Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# AWS Batch Ruolo di esecuzione IAM
Il ruolo di esecuzione concede al contenitore e AWS Fargate agli agenti Amazon ECS l'autorizzazione a effettuare chiamate AWS API per tuo conto.
**Nota**
Il ruolo di esecuzione è supportato dall'agente container Amazon ECS versione 1.16.0 e successive.
Il ruolo di esecuzione IAM è richiesto in base ai requisiti dell'attività. Puoi avere più ruoli di esecuzione per scopi e servizi diversi associati al tuo account.
**Nota**
Per informazioni sul ruolo dell'istanza Amazon ECS, consulta[Ruolo dell'istanza Amazon ECS](instance_IAM_role.md). Per informazioni sui ruoli di servizio, consulta[Come AWS Batch funziona con IAM](security_iam_service-with-iam.md).
Amazon ECS fornisce la policy `AmazonECSTaskExecutionRolePolicy` gestita. Questa policy contiene le autorizzazioni necessarie per i casi d'uso comuni sopra descritti. Potrebbe essere necessario aggiungere politiche in linea al ruolo di esecuzione per i casi d'uso speciali descritti di seguito.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "*"
}
]
}
```
------
# Autorizzazioni supportate a livello di risorsa per le azioni API AWS Batch
Il termine *autorizzazioni a livello di risorsa* si riferisce alla capacità di specificare le risorse su cui gli utenti possono eseguire azioni. AWS Batch supporta parzialmente le autorizzazioni a livello di risorsa. Per alcune AWS Batch azioni, è possibile controllare quando gli utenti sono autorizzati a utilizzare tali azioni in base alle condizioni che devono essere soddisfatte. Puoi anche controllare in base alle risorse specifiche che gli utenti sono autorizzati a utilizzare. Ad esempio, è possibile concedere agli utenti le autorizzazioni per inviare processi, ma solo per una determinata coda di processo e solo con una definizione di processo specifica.
Per i dettagli sulle azioni e sui tipi di risorse definiti da AWS Batch, incluso il formato di ARNs per ogni tipo di risorsa, vedere Azioni, risorse e chiavi di condizione [AWS Batch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html)nel *riferimento di autorizzazione del servizio*.
# Tutorial: Creare il ruolo di esecuzione IAM
Se il tuo account non dispone già di un ruolo di esecuzione IAM, utilizza i seguenti passaggi per creare il ruolo.
1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel pannello di navigazione, seleziona **Roles** (Ruoli).
1. Selezionare **Create role (Crea ruolo)**.
1. Per il **tipo di entità affidabile**, scegli ** Servizio AWS**.
1. Per **Service o use case**, scegli **Elastic Container Service**. Quindi scegli nuovamente **Elastic Container Service Task**.
1. Scegli **Next (Successivo)**.
1. Per **le politiche di autorizzazione**, cerca **Amazon ECSTask ExecutionRolePolicy**.
1. Seleziona la casella di controllo a sinistra della ECSTask ExecutionRolePolicy politica di **Amazon**, quindi scegli **Avanti**.
1. Per **Nome ruolo**, inserisci `ecsTaskExecutionRole` e quindi scegli **Crea ruolo**.
# Tutorial: verifica il ruolo di esecuzione IAM
Utilizza la seguente procedura per verificare che il tuo account disponga già del ruolo di esecuzione IAM e allega la policy IAM gestita, se necessario.
1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel pannello di navigazione, seleziona **Ruoli**.
1. Cerca l’elenco dei ruoli per `ecsTaskExecutionRole`. Se non riesci a trovare il ruolo, consulta[Tutorial: Creare il ruolo di esecuzione IAM](create-execution-role.md). Se hai trovato il ruolo, scegli il ruolo per visualizzare le politiche allegate.
1. Nella scheda **Autorizzazioni**, verifica che la policy ECSTask ExecutionRolePolicy gestita da **Amazon** sia associata al ruolo. Se la policy è allegata, il tuo ruolo di esecuzione è configurato correttamente. In caso contrario, la procedura riportata di seguito consente di collegare la policy.
1. Scegli **Aggiungi autorizzazioni**, quindi scegli **Allega politiche**.
1. Cerca **Amazon ECSTask ExecutionRolePolicy**.
1. Seleziona la casella a sinistra della ECSTask ExecutionRolePolicy politica di **Amazon** e scegli **Allega politiche**.
1. Scegli **Trust relationships (Relazioni di trust)**.
1. Verifica che la relazione di trust includa la policy seguente. Se la relazione di fiducia corrisponde alla politica seguente, il ruolo è configurato correttamente. Se la relazione di fiducia non corrisponde, scegli **Modifica politica di fiducia**, inserisci quanto segue e scegli **Aggiorna politica**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "ecs-tasks.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# Utilizzo di ruoli collegati ai servizi per AWS Batch
AWS Batch utilizza ruoli collegati ai [servizi AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un ruolo collegato ai servizi è un tipo unico di ruolo IAM a cui è collegato direttamente. AWS Batch I ruoli collegati ai servizi sono predefiniti AWS Batch e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per tuo conto. AWS
AWS Batch utilizza due diversi ruoli collegati ai servizi:
+ [AWSServiceRoleForBatch](using-service-linked-roles-batch-general.md)- Per AWS Batch operazioni che includono ambienti di elaborazione.
+ [AWSServiceRoleForAWSBatchWithSagemaker](using-service-linked-roles-batch-sagemaker.md)- Per la gestione e l'accodamento dei carichi di lavoro basati sull' SageMaker intelligenza artificiale.
**Topics**
+ [Utilizzo dei ruoli per AWS Batch](using-service-linked-roles-batch-general.md)
+ [Utilizzo dei ruoli per AWS Batch l'intelligenza artificiale SageMaker](using-service-linked-roles-batch-sagemaker.md)
# Utilizzo dei ruoli per AWS Batch
AWS Batch utilizza ruoli collegati ai [servizi AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un ruolo collegato ai servizi è un tipo unico di ruolo IAM a cui è collegato direttamente. AWS Batch I ruoli collegati ai servizi sono predefiniti AWS Batch e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per tuo conto. AWS
Un ruolo collegato al servizio semplifica la configurazione AWS Batch perché non è necessario aggiungere manualmente le autorizzazioni necessarie. AWS Batch definisce le autorizzazioni dei ruoli collegati ai servizi e, se non diversamente definito, solo può assumerne i ruoli. AWS Batch Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni. Una policy delle autorizzazioni specifica non può essere collegata a un'altra entità IAM.
**Nota**
Effettua una delle seguenti operazioni per specificare un ruolo di servizio per un AWS Batch ambiente di calcolo.
Usa una stringa vuota per il ruolo di servizio. Ciò consente di AWS Batch creare il ruolo di servizio.
Specificare il ruolo di servizio nel seguente formato:`arn:aws:iam::account_number:role/aws-service-role/batch.amazonaws.com/AWSServiceRoleForBatch`.
Per ulteriori informazioni, consulta [Nome del ruolo o ARN errati](invalid_compute_environment.md#invalid_service_role_arn) la Guida AWS Batch per l'utente.
È possibile eliminare un ruolo collegato al servizio solo dopo avere eliminato le risorse correlate. In questo modo proteggi AWS Batch le tue risorse perché non puoi rimuovere inavvertitamente l'autorizzazione ad accedere alle risorse.
**Per informazioni su altri servizi che supportano i ruoli collegati ai servizi, consulta [AWS i servizi che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e cerca i servizi con **Sì** nella colonna Ruoli collegati ai servizi.** Scegli **Sì** in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato al servizio per tale servizio.
## Autorizzazioni di ruolo collegate ai servizi per AWS Batch
AWS Batch utilizza il ruolo collegato al servizio denominato **AWSServiceRoleForBatch**: consente di creare e gestire AWS Batch AWS risorse per conto dell'utente.
Il ruolo AWSService RoleForBatch collegato al servizio prevede che i seguenti servizi assumano il ruolo:
+ `batch.amazonaws.com`
La politica di autorizzazione dei ruoli denominata [BatchServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-BatchServiceRolePolicy)consente di AWS Batch completare le seguenti azioni sulle risorse specificate:
+ `autoscaling`— Consente di AWS Batch creare e gestire risorse Amazon EC2 Auto Scaling. AWS Batch crea e gestisce gruppi Amazon EC2 Auto Scaling per la maggior parte degli ambienti di elaborazione.
+ `ec2`— Consente di AWS Batch controllare il ciclo di vita delle istanze Amazon EC2, nonché di creare e gestire modelli e tag di avvio. AWS Batch crea e gestisce le richieste di EC2 Spot Fleet per alcuni ambienti di calcolo Spot EC2.
+ `ecs`- Consente di AWS Batch creare e gestire cluster Amazon ECS, definizioni di attività e attività per l'esecuzione dei lavori.
+ `eks`- Consente di AWS Batch descrivere la risorsa del cluster Amazon EKS per le convalide.
+ `iam`- Consente di AWS Batch convalidare e trasferire i ruoli forniti dal proprietario ad Amazon EC2, Amazon EC2 Auto Scaling e Amazon ECS.
+ `logs`— Consente di creare e gestire gruppi AWS Batch di log e flussi di log per i lavori. AWS Batch
Per consentire a utenti, gruppi o ruoli di creare, modificare o eliminare un ruolo orientato ai servizi, devi configurare le autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) nella *Guida per l'utente IAM*.
## Creazione di un ruolo collegato al servizio per AWS Batch
Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando crei un ambiente di elaborazione in Console di gestione AWS, the o nell' AWS API AWS CLI, AWS Batch crea automaticamente il ruolo collegato al servizio.
**Importante**
Questo ruolo collegato al servizio può apparire nell'account, se è stata completata un'operazione in un altro servizio che utilizza le caratteristiche supportate da questo ruolo. Se utilizzavi il AWS Batch servizio prima del 10 marzo 2021, quando ha iniziato a supportare ruoli collegati al servizio, hai AWS Batch creato il AWSService RoleForBatch ruolo nel tuo account. Per ulteriori informazioni, vedi [A new role appeared in my](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared). Account AWS
Se elimini questo ruolo collegato al servizio, è possibile ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell’account. Quando crei un ambiente di elaborazione, AWS Batch crea nuovamente il ruolo collegato al servizio per te.
## Modifica di un ruolo collegato al servizio per AWS Batch
AWS Batch non consente di modificare il ruolo collegato al AWSService RoleForBatch servizio. Dopo avere creato un ruolo collegato al servizio, non sarà possibile modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta [Modifica di un ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l’utente di IAM*.
**Per consentire a un'entità IAM di modificare la descrizione del ruolo collegato al servizio AWSService RoleForBatch **
Aggiungi la seguente dichiarazione alla politica delle autorizzazioni. Ciò consente all'entità IAM di modificare la descrizione di un ruolo collegato al servizio.
```
{
"Effect": "Allow",
"Action": [
"iam:UpdateRoleDescription"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/batch.amazonaws.com/AWSServiceRoleForBatch",
"Condition": {"StringLike": {"iam:AWSServiceName": "batch.amazonaws.com"}}
}
```
## Eliminazione di un ruolo collegato al servizio per AWS Batch
Se non è più necessario utilizzare una caratteristica o un servizio che richiede un ruolo collegato ai servizi, ti consigliamo di eliminare quel ruolo. In questo modo non sarà più presente un’entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato ai servizi prima di poterlo eliminare manualmente.
**Per consentire a un'entità IAM di eliminare il ruolo collegato al servizio AWSService RoleForBatch **
Aggiungi la seguente dichiarazione alla politica delle autorizzazioni. Ciò consente all'entità IAM di eliminare un ruolo collegato al servizio.
```
{
"Effect": "Allow",
"Action": [
"iam:DeleteServiceLinkedRole",
"iam:GetServiceLinkedRoleDeletionStatus"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/batch.amazonaws.com/AWSServiceRoleForBatch",
"Condition": {"StringLike": {"iam:AWSServiceName": "batch.amazonaws.com"}}
}
```
### Pulizia di un ruolo collegato ai servizi
Prima di poter utilizzare IAM per eliminare un ruolo collegato al servizio, devi prima confermare che il ruolo non abbia sessioni attive ed eliminare tutti gli ambienti di AWS Batch calcolo che utilizzano il ruolo in tutte le AWS regioni in un'unica partizione.
**Per verificare se il ruolo collegato al servizio dispone di una sessione attiva**
1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel riquadro di navigazione, scegli **Ruoli** e quindi il AWSService RoleForBatch nome (non la casella di controllo).
1. Nella pagina **Riepilogo**, seleziona **Consulente accessi** ed esamina l'attività recente per il ruolo collegato al servizio.
**Nota**
Se non sai se AWS Batch sta usando il AWSService RoleForBatch ruolo, puoi provare a eliminarlo. Se il servizio utilizza il ruolo, il ruolo non verrà eliminato. È possibile visualizzare le regioni in cui viene utilizzato il ruolo. Se il ruolo è in uso, prima di poterlo eliminare dovrai attendere il termine della sessione. Non puoi revocare la sessione per un ruolo collegato ai servizi.
**Per rimuovere AWS Batch le risorse utilizzate dal ruolo collegato al AWSService RoleForBatch servizio**
È necessario eliminare tutti gli ambienti di AWS Batch elaborazione che utilizzano il AWSService RoleForBatch ruolo in tutte le AWS regioni prima di poter eliminare il ruolo. AWSService RoleForBatch
1. Apri la AWS Batch console all'indirizzo [https://console.aws.amazon.com/batch/](https://console.aws.amazon.com/batch/).
1. Seleziona la Regione da utilizzare nella barra di navigazione.
1. Nel riquadro di navigazione, seleziona **Compute environments** (Ambienti di calcolo).
1. Seleziona l'ambiente di calcolo.
1. Scegliere **Disabilita**. Attendi che lo **Stato** passi a **DISABILITATO**.
1. Seleziona l'ambiente di calcolo.
1. Scegli **Elimina**. Conferma di voler eliminare l'ambiente di calcolo scegliendo **Elimina ambiente di calcolo**.
1. Ripeti i passaggi da 1 a 7 per tutti gli ambienti di calcolo che utilizzano il ruolo collegato ai servizi in tutte le regioni.
### Eliminazione di un ruolo collegato al servizio in IAM (Console)
Puoi utilizzare la console IAM per eliminare un ruolo collegato ai servizi.
**Per eliminare un ruolo collegato ai servizi (console)**
1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Nel pannello di navigazione della console IAM seleziona **Ruoli**. Quindi seleziona la casella di controllo accanto a AWSServiceRoleForBatch, non il nome o la riga stessa.
1. Scegli **Delete role (Elimina ruolo)**.
1. Nella finestra di dialogo di conferma controlla i dati relativi all'ultimo accesso ai servizi, che indicano quando ognuno dei ruoli selezionati ha effettuato l'accesso a un Servizio AWS. In questo modo potrai verificare se il ruolo è attualmente attivo. Se desideri procedere, seleziona **Yes, Delete (Sì, elimina)** per richiedere l'eliminazione del ruolo collegato ai servizi.
1. Controlla le notifiche della console IAM per monitorare lo stato dell'eliminazione del ruolo collegato ai servizi. Poiché l'eliminazione del ruolo collegato ai servizi IAM è asincrona, una volta richiesta l'eliminazione del ruolo, il task di eliminazione può essere eseguito correttamente o meno.
+ Se il task viene eseguito correttamente, il ruolo viene rimosso dall'elenco e nella parte superiore della pagina viene visualizzata una notifica di completamento.
+ Se il task non viene eseguito correttamente, puoi scegliere **View details (Visualizza dettagli)** o **View Resources (Visualizza risorse)** dalle notifiche per capire perché l'eliminazione non è stata effettuata. Se l'eliminazione non viene eseguita perché il ruolo sta utilizzando le risorse del servizio, la notifica include un elenco di risorse, se il servizio restituisce questa informazione. A questo punto puoi [eliminare le risorse](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-review-before-delete) e richiedere nuovamente l'eliminazione.
**Nota**
In base alle informazioni restituite dal servizio, è possibile che sia necessario ripetere questo processo diverse volte. Ad esempio, il ruolo collegato ai servizi potrebbe utilizzare sei risorse e il servizio potrebbe restituire informazioni su cinque di esse. Se elimini le cinque risorse e richiedi nuovamente l'eliminazione del ruolo, l'eliminazione non viene eseguita correttamente e il servizio segnala la risorsa rimanente. Un servizio può restituire tutte le risorse, solo alcune o nessuna.
+ Se il task non viene eseguito e la notifica non include un elenco di risorse, il servizio potrebbe non restituire questa informazione. Per scoprire come eliminare le risorse per quel servizio, consulta [Servizi AWS che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Trova il servizio nella tabella e seleziona il link **Yes (Sì)** per visualizzare la documentazione relativa al ruolo collegato ai servizi per quel servizio.
### Eliminazione di un ruolo collegato al servizio in IAM ()AWS CLI
È possibile utilizzare i comandi IAM di AWS Command Line Interface per eliminare un ruolo collegato al servizio.
**Per eliminare un ruolo collegato ai servizi (CLI)**
1. Poiché un ruolo collegato ai servizi non può essere eliminato se è in uso o se a esso sono associate delle risorse, occorre inviare una richiesta di eliminazione. Se queste condizioni non sono soddisfatte, la richiesta può essere rifiutata. Acquisisci il valore di `deletion-task-id`dalla risposta per controllare lo stato del task di eliminazione. Per inviare una richiesta di eliminazione per un ruolo collegato ai servizi, digita il seguente comando:
```
$ aws iam delete-service-linked-role --role-name AWSServiceRoleForBatch
```
1. Digita il seguente comando per verificare lo stato del processo di eliminazione:
```
$ aws iam get-service-linked-role-deletion-status --deletion-task-id deletion-task-id
```
Lo stato di un task di eliminazione può essere `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED`o `FAILED`. Se l'eliminazione non viene eseguita correttamente, la chiamata restituisce il motivo dell'errore per consentire all'utente di risolvere il problema. Se l'eliminazione non viene eseguita perché il ruolo sta utilizzando le risorse del servizio, la notifica include un elenco di risorse, se il servizio restituisce questa informazione. A questo punto puoi [eliminare le risorse](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-review-before-delete) e richiedere nuovamente l'eliminazione.
**Nota**
In base alle informazioni restituite dal servizio, è possibile che sia necessario ripetere questo processo diverse volte. Ad esempio, il ruolo collegato ai servizi potrebbe utilizzare sei risorse e il servizio potrebbe restituire informazioni su cinque di esse. Se elimini le cinque risorse e richiedi nuovamente l'eliminazione del ruolo, l'eliminazione non viene eseguita correttamente e il servizio segnala la risorsa rimanente. Un servizio potrebbe restituire tutte le risorse, alcune. Oppure, potrebbe non riportare alcuna risorsa. Per informazioni su come ripulire le risorse per un servizio che non riporta alcuna risorsa, consulta [AWS Servizi che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Trova il servizio nella tabella e seleziona il link **Yes (Sì)** per visualizzare la documentazione relativa al ruolo collegato ai servizi per quel servizio.
### Eliminazione di un ruolo collegato al servizio in IAM (API)AWS
È possibile utilizzare l'API di IAM; per eliminare un ruolo collegato ai servizi.
**Per eliminare un ruolo collegato ai servizi (API)**
1. Per inviare una richiesta di eliminazione per un ruolo collegato ai servizi, chiamare [DeleteServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceLinkedRole.html). Nella richiesta, specifica il nome del AWSService RoleForBatch ruolo.
Poiché un ruolo collegato ai servizi non può essere eliminato se è in uso o se a esso sono associate delle risorse, occorre inviare una richiesta di eliminazione. Se queste condizioni non sono soddisfatte, la richiesta può essere rifiutata. Acquisisci il valore di `DeletionTaskId`dalla risposta per controllare lo stato del task di eliminazione.
1. Chiamare [GetServiceLinkedRoleDeletionStatus](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLinkedRoleDeletionStatus.html) per controllare lo stato dell'eliminazione. Nella richiesta, specificare il `DeletionTaskId`.
Lo stato di un task di eliminazione può essere `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED`o `FAILED`. Se l'eliminazione non viene eseguita correttamente, la chiamata restituisce il motivo dell'errore per consentire all'utente di risolvere il problema. Se l'eliminazione non viene eseguita perché il ruolo sta utilizzando le risorse del servizio, la notifica include un elenco di risorse, se il servizio restituisce questa informazione. A questo punto puoi [eliminare le risorse](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-review-before-delete) e richiedere nuovamente l'eliminazione.
**Nota**
In base alle informazioni restituite dal servizio, è possibile che sia necessario ripetere questo processo diverse volte. Ad esempio, il ruolo collegato ai servizi potrebbe utilizzare sei risorse e il servizio potrebbe restituire informazioni su cinque di esse. Se elimini le cinque risorse e richiedi nuovamente l'eliminazione del ruolo, l'eliminazione non viene eseguita correttamente e il servizio segnala la risorsa rimanente. Un servizio può restituire tutte le risorse, solo alcune o nessuna. Per scoprire come eliminare le risorse per un servizio che non restituisce nessuna risorsa, consulta [Servizi AWS che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Trova il servizio nella tabella e seleziona il link **Yes (Sì)** per visualizzare la documentazione relativa al ruolo collegato ai servizi per quel servizio.
## Regioni supportate per i ruoli AWS Batch collegati ai servizi
AWS Batch supporta l'utilizzo di ruoli collegati al servizio in tutte le regioni in cui il servizio è disponibile. Per ulteriori informazioni, consulta la pagina relativa agli [endpoint AWS Batch](https://docs.aws.amazon.com/general/latest/gr/batch.html#batch_region).
# Utilizzo dei ruoli per AWS Batch l'intelligenza artificiale SageMaker
AWS Batch utilizza ruoli collegati ai [servizi AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un ruolo collegato ai servizi è un tipo unico di ruolo IAM a cui è collegato direttamente. AWS Batch I ruoli collegati ai servizi sono predefiniti AWS Batch e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per tuo conto. AWS
Un ruolo collegato al servizio semplifica la configurazione AWS Batch perché non è necessario aggiungere manualmente le autorizzazioni necessarie. AWS Batch definisce le autorizzazioni dei ruoli collegati ai servizi e, se non diversamente definito, solo può assumerne i ruoli. AWS Batch Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni che non può essere allegata a nessun’altra entità IAM.
È possibile eliminare un ruolo collegato al servizio solo dopo avere eliminato le risorse correlate. In questo modo proteggi AWS Batch le tue risorse perché non puoi rimuovere inavvertitamente l'autorizzazione ad accedere alle risorse.
**Per informazioni su altri servizi che supportano i ruoli collegati ai servizi, consulta [AWS i servizi che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e cerca i servizi con **Sì** nella colonna Ruoli collegati ai servizi.** Scegli **Sì** in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato al servizio per tale servizio.
## Autorizzazioni di ruolo collegate ai servizi per AWS Batch
AWS Batch utilizza il ruolo collegato al servizio denominato **AWSServiceRoleForAWSBatchWithSagemaker**: consente di AWS Batch mettere in coda e gestire SageMaker i lavori di formazione per tuo conto.
Il ruolo AWSService RoleFor AWSBatch WithSagemaker collegato al servizio prevede che i seguenti servizi assumano il ruolo:
+ `sagemaker-queuing.batch.amazonaws.com`
La politica di autorizzazione dei ruoli consente di AWS Batch completare le seguenti azioni sulle risorse specificate:
+ `sagemaker`— Consente di AWS Batch gestire i lavori di SageMaker formazione, trasformare i lavori e altre risorse di SageMaker intelligenza artificiale.
+ `iam:PassRole`— Consente di AWS Batch trasferire ruoli di esecuzione definiti dal cliente all' SageMaker IA per l'esecuzione del lavoro. Il vincolo di risorse consente di trasferire ruoli ai servizi di intelligenza artificiale. SageMaker
Per consentire a utenti, gruppi o ruoli di creare, modificare o eliminare un ruolo orientato ai servizi, devi configurare le autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) nella *Guida per l'utente IAM*.
## Creazione di un ruolo collegato al servizio per AWS Batch
Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando crei un ambiente di servizio utilizzando `CreateServiceEnvironment` in Console di gestione AWS, the o l' AWS API AWS CLI, AWS Batch crea automaticamente il ruolo collegato al servizio.
Se elimini questo ruolo collegato al servizio, è possibile ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell’account. Quando crei un ambiente di servizio utilizzando`CreateServiceEnvironment`, AWS Batch crea nuovamente il ruolo collegato al servizio per te.
Per visualizzare il codice JSON della policy, consulta [AWSBatchServiceRolePolicyForSageMaker](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBatchServiceRolePolicyForSageMaker.html)la Guida di riferimento per [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html).
## Modifica di un ruolo collegato al servizio per AWS Batch
AWS Batch non consente di modificare il ruolo collegato al AWSService RoleFor AWSBatch WithSagemaker servizio. Dopo avere creato un ruolo collegato al servizio, non sarà possibile modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta [Modifica di un ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l’utente di IAM*.
## Eliminazione di un ruolo collegato al servizio per AWS Batch
Se non è più necessario utilizzare una caratteristica o un servizio che richiede un ruolo collegato ai servizi, ti consigliamo di eliminare quel ruolo. In questo modo non sarà più presente un’entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato ai servizi prima di poterlo eliminare manualmente.
### Pulizia di un ruolo collegato ai servizi
Prima di poter utilizzare IAM per eliminare un ruolo collegato al servizio, è necessario innanzitutto confermare che il ruolo non abbia sessioni attive ed eliminare tutti gli ambienti di servizio che utilizzano il ruolo in tutte le AWS regioni in un'unica partizione.
**Per verificare se il ruolo collegato al servizio dispone di una sessione attiva**
1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel riquadro di navigazione, scegli **Ruoli** e quindi il AWSService RoleFor AWSBatch WithSagemaker nome (non la casella di controllo).
1. Nella pagina **Riepilogo**, seleziona **Consulente accessi** ed esamina l'attività recente per il ruolo collegato al servizio.
**Nota**
Se non sai se AWS Batch sta usando il AWSService RoleFor AWSBatch WithSagemaker ruolo, puoi provare a eliminarlo. Se il servizio utilizza il ruolo, il ruolo non verrà eliminato. È possibile visualizzare le regioni in cui viene utilizzato il ruolo. Se il ruolo è in uso, prima di poterlo eliminare dovrai attendere il termine della sessione. Non puoi revocare la sessione per un ruolo collegato ai servizi.
**Per rimuovere AWS Batch le risorse utilizzate dal ruolo collegato al AWSService RoleFor AWSBatch WithSagemaker servizio**
È necessario dissociare tutte le code di lavoro da tutti gli ambienti di servizio, quindi è necessario eliminare tutti gli ambienti di servizio che utilizzano il AWSService RoleFor AWSBatch WithSagemaker ruolo in tutte le AWS regioni prima di poter eliminare il ruolo. AWSService RoleFor AWSBatch WithSagemaker
1. Apri la console all' AWS Batch indirizzo. [https://console.aws.amazon.com/batch/](https://console.aws.amazon.com/batch/)
1. Seleziona la Regione da utilizzare nella barra di navigazione.
1. Nel riquadro di navigazione, scegli **Ambienti**, quindi **Ambienti di servizio**.
1. Seleziona tutti gli **ambienti di servizio**.
1. Scegliere **Disabilita**. Attendi che lo **Stato** passi a **DISABILITATO**.
1. Seleziona l'ambiente di servizio.
1. Scegli **Elimina**. Conferma di voler eliminare l'ambiente di servizio selezionando **Elimina ambiente di servizio**.
1. Ripeti i passaggi da 1 a 7 per tutti gli ambienti di servizio che utilizzano il ruolo collegato ai servizi in tutte le regioni.
### Eliminazione di un ruolo collegato al servizio in IAM (Console)
Puoi utilizzare la console IAM per eliminare un ruolo collegato ai servizi.
**Per eliminare un ruolo collegato ai servizi (console)**
1. Accedi Console di gestione AWS e apri la console IAM all'indirizzo. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)
1. Nel pannello di navigazione della console IAM seleziona **Ruoli**. Quindi seleziona la casella di controllo accanto a AWSService RoleFor AWSBatchWithSagemaker, non il nome o la riga stessa.
1. Scegli **Delete role (Elimina ruolo)**.
1. Nella finestra di dialogo di conferma controlla i dati relativi all'ultimo accesso ai servizi, che indicano quando ognuno dei ruoli selezionati ha effettuato l'accesso a un Servizio AWS. In questo modo potrai verificare se il ruolo è attualmente attivo. Se desideri procedere, seleziona **Yes, Delete (Sì, elimina)** per richiedere l'eliminazione del ruolo collegato ai servizi.
1. Controlla le notifiche della console IAM per monitorare lo stato dell'eliminazione del ruolo collegato ai servizi. Poiché l'eliminazione del ruolo collegato ai servizi IAM è asincrona, una volta richiesta l'eliminazione del ruolo, il task di eliminazione può essere eseguito correttamente o meno.
+ Se il task viene eseguito correttamente, il ruolo viene rimosso dall'elenco e nella parte superiore della pagina viene visualizzata una notifica di completamento.
+ Se il task non viene eseguito correttamente, puoi scegliere **View details (Visualizza dettagli)** o **View Resources (Visualizza risorse)** dalle notifiche per capire perché l'eliminazione non è stata effettuata. Se l'eliminazione non viene eseguita perché il ruolo sta utilizzando le risorse del servizio, la notifica include un elenco di risorse, se il servizio restituisce questa informazione. A questo punto puoi [eliminare le risorse](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-review-before-delete) e richiedere nuovamente l'eliminazione.
**Nota**
In base alle informazioni restituite dal servizio, è possibile che sia necessario ripetere questo processo diverse volte. Ad esempio, il ruolo collegato ai servizi potrebbe utilizzare sei risorse e il servizio potrebbe restituire informazioni su cinque di esse. Se elimini le cinque risorse e richiedi nuovamente l'eliminazione del ruolo, l'eliminazione non viene eseguita correttamente e il servizio segnala la risorsa rimanente. Un servizio può restituire tutte le risorse, solo alcune o nessuna.
+ Se il task non viene eseguito e la notifica non include un elenco di risorse, il servizio potrebbe non restituire questa informazione. Per scoprire come eliminare le risorse per quel servizio, consulta [Servizi AWS che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Trova il servizio nella tabella e seleziona il link **Yes (Sì)** per visualizzare la documentazione relativa al ruolo collegato ai servizi per quel servizio.
### Eliminazione di un ruolo collegato al servizio in IAM ()AWS CLI
È possibile utilizzare i comandi IAM di AWS Command Line Interface per eliminare un ruolo collegato al servizio.
**Per eliminare un ruolo collegato ai servizi (CLI)**
1. Poiché un ruolo collegato ai servizi non può essere eliminato se è in uso o se a esso sono associate delle risorse, occorre inviare una richiesta di eliminazione. Se queste condizioni non sono soddisfatte, la richiesta può essere rifiutata. Acquisisci il valore di `deletion-task-id`dalla risposta per controllare lo stato del task di eliminazione. Per inviare una richiesta di eliminazione per un ruolo collegato ai servizi, digita il seguente comando:
```
$ aws iam delete-service-linked-role --role-name AWSServiceRoleForAWSBatchWithSagemaker
```
1. Digita il seguente comando per verificare lo stato del processo di eliminazione:
```
$ aws iam get-service-linked-role-deletion-status --deletion-task-id deletion-task-id
```
Lo stato di un task di eliminazione può essere `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED`o `FAILED`. Se l'eliminazione non viene eseguita correttamente, la chiamata restituisce il motivo dell'errore per consentire all'utente di risolvere il problema. Se l'eliminazione non viene eseguita perché il ruolo sta utilizzando le risorse del servizio, la notifica include un elenco di risorse, se il servizio restituisce questa informazione. A questo punto puoi [eliminare le risorse](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-review-before-delete) e richiedere nuovamente l'eliminazione.
**Nota**
In base alle informazioni restituite dal servizio, è possibile che sia necessario ripetere questo processo diverse volte. Ad esempio, il ruolo collegato ai servizi potrebbe utilizzare sei risorse e il servizio potrebbe restituire informazioni su cinque di esse. Se elimini le cinque risorse e richiedi nuovamente l'eliminazione del ruolo, l'eliminazione non viene eseguita correttamente e il servizio segnala la risorsa rimanente. Un servizio potrebbe restituire tutte le risorse, alcune. Oppure, potrebbe non riportare alcuna risorsa. Per informazioni su come ripulire le risorse per un servizio che non riporta alcuna risorsa, consulta [AWS Servizi che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Trova il servizio nella tabella e seleziona il link **Yes (Sì)** per visualizzare la documentazione relativa al ruolo collegato ai servizi per quel servizio.
### Eliminazione di un ruolo collegato al servizio in IAM (API)AWS
È possibile utilizzare l'API di IAM; per eliminare un ruolo collegato ai servizi.
**Per eliminare un ruolo collegato ai servizi (API)**
1. Per inviare una richiesta di eliminazione per un ruolo collegato ai servizi, chiamare [DeleteServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceLinkedRole.html). Nella richiesta, specifica il nome del AWSService RoleFor AWSBatch WithSagemaker ruolo.
Poiché un ruolo collegato ai servizi non può essere eliminato se è in uso o se a esso sono associate delle risorse, occorre inviare una richiesta di eliminazione. Se queste condizioni non sono soddisfatte, la richiesta può essere rifiutata. Acquisisci il valore di `DeletionTaskId`dalla risposta per controllare lo stato del task di eliminazione.
1. Chiamare [GetServiceLinkedRoleDeletionStatus](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLinkedRoleDeletionStatus.html) per controllare lo stato dell'eliminazione. Nella richiesta, specificare il `DeletionTaskId`.
Lo stato di un task di eliminazione può essere `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED`o `FAILED`. Se l'eliminazione non viene eseguita correttamente, la chiamata restituisce il motivo dell'errore per consentire all'utente di risolvere il problema. Se l'eliminazione non viene eseguita perché il ruolo sta utilizzando le risorse del servizio, la notifica include un elenco di risorse, se il servizio restituisce questa informazione. A questo punto puoi [eliminare le risorse](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-review-before-delete) e richiedere nuovamente l'eliminazione.
**Nota**
In base alle informazioni restituite dal servizio, è possibile che sia necessario ripetere questo processo diverse volte. Ad esempio, il ruolo collegato ai servizi potrebbe utilizzare sei risorse e il servizio potrebbe restituire informazioni su cinque di esse. Se elimini le cinque risorse e richiedi nuovamente l'eliminazione del ruolo, l'eliminazione non viene eseguita correttamente e il servizio segnala la risorsa rimanente. Un servizio può restituire tutte le risorse, solo alcune o nessuna. Per scoprire come eliminare le risorse per un servizio che non restituisce nessuna risorsa, consulta [Servizi AWS che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Trova il servizio nella tabella e seleziona il link **Yes (Sì)** per visualizzare la documentazione relativa al ruolo collegato ai servizi per quel servizio.
## Regioni supportate per i ruoli AWS Batch collegati ai servizi
AWS Batch supporta l'utilizzo di ruoli collegati al servizio in tutte le regioni in cui il servizio è disponibile. Per ulteriori informazioni, consulta la pagina relativa agli [endpoint AWS Batch](https://docs.aws.amazon.com/general/latest/gr/batch.html#batch_region).
# Ruolo dell'istanza Amazon ECS
AWS Batch gli ambienti di calcolo sono popolati con istanze di container Amazon ECS. Eseguono l'agente container Amazon ECS localmente. L'agente container Amazon ECS effettua chiamate a varie operazioni AWS API per tuo conto. Pertanto, le istanze di container che eseguono l'agente richiedono una politica e un ruolo IAM affinché questi servizi riconoscano che l'agente appartiene a te. È necessario creare un ruolo IAM e un profilo di istanza per le istanze del contenitore da utilizzare al momento del lancio. Altrimenti, non puoi creare un ambiente di calcolo e avviare istanze di container al suo interno. Questo requisito si applica alle istanze di container lanciate con o senza l'AMI ottimizzata Amazon ECS fornita da Amazon. Per ulteriori informazioni, consulta [Ruolo dell'istanza Amazon ECS](#instance_IAM_role) nella *Guida per lo sviluppatore di Amazon Elastic Container Service*.
**Topics**
+ [Verifica il ruolo dell'istanza Amazon ECS del tuo account](batch-check-ecsinstancerole.md)
# Verifica il ruolo dell'istanza Amazon ECS del tuo account
Il ruolo e il profilo dell'istanza di Amazon ECS vengono creati automaticamente durante la prima esecuzione della console. Tuttavia, puoi seguire questi passaggi per verificare se il tuo account ha già il ruolo e il profilo dell'istanza Amazon ECS. I passaggi seguenti spiegano anche come allegare la policy IAM gestita.
**Tutorial: verifica la presenza di `ecsInstanceRole` nella console IAM**
1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Nel pannello di navigazione, seleziona **Ruoli**.
1. Cerca l’elenco dei ruoli per `ecsInstanceRole`. Se il ruolo non esiste, usa i seguenti passaggi per crearlo.
1. Selezionare **Crea ruolo**.
1. Per **Tipo di entità attendibile**, seleziona **Servizio AWS**.
1. Per i **casi d'uso comuni**, scegli **EC2**.
1. Scegli **Next (Successivo)**.
1. Per **le politiche di autorizzazione**, cerca **Amazon EC2 ContainerServicefor EC2 Role**.
1. Seleziona la casella di controllo accanto ad **Amazon EC2 ContainerServicefor EC2 Role**, quindi scegli **Avanti**.
1. Per **Role Name (Nome ruolo)**, digita `ecsInstanceRole`, quindi scegli **Create Role (Crea ruolo)**.
**Nota**
Se utilizzi il per Console di gestione AWS creare un ruolo per Amazon EC2, la console crea un profilo di istanza con lo stesso nome del ruolo.
In alternativa, puoi utilizzare il AWS CLI per creare il ruolo `ecsInstanceRole` IAM. L'esempio seguente crea un ruolo IAM con una policy di fiducia e una policy AWS gestita.
**Tutorial: Creare un ruolo IAM e un profilo di istanza (AWS CLI)**
1. Crea la seguente politica di fiducia e salvala in un file di testo denominato`ecsInstanceRole-role-trust-policy.json`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": { "Service": "ec2.amazonaws.com"},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Utilizzate il comando [create-role](https://docs.aws.amazon.com/cli/latest/reference/iam/create-role.html) per creare il `ecsInstanceRole` ruolo. Specificate la posizione del file delle politiche di fiducia nel `assume-role-policy-document` parametro.
```
$ aws iam create-role \
--role-name ecsInstanceRole \
--assume-role-policy-document file://ecsInstanceRole-role-trust-policy.json
```
1. Utilizzate il [create-instance-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/create-instance-profile.html)comando per creare un profilo di istanza denominato`ecsInstanceRole`.
**Nota**
È necessario creare ruoli e profili di istanza come azioni separate nell' AWS API AWS CLI and.
```
$ aws iam create-instance-profile --instance-profile-name ecsInstanceRole
```
Di seguito è riportata una risposta di esempio.
```
{
"InstanceProfile": {
"Path": "/",
"InstanceProfileName": "ecsInstanceRole",
"InstanceProfileId": "AIPAT46P5RDITREXAMPLE",
"Arn": "arn:aws:iam::123456789012:instance-profile/ecsInstanceRole",
"CreateDate": "2022-06-30T23:53:34.093Z",
"Roles": [], }
}
```
1. Utilizzate il comando [ add-role-to-instance-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/add-role-to-instance-profile.html) per aggiungere il `ecsInstanceRole` ruolo al profilo dell'`ecsInstanceRole`istanza.
```
aws iam add-role-to-instance-profile \
--role-name ecsInstanceRole --instance-profile-name ecsInstanceRole
```
1. Utilizzate il [attach-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-role-policy.html)comando per allegare la policy `AmazonEC2ContainerServiceforEC2Role` AWS gestita al `ecsInstanceRole` ruolo.
```
$ aws iam attach-role-policy \
--policy-arn arn:aws:iam::aws:policy/service-role/AmazonEC2ContainerServiceforEC2Role \
--role-name ecsInstanceRole
```
# Ruolo della flotta spot di Amazon EC2
Se crei un ambiente di elaborazione gestito che utilizza istanze Spot Fleet di Amazon EC2, devi creare la policy. `AmazonEC2SpotFleetTaggingRole` Questa politica concede a Spot Fleet l'autorizzazione ad avviare, etichettare e chiudere le istanze per tuo conto. Specificare il ruolo nella richiesta di parco istanze Spot. È inoltre necessario disporre dei ruoli **AWSServiceRoleForEC2Spot** e **AWSServiceRoleForEC2SpotFleet**collegati ai servizi per Amazon EC2 Spot e Spot Fleet. Usa le seguenti istruzioni per creare tutti questi ruoli. *Per ulteriori informazioni, consulta [Using Service-Linked Roles](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) e [Creazione di un ruolo per delegare le autorizzazioni a un AWS servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) nella IAM User Guide.*
**Topics**
+ [Crea ruoli per la flotta spot di Amazon EC2 nel Console di gestione AWS](spot-fleet-roles-console.md)
+ [Crea ruoli per la flotta spot di Amazon EC2 con AWS CLI](spot-fleet-roles-cli.md)
# Crea ruoli per la flotta spot di Amazon EC2 nel Console di gestione AWS
**Per creare il ruolo collegato ai servizi `AmazonEC2SpotFleetTaggingRole` IAM per Amazon EC2 Spot Fleet**
1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. **Per la **gestione degli accessi, scegli Ruoli**,**
1. Per **Ruoli**, scegli **Crea ruolo**.
1. Da **Seleziona entità attendibile** **per Tipo di entità affidabile**, scegli **Servizio AWS**.
1. **Per altri casi d'uso**, scegli EC2 Servizi AWS, quindi scegli **EC2** **- Spot Fleet** Tagging.
1. Scegli **Next (Successivo)**.
1. Da **Politiche di autorizzazione** per il nome della **politica**, verifica. `AmazonEC2SpotFleetTaggingRole`
1. Scegli **Next (Successivo)**.
1. Per **Denominare, rivedere e creare**:
1. Per **Nome ruolo**, inserisci un nome per identificare il ruolo.
1. Per **Descrizione**, inserisci una breve spiegazione della politica.
1. (Facoltativo) Per il **passaggio 1: seleziona le entità attendibili**, scegli **Modifica** per modificare il codice.
1. (Facoltativo) Per la **Fase 2: Aggiungere le autorizzazioni**, scegliete **Modifica** per modificare il codice.
1. (Facoltativo) Per **Aggiungi tag**, scegli **Aggiungi tag** per aggiungere tag alla risorsa.
1. Scegli **Crea ruolo**.
**Nota**
In passato, esistevano due policy gestite per il ruolo della flotta Spot di Amazon EC2.
**Amazon EC2 SpotFleetRole**: questa è la politica gestita originale per il ruolo Spot Fleet. Tuttavia, non ti consigliamo più di utilizzarlo con AWS Batch. Questa policy non supporta il tagging delle istanze Spot negli ambienti di elaborazione, necessario per utilizzare il ruolo collegato al `AWSServiceRoleForBatch` servizio. Se in precedenza hai creato un ruolo di Spot Fleet con questa politica, applica la nuova politica consigliata a quel ruolo. Per ulteriori informazioni, consulta [Istanze Spot non taggate al momento della creazione](spot-instance-no-tag.md).
**Amazon EC2 SpotFleetTaggingRole**: questo ruolo fornisce tutte le autorizzazioni necessarie per etichettare le istanze Spot di Amazon EC2. Usa questo ruolo per consentire l'applicazione di tag alle istanze Spot nei tuoi ambienti di elaborazione. AWS Batch
# Crea ruoli per la flotta spot di Amazon EC2 con AWS CLI
**Per creare il ruolo **Amazon EC2 SpotFleetTaggingRole** IAM per gli ambienti di elaborazione della tua flotta Spot**
1. Esegui il seguente comando con. AWS CLI
```
$ aws iam create-role --role-name AmazonEC2SpotFleetTaggingRole \
--assume-role-policy-document '{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "spotfleet.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}'
```
1. Per collegare la policy **Amazon EC2 SpotFleetTaggingRole** managed IAM al tuo EC2 SpotFleetTaggingRole ruolo **Amazon**, esegui il seguente comando con AWS CLI.
```
$ aws iam attach-role-policy \
--policy-arn \
arn:aws:iam::aws:policy/service-role/AmazonEC2SpotFleetTaggingRole \
--role-name \
AmazonEC2SpotFleetTaggingRole
```
**Per creare il ruolo collegato ai servizi `AWSServiceRoleForEC2Spot` IAM per Amazon EC2 Spot**
**Nota**
Se il ruolo collegato al servizio `AWSServiceRoleForEC2Spot` IAM esiste già, viene visualizzato un messaggio di errore simile al seguente.
```
An error occurred (InvalidInput) when calling the CreateServiceLinkedRole operation:
Service role name AWSServiceRoleForEC2Spot has been taken in this account, please try a different suffix.
```
+ Esegui il comando seguente con. AWS CLI
```
$ aws iam create-service-linked-role --aws-service-name spot.amazonaws.com
```
**Per creare il ruolo collegato ai servizi `AWSServiceRoleForEC2SpotFleet` IAM per Amazon EC2 Spot Fleet**
**Nota**
Se il ruolo collegato al servizio `AWSServiceRoleForEC2SpotFleet` IAM esiste già, viene visualizzato un messaggio di errore simile al seguente.
```
An error occurred (InvalidInput) when calling the CreateServiceLinkedRole operation:
Service role name AWSServiceRoleForEC2SpotFleet has been taken in this account, please try a different suffix.
```
+ Esegui il comando seguente con. AWS CLI
```
$ aws iam create-service-linked-role --aws-service-name spotfleet.amazonaws.com
```
# EventBridge Ruolo IAM
Amazon EventBridge offre un flusso quasi in tempo reale di eventi di sistema che descrivono i cambiamenti nelle AWS risorse. AWS Batch i posti di lavoro sono disponibili come obiettivi EventBridge . Grazie a semplici regole rapidamente configurabili, puoi abbinare eventi e inviargli processi di AWS Batch in risposta. Prima di poter inviare AWS Batch lavori con EventBridge regole e obiettivi, EventBridge devi disporre delle autorizzazioni per eseguire AWS Batch lavori per tuo conto.
**Nota**
Quando crei una regola nella EventBridge console che specifica una AWS Batch coda come destinazione, puoi creare questo ruolo. Per un esempio di procedura guidata, consulta [AWS Batch i posti di lavoro come EventBridge obiettivi](batch-cwe-target.md). Puoi creare il EventBridge ruolo manualmente utilizzando la console IAM. Per istruzioni, consulta [Creazione di un ruolo utilizzando policy di fiducia personalizzate (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html) nella Guida per l'utente IAM.
La relazione di fiducia per il tuo ruolo EventBridge IAM deve fornire al responsabile del `events.amazonaws.com` servizio la capacità di assumere il ruolo.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "events.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Assicurati che la policy allegata al tuo ruolo EventBridge IAM consenta `batch:SubmitJob` le autorizzazioni sulle tue risorse. Nell'esempio seguente, AWS Batch fornisce la politica `AWSBatchServiceEventTargetRole` gestita per fornire queste autorizzazioni.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:SubmitJob"
],
"Resource": "*"
}
]
}
```
------