Gunakan peran terkait layanan untuk AWS Batch - AWS Batch

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Gunakan peran terkait layanan untuk AWS Batch

AWS Batch menggunakan AWS Identity and Access Management (IAM) peran terkait layanan. Peran terkait layanan adalah jenis peran unik yang ditautkan langsung ke. IAM AWS Batch Peran terkait layanan telah ditentukan sebelumnya oleh AWS Batch dan mencakup semua izin yang diperlukan layanan untuk memanggil AWS layanan lain atas nama Anda.

Peran terkait layanan membuat pengaturan AWS Batch lebih mudah karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. AWS Batch mendefinisikan izin peran terkait layanan, dan kecuali ditentukan lain, hanya AWS Batch dapat mengambil perannya. Izin yang ditetapkan mencakup kebijakan kepercayaan dan kebijakan izin, dan kebijakan izin tersebut tidak dapat dilampirkan ke entitas lain. IAM

catatan

Lakukan salah satu hal berikut untuk menentukan peran layanan untuk lingkungan AWS Batch komputasi.

  • Gunakan string kosong untuk peran layanan. Ini memungkinkan AWS Batch membuat peran layanan.

  • Tentukan peran layanan dalam format berikut:arn:aws:iam::account_number:role/aws-service-role/batch.amazonaws.com/AWSServiceRoleForBatch.

Untuk informasi selengkapnya, lihat Nama peran salah atau ARN di Panduan AWS Batch Pengguna.

Anda dapat menghapus peran tertaut layanan hanya setelah menghapus sumber daya terkait terlebih dahulu. Ini melindungi sumber daya AWS Batch karena Anda tidak dapat secara tidak sengaja menghapus izin untuk mengakses sumber daya.

Untuk informasi tentang layanan lain yang mendukung peran terkait layanan, lihat AWS Layanan yang Bekerja dengan IAM dan cari layanan yang memiliki Ya di kolom Peran Tertaut Layanan. Pilih Ya bersama tautan untuk melihat dokumentasi peran tertaut layanan untuk layanan tersebut.

Izin peran terkait layanan untuk AWS Batch

AWS Batch menggunakan peran terkait layanan bernama. AWSServiceRoleForBatch AWSServiceRoleForBatchPeran ini memungkinkan AWS Batch untuk membuat dan mengelola AWS sumber daya atas nama Anda.

Peran AWSServiceRoleForBatchterkait layanan mempercayai kepala batch.amazonaws.com layanan untuk mengambil peran tersebut.

IAMKebijakan bernama BatchServiceRolePolicymemungkinkan AWS Batch untuk menyelesaikan tindakan berikut pada sumber daya tertentu:

  • autoscaling— Memungkinkan AWS Batch untuk membuat dan mengelola sumber daya Amazon EC2 Auto Scaling. AWS Batch membuat dan mengelola grup EC2 Auto Scaling Amazon untuk sebagian besar lingkungan komputasi.

  • ec2— Memungkinkan AWS Batch untuk mengontrol siklus hidup EC2 instans Amazon serta membuat dan mengelola templat dan tag peluncuran. AWS Batch membuat dan mengelola permintaan Armada EC2 Spot untuk beberapa lingkungan komputasi EC2 Spot.

  • ecs- Memungkinkan AWS Batch untuk membuat dan mengelola ECS cluster Amazon, definisi tugas dan tugas untuk pelaksanaan pekerjaan.

  • eks- Memungkinkan AWS Batch untuk menggambarkan sumber daya EKS cluster Amazon untuk validasi.

  • iam- Memungkinkan AWS Batch untuk memvalidasi dan meneruskan peran yang disediakan oleh pemilik ke AmazonEC2, Amazon EC2 Auto Scaling, dan Amazon. ECS

  • logs— Memungkinkan AWS Batch untuk membuat dan mengelola grup log dan aliran log untuk AWS Batch pekerjaan.

Anda harus mengonfigurasi izin untuk mengizinkan IAM entitas (seperti pengguna, grup, atau peran) membuat, mengedit, atau menghapus peran terkait layanan. Untuk informasi selengkapnya, lihat Izin Peran Tertaut Layanan di Panduan Pengguna. IAM

Membuat peran terkait layanan untuk AWS Batch

Anda tidak perlu membuat peran terkait layanan secara manual. Saat Anda CreateComputeEnvironment berada di AWS Management Console AWS CLI, the, atau AWS API, dan tidak menentukan nilai untuk serviceRole parameter, AWS Batch membuat peran terkait layanan untuk Anda.

penting

Peran tertaut layanan ini dapat muncul di akun Anda jika Anda menyelesaikan tindakan di layanan lain yang menggunakan fitur yang disupport oleh peran ini. Juga, jika Anda menggunakan AWS Batch layanan sebelum 10 Maret 2021, ketika mulai mendukung peran terkait layanan, maka AWS Batch buat AWSServiceRoleForBatch peran tersebut di akun Anda. Untuk mempelajari lebih lanjut, lihat Peran Baru Muncul di IAM Akun Saya.

Jika Anda menghapus peran tertaut layanan ini, dan ingin membuatnya lagi, Anda dapat mengulangi proses yang sama untuk membuat kembali peran tersebut di akun Anda. Ketika Anda CreateComputeEnvironment, AWS Batch ciptakan peran terkait layanan untuk Anda lagi.

Mengedit peran terkait layanan untuk AWS Batch

Dengan AWS Batch, Anda tidak dapat mengedit peran AWSServiceRoleForBatch terkait layanan. Setelah membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin mereferensikan peran tersebut. Namun, Anda dapat mengedit deskripsi peran menggunakanIAM. Untuk informasi selengkapnya, lihat Mengedit Peran Tertaut Layanan di IAMPanduan Pengguna.

Untuk mengizinkan IAM entitas mengedit deskripsi peran AWSServiceRoleForBatch terkait layanan

Tambahkan pernyataan berikut ke kebijakan izin. Hal ini memungkinkan IAM entitas untuk mengedit deskripsi peran terkait layanan.

{ "Effect": "Allow", "Action": [ "iam:UpdateRoleDescription" ], "Resource": "arn:aws:iam::*:role/aws-service-role/batch.amazonaws.com/AWSServiceRoleForBatch", "Condition": {"StringLike": {"iam:AWSServiceName": "batch.amazonaws.com"}} }

Menghapus peran terkait layanan untuk AWS Batch

Jika Anda tidak perlu lagi menggunakan fitur atau layanan yang memerlukan peran yang terhubung dengan layanan, kami menyarankan agar Anda menghapus peran tersebut. Dengan begitu, Anda tidak memiliki entitas yang tidak digunakan yang tidak dipantau atau dipelihara secara aktif. Tetapi, Anda harus membersihkan sumber daya peran terkait layanan sebelum menghapusnya secara manual.

Untuk mengizinkan IAM entitas menghapus peran AWSServiceRoleForBatch terkait layanan

Tambahkan pernyataan berikut ke kebijakan izin. Hal ini memungkinkan IAM entitas untuk menghapus peran terkait layanan.

{ "Effect": "Allow", "Action": [ "iam:DeleteServiceLinkedRole", "iam:GetServiceLinkedRoleDeletionStatus" ], "Resource": "arn:aws:iam::*:role/aws-service-role/batch.amazonaws.com/AWSServiceRoleForBatch", "Condition": {"StringLike": {"iam:AWSServiceName": "batch.amazonaws.com"}} }

Membersihkan peran terkait layanan

Sebelum dapat digunakan IAM untuk menghapus peran terkait layanan, Anda harus terlebih dahulu mengonfirmasi bahwa peran tersebut tidak memiliki sesi aktif dan menghapus semua lingkungan AWS Batch komputasi yang menggunakan peran di semua AWS Wilayah dalam satu partisi.

Untuk memeriksa apakah peran yang terhubung dengan layanan memiliki sesi aktif
  1. Buka IAM konsol di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi, pilih Peran dan kemudian AWSServiceRoleForBatch nama (bukan kotak centang).

  3. Di halaman Summary (Ringkasan), pilih Access Advisor (Penasihat Akses) dan tinjau aktivitas terbaru untuk peran yang terhubung dengan layanan.

    catatan

    Jika Anda tidak tahu AWS Batch apakah menggunakan AWSServiceRoleForBatch peran tersebut, Anda dapat mencoba menghapus peran tersebut. Jika layanan yang menggunakan peran tersebut, peran akan gagal dihapus. Anda dapat melihat Wilayah tempat peran tersebut digunakan. Jika peran tersebut sedang digunakan, Anda harus menunggu hingga sesi ini berakhir sebelum dapat menghapus peran tersebut. Anda tidak dapat mencabut sesi untuk peran tertaut layanan.

Untuk menghapus AWS Batch sumber daya yang digunakan oleh peran AWSServiceRoleForBatch terkait layanan

Anda harus menghapus semua lingkungan AWS Batch komputasi yang menggunakan AWSServiceRoleForBatch peran di semua AWS Wilayah sebelum Anda dapat menghapus AWSServiceRoleForBatch peran.

  1. Buka AWS Batch konsol di https://console.aws.amazon.com/batch/.

  2. Dari bilah navigasi, pilih Wilayah untuk digunakan.

  3. Di panel navigasi, pilih Compute environments (Lingkungan komputasi).

  4. Pilih lingkungan komputasi.

  5. Pilih Disable (Nonaktifkan). Tunggu sampai negara berubah DISABLED.

  6. Pilih lingkungan komputasi.

  7. Pilih Hapus. Konfirmasikan bahwa Anda ingin menghapus lingkungan komputasi dengan memilih Delete compute environment (Hapus lingkungan komputasi).

  8. Ulangi langkah 1-7 untuk semua lingkungan komputasi yang menggunakan peran yang terhubung dengan layanan di semua Wilayah.

Menghapus peran terkait layanan di IAM (Konsol)

Anda dapat menggunakan IAM konsol untuk menghapus peran terkait layanan.

Untuk menghapus peran terkait layanan (konsol)
  1. Masuk ke AWS Management Console dan buka IAM konsol di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi IAM konsol, pilih Peran. Kemudian pilih kotak centang di sebelah AWSServiceRoleForBatch, bukan nama atau baris itu sendiri.

  3. Pilih Hapus peran.

  4. Di kotak dialog konfirmasi, tinjau data layanan yang terakhir diakses, yang menunjukkan kapan masing-masing peran yang dipilih terakhir mengakses file Layanan AWS. Hal ini membantu Anda mengonfirmasi aktif tidaknya peran tersebut saat ini. Jika Anda ingin melanjutkan, pilih Ya, Hapus guna mengirimkan peran terkait layanan untuk penghapusan.

  5. Tonton notifikasi IAM konsol untuk memantau kemajuan penghapusan peran terkait layanan. Karena penghapusan peran IAM terkait layanan bersifat asinkron, setelah Anda mengirimkan peran untuk dihapus, tugas penghapusan dapat berhasil atau gagal.

    • Jika tugas berhasil, peran tersebut dihapus dari daftar dan pemberitahuan keberhasilan muncul di bagian atas halaman.

    • Jika tugas tersebut gagal, Anda dapat memilih Lihat rincian atau Lihat Sumber Daya dari pemberitahuan untuk mempelajari alasan penghapusan gagal. Jika penghapusan gagal karena peran tersebut sedang menggunakan sumber daya layanan, maka pemberitahuan mencakup daftar sumber daya, jika layanan tersebut mengembalikan informasi tersebut. Anda kemudian dapat membersihkan sumber daya dan mengirimkan penghapusan lagi.

      catatan

      Anda mungkin harus mengulangi proses ini beberapa kali, tergantung pada informasi yang dikembalikan oleh layanan. Misalnya, peran terkait layanan Anda mungkin menggunakan enam sumber daya dan layanan Anda mungkin akan mengembalikan informasi mengenai lima di antaranya. Jika Anda membersihkan lima sumber daya dan mengirim peran untuk penghapusan lagi, penghapusan tersebut gagal dan layanan melaporkan sumber daya yang tersisa. Layanan mungkin mengembalikan semua sumber daya, beberapa di antaranya, atau tidak melaporkan sumber daya apa pun.

    • Jika tugas gagal dan pemberitahuan tidak mencakup daftar sumber daya, maka layanan mungkin tidak mengembalikan informasi tersebut. Untuk mempelajari cara membersihkan sumber daya untuk layanan itu, lihat Layanan AWS itu berfungsi IAM. Cari layanan Anda dalam tabel, dan pilih tautan Ya untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut

Menghapus peran terkait layanan di () IAM AWS CLI

Anda dapat menggunakan IAM perintah dari AWS Command Line Interface untuk menghapus peran terkait layanan.

Untuk menghapus peran terkait layanan () CLI
  1. Karena peran yang terhubung dengan layanan tidak dapat dihapus jika sedang digunakan atau memiliki sumber daya terkait, Anda harus mengirimkan permintaan penghapusan. Permintaan tersebut dapat ditolak jika syarat-syarat ini tidak terpenuhi. Anda harus menangkap deletion-task-id dari tanggapan untuk memeriksa status tugas penghapusan. Ketik perintah berikut untuk mengirimkan permintaan penghapusan peran yang terhubung dengan layanan:

    $ aws iam delete-service-linked-role --role-name AWSServiceRoleForBatch
  2. Gunakan perintah berikut untuk memeriksa status tugas penghapusan:

    $ aws iam get-service-linked-role-deletion-status --deletion-task-id deletion-task-id

    Status tugas penghapusan dapat berupa NOT_STARTED, IN_PROGRESS, SUCCEEDED, atau FAILED. Jika penghapusan gagal, panggilan akan mengembalikan alasan kegagalan panggilan sehingga Anda dapat memecahkan masalah. Jika penghapusan gagal karena peran tersebut sedang menggunakan sumber daya layanan, maka pemberitahuan mencakup daftar sumber daya, jika layanan tersebut mengembalikan informasi tersebut. Anda kemudian dapat membersihkan sumber daya dan mengirimkan penghapusan lagi.

    catatan

    Anda mungkin harus mengulangi proses ini beberapa kali, tergantung pada informasi yang dikembalikan oleh layanan. Misalnya, peran terkait layanan Anda mungkin menggunakan enam sumber daya dan layanan Anda mungkin akan mengembalikan informasi mengenai lima di antaranya. Jika Anda membersihkan lima sumber daya dan mengirim peran untuk penghapusan lagi, penghapusan tersebut gagal dan layanan melaporkan sumber daya yang tersisa. Layanan mungkin mengembalikan semua sumber daya atau beberapa di antaranya. Layanan mungkin juga tidak melaporkan sumber daya apa pun. Untuk mempelajari cara membersihkan sumber daya untuk layanan yang tidak melaporkan sumber daya apa pun, lihat AWS layanan yang berfungsi dengannya IAM. Cari layanan Anda dalam tabel, dan pilih tautan Ya untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut

Menghapus peran terkait layanan di () IAM AWS API

Anda dapat menggunakan IAM API untuk menghapus peran terkait layanan.

Untuk menghapus peran terkait layanan () API
  1. Untuk mengirimkan permintaan penghapusan untuk roll terkait layanan, hubungi. DeleteServiceLinkedRole Dalam permintaan, tentukan nama AWSServiceRoleForBatch peran.

    Karena peran terkait layanan tidak dapat dihapus jika sedang digunakan atau memiliki sumber daya terkait, Anda harus mengirimkan permintaan penghapusan. Permintaan tersebut dapat ditolak jika kondisi ini tidak terpenuhi. Anda harus menangkap DeletionTaskId dari tanggapan untuk memeriksa status tugas penghapusan.

  2. Untuk memeriksa status penghapusan, hubungi. GetServiceLinkedRoleDeletionStatus Di permintaan tersebut, tentukan DeletionTaskId.

    Status tugas penghapusan dapat berupa NOT_STARTED, IN_PROGRESS, SUCCEEDED, atau FAILED. Jika penghapusan gagal, panggilan akan mengembalikan alasan kegagalan panggilan sehingga Anda dapat memecahkan masalah. Jika penghapusan gagal karena peran tersebut sedang menggunakan sumber daya layanan, maka pemberitahuan mencakup daftar sumber daya, jika layanan tersebut mengembalikan informasi tersebut. Anda kemudian dapat membersihkan sumber daya dan mengirimkan penghapusan lagi.

    catatan

    Anda mungkin harus mengulangi proses ini beberapa kali, tergantung pada informasi yang dikembalikan oleh layanan. Misalnya, peran terkait layanan Anda mungkin menggunakan enam sumber daya dan layanan Anda mungkin akan mengembalikan informasi mengenai lima di antaranya. Jika Anda membersihkan lima sumber daya dan mengirim peran untuk penghapusan lagi, penghapusan tersebut gagal dan layanan melaporkan sumber daya yang tersisa. Layanan mungkin mengembalikan semua sumber daya, beberapa di antaranya, atau tidak melaporkan sumber daya apa pun. Untuk mempelajari cara membersihkan sumber daya untuk layanan yang tidak melaporkan sumber daya apa pun, lihat Layanan AWS yang berfungsi dengannya IAM. Cari layanan Anda dalam tabel, dan pilih tautan Ya untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut

Wilayah yang Didukung untuk AWS Batch peran terkait layanan

AWS Batch mendukung penggunaan peran terkait layanan di semua Wilayah tempat layanan tersedia. Untuk informasi lebih lanjut, lihat Titik akhir AWS Batch.