Peran tertaut layanan untuk permintaan Instans Spot - Amazon Elastic Compute Cloud

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Peran tertaut layanan untuk permintaan Instans Spot

Amazon EC2 menggunakan peran terkait layanan untuk izin yang diperlukan untuk memanggil AWS layanan lain atas nama Anda. Peran terkait layanan adalah jenis peran unik yang ditautkan langsung ke suatu IAM peran. Layanan AWS Peran terkait layanan menyediakan cara aman untuk mendelegasikan izin Layanan AWS karena hanya layanan tertaut yang dapat mengambil peran terkait layanan. Untuk informasi selengkapnya, lihat Peran terkait layanan di IAMPanduan Pengguna.

Amazon EC2 menggunakan peran terkait layanan yang diberi nama AWSServiceRoleForEC2Spotuntuk meluncurkan dan mengelola Instans Spot atas nama Anda.

Izin diberikan oleh AWSServiceRoleForEC2Spot

Amazon EC2 menggunakan AWSServiceRoleForEC2Spotuntuk menyelesaikan tindakan berikut:

  • ec2:DescribeInstances – Menjelaskan Instans Spot

  • ec2:StopInstances – Menghentikan Instans Spot

  • ec2:StartInstances – Memulai Instans Spot

Membuat peran tertaut layanan

Dalam sebagian besar situasi, Anda tidak perlu membuat peran tertaut layanan secara manual. Amazon EC2 membuat peran AWSServiceRoleForEC2Spotterkait layanan saat pertama kali Anda meminta Instans Spot menggunakan konsol.

Jika Anda memiliki permintaan Instans Spot aktif sebelum Oktober 2017, saat Amazon EC2 mulai mendukung peran terkait layanan ini, Amazon EC2 membuat AWSServiceRoleForEC2Spotperan tersebut di akun Anda AWS . Untuk informasi selengkapnya, lihat Peran Baru Muncul di Akun Saya di Panduan IAM Pengguna.

Jika Anda menggunakan AWS CLI atau API untuk meminta Instance Spot, Anda harus terlebih dahulu memastikan bahwa peran ini ada.

Untuk membuat AWSServiceRoleForEC2Spot menggunakan konsol
  1. Buka IAM konsol di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi, pilih Peran.

  3. Pilih Buat peran.

  4. Pada halaman Pilih jenis entitas tepercaya, pilih EC2, EC2- Instans Spot, Berikutnya: Izin.

  5. Di halaman berikutnya, pilih Berikutnya: Tinjau.

  6. Di halaman Tinjau, pilih Buat peran.

Untuk membuat AWSServiceRoleForEC2Spotmenggunakan AWS CLI

Gunakan perintah create-service-linked-role sebagai berikut.

aws iam create-service-linked-role --aws-service-name spot.amazonaws.com

Jika Anda tidak perlu lagi menggunakan Instans Spot, sebaiknya hapus AWSServiceRoleForEC2Spotperan tersebut. Setelah peran ini dihapus dari akun Anda, Amazon EC2 akan membuat peran lagi jika Anda meminta Instans Spot.

Berikan akses ke kunci terkelola pelanggan untuk digunakan dengan terenkripsi AMIs dan snapshot EBS

Jika Anda menentukan snapshot EBS Amazon terenkripsi AMI atau terenkripsi untuk Instans Spot Anda dan Anda menggunakan kunci terkelola pelanggan untuk enkripsi, Anda harus memberikan AWSServiceRoleForEC2Spotizin peran untuk menggunakan kunci yang dikelola pelanggan sehingga EC2 Amazon dapat meluncurkan Instans Spot atas nama Anda. Untuk melakukannya, Anda harus menambahkan pemberian izin ke kunci yang dikelola pelanggan, seperti yang ditunjukkan dalam prosedur berikut.

Ketika memberikan izin, pemberian izin merupakan alternatif dari kebijakan kunci. Untuk informasi lebih lanjut, lihat Menggunakan hibah dan Menggunakan kebijakan kunci di AWS KMS di Panduan Developer AWS Key Management Service .

Untuk memberikan izin peran AWSServiceRoleForEC2Spot untuk menggunakan kunci terkelola pelanggan
  • Gunakan perintah create-grant untuk menambahkan hibah ke kunci yang dikelola pelanggan dan untuk menentukan prinsipal (peran AWSServiceRoleForEC2Spotterkait layanan) yang diberikan izin untuk melakukan operasi yang diizinkan hibah. Kunci yang dikelola pelanggan ditentukan oleh key-id parameter dan kunci ARN yang dikelola pelanggan. Prinsipal ditentukan oleh grantee-principal parameter dan ARN peran AWSServiceRoleForEC2Spotterkait layanan.

    aws kms create-grant \ --region us-east-1 \ --key-id arn:aws:kms:us-east-1:444455556666:key/1234abcd-12ab-34cd-56ef-1234567890ab \ --grantee-principal arn:aws:iam::111122223333:role/aws-service-role/spot.amazonaws.com/AWSServiceRoleForEC2Spot \ --operations "Decrypt" "Encrypt" "GenerateDataKey" "GenerateDataKeyWithoutPlaintext" "CreateGrant" "DescribeKey" "ReEncryptFrom" "ReEncryptTo"