Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Usa i modelli di EC2 avvio di Amazon per controllare l'avvio delle istanze Amazon EC2
Puoi controllare la configurazione delle tue EC2 istanze Amazon specificando che gli utenti possono avviare le istanze solo se utilizzano un modello di avvio e che possono utilizzare solo un modello di avvio specifico. Puoi anche controllare chi può creare, modificare, descrivere ed eliminare i modelli di avvio e le versioni del modello di avvio.
Utilizzo dei modelli di avvio per controllare i parametri di avvio
Un modello di lancio può contenere tutti o alcuni dei parametri per configurare un'istanza al momento del lancio. Tuttavia, quando si avvia un'istanza utilizzando un modello di avvio, è possibile sovrascrivere i parametri specificati nel modello di avvio. Oppure puoi specificare parametri aggiuntivi che non si trovano nel modello di avvio.
Nota
Non è possibile rimuovere i parametri del modello di avvio durante l'avvio (ad esempio, non è possibile specificare un valore nullo per il parametro). Per rimuovere un parametro, crea una nuova versione del modello di avvio senza il parametro e utilizza tale versione per avviare l'istanza.
Per avviare le istanze, gli utenti devono disporre dell'autorizzazione per utilizzare l'ec2:RunInstances
azione. Gli utenti devono anche disporre delle autorizzazioni per creare o utilizzare le risorse create o associate all'istanza. Puoi utilizzare le autorizzazioni a livello di risorsa per l'operazione ec2:RunInstances
per controllare i parametri di avvio che gli utenti possono specificare. In alternativa, puoi concedere agli utenti le autorizzazioni per avviare un'istanza utilizzando un modello di avvio. Ciò consente di gestire i parametri di avvio in un modello di avvio anziché in una IAM politica e di utilizzare un modello di avvio come veicolo di autorizzazione per l'avvio delle istanze. Ad esempio, è possibile specificare che gli utenti possono solo avviare istanze utilizzando un solo modello di avvio specifico. È anche possibile controllare i parametri di lancio che gli utenti possono sovrascrivere nel modello di avvio. Per esempi di policy, consulta Modelli di lancio.
Controllo dell'utilizzo dei modelli di avvio
Per impostazione predefinita, gli utenti non dispongono delle autorizzazioni per lavorare con i modelli di lancio. Puoi creare una policy dell'utente che concede agli utenti le autorizzazioni per creare, modificare, descrivere ed eliminare i modelli di avvio e le versioni del modello di avvio. È anche possibile applicare le autorizzazioni a livello di risorsa ad alcune operazioni del modello di avvio per controllare la capacità di un utente di utilizzare risorse specifiche per tali azioni. Per ulteriori informazioni, consulta le seguenti policy di esempio: Esempio: utilizzo dei modelli di avvio.
Fai attenzione quando concedi agli utenti le autorizzazioni per utilizzare le operazioni ec2:CreateLaunchTemplate
e ec2:CreateLaunchTemplateVersion
. Non puoi utilizzare le autorizzazioni a livello di risorsa per controllare quali risorse gli utenti possono specificare nel modello di lancio. Per limitare le risorse utilizzate per avviare un'istanza, assicurarsi di concedere le autorizzazioni per creare modelli di avvio e le versioni del modello di avvio solo agli amministratori appropriati.
Importanti problemi di sicurezza quando si utilizzano modelli di lancio con Fleet o Spot Fleet EC2
Per utilizzare i modelli di avvio, devi concedere agli utenti le autorizzazioni per creare, modificare, descrivere ed eliminare tali modelli e le relative versioni. Puoi controllare chi può creare modelli di avvio e versioni del modello di avvio controllando l'accesso alle operazioni ec2:CreateLaunchTemplate
e ec2:CreateLaunchTemplateVersion
. Puoi anche controllare chi può modificare i modelli di avvio controllando l'accesso all'operazione ec2:ModifyLaunchTemplate
.
Importante
Se una EC2 flotta o una flotta Spot è configurata per utilizzare la versione del modello di lancio più recente o predefinita, la flotta non è a conoscenza del fatto che la versione più recente o quella predefinita vengano successivamente modificate in modo da indicare una versione diversa del modello di lancio. Quando viene utilizzata una versione diversa del modello di lancio per Latest o Default, Amazon EC2 non ricontrolla le autorizzazioni per le azioni da completare al momento del lancio di nuove istanze per soddisfare la capacità target della flotta. Questa è una considerazione importante quando si concedono le autorizzazioni a chi può creare e gestire le versioni dei modelli di avvio, in particolare l'operazione ec2:ModifyLaunchTemplate
che consente a un utente di modificare la versione predefinita del modello di avvio.
Concedendo a un utente l'autorizzazione a utilizzare EC2 le azioni per il modello di lancioAPIs, all'utente viene effettivamente concessa l'iam:PassRole
autorizzazione anche se crea o aggiorna una EC2 flotta o una flotta Spot in modo che punti a una versione diversa del modello di lancio che contiene un profilo di istanza (un contenitore per un ruolo). IAM Ciò significa che un utente può potenzialmente aggiornare un modello di lancio per passare un IAM ruolo a un'istanza anche se non dispone dell'iam:PassRole
autorizzazione. Per ulteriori informazioni e un esempio di IAM policy, consulta Usare un IAM ruolo per concedere le autorizzazioni alle applicazioni in esecuzione su EC2 istanze Amazon nella Guida per l'IAMutente.
Per ulteriori informazioni, consulta Controllo dell'utilizzo dei modelli di avvio e Esempio: utilizzo dei modelli di avvio.