Utilizza ruoli collegati ai servizi per AWS Batch - AWS Batch
Autorizzazioni di ruolo collegate ai servizi per AWS BatchCreazione di un ruolo collegato al servizio per AWS BatchModifica di un ruolo collegato al servizio per AWS BatchEliminazione di un ruolo collegato al servizio per AWS BatchRegioni supportate per i ruoli AWS Batch collegati ai servizi

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizza ruoli collegati ai servizi per AWS Batch

AWS Batch utilizza AWS Identity and Access Management (IAM) ruoli collegati ai servizi. Un ruolo collegato al servizio è un tipo unico di IAM ruolo a cui è collegato direttamente. AWS Batch I ruoli collegati ai servizi sono predefiniti AWS Batch e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per conto dell'utente. AWS

Un ruolo collegato al servizio semplifica la configurazione AWS Batch perché non è necessario aggiungere manualmente le autorizzazioni necessarie. AWS Batch definisce le autorizzazioni dei ruoli collegati ai servizi e, se non diversamente definito, solo può assumerne i ruoli. AWS Batch Le autorizzazioni definite includono la politica di attendibilità e la politica di autorizzazione e tale politica di autorizzazione non può essere associata a nessun'altra entità. IAM

Nota

Effettua una delle seguenti operazioni per specificare un ruolo di servizio per un AWS Batch ambiente di calcolo.

  • Usa una stringa vuota per il ruolo di servizio. Ciò consente di AWS Batch creare il ruolo di servizio.

  • Specificare il ruolo di servizio nel seguente formato:arn:aws:iam::account_number:role/aws-service-role/batch.amazonaws.com/AWSServiceRoleForBatch.

Per ulteriori informazioni, consulta Nome del ruolo errato o ARN la Guida AWS Batch per l'utente.

È possibile eliminare un ruolo collegato ai servizi solo dopo aver eliminato le risorse correlate. Questa procedura protegge le risorse di AWS Batch perché impedisce la rimozione involontaria delle autorizzazioni di accesso alle risorse.

Per informazioni su altri servizi che supportano i ruoli collegati ai servizi, consulta AWS Servizi che funzionano con IAM e cerca i servizi con nella colonna Ruolo collegato ai servizi. Scegli in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.

Autorizzazioni di ruolo collegate ai servizi per AWS Batch

AWS Batch utilizza il ruolo collegato al servizio denominato. AWSServiceRoleForBatch Il AWSServiceRoleForBatchruolo consente di AWS Batch creare e gestire AWS risorse per conto dell'utente.

Il ruolo AWSServiceRoleForBatchcollegato al servizio prevede che il responsabile del batch.amazonaws.com servizio assuma il ruolo.

La IAM policy denominata BatchServiceRolePolicyconsente di AWS Batch completare le seguenti azioni su risorse specifiche:

  • autoscaling— Consente di AWS Batch creare e gestire risorse Amazon EC2 Auto Scaling. AWS Batch crea e gestisce gruppi Amazon EC2 Auto Scaling per la maggior parte degli ambienti di elaborazione.

  • ec2— Consente di AWS Batch controllare il ciclo di vita delle EC2 istanze Amazon, nonché di creare e gestire modelli e tag di avvio. AWS Batch crea e gestisce le richieste EC2 Spot Fleet per alcuni ambienti di calcolo EC2 Spot.

  • ecs- Consente di AWS Batch creare e gestire ECS cluster Amazon, definizioni di attività e attività per l'esecuzione dei lavori.

  • eks- Consente di AWS Batch descrivere la risorsa del EKS cluster Amazon per le convalide.

  • iam- Consente di AWS Batch convalidare e trasferire i ruoli forniti dal proprietario ad AmazonEC2, Amazon EC2 Auto Scaling e Amazon. ECS

  • logs— Consente di AWS Batch creare e gestire gruppi di log e flussi di log per i lavori. AWS Batch

È necessario configurare le autorizzazioni per consentire a un'IAMentità (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato al servizio. Per ulteriori informazioni, consulta la sezione Autorizzazioni relative ai ruoli collegati ai servizi nella Guida per l'utente. IAM

Creazione di un ruolo collegato al servizio per AWS Batch

Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Se si CreateComputeEnvironment appartiene a AWS Management Console AWS CLI, o non si specifica un valore per il serviceRole parametro, viene AWS Batch creato automaticamente il ruolo collegato al servizio. AWS API

Importante

Questo ruolo collegato al servizio può apparire nell'account, se è stata completata un'operazione in un altro servizio che utilizza le caratteristiche supportate da questo ruolo. Inoltre, se utilizzavi il AWS Batch servizio prima del 10 marzo 2021, quando ha iniziato a supportare ruoli collegati al servizio, hai AWS Batch creato il AWSServiceRoleForBatch ruolo nel tuo account. Per saperne di più, vedi Un nuovo ruolo è apparso nel mio IAM account.

Se elimini questo ruolo collegato ai servizi, puoi ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell'account. Quando lo fai CreateComputeEnvironment, AWS Batch crea nuovamente per te il ruolo collegato al servizio.

Modifica di un ruolo collegato al servizio per AWS Batch

Con AWS Batch, non è possibile modificare il ruolo collegato al AWSServiceRoleForBatch servizio. Dopo aver creato un ruolo collegato al servizio, non puoi modificarne il nome, perché potrebbero farvi riferimento diverse entità. Tuttavia, puoi modificare la descrizione del ruolo utilizzando. IAM Per ulteriori informazioni, consulta Modifica di un ruolo collegato ai servizi nella Guida per l'IAMutente.

Per consentire a un'IAMentità di modificare la descrizione del ruolo collegato al servizio AWSServiceRoleForBatch

Aggiungi la seguente dichiarazione alla politica delle autorizzazioni. Ciò consente all'IAMentità di modificare la descrizione di un ruolo collegato al servizio.

{
    "Effect": "Allow",
    "Action": [
        "iam:UpdateRoleDescription"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/batch.amazonaws.com/AWSServiceRoleForBatch",
    "Condition": {"StringLike": {"iam:AWSServiceName": "batch.amazonaws.com"}}
}

Eliminazione di un ruolo collegato al servizio per AWS Batch

Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, si consiglia di eliminare tale ruolo. In questo modo, non hai un'entità inutilizzata che non viene monitorata o gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato al servizio prima di poterlo eliminare manualmente.

Per consentire a un'IAMentità di eliminare il ruolo collegato al AWSServiceRoleForBatch servizio

Aggiungi la seguente dichiarazione alla politica delle autorizzazioni. Ciò consente all'IAMentità di eliminare un ruolo collegato al servizio.

{
    "Effect": "Allow",
    "Action": [
        "iam:DeleteServiceLinkedRole",
        "iam:GetServiceLinkedRoleDeletionStatus"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/batch.amazonaws.com/AWSServiceRoleForBatch",
    "Condition": {"StringLike": {"iam:AWSServiceName": "batch.amazonaws.com"}}
}

Pulizia di un ruolo collegato ai servizi

Prima di poter eliminare un ruolo collegato IAM al servizio, è necessario innanzitutto confermare che il ruolo non abbia sessioni attive ed eliminare tutti gli ambienti di AWS Batch calcolo che utilizzano il ruolo in tutte le AWS regioni in un'unica partizione.

Per verificare se il ruolo collegato al servizio dispone di una sessione attiva

  1. Apri la console all'indirizzo. IAM https://console.aws.amazon.com/iam/

  2. Nel riquadro di navigazione, scegli Ruoli e quindi il AWSServiceRoleForBatch nome (non la casella di controllo).

  3. Nella pagina Riepilogo, seleziona Consulente accessi ed esamina l'attività recente per il ruolo collegato al servizio.

    Nota

    Se non sai se AWS Batch sta usando il AWSServiceRoleForBatch ruolo, puoi provare a eliminarlo. Se il servizio utilizza il ruolo, il ruolo non verrà eliminato. È possibile visualizzare le regioni in cui viene utilizzato il ruolo. Se il ruolo è in uso, prima di poterlo eliminare dovrai attendere il termine della sessione. Non puoi revocare la sessione per un ruolo collegato ai servizi.

Per rimuovere AWS Batch le risorse utilizzate dal ruolo collegato al AWSServiceRoleForBatch servizio

È necessario eliminare tutti gli ambienti di AWS Batch elaborazione che utilizzano il AWSServiceRoleForBatch ruolo in tutte le AWS regioni prima di poter eliminare il ruolo. AWSServiceRoleForBatch

  1. Apri la AWS Batch console all'indirizzo https://console.aws.amazon.com/batch/.

  2. Seleziona la Regione da utilizzare nella barra di navigazione.

  3. Nel riquadro di navigazione, seleziona Compute environments (Ambienti di calcolo).

  4. Seleziona l'ambiente di calcolo.

  5. Scegliere Disabilita. Attendi che lo Stato cambi in. DISABLED

  6. Seleziona l'ambiente di calcolo.

  7. Scegli Elimina. Conferma di voler eliminare l'ambiente di calcolo scegliendo Elimina ambiente di calcolo.

  8. Ripeti i passaggi da 1 a 7 per tutti gli ambienti di calcolo che utilizzano il ruolo collegato ai servizi in tutte le regioni.

Eliminazione di un ruolo collegato al servizio in (Console) IAM

È possibile utilizzare la IAM console per eliminare un ruolo collegato al servizio.

Per eliminare un ruolo collegato ai servizi (console)

  1. Accedi AWS Management Console e apri la IAM console all'indirizzo. https://console.aws.amazon.com/iam/

  2. Nel riquadro di navigazione della IAM console, scegli Ruoli. Quindi seleziona la casella di controllo accanto a AWSServiceRoleForBatch, non il nome o la riga stessa.

  3. Scegli Delete role (Elimina ruolo).

  4. Nella finestra di dialogo di conferma controlla i dati relativi all'ultimo accesso ai servizi, che indicano quando ognuno dei ruoli selezionati ha effettuato l'accesso a un Servizio AWS. In questo modo potrai verificare se il ruolo è attualmente attivo. Se desideri procedere, seleziona Yes, Delete (Sì, elimina) per richiedere l'eliminazione del ruolo collegato ai servizi.

  5. Guarda le notifiche della IAM console per monitorare lo stato di avanzamento dell'eliminazione del ruolo collegato al servizio. Poiché l'eliminazione del ruolo IAM collegato al servizio è asincrona, dopo aver inviato il ruolo per l'eliminazione, l'operazione di eliminazione può avere esito positivo o negativo.

    • Se il task viene eseguito correttamente, il ruolo viene rimosso dall'elenco e nella parte superiore della pagina viene visualizzata una notifica di completamento.

    • Se il task non viene eseguito correttamente, puoi scegliere View details (Visualizza dettagli) o View Resources (Visualizza risorse) dalle notifiche per capire perché l'eliminazione non è stata effettuata. Se l'eliminazione non viene eseguita perché il ruolo sta utilizzando le risorse del servizio, la notifica include un elenco di risorse, se il servizio restituisce questa informazione. A questo punto puoi eliminare le risorse e richiedere nuovamente l'eliminazione.

      Nota

      In base alle informazioni restituite dal servizio, è possibile che sia necessario ripetere questo processo diverse volte. Ad esempio, il ruolo collegato ai servizi potrebbe utilizzare sei risorse e il servizio potrebbe restituire informazioni su cinque di esse. Se elimini le cinque risorse e richiedi nuovamente l'eliminazione del ruolo, l'eliminazione non viene eseguita correttamente e il servizio segnala la risorsa rimanente. Un servizio può restituire tutte le risorse, solo alcune o nessuna.

    • Se il task non viene eseguito e la notifica non include un elenco di risorse, il servizio potrebbe non restituire questa informazione. Per informazioni su come ripulire le risorse per quel servizio, consulta That work with.Servizi AWS IAM Trova il servizio nella tabella e seleziona il link Yes (Sì) per visualizzare la documentazione relativa al ruolo collegato ai servizi per quel servizio.

Eliminazione di un ruolo collegato al servizio in () IAM AWS CLI

È possibile utilizzare IAM i comandi di AWS Command Line Interface per eliminare un ruolo collegato al servizio.

Per eliminare un ruolo collegato al servizio () CLI

  1. Poiché un ruolo collegato ai servizi non può essere eliminato se è in uso o se a esso sono associate delle risorse, occorre inviare una richiesta di eliminazione. Se queste condizioni non sono soddisfatte, la richiesta può essere rifiutata. Acquisisci il valore di deletion-task-iddalla risposta per controllare lo stato del task di eliminazione. Per inviare una richiesta di eliminazione per un ruolo collegato ai servizi, digita il seguente comando:

    $ aws iam delete-service-linked-role --role-name AWSServiceRoleForBatch

  2. Digita il seguente comando per verificare lo stato del processo di eliminazione:

    $ aws iam get-service-linked-role-deletion-status --deletion-task-id deletion-task-id

    Lo stato di un task di eliminazione può essere NOT_STARTED, IN_PROGRESS, SUCCEEDEDo FAILED. Se l'eliminazione non viene eseguita correttamente, la chiamata restituisce il motivo dell'errore per consentire all'utente di risolvere il problema. Se l'eliminazione non viene eseguita perché il ruolo sta utilizzando le risorse del servizio, la notifica include un elenco di risorse, se il servizio restituisce questa informazione. A questo punto puoi eliminare le risorse e richiedere nuovamente l'eliminazione.

    Nota

    In base alle informazioni restituite dal servizio, è possibile che sia necessario ripetere questo processo diverse volte. Ad esempio, il ruolo collegato ai servizi potrebbe utilizzare sei risorse e il servizio potrebbe restituire informazioni su cinque di esse. Se elimini le cinque risorse e richiedi nuovamente l'eliminazione del ruolo, l'eliminazione non viene eseguita correttamente e il servizio segnala la risorsa rimanente. Un servizio potrebbe restituire tutte le risorse, alcune. Oppure, potrebbe non riportare alcuna risorsa. Per informazioni su come ripulire le risorse di un servizio che non segnala alcuna risorsa, consulta AWS Servizi compatibili con IAM. Trova il servizio nella tabella e seleziona il link Yes (Sì) per visualizzare la documentazione relativa al ruolo collegato ai servizi per quel servizio.

Eliminazione di un ruolo collegato al servizio in () IAM AWS API

È possibile utilizzare il IAM API per eliminare un ruolo collegato al servizio.

Per eliminare un ruolo collegato al servizio () API

  1. Per inviare una richiesta di cancellazione per un ruolo collegato a un servizio, chiama. DeleteServiceLinkedRole Nella richiesta, specificate il nome del AWSServiceRoleForBatch ruolo.

    Poiché un ruolo collegato ai servizi non può essere eliminato se è in uso o se a esso sono associate delle risorse, occorre inviare una richiesta di eliminazione. Se queste condizioni non sono soddisfatte, la richiesta può essere rifiutata. Acquisisci il valore di DeletionTaskIddalla risposta per controllare lo stato del task di eliminazione.

  2. Per verificare lo stato dell'eliminazione, chiama GetServiceLinkedRoleDeletionStatus. Nella richiesta, specificare il DeletionTaskId.

    Lo stato di un task di eliminazione può essere NOT_STARTED, IN_PROGRESS, SUCCEEDEDo FAILED. Se l'eliminazione non viene eseguita correttamente, la chiamata restituisce il motivo dell'errore per consentire all'utente di risolvere il problema. Se l'eliminazione non viene eseguita perché il ruolo sta utilizzando le risorse del servizio, la notifica include un elenco di risorse, se il servizio restituisce questa informazione. A questo punto puoi eliminare le risorse e richiedere nuovamente l'eliminazione.

    Nota

    In base alle informazioni restituite dal servizio, è possibile che sia necessario ripetere questo processo diverse volte. Ad esempio, il ruolo collegato ai servizi potrebbe utilizzare sei risorse e il servizio potrebbe restituire informazioni su cinque di esse. Se elimini le cinque risorse e richiedi nuovamente l'eliminazione del ruolo, l'eliminazione non viene eseguita correttamente e il servizio segnala la risorsa rimanente. Un servizio può restituire tutte le risorse, solo alcune o nessuna. Per informazioni su come ripulire le risorse di un servizio che non riporta alcuna risorsa, consulta Servizi AWS That work with IAM. Trova il servizio nella tabella e seleziona il link Yes (Sì) per visualizzare la documentazione relativa al ruolo collegato ai servizi per quel servizio.

Regioni supportate per i ruoli AWS Batch collegati ai servizi

AWS Batch supporta l'utilizzo di ruoli collegati al servizio in tutte le regioni in cui il servizio è disponibile. Per ulteriori informazioni, consulta la pagina relativa agli endpoint AWS Batch.