Ruolo collegato ai servizi per EC2 Fast Launch. - Amazon Elastic Compute Cloud
Autorizzazioni concesse da AWSServiceRoleForEC2FastLaunchAccesso alle chiavi gestite dal cliente per l'uso con le AMI crittografate e gli snapshot EBS

Ruolo collegato ai servizi per EC2 Fast Launch.

Amazon EC2 utilizza ruoli collegati ai servizi per le autorizzazioni di cui ha bisogno per eseguire chiamate ad altri Servizi AWS per tuo conto. Un ruolo collegato al servizio è un tipo di ruolo IAM univoco collegato direttamente a un Servizio AWS. I ruoli collegati ai servizi offrono un modo sicuro per concedere autorizzazioni ai Servizi AWS, in quanto solo il servizio associato può assumere un ruolo collegato al servizio. Per ulteriori informazioni sull'utilizzo dei ruoli IAM da parte di Amazon EC2, consultare Ruoli IAM per Amazon EC2.

Amazon EC2 utilizza il ruolo collegato ai servizi denominato AWSServiceRoleForEC2FastLaunch per creare e gestire una serie di snapshot pre-provisioning che riducono il tempo necessario all'avvio delle istanze dall'AMI di Windows.

Non è necessario creare manualmente questo ruolo collegato ai servizi. Quando inizi a utilizzare EC2 Fast Launch per l'AMI, Amazon EC2 crea automaticamente il ruolo collegato ai servizi, se non esiste ancora.

Nota

Se il ruolo collegato ai servizi viene eliminato dall'account, puoi abilitare EC2 Fast Launch per un'altra AMI Windows per ricreare il ruolo nell'account. In alternativa, puoi disabilitare EC2 Fast Launch per l'AMI corrente e quindi abilitarla nuovamente. Tuttavia, la disabilitazione della funzionalità comporta l'AMI del processo di avvio standard per tutte le nuove istanze mentre Amazon EC2 rimuove tutti gli snapshot con pre-provisioning. Dopo che tutti gli snapshot con pre-provisioning sono stati rimossi, puoi abilitare nuovamente EC2 Fast Launch per l'AMI.

Amazon EC2 non consente di modificare il ruolo collegato ai servizi AWSServiceRoleForEC2FastLaunch. Dopo aver creato un ruolo collegato al servizio, non potrai modificarne il nome perché potrebbero farvi riferimento varie entità. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta Modifica di un ruolo collegato ai servizi nella Guida per l'utente di IAM.

È possibile eliminare un ruolo collegato ai servizi solo dopo avere eliminato le risorse correlate. In tal modo, vengono protette le risorse Amazon EC2 associate alla tua AMI Windows Server Amazon EC2 con EC2 Fast Launch abilitato, in quanto impedisce la rimozione involontaria delle autorizzazioni di accesso alle risorse.

Amazon EC2 supporta EC2 Fast Launch per il ruolo collegato ai servizi in tutte le regioni in cui è disponibile il servizio Amazon EC2. Per ulteriori informazioni, consulta Regioni.

Autorizzazioni concesse da AWSServiceRoleForEC2FastLaunch

Amazon EC2 utilizza la policy gestita EC2FastLaunchServiceRolePolicy per completare le operazioni seguenti:

  • cloudwatch:PutMetricData: pubblicare i dati delle metriche associati a EC2 Fast Launch nello spazio dei nomi Amazon EC2.

  • ec2:CreateLaunchTemplate: creare un modello di avvio per l'AMI Windows Server Amazon EC2 con EC2 Fast Launch abilitato.

  • ec2:CreateSnapshot: creare snapshot con pre-provisioning per l'AMI Windows Server Amazon EC2 con EC2 Fast Launch abilitato.

  • ec2:CreateTags: creare tag per risorse associate all'avvio e al pre-provisioning di istanze Windows per l'AMI Windows Server Amazon EC2 con EC2 Fast Launch abilitato.

  • ec2:DeleteSnapshots: eliminare tutti gli snapshot con pre-provisioning associati se EC2 Fast Launch è disattivato per un'AMI precedentemente abilitata.

  • ec2:DescribeImages— Descrivere le immagini per tutte le risorse.

  • ec2:DescribeInstanceAttribute— Descrivere gli attributi di istanza per tutte le risorse.

  • ec2:DescribeInstanceStatus— Descrivere gli stati di istanza per tutte le risorse.

  • ec2:DescribeInstances— Descrivere le istanze per tutte le risorse.

  • ec2:DescribeInstanceTypeOfferings— Descrivere le offerte di tipo di istanza per tutte le risorse.

  • ec2:DescribeLaunchTemplates— Descrivere i modelli di avvio per tutte le risorse.

  • ec2:DescribeLaunchTemplateVersions— Descrivere le versioni dei modelli di avvio per tutte le risorse.

  • ec2:DescribeSnapshots— Descrivere le risorse degli snapshot per tutte le risorse.

  • ec2:DescribeSubnets— Descrivere le sottoreti per tutte le risorse.

  • ec2:RunInstances: avviare istanze da un'AMI Windows Server Amazon EC2 con EC2 Fast Launch abilitato, per eseguire i passaggi di provisioning.

  • ec2:StopInstances: arrestare istanze avviate da un'AMI Windows Server Amazon EC2 con EC2 Fast Launch abilitato, per creare snapshot con pre-provisioning.

  • ec2:TerminateInstances: terminare un'istanza avviata da un'AMI Windows Server Amazon EC2 con EC2 Fast Launch abilitato dopo aver creato lo snapshot con pre-provisioning da tale istanza.

  • iam:PassRole— Consentire al ruolo collegato al servizio AWSServiceRoleForEC2FastLaunch di avviare istanze utilizzando il profilo di istanza dal modello di avvio.

Per ulteriori informazioni sulle policy gestite in Amazon EC2, consultare Policy gestite da AWS per Amazon EC2.

Accesso alle chiavi gestite dal cliente per l'uso con le AMI crittografate e gli snapshot EBS

Prerequisito

  • Per consentire ad Amazon EC2 di accedere a un'AMI crittografata, è necessario disporre dell'autorizzazione per l'operazione createGrant nella chiave gestita dal cliente.

Quando si abilita EC2 Fast Launch per un'AMI crittografata, Amazon EC2 garantisce che venga concessa l'autorizzazione per il ruolo AWSServiceRoleForEC2FastLaunch per utilizzare la chiave gestita dal cliente per accedere alla tua AMI. Questa autorizzazione è necessaria per avviare istanze e creare snapshot pre-provisioning.