Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Profils d'instance IAM pour AWS Parallel Computing Service
Les applications qui s'exécutent sur une EC2 instance doivent inclure des AWS informations d'identification dans toutes les demandes AWS d'API qu'elles effectuent. Nous vous recommandons d'utiliser un rôle IAM pour gérer les informations d'identification temporaires sur l' EC2 instance. Pour ce faire, vous pouvez définir un profil d'instance et l'associer à vos instances. Pour plus d'informations, consultez les rôles IAM pour Amazon EC2 dans le guide de l'utilisateur d'Amazon Elastic Compute Cloud.
Note
Lorsque vous utilisez le AWS Management Console pour créer un rôle IAM pour Amazon EC2, la console crée automatiquement un profil d'instance et lui donne le même nom que le rôle IAM. Si vous utilisez les AWS CLI actions d' AWS API ou un AWS SDK pour créer le rôle IAM, vous créez le profil d'instance en tant qu'action distincte. Pour plus d'informations, consultez la section Profils d'instance dans le guide de l'utilisateur d'Amazon Elastic Compute Cloud.
Vous devez spécifier le nom de ressource Amazon (ARN) d'un profil d'instance lorsque vous créez un groupe de nœuds de calcul. Vous pouvez choisir différents profils d'instance pour certains ou pour tous les groupes de nœuds de calcul.
Exigences relatives au profil d'instance
ARN du profil d'instance
La partie du nom du rôle IAM de l'ARN doit commencer par AWSPCS
ou contenir /aws-pcs/
dans son chemin :
-
arn:aws:iam::*:instance-profile/AWSPCS-example-role-1
et -
arn:aws:iam::*:instance-profile/aws-pcs/example-role-2
.
Note
Si vous utilisez le AWS CLI, fournissez une --path
valeur à iam create-instance-profile
à inclure /aws-pcs/
dans le chemin de l'ARN. Par exemple :
aws iam create-instance-profile --path /aws-pcs/ --instance-profile-name example-role-2
Autorisations
Le profil d'instance pour AWS PCS doit au minimum inclure la politique suivante. Il permet aux nœuds de calcul d'avertir le service AWS PCS lorsqu'ils deviennent opérationnels.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "pcs:RegisterComputeNodeGroupInstance" ], "Resource": "*", "Effect": "Allow" } ] }
Politiques supplémentaires
Vous pouvez envisager d'ajouter des politiques gérées au profil d'instance. Par exemple :
-
AmazonS3 ReadOnlyAccess fournit un accès en lecture seule à tous les compartiments S3.
-
Amazon SSMManaged InstanceCore active les fonctionnalités principales du service AWS Systems Manager, telles que l'accès à distance directement depuis Amazon Management Console.
-
CloudWatchAgentServerPolicycontient les autorisations requises pour une utilisation AmazonCloudWatchAgent sur les serveurs.
Vous pouvez également inclure vos propres politiques IAM adaptées à votre cas d'utilisation spécifique.
Création d'un profil d'instance
Vous pouvez créer un profil d'instance directement depuis la EC2 console Amazon. Pour plus d'informations, consultez la section Utilisation des profils d'instance dans le Guide de AWS Identity and Access Management l'utilisateur.
Répertorier les profils d'instance pour AWS PCS
Vous pouvez utiliser la AWS CLI commande suivante pour répertorier les profils d'instance dans un fichier Région AWS
répondant aux exigences de nom AWS PCS. Remplacez us-east-1
par le produit approprié Région AWS.
aws iam list-instance-profiles --region
us-east-1
--query "InstanceProfiles[?starts_with(InstanceProfileName, 'AWSPCS') || contains(Path, '/aws-pcs/')].[InstanceProfileName]" --output text