Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Peran terkait layanan untuk Amazon EC2 Auto Scaling
Amazon EC2 Auto Scaling menggunakan peran terkait layanan untuk izin yang diperlukan untuk memanggil orang lain atas nama Anda. Layanan AWS Peran terkait layanan adalah jenis peran unik yang ditautkan langsung ke suatu IAM peran. Layanan AWS
Peran terkait layanan menyediakan cara aman untuk mendelegasikan izin ke pihak lain Layanan AWS karena hanya layanan tertaut yang dapat mengambil peran terkait layanan. Untuk informasi selengkapnya, lihat Menggunakan peran terkait layanan di IAMPanduan Pengguna. Peran terkait layanan juga memungkinkan semua API panggilan terlihat. AWS CloudTrail Hal ini membantu dengan persyaratan pemantauan dan audit karena Anda dapat melacak semua tindakan yang dilakukan Amazon EC2 Auto Scaling atas nama Anda. Untuk informasi selengkapnya, lihat Log panggilan EC2 Auto Scaling API Amazon dengan AWS CloudTrail.
Bagian berikut menjelaskan cara membuat dan mengelola peran terkait layanan Amazon EC2 Auto Scaling. Mulailah dengan mengonfigurasi izin untuk mengizinkan IAM identitas (seperti pengguna atau peran) membuat, mengedit, atau menghapus peran terkait layanan. Untuk informasi selengkapnya, lihat Menggunakan peran terkait layanan di IAMPanduan Pengguna.
Daftar Isi
Gambaran Umum
Ada dua jenis peran terkait layanan Amazon EC2 Auto Scaling:
-
Peran default terkait layanan untuk akun Anda, bernama. AWSServiceRoleForAutoScaling Peran ini secara otomatis ditetapkan ke grup Auto Scaling kecuali Anda menentukan peran terkait layanan yang berbeda.
-
Peran terkait layanan dengan akhiran khusus yang Anda tentukan saat membuat peran, misalnya, _ AWSServiceRoleForAutoScaling
mysuffix.
Izin peran terkait layanan akhiran kustom identik dengan peran terhubung ke layanan default. Dalam kedua kasus, Anda tidak dapat mengedit peran, dan Anda juga tidak dapat menghapusnya jika peran tersebut masih digunakan oleh grup Auto Scaling. Satu-satunya perbedaan adalah akhiran nama peran.
Anda dapat menentukan salah satu peran saat mengedit kebijakan AWS Key Management Service utama agar instance yang diluncurkan oleh Amazon EC2 Auto Scaling dienkripsi dengan kunci yang dikelola pelanggan. Namun, jika Anda berencana untuk memberikan akses terperinci ke kunci terkelola pelanggan tertentu, Anda harus menggunakan peran terkait layanan akhiran khusus. Dengan peran layanan terkait akhiran yang disesuaikan, Anda akan mendapatkan:
-
Kontrol lebih besar atas kunci yang dikelola pelanggan
-
Kemampuan untuk melacak grup Auto Scaling mana yang melakukan API panggilan di log Anda CloudTrail
Jika Anda membuat kunci terkelola pelanggan yang tidak dapat diakses oleh semua pengguna, ikuti langkah-langkah berikut untuk mengizinkan penggunaan peran terkait layanan akhiran kustom:
-
Buat peran terkait layanan dengan akhiran khusus. Untuk informasi selengkapnya, lihat Buat peran terkait layanan (manual).
-
Berikan akses peran terkait layanan ke kunci yang dikelola pelanggan. Untuk informasi selengkapnya tentang kebijakan kunci yang memungkinkan kunci digunakan oleh peran terkait layanan, lihat. Kebijakan AWS KMS kunci yang diperlukan untuk digunakan dengan volume terenkripsi
-
Berikan pengguna akses ke peran terkait layanan yang Anda buat. Untuk informasi selengkapnya tentang membuat IAM kebijakan, lihatKontrol peran terkait layanan mana yang dapat diteruskan (menggunakan) PassRole. Jika pengguna mencoba menentukan peran terkait layanan tanpa izin untuk meneruskan peran tersebut ke layanan, mereka akan menerima pesan kesalahan.
Izin yang diberikan oleh peran tertaut layanan
EC2Auto Scaling Amazon menggunakan peran terkait layanan bernama AWSServiceRoleForAutoScalingatau peran terkait layanan akhiran khusus Anda.
Peran terkait layanan memercayai layanan berikut untuk mengambil peran tersebut:
-
autoscaling.amazonaws.com
Kebijakan izin peran, AutoScalingServiceRolePolicy, memungkinkan Amazon EC2 Auto Scaling untuk menyelesaikan tindakan berikut:
-
ec2— Buat, jelaskan, modifikasi, mulai/hentikan, dan akhiri EC2 instance. -
iam— Lulus IAM peran ke EC2 instance sehingga aplikasi yang berjalan pada instance dapat mengakses kredensi sementara untuk peran tersebut. -
iam— Buat peran AWSServiceRoleForEC2Spotterkait layanan untuk memungkinkan Amazon Auto EC2 Scaling meluncurkan Instans Spot atas nama Anda. -
elasticloadbalancing— Daftarkan dan deregister instans dengan Elastic Load Balancing dan periksa kesehatan target yang terdaftar. -
cloudwatch— Membuat, mendeskripsikan, memodifikasi, dan menghapus CloudWatch alarm untuk kebijakan penskalaan dan mengambil metrik yang digunakan untuk penskalaan prediktif. -
sns— Publikasikan pemberitahuan ke Amazon SNS saat instance diluncurkan atau dihentikan. -
events— Buat, jelaskan, perbarui, dan hapus EventBridge aturan atas nama Anda. -
ssm— Baca parameter dari Parameter Store saat menggunakan parameter Systems Manager sebagai alias untuk AMI ID dalam template peluncuran. -
vpc-lattice— Daftarkan dan deregister instance dengan VPC Lattice dan periksa kesehatan target yang terdaftar. -
resource-groups— Dapatkan semua nama sumber daya (ARNs) dari sumber daya yang merupakan anggota grup sumber daya tertentu.
Wilayah yang Didukung untuk peran terkait EC2 layanan Amazon Auto Scaling
Amazon EC2 Auto Scaling mendukung penggunaan peran terkait layanan di semua Wilayah AWS tempat layanan tersedia.
Membuat, mengedit, dan menghapus peran terkait layanan
Buat peran terkait layanan (otomatis)
EC2Auto Scaling Amazon membuat peran AWSServiceRoleForAutoScalingterkait layanan untuk Anda saat pertama kali membuat grup Auto Scaling, kecuali jika Anda membuat peran terkait layanan akhiran khusus secara manual dan menentukannya saat membuat grup.
penting
Anda harus memiliki IAM izin untuk membuat peran terkait layanan. Jika tidak, pembuatan otomatis gagal. Untuk informasi selengkapnya, lihat Izin peran terkait layanan di Panduan IAM Pengguna dan Buat peran tertaut layanan dalam panduan ini.
Amazon EC2 Auto Scaling mulai mendukung peran terkait layanan pada Maret 2018. Jika Anda membuat grup Auto Scaling sebelum itu, Amazon Auto EC2 Scaling membuat peran AWSServiceRoleForAutoScalingdi akun Anda. Untuk informasi selengkapnya, lihat Peran baru muncul Akun AWS di Panduan IAM Pengguna saya.
Buat peran terkait layanan (manual)
Untuk membuat peran terkait layanan (konsol)
Buka IAM konsol di https://console.aws.amazon.com/iam/
. -
Dalam panel navigasi, pilih Roles (Peran), lalu Create role (Buat peran).
-
Untuk Pilih entitas tepercaya, pilih AWS layanan.
-
Untuk Pilih layanan yang akan menggunakan peran ini, pilih EC2Auto Scaling dan kasus penggunaan Auto EC2 Scaling.
-
Pilih Berikutnya: Izin, Berikutnya: Tag, dan kemudian Berikutnya: Tinjau. Catatan: Anda tidak dapat melampirkan tag ke peran terkait layanan selama pembuatan.
-
Pada halaman Tinjauan, biarkan nama Peran kosong untuk membuat peran terkait layanan dengan nama AWSServiceRoleForAutoScaling, atau masukkan akhiran untuk membuat peran terkait layanan dengan nama _ AWSServiceRoleForAutoScaling
suffix. -
(Opsional) Untuk Deskripsi peran, edit deskripsi untuk peran terkait layanan.
-
Pilih Buat peran.
Untuk membuat peran terkait layanan (AWS CLI)
Gunakan create-service-linked-roleCLIperintah berikut untuk membuat peran terkait layanan untuk Amazon Auto EC2 Scaling dengan nama _ AWSServiceRoleForAutoScalingsuffix.
aws iam create-service-linked-role --aws-service-name autoscaling.amazonaws.com --custom-suffixsuffix
Output dari perintah ini mencakup peran terkait layanan, yang dapat Anda gunakan untuk memberikan akses peran terkait layanan ke kunci terkelola pelanggan Anda. ARN
{
"Role": {
"RoleId": "ABCDEF0123456789ABCDEF",
"CreateDate": "2018-08-30T21:59:18Z",
"RoleName": "AWSServiceRoleForAutoScaling_suffix",
"Arn": "arn:aws:iam::123456789012:role/aws-service-role/autoscaling.amazonaws.com/AWSServiceRoleForAutoScaling_suffix",
"Path": "/aws-service-role/autoscaling.amazonaws.com/",
"AssumeRolePolicyDocument": {
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"sts:AssumeRole"
],
"Principal": {
"Service": [
"autoscaling.amazonaws.com"
]
},
"Effect": "Allow"
}
]
}
}
}Untuk informasi selengkapnya, lihat Membuat peran terkait layanan di IAMPanduan Pengguna.
Mengedit peran terkait layanan
Anda tidak dapat mengedit peran terkait layanan yang dibuat untuk Amazon Auto EC2 Scaling. Setelah Anda membuat peran terkait layanan, Anda tidak dapat mengubah nama peran atau izinnya. Namun, Anda dapat mengedit deskripsi peran. Untuk informasi selengkapnya, lihat Mengedit peran terkait layanan di IAMPanduan Pengguna.
Menghapus peran terkait layanan
Jika Anda tidak menggunakan grup Auto Scaling, sebaiknya hapus peran terkait layanan. Menghapus peran mencegah Anda memiliki entitas yang tidak digunakan atau dipantau dan dipelihara secara aktif.
Anda dapat menghapus peran terkait layanan hanya setelah terlebih dahulu menghapus sumber daya dependen terkait. Ini melindungi Anda dari pencabutan izin Auto Scaling EC2 Amazon secara tidak sengaja ke sumber daya Anda. Jika peran terkait layanan digunakan dengan beberapa grup Auto Scaling, Anda harus menghapus semua grup Auto Scaling yang menggunakan peran terkait layanan sebelum Anda dapat menghapusnya. Untuk informasi selengkapnya, lihat Hapus infrastruktur Auto Scaling.
Anda dapat menggunakan IAM untuk menghapus peran terkait layanan. Untuk informasi selengkapnya, lihat Menghapus peran terkait layanan di Panduan Pengguna. IAM
Jika Anda menghapus peran AWSServiceRoleForAutoScalingterkait layanan, Amazon Auto EC2 Scaling akan membuat peran tersebut lagi saat Anda membuat grup Auto Scaling dan tidak menentukan peran terkait layanan lainnya.
