ou contenir /aws-pcs/ dans son chemin :

arn:aws:iam::*:instance-profile/AWSPCS-example-role-1 et
arn:aws:iam::*:instance-profile/aws-pcs/example-role-2.

Note

Si vous utilisez le AWS CLI, fournissez une --path valeur à iam create-instance-profile à inclure /aws-pcs/ dans le chemin de l'ARN. Par exemple :


aws iam create-instance-profile --path /aws-pcs/ --instance-profile-name example-role-2

Autorisations

Le profil d'instance pour AWS PCS doit au minimum inclure la politique suivante. Il permet aux nœuds de calcul d'avertir le service AWS PCS lorsqu'ils deviennent opérationnels.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "pcs:RegisterComputeNodeGroupInstance"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

Politiques supplémentaires

Vous pouvez envisager d'ajouter des politiques gérées au profil d'instance. Par exemple :

AmazonS3 ReadOnlyAccess fournit un accès en lecture seule à tous les compartiments S3.
Amazon SSMManaged InstanceCore active les fonctionnalités principales du service AWS Systems Manager, telles que l'accès à distance directement depuis Amazon Management Console.
CloudWatchAgentServerPolicycontient les autorisations requises pour une utilisation AmazonCloudWatchAgent sur les serveurs.

Vous pouvez également inclure vos propres politiques IAM adaptées à votre cas d'utilisation spécifique.

Création d'un profil d'instance

Vous pouvez créer un profil d'instance directement depuis la EC2 console Amazon. Pour plus d'informations, consultez la section Utilisation des profils d'instance dans le Guide de AWS Identity and Access Management l'utilisateur.

Répertorier les profils d'instance pour AWS PCS

Vous pouvez utiliser la AWS CLI commande suivante pour répertorier les profils d'instance dans un fichier Région AWS répondant aux exigences de nom AWS PCS. Remplacez us-east-1 par le produit approprié Région AWS.


aws iam list-instance-profiles --region us-east-1 --query "InstanceProfiles[?starts_with(InstanceProfileName, 'AWSPCS') || contains(Path, '/aws-pcs/')].[InstanceProfileName]" --output text

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Autorisations minimales

Résolution des problèmes