Gunakan peran terkait layanan untuk AWS Batch - AWS Batch
Izin peran terkait layanan untuk AWS BatchMembuat peran terkait layanan untuk AWS BatchMengedit peran terkait layanan untuk AWS BatchMenghapus peran terkait layanan untuk AWS BatchWilayah yang Didukung untuk AWS Batch peran terkait layanan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Gunakan peran terkait layanan untuk AWS Batch

AWS Batch menggunakan AWS Identity and Access Management peran terkait layanan (IAM). Peran terkait layanan adalah jenis unik peran IAM yang ditautkan langsung ke. AWS Batch Peran terkait layanan telah ditentukan sebelumnya oleh AWS Batch dan mencakup semua izin yang diperlukan layanan untuk memanggil AWS layanan lain atas nama Anda.

Peran terkait layanan membuat pengaturan AWS Batch lebih mudah karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. AWS Batch mendefinisikan izin peran terkait layanan, dan kecuali ditentukan lain, hanya AWS Batch dapat mengambil perannya. Izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin, serta bahwa kebijakan izin tidak dapat dilampirkan ke entitas IAM lainnya.

catatan

Lakukan salah satu hal berikut untuk menentukan peran layanan untuk lingkungan AWS Batch komputasi.

  • Gunakan string kosong untuk peran layanan. Ini memungkinkan AWS Batch membuat peran layanan.

  • Tentukan peran layanan dalam format berikut:arn:aws:iam::account_number:role/aws-service-role/batch.amazonaws.com/AWSServiceRoleForBatch.

Untuk informasi selengkapnya, lihat Nama peran atau ARN salah di Panduan AWS Batch Pengguna.

Anda dapat menghapus peran tertaut layanan hanya setelah menghapus sumber daya terkait terlebih dahulu. Ini melindungi sumber daya AWS Batch karena Anda tidak dapat secara tidak sengaja menghapus izin untuk mengakses sumber daya.

Untuk informasi tentang layanan lain yang mendukung peran yang terhubung dengan layanan, lihat Layanan AWS yang Berfungsi dengan IAM dan cari layanan yang memiliki Ya di kolom Peran yang Terhubung dengan Layanan. Pilih Ya bersama tautan untuk melihat dokumentasi peran tertaut layanan untuk layanan tersebut.

Izin peran terkait layanan untuk AWS Batch

AWS Batch menggunakan peran terkait layanan bernama. AWSServiceRoleForBatch AWSServiceRoleForBatchPeran ini memungkinkan AWS Batch untuk membuat dan mengelola AWS sumber daya atas nama Anda.

Peran terkait layanan AWSServiceRoleForBatch mempercayai layanan utama batch.amazonaws.com untuk memegang peran tersebut.

Kebijakan IAM bernama BatchServiceRolePolicymemungkinkan AWS Batch untuk menyelesaikan tindakan berikut pada sumber daya tertentu:

  • autoscaling— Memungkinkan AWS Batch untuk membuat dan mengelola sumber daya Amazon EC2 Auto Scaling. AWS Batch membuat dan mengelola grup EC2 Auto Scaling Amazon untuk sebagian besar lingkungan komputasi.

  • ec2— Memungkinkan AWS Batch untuk mengontrol siklus hidup EC2 instans Amazon serta membuat dan mengelola templat dan tag peluncuran. AWS Batch membuat dan mengelola permintaan Armada EC2 Spot untuk beberapa lingkungan komputasi EC2 Spot.

  • ecs- Memungkinkan AWS Batch untuk membuat dan mengelola cluster Amazon ECS, definisi tugas dan tugas untuk pelaksanaan pekerjaan.

  • eks- Memungkinkan AWS Batch untuk mendeskripsikan sumber daya kluster Amazon EKS untuk validasi.

  • iam- Memungkinkan AWS Batch untuk memvalidasi dan meneruskan peran yang disediakan oleh pemilik ke Amazon EC2, Amazon EC2 Auto Scaling, dan Amazon ECS.

  • logs— Memungkinkan AWS Batch untuk membuat dan mengelola grup log dan aliran log untuk AWS Batch pekerjaan.

Anda harus mengonfigurasi izin untuk mengizinkan entitas IAM (seperti pengguna, grup, atau peran) untuk membuat, mengedit, atau menghapus peran terkait layanan. Untuk informasi selengkapnya, silakan lihat Izin Peran Tertaut Layanan di Panduan Pengguna IAM.

Membuat peran terkait layanan untuk AWS Batch

Anda tidak perlu membuat peran terkait layanan secara manual. Saat Anda CreateComputeEnvironment berada di AWS Management Console, the AWS CLI, atau AWS API, dan tidak menentukan nilai untuk serviceRole parameter, akan AWS Batch membuat peran terkait layanan untuk Anda.

penting

Peran tertaut layanan ini dapat muncul di akun Anda jika Anda menyelesaikan tindakan di layanan lain yang menggunakan fitur yang disupport oleh peran ini. Juga, jika Anda menggunakan AWS Batch layanan sebelum 10 Maret 2021, ketika mulai mendukung peran terkait layanan, maka AWS Batch buat AWSService RoleForBatch peran tersebut di akun Anda. Untuk mempelajari lebih lanjut, lihat Peran Baru yang Muncul di Akun IAM Saya.

Jika Anda menghapus peran yang terhubung dengan layanan ini, lalu ingin membuatnya lagi, Anda dapat menggunakan proses yang sama untuk membuat ulang peran tersebut di akun Anda. Ketika Anda CreateComputeEnvironment, AWS Batch ciptakan peran terkait layanan untuk Anda lagi.

Mengedit peran terkait layanan untuk AWS Batch

Dengan AWS Batch, Anda tidak dapat mengedit peran AWSService RoleForBatch terkait layanan. Setelah membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin mereferensikan peran tersebut. Namun, Anda dapat menyunting penjelasan peran menggunakan IAM. Untuk informasi selengkapnya, lihat Mengedit Peran Tertaut Layanan dalam Panduan Pengguna IAM.

Untuk mengizinkan entitas IAM mengedit deskripsi peran terkait AWSService RoleForBatch layanan

Tambahkan pernyataan berikut ke kebijakan izin. Anda dapat menggunakan entitas IAM untuk mengedit deskripsi peran yang terhubung dengan layanan.

{
    "Effect": "Allow",
    "Action": [
        "iam:UpdateRoleDescription"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/batch.amazonaws.com/AWSServiceRoleForBatch",
    "Condition": {"StringLike": {"iam:AWSServiceName": "batch.amazonaws.com"}}
}

Menghapus peran terkait layanan untuk AWS Batch

Jika Anda tidak perlu lagi menggunakan fitur atau layanan yang memerlukan peran yang terhubung dengan layanan, kami menyarankan agar Anda menghapus peran tersebut. Dengan begitu, Anda tidak memiliki entitas yang tidak digunakan yang tidak dipantau atau dipelihara secara aktif. Tetapi, Anda harus membersihkan sumber daya peran terkait layanan sebelum menghapusnya secara manual.

Untuk mengizinkan entitas IAM menghapus peran terkait AWSService RoleForBatch layanan

Tambahkan pernyataan berikut ke kebijakan izin. Hal ini mengizinkan entitas IAM menghapus peran yang terhubung dengan layanan.

{
    "Effect": "Allow",
    "Action": [
        "iam:DeleteServiceLinkedRole",
        "iam:GetServiceLinkedRoleDeletionStatus"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/batch.amazonaws.com/AWSServiceRoleForBatch",
    "Condition": {"StringLike": {"iam:AWSServiceName": "batch.amazonaws.com"}}
}

Membersihkan peran terkait layanan

Sebelum Anda dapat menggunakan IAM untuk menghapus peran terkait layanan, Anda harus terlebih dahulu mengonfirmasi bahwa peran tersebut tidak memiliki sesi aktif dan menghapus semua lingkungan AWS Batch komputasi yang menggunakan peran di semua AWS Wilayah dalam satu partisi.

Untuk memeriksa apakah peran yang terhubung dengan layanan memiliki sesi aktif

  1. Buka konsol IAM di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi, pilih Peran dan kemudian AWSService RoleForBatch nama (bukan kotak centang).

  3. Di halaman Summary (Ringkasan), pilih Access Advisor (Penasihat Akses) dan tinjau aktivitas terbaru untuk peran yang terhubung dengan layanan.

    catatan

    Jika Anda tidak tahu AWS Batch apakah menggunakan AWSService RoleForBatch peran tersebut, Anda dapat mencoba menghapus peran tersebut. Jika layanan yang menggunakan peran tersebut, peran akan gagal dihapus. Anda dapat melihat Wilayah tempat peran tersebut digunakan. Jika peran tersebut sedang digunakan, Anda harus menunggu hingga sesi ini berakhir sebelum dapat menghapus peran tersebut. Anda tidak dapat mencabut sesi untuk peran tertaut layanan.

Untuk menghapus AWS Batch sumber daya yang digunakan oleh peran AWSService RoleForBatch terkait layanan

Anda harus menghapus semua lingkungan AWS Batch komputasi yang menggunakan AWSService RoleForBatch peran di semua AWS Wilayah sebelum Anda dapat menghapus AWSService RoleForBatch peran.

  1. Buka AWS Batch konsol di https://console.aws.amazon.com/batch/.

  2. Dari bilah navigasi, pilih Wilayah untuk digunakan.

  3. Di panel navigasi, pilih Compute environments (Lingkungan komputasi).

  4. Pilih lingkungan komputasi.

  5. Pilih Disable (Nonaktifkan). Tunggu State (Status) berubah menjadi DISABLED (DINONAKTIFKAN).

  6. Pilih lingkungan komputasi.

  7. Pilih Hapus. Konfirmasikan bahwa Anda ingin menghapus lingkungan komputasi dengan memilih Delete compute environment (Hapus lingkungan komputasi).

  8. Ulangi langkah 1-7 untuk semua lingkungan komputasi yang menggunakan peran yang terhubung dengan layanan di semua Wilayah.

Menghapus peran yang terhubung dengan layanan (Konsol IAM)

Anda dapat menggunakan konsol IAM untuk menghapus sebuah peran terkait layanan.

Untuk menghapus peran terkait layanan (konsol)

  1. Masuk ke AWS Management Console dan buka konsol IAM di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi konsol IAM, pilih Peran. Kemudian pilih kotak centang di sebelah AWSServiceRoleForBatch, bukan nama atau baris itu sendiri.

  3. Pilih Hapus peran.

  4. Di kotak dialog konfirmasi, tinjau data layanan yang terakhir diakses, yang menunjukkan kapan masing-masing peran yang dipilih terakhir mengakses file Layanan AWS. Hal ini membantu Anda mengonfirmasi aktif tidaknya peran tersebut saat ini. Jika Anda ingin melanjutkan, pilih Ya, Hapus guna mengirimkan peran terkait layanan untuk penghapusan.

  5. Perhatikan notifikasi konsol IAM untuk memantau progres penghapusan peran terkait layanan. Karena penghapusan peran terkait layanan IAM bersifat asinkron, setelah Anda mengirimkan peran tersebut untuk dihapus, tugas penghapusan dapat berhasil atau gagal.

    • Jika tugas berhasil, maka peran tersebut dihapus dari daftar dan pemberitahuan keberhasilan muncul di bagian atas halaman.

    • Jika tugas tersebut gagal, Anda dapat memilih Lihat rincian atau Lihat Sumber Daya dari pemberitahuan untuk mempelajari alasan penghapusan gagal. Jika penghapusan gagal karena peran tersebut sedang menggunakan sumber daya layanan, maka pemberitahuan mencakup daftar sumber daya, jika layanan tersebut mengembalikan informasi tersebut. Anda kemudian dapat membersihkan sumber daya dan mengirimkan penghapusan lagi.

      catatan

      Anda mungkin harus mengulangi proses ini beberapa kali, tergantung pada informasi yang dikembalikan oleh layanan. Misalnya, peran terkait layanan Anda mungkin menggunakan enam sumber daya dan layanan Anda mungkin akan mengembalikan informasi mengenai lima di antaranya. Jika Anda membersihkan lima sumber daya dan mengirim peran untuk penghapusan lagi, penghapusan tersebut gagal dan layanan melaporkan sumber daya yang tersisa. Layanan mungkin mengembalikan semua sumber daya, beberapa di antaranya, atau tidak melaporkan sumber daya apa pun.

    • Jika tugas gagal dan pemberitahuan tidak mencakup daftar sumber daya, maka layanan mungkin tidak mengembalikan informasi tersebut. Untuk mempelajari cara membersihkan sumber daya untuk layanan itu, lihat Layanan AWS yang bekerja dengan IAM. Cari layanan Anda dalam tabel, dan pilih tautan Ya untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut

Menghapus peran yang terhubung dengan layanan di IAM (AWS CLI)

Anda dapat menggunakan perintah IAM dari AWS Command Line Interface untuk menghapus peran terkait layanan.

Untuk menghapus peran yang terhubung dengan layanan (CLI)

  1. Karena peran yang terhubung dengan layanan tidak dapat dihapus jika sedang digunakan atau memiliki sumber daya terkait, Anda harus mengirimkan permintaan penghapusan. Permintaan tersebut dapat ditolak jika syarat-syarat ini tidak terpenuhi. Anda harus menangkap deletion-task-id dari tanggapan untuk memeriksa status tugas penghapusan. Ketik perintah berikut untuk mengirimkan permintaan penghapusan peran yang terhubung dengan layanan:

    $ aws iam delete-service-linked-role --role-name AWSServiceRoleForBatch

  2. Gunakan perintah berikut untuk memeriksa status tugas penghapusan:

    $ aws iam get-service-linked-role-deletion-status --deletion-task-id deletion-task-id

    Status tugas penghapusan dapat berupa NOT_STARTED, IN_PROGRESS, SUCCEEDED, atau FAILED. Jika penghapusan gagal, panggilan akan mengembalikan alasan kegagalan panggilan sehingga Anda dapat memecahkan masalah. Jika penghapusan gagal karena peran tersebut sedang menggunakan sumber daya layanan, maka pemberitahuan mencakup daftar sumber daya, jika layanan tersebut mengembalikan informasi tersebut. Anda kemudian dapat membersihkan sumber daya dan mengirimkan penghapusan lagi.

    catatan

    Anda mungkin harus mengulangi proses ini beberapa kali, tergantung pada informasi yang dikembalikan oleh layanan. Misalnya, peran terkait layanan Anda mungkin menggunakan enam sumber daya dan layanan Anda mungkin akan mengembalikan informasi mengenai lima di antaranya. Jika Anda membersihkan lima sumber daya dan mengirim peran untuk penghapusan lagi, penghapusan tersebut gagal dan layanan melaporkan sumber daya yang tersisa. Layanan mungkin mengembalikan semua sumber daya atau beberapa di antaranya. Layanan mungkin juga tidak melaporkan sumber daya apa pun. Untuk mempelajari cara membersihkan sumber daya untuk layanan yang tidak melaporkan sumber daya apa pun, lihat Layanan AWS yang bekerja dengan IAM. Cari layanan Anda dalam tabel, dan pilih tautan Ya untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut

Menghapus peran yang terhubung dengan layanan di IAM (API AWS)

Anda dapat menggunakan API IAM untuk menghapus peran terkait layanan.

Untuk menghapus peran terkait layanan (API)

  1. Untuk mengirimkan permintaan penghapusan untuk peran terkait layanan, panggil DeleteServiceLinkedRole. Dalam permintaan, tentukan nama AWSService RoleForBatch peran.

    Karena peran terkait layanan tidak dapat dihapus jika sedang digunakan atau memiliki sumber daya terkait, Anda harus mengirimkan permintaan penghapusan. Permintaan tersebut dapat ditolak jika kondisi ini tidak terpenuhi. Anda harus menangkap DeletionTaskId dari tanggapan untuk memeriksa status tugas penghapusan.

  2. Untuk memeriksa status penghapusan, panggil GetServiceLinkedRoleDeletionStatus. Di permintaan tersebut, tentukan DeletionTaskId.

    Status tugas penghapusan dapat berupa NOT_STARTED, IN_PROGRESS, SUCCEEDED, atau FAILED. Jika penghapusan gagal, panggilan akan mengembalikan alasan kegagalan panggilan sehingga Anda dapat memecahkan masalah. Jika penghapusan gagal karena peran tersebut sedang menggunakan sumber daya layanan, maka pemberitahuan mencakup daftar sumber daya, jika layanan tersebut mengembalikan informasi tersebut. Anda kemudian dapat membersihkan sumber daya dan mengirimkan penghapusan lagi.

    catatan

    Anda mungkin harus mengulangi proses ini beberapa kali, tergantung pada informasi yang dikembalikan oleh layanan. Misalnya, peran terkait layanan Anda mungkin menggunakan enam sumber daya dan layanan Anda mungkin akan mengembalikan informasi mengenai lima di antaranya. Jika Anda membersihkan lima sumber daya dan mengirim peran untuk penghapusan lagi, penghapusan tersebut gagal dan layanan melaporkan sumber daya yang tersisa. Layanan mungkin mengembalikan semua sumber daya, beberapa di antaranya, atau tidak melaporkan sumber daya apa pun. Untuk mempelajari cara membersihkan sumber daya untuk layanan yang tidak melaporkan sumber daya apa pun, lihat Layanan AWS yang berfungsi dengan IAM. Cari layanan Anda dalam tabel, dan pilih tautan Ya untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut

Wilayah yang Didukung untuk AWS Batch peran terkait layanan

AWS Batch mendukung penggunaan peran terkait layanan di semua Wilayah tempat layanan tersedia. Untuk informasi lebih lanjut, lihat Titik akhir AWS Batch.