Peran tertaut layanan untuk permintaan Instans Spot - Amazon Elastic Compute Cloud
Izin yang diberikan oleh AWSServiceRoleForEC2SpotMembuat peran tertaut layananBerikan akses ke kunci yang dikelola pelanggan untuk digunakan dengan snapshot terenkripsi AMIs dan EBS

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Peran tertaut layanan untuk permintaan Instans Spot

Amazon EC2 menggunakan peran terkait layanan untuk izin yang diperlukan untuk memanggil AWS layanan lain atas nama Anda. Peran terkait layanan adalah jenis unik peran IAM yang ditautkan langsung ke sebuah. Layanan AWS Peran terkait layanan menyediakan cara aman untuk mendelegasikan izin Layanan AWS karena hanya layanan tertaut yang dapat mengambil peran terkait layanan. Untuk informasi selengkapnya, lihat Peran terkait layanan di Panduan Pengguna IAM.

Amazon EC2 menggunakan peran terkait layanan bernama AWSServiceRoleForEC2Spot untuk meluncurkan dan mengelola Instans Spot atas nama Anda.

Izin yang diberikan oleh AWSServiceRoleForEC2Spot

Amazon EC2 menggunakan AWSServiceRoleForEC2Spot untuk menyelesaikan tindakan berikut:

  • ec2:DescribeInstances – Menjelaskan Instans Spot

  • ec2:StopInstances – Menghentikan Instans Spot

  • ec2:StartInstances – Memulai Instans Spot

Membuat peran tertaut layanan

Dalam sebagian besar situasi, Anda tidak perlu membuat peran tertaut layanan secara manual. Amazon EC2 membuat peran terkait layanan AWSServiceRoleForEC2Spot saat pertama kali Anda meminta Instans Spot menggunakan konsol.

Jika Anda memiliki permintaan Instans Spot aktif sebelum Oktober 2017, saat Amazon EC2 mulai mendukung peran terkait layanan ini, Amazon EC2 membuat peran AWSServiceRoleForEC2Spot di akun Anda AWS . Untuk informasi selengkapnya, lihat Peran Baru Muncul di Akun Saya dalam Panduan Pengguna IAM.

Jika Anda menggunakan AWS CLI atau API untuk meminta Instance Spot, Anda harus terlebih dahulu memastikan bahwa peran ini ada.

Untuk membuat AWSServiceRoleForEC2Spot menggunakan konsol

  1. Buka konsol IAM di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi, pilih Peran.

  3. Pilih Buat peran.

  4. Pada halaman Pilih jenis entitas tepercaya, pilih EC2, EC2 - Instans Spot, Berikutnya: Izin.

  5. Di halaman berikutnya, pilih Berikutnya: Tinjau.

  6. Di halaman Tinjau, pilih Buat peran.

Untuk membuat AWSServiceRoleForEC2Spot menggunakan AWS CLI

Gunakan perintah create-service-linked-role sebagai berikut.

aws iam create-service-linked-role --aws-service-name spot.amazonaws.com

Jika Anda tidak perlu lagi menggunakan Instans Spot, sebaiknya hapus peran AWSServiceRoleForEC2Spot. Setelah peran ini dihapus dari akun Anda, Amazon EC2 akan membuat peran lagi jika Anda meminta Instans Spot.

Berikan akses ke kunci yang dikelola pelanggan untuk digunakan dengan snapshot terenkripsi AMIs dan EBS

Jika Anda menentukan AMI terenkripsi atau snapshot Amazon EBS terenkripsi untuk Instans Spot Anda dan Anda menggunakan kunci terkelola pelanggan untuk enkripsi, Anda harus memberikan AWSService RoleFor EC2 izin peran Spot untuk menggunakan kunci yang dikelola pelanggan sehingga EC2 Amazon dapat meluncurkan Instans Spot atas nama Anda. Untuk melakukannya, Anda harus menambahkan pemberian izin ke kunci yang dikelola pelanggan, seperti yang ditunjukkan dalam prosedur berikut.

Ketika memberikan izin, pemberian izin merupakan alternatif dari kebijakan kunci. Untuk informasi selengkapnya, lihat Menggunakan Pemberian Izin dan Menggunakan Kebijakan Kunci di AWS KMS dalam Panduan Developer AWS Key Management Service .

Untuk memberikan izin peran AWSServiceRoleForEC2Spot untuk menggunakan kunci terkelola pelanggan

  • Gunakan perintah create-grant untuk menambahkan hibah ke kunci yang dikelola pelanggan dan untuk menentukan prinsipal (peran terkait layanan AWSServiceRoleForEC2Spot) yang diberi izin untuk melakukan operasi yang diizinkan hibah. Kunci yang dikelola pelanggan ditentukan oleh parameter key-id dan ARN kunci yang dikelola pelanggan. Prinsipal ditentukan oleh grantee-principal parameter dan ARN dari peran terkait layanan AWSServiceRoleForEC2Spot.

    aws kms create-grant \
    --region us-east-1 \
    --key-id arn:aws:kms:us-east-1:444455556666:key/1234abcd-12ab-34cd-56ef-1234567890ab \
    --grantee-principal arn:aws:iam::111122223333:role/aws-service-role/spot.amazonaws.com/AWSServiceRoleForEC2Spot \
    --operations "Decrypt" "Encrypt" "GenerateDataKey" "GenerateDataKeyWithoutPlaintext" "CreateGrant" "DescribeKey" "ReEncryptFrom" "ReEncryptTo"