Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Prasyarat Armada EC2
**Topics**
+ [Luncurkan templat](#ec2-fleet-prerequisites-launch-template)
+ [Peran tertaut layanan untuk Armada EC2](#ec2-fleet-service-linked-role)
+ [Berikan akses ke kunci yang dikelola pelanggan untuk digunakan dengan snapshot terenkripsi AMIs dan EBS](#ec2-fleet-service-linked-roles-access-to-cmks)
+ [Izin untuk pengguna Armada EC2](#ec2-fleet-iam-users)
## Luncurkan templat
Template peluncuran menentukan informasi konfigurasi tentang instance yang akan diluncurkan, seperti jenis instance dan Availability Zone. Untuk informasi selengkapnya tentang template peluncuran, lihat[Simpan parameter peluncuran instans di templat peluncuran Amazon EC2](ec2-launch-templates.md).
## Peran tertaut layanan untuk Armada EC2
Peran `AWSServiceRoleForEC2Fleet` memberikan izin kepada Armada EC2 untuk meminta, meluncurkan, mengakhiri, dan menandai instans atas nama Anda. Amazon EC2 menggunakan peran tertaut layanan ini untuk menyelesaikan tindakan berikut:
+ `ec2:RunInstances` – Meluncurkan instans.
+ `ec2:RequestSpotInstances` – Meminta Instans Spot.
+ `ec2:TerminateInstances` – Mengakhiri instans.
+ `ec2:DescribeImages`— Jelaskan Amazon Machine Images (AMIs) untuk instance.
+ `ec2:DescribeInstanceStatus`— Jelaskan status instance.
+ `ec2:DescribeSubnets`— Jelaskan subnet untuk contoh.
+ `ec2:CreateTags` – Menambahkan tanda ke Armada, instans, dan volume EC2.
Pastikan peran ini ada sebelum Anda menggunakan AWS CLI atau API untuk membuat Armada EC2.
**catatan**
Armada EC2 `instant` tidak membutuhkan peran ini.
Untuk membuat peran, gunakan konsol IAM sebagai berikut.
**Untuk membuat AWSServiceRoleForEC2Fleet peran untuk Armada EC2**
1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Peran**.
1. Pilih **Buat peran**.
1. Pada halaman **Pilih entitas tepercaya**, lakukan hal berikut:
1. Untuk **jenis entitas Tepercaya**, pilih **AWS layanan**.
1. Di bawah **Kasus penggunaan**, untuk **Layanan atau kasus penggunaan**, pilih **EC2 - Armada**.
**Tip**
Pastikan untuk memilih **EC2 - Armada**. Jika Anda memilih **EC2**, kasus penggunaan **EC2 - Armada** tidak muncul dalam daftar **Kasus penggunaan**. **EC2 - Kasus penggunaan Armada** akan secara otomatis membuat kebijakan dengan izin IAM yang diperlukan dan akan menyarankan **AWSServiceRoleForEC2Armada sebagai nama** peran.
1. Pilih **Berikutnya**.
1. Pada halaman **Tambahkan izin**, pilih **Berikutnya**.
1. Pada halaman **Nama, tinjau, dan buat**, pilih **Buat peran**.
Jika Anda tidak perlu lagi menggunakan Armada EC2, kami sarankan Anda menghapus peran **AWSServiceRoleForEC2Armada**. Setelah peran ini dihapus dari akun Anda, Anda dapat membuat peran tersebut kembali jika Anda membuat armada lain.
Untuk informasi selengkapnya, lihat [Peran terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html) di Panduan Pengguna *IAM*.
## Berikan akses ke kunci yang dikelola pelanggan untuk digunakan dengan snapshot terenkripsi AMIs dan EBS
**Jika Anda menentukan [AMI terenkripsi](AMIEncryption.md) atau snapshot Amazon EBS terenkripsi di Armada EC2 dan Anda menggunakan AWS KMS kunci untuk enkripsi, Anda harus memberikan AWSService RoleFor EC2 izin peran Armada untuk menggunakan kunci yang dikelola pelanggan sehingga Amazon EC2 dapat meluncurkan instans atas nama Anda.** Untuk melakukannya, Anda harus menambahkan pemberian izin ke kunci yang dikelola pelanggan, seperti yang ditunjukkan dalam prosedur berikut.
Ketika memberikan izin, pemberian izin merupakan alternatif dari kebijakan kunci. Untuk informasi selengkapnya, lihat [Menggunakan pemberian izin](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) dan [Menggunakan kebijakan kunci di AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) dalam *Panduan Developer AWS Key Management Service *.
**Untuk memberikan izin peran AWSService RoleFor EC2 Armada untuk menggunakan kunci terkelola pelanggan**
+ Gunakan perintah [create-grant](https://docs.aws.amazon.com/cli/latest/reference/kms/create-grant.html) untuk menambahkan hibah ke kunci yang dikelola pelanggan dan untuk menentukan prinsipal (peran terkait layanan **AWSServiceRoleForEC2Armada**) yang diberikan izin untuk melakukan operasi yang diizinkan hibah. Kunci yang dikelola pelanggan ditentukan oleh parameter `key-id` dan ARN kunci yang dikelola pelanggan. Prinsipal ditentukan oleh `grantee-principal` parameter dan ARN dari peran terkait layanan **AWSServiceRoleForEC2Armada**.
```
aws kms create-grant \
--region us-east-1 \
--key-id arn:aws:kms:us-east-1:444455556666:key/1234abcd-12ab-34cd-56ef-1234567890ab \
--grantee-principal arn:aws:iam::111122223333:role/AWSServiceRoleForEC2Fleet \
--operations "Decrypt" "Encrypt" "GenerateDataKey" "GenerateDataKeyWithoutPlaintext" "CreateGrant" "DescribeKey" "ReEncryptFrom" "ReEncryptTo"
```
## Izin untuk pengguna Armada EC2
Jika pengguna Anda akan membuat atau mengelola Armada EC2, pastikan untuk memberikan izin kepada pengguna.
**Untuk membuat kebijakan Armada EC2**
1. Buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Di panel navigasi, pilih **Kebijakan**.
1. Pilih **Buat kebijakan**.
1. Di halaman **Buat kebijakan**, pilih tab **JSON**, ganti teks dengan berikut ini, dan pilih **Tinjau kebijakan**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:ListRoles",
"iam:PassRole",
"iam:ListInstanceProfiles"
],
"Resource":"arn:aws:iam::123456789012:role/DevTeam*"
}
]
}
```
------
`ec2:*` memberikan izin kepada pengguna untuk memanggil semua tindakan API Amazon EC2. Untuk membatasi pengguna pada tindakan API Amazon EC2 tertentu, tentukan tindakan tersebut.
Pengguna harus memiliki izin untuk memanggil tindakan `iam:ListRoles` untuk melakukan enumerasi peran IAM yang sudah ada, tindakan `iam:PassRole` untuk menentukan peran Armada EC2, dan tindakan `iam:ListInstanceProfiles` untuk melakukan enumerasi profil instans yang sudah ada.
(Opsional) Untuk memungkinkan pengguna membuat peran atau profil instans menggunakan konsol IAM, Anda juga harus menambahkan tindakan berikut ke kebijakan:
+ `iam:AddRoleToInstanceProfile`
+ `iam:AttachRolePolicy`
+ `iam:CreateInstanceProfile`
+ `iam:CreateRole`
+ `iam:GetRole`
+ `iam:ListPolicies`
1. Pada halaman **Tinjau kebijakan**, masukkan nama dan deskripsi kebijakan, dan pilih **Buat kebijakan**.
1. Untuk memberikan akses dan menambahkan izin bagi pengguna, grup, atau peran Anda:
+ Pengguna dan grup di AWS IAM Identity Center:
Buat rangkaian izin. Ikuti instruksi di [Buat rangkaian izin](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) dalam *Panduan Pengguna AWS IAM Identity Center *.
+ Pengguna yang dikelola di IAM melalui penyedia identitas:
Buat peran untuk federasi identitas. Ikuti instruksi dalam [Buat peran untuk penyedia identitas pihak ketiga (federasi)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) dalam *Panduan Pengguna IAM*.
+ Pengguna IAM:
+ Buat peran yang dapat diambil pengguna Anda. Ikuti instruksi dalam [Buat peran untuk pengguna IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) dalam *Panduan Pengguna IAM*.
+ (Tidak disarankan) Lampirkan kebijakan langsung ke pengguna atau tambahkan pengguna ke grup pengguna. Ikuti petunjuk dalam [Menambahkan izin ke pengguna (konsol)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) dalam *Panduan Pengguna IAM*.