Ruoli collegati ai servizi per Amazon Auto Scaling EC2 - Amazon EC2 Auto Scaling
PanoramicaAutorizzazioni concesse dal ruolo collegato ai serviziRegioni supportate per i ruoli collegati al EC2 servizio Amazon Auto ScalingCrea, modifica ed elimina un ruolo collegato al servizio

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Ruoli collegati ai servizi per Amazon Auto Scaling EC2

Amazon EC2 Auto Scaling utilizza ruoli collegati ai servizi per le autorizzazioni necessarie per chiamare altri utenti per tuo conto. Servizi AWS Un ruolo collegato al servizio è un tipo di IAM ruolo unico collegato direttamente a un. Servizio AWS

I ruoli collegati ai servizi offrono un modo sicuro per concedere autorizzazioni ad altri Servizi AWS , in quanto solo il servizio associato può assumere un ruolo collegato al servizio. Per ulteriori informazioni, vedere Utilizzo dei ruoli collegati ai servizi nella Guida per l'utente. IAM I ruoli collegati ai servizi consentono inoltre di rendere visibili tutte le API chiamate. AWS CloudTrail Questo aiuta a soddisfare i requisiti di monitoraggio e controllo perché puoi tenere traccia di tutte le azioni che Amazon EC2 Auto Scaling esegue per tuo conto. Per ulteriori informazioni, consulta Registra le chiamate Amazon EC2 Auto Scaling con API AWS CloudTrail.

Le seguenti sezioni descrivono come creare e gestire i ruoli collegati ai servizi Amazon EC2 Auto Scaling. Inizia configurando le autorizzazioni per consentire a un'IAMidentità (ad esempio un utente o un ruolo) di creare, modificare o eliminare un ruolo collegato al servizio. Per ulteriori informazioni, consulta Utilizzo dei ruoli collegati ai servizi nella Guida per l'utente. IAM

Panoramica

Esistono due tipi di ruoli collegati ai servizi Amazon EC2 Auto Scaling:

  • Il ruolo predefinito collegato al servizio per il tuo account, denominato. AWSServiceRoleForAutoScaling Questo ruolo viene automaticamente assegnato ai tuoi gruppi Auto Scaling, a meno che non specifichi un diverso ruolo collegato ai servizi.

  • Un ruolo collegato al servizio con un suffisso personalizzato specificato al momento della creazione del ruolo, ad esempio _ AWSServiceRoleForAutoScalingmysuffix.

Le autorizzazioni di un ruolo collegato al servizio con un suffisso personalizzato sono identiche a quelle del ruolo collegato al servizio predefinito. In entrambi i casi, non è possibile modificare i ruoli o eliminarli se sono ancora in uso da parte di un gruppo con dimensionamento automatico. L'unica differenza è il suffisso del nome del ruolo.

Puoi specificare entrambi i ruoli quando modifichi le politiche AWS Key Management Service chiave per consentire la crittografia delle istanze lanciate da Amazon EC2 Auto Scaling con la tua chiave gestita dal cliente. Tuttavia, se prevedi di fornire l'accesso granulare a una determinata chiave gestita dal cliente, ti consigliamo di utilizzare un ruolo collegato a un servizio con suffisso personalizzato. L'utilizzo di un ruolo collegato a un servizio con suffisso personalizzato offre:

  • Un maggiore controllo sulla chiave gestita dal cliente

  • La possibilità di tenere traccia del gruppo Auto Scaling che ha effettuato una API chiamata nei registri CloudTrail

Se crei chiavi gestite dai clienti a cui non tutti gli utenti devono avere accesso, segui questi passaggi per permettere l'uso di un ruolo collegato al servizio con suffisso personalizzato:

  1. Creazione di un ruolo collegato al servizio con un suffisso personalizzato. Per ulteriori informazioni, consulta Creazione di un ruolo collegato ai servizi (manuale).

  2. Assegnazione al ruolo collegato al servizio l'accesso a una chiave gestita dal cliente. Per ulteriori informazioni sulla policy chiave che permette alla chiave di essere utilizzata da un ruolo collegato al servizio, vedi Policy AWS KMS chiave richiesta per l'uso con volumi crittografati.

  3. Concedere agli utenti l'accesso al ruolo collegato al servizio creato. Per ulteriori informazioni sulla creazione della IAM politica, vedere. Controlla quale ruolo collegato al servizio può essere passato (utilizzando) PassRole Se gli utenti provano a specificare un ruolo collegato al servizio senza l'autorizzazione necessaria per passare tale ruolo al servizio, riceveranno un messaggio d'errore.

Autorizzazioni concesse dal ruolo collegato ai servizi

Amazon EC2 Auto Scaling utilizza il ruolo collegato al servizio denominato AWSServiceRoleForAutoScalingo il suffisso personalizzato del ruolo collegato al servizio.

Ai fini dell'assunzione del ruolo, il ruolo collegato ai servizi considera attendibile il seguente servizio:

  • autoscaling.amazonaws.com

La politica di autorizzazione dei ruoli, AutoScalingServiceRolePolicy, consente ad Amazon EC2 Auto Scaling di completare le seguenti azioni:

  • ec2— Crea, descrivi, modifica, avvia/interrompi e termina le istanze. EC2

  • iamPassa IAM i ruoli alle EC2 istanze in modo che le applicazioni in esecuzione sulle istanze possano accedere alle credenziali temporanee per il ruolo.

  • iam— Crea il ruolo AWSServiceRoleForEC2Spotcollegato al servizio per consentire ad Amazon Auto EC2 Scaling di avviare istanze Spot per tuo conto.

  • elasticloadbalancing— Registra e annulla la registrazione delle istanze con Elastic Load Balancing e verifica lo stato dei target registrati.

  • cloudwatch— Crea, descrivi, modifica ed elimina CloudWatch allarmi per le politiche di scalabilità e recupera le metriche utilizzate per la scalabilità predittiva.

  • sns— Pubblica notifiche su Amazon SNS all'avvio o alla chiusura delle istanze.

  • events— Crea, descrivi, aggiorna ed elimina EventBridge regole per tuo conto.

  • ssm— Legge i parametri da Parameter Store quando si utilizza un parametro Systems Manager come alias per un AMI ID in un modello di avvio.

  • vpc-lattice— Registra e annulla la registrazione delle istanze con VPC Lattice e verifica lo stato dei target registrati.

  • resource-groups— Ottiene tutti i nomi di risorse (ARNs) delle risorse che sono membri di un gruppo di risorse specificato.

Regioni supportate per i ruoli collegati al EC2 servizio Amazon Auto Scaling

Amazon EC2 Auto Scaling supporta l'utilizzo di ruoli collegati ai servizi in tutti i luoghi in Regioni AWS cui il servizio è disponibile.

Crea, modifica ed elimina un ruolo collegato al servizio

Creazione di un ruolo collegato ai servizi (automatico)

Amazon EC2 Auto Scaling crea automaticamente il ruolo AWSServiceRoleForAutoScalingcollegato al servizio la prima volta che crei un gruppo Auto Scaling, a meno che tu non crei manualmente un ruolo collegato al servizio con suffisso personalizzato e lo specifichi durante la creazione del gruppo.

Importante

È necessario disporre delle autorizzazioni per creare il ruolo collegato al servizioIAM. In caso contrario, la creazione automatica non va a buon fine. Per ulteriori informazioni, consulta le autorizzazioni dei ruoli collegati ai servizi nella Guida per l'IAMutente e in questa guida. Creazione di un ruolo collegato ai servizi

Amazon EC2 Auto Scaling ha iniziato a supportare ruoli collegati ai servizi a marzo 2018. Se hai già creato un gruppo Auto Scaling in precedenza, Amazon Auto EC2 Scaling ha creato AWSServiceRoleForAutoScalingil ruolo nel tuo account. Per ulteriori informazioni, consulta A new role appeared in my Account AWS nella Guida per l'IAMutente.

Creazione di un ruolo collegato ai servizi (manuale)

Come creare un ruolo collegato ai servizi (console)

  1. Apri la IAM console all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel pannello di navigazione seleziona Ruoli, quindi Crea ruolo.

  3. In Seleziona tipo di entità attendibile, scegli Servizio AWS .

  4. Per Scegli il servizio che utilizzerà questo ruolo, scegli EC2Auto Scaling e lo use case Auto EC2 Scaling.

  5. Scegli Next: Permissions (Successivo: autorizzazioni), Next: Tags (Successivo: tag), quindi Next: Review (Successivo: verifica). Nota: non è possibile allegare tag ai ruoli collegati ai servizi durante la creazione.

  6. Nella pagina Revisione, lascia vuoto il campo Nome ruolo per creare un ruolo collegato al servizio con il nome AWSServiceRoleForAutoScalingoppure inserisci un suffisso per creare un ruolo collegato al servizio con il nome _ AWSServiceRoleForAutoScalingsuffix.

  7. (Facoltativo) In Role description (Descrizione ruolo) modifica la descrizione per il ruolo collegato ai servizi.

  8. Scegli Create role (Crea ruolo).

Come creare un ruolo collegato ai servizi (AWS CLI)

Usa il seguente create-service-linked-roleCLIcomando per creare un ruolo collegato al servizio per Amazon Auto EC2 Scaling con il nome _ AWSServiceRoleForAutoScalingsuffix. 

aws iam create-service-linked-role --aws-service-name autoscaling.amazonaws.com --custom-suffix suffix

L'output di questo comando include il ARN ruolo collegato al servizio, che puoi utilizzare per fornire al ruolo collegato al servizio l'accesso alla chiave gestita dal cliente. 

{
    "Role": {
        "RoleId": "ABCDEF0123456789ABCDEF",
        "CreateDate": "2018-08-30T21:59:18Z",
        "RoleName": "AWSServiceRoleForAutoScaling_suffix",
        "Arn": "arn:aws:iam::123456789012:role/aws-service-role/autoscaling.amazonaws.com/AWSServiceRoleForAutoScaling_suffix",
        "Path": "/aws-service-role/autoscaling.amazonaws.com/",
        "AssumeRolePolicyDocument": {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Action": [
                        "sts:AssumeRole"
                    ],
                    "Principal": {
                        "Service": [
                            "autoscaling.amazonaws.com"
                        ]
                    },
                    "Effect": "Allow"
                }
            ]
        }
    }
}

Per ulteriori informazioni, consulta Creazione di un ruolo collegato al servizio nella Guida per l'utente. IAM

Modifica del ruolo collegato ai servizi

Non puoi modificare i ruoli collegati ai servizi creati per Amazon Auto EC2 Scaling. Dopo aver creato un ruolo collegato ai servizi, non è possibile modificare il nome del ruolo o delle sue autorizzazioni. Tuttavia, puoi modificare la descrizione del ruolo. Per ulteriori informazioni, consulta Modifica di un ruolo collegato al servizio nella Guida per l'utente. IAM

Eliminazione del ruolo collegato ai servizi

Se stai utilizzando un gruppo con dimensionamento automatico, ti suggeriamo di eliminare il ruolo collegato al servizio. L'eliminazione del ruolo impedisce di avere un'entità che non viene utilizzata o monitorata e gestita attivamente.

È possibile eliminare un ruolo collegato ai servizi solo dopo aver eliminato le risorse correlate. In questo modo puoi evitare di revocare inavvertitamente le autorizzazioni di Amazon Auto EC2 Scaling relative alle tue risorse. Se un ruolo collegato ai servizi viene utilizzato con più gruppi Auto Scaling, è necessario eliminare tutti quelli che utilizzano il ruolo collegato ai servizi, prima di poterlo eliminare. Per ulteriori informazioni, consulta Eliminazione dell'infrastruttura Auto Scaling.

Puoi usarlo per eliminare un ruolo collegato al servizioIAM. Per ulteriori informazioni, vedere Eliminazione di un ruolo collegato al servizio nella Guida per l'utente. IAM

Se elimini il ruolo AWSServiceRoleForAutoScalingcollegato al servizio, Amazon Auto EC2 Scaling lo crea nuovamente quando crei un gruppo Auto Scaling e non specifichi un ruolo collegato al servizio diverso.