EC2 Fast Launch でのサービスにリンクしたロール - Amazon Elastic Compute Cloud
AWSServiceRoleForEC2FastLaunch によって付与されるアクセス許可暗号化された AMI および EBS スナップショット用のカスタマーマネージド型キーへのアクセス

EC2 Fast Launch でのサービスにリンクしたロール

Amazon EC2 は、ユーザーに代わって他の AWS のサービスを呼び出すために必要なアクセス許可のために、サービスにリンクされたロールを使用します。サービスにリンクされたロールは、AWS のサービス に直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは、AWS のサービスにアクセス許可を委任するためのセキュアな方法を提供します。これは、リンクされたサービスのみが、サービスにリンクされたロールを引き受けることができるためです。Amazon EC2 がサービスリンクロールを含めた IAM ロールを使用する方法の詳細については、「Amazon EC2 の IAM ロール」を参照してください。

Amazon EC2 では、AWSServiceRoleForEC2FastLaunch という名前のサービスリンクロールを使用して、Windows AMI からのインスタンスの起動にかかる時間を短縮する、事前プロビジョニングされたスナップショットのセットを作成および管理します。

このサービスリンクロールを手動で作成する必要はありません。AMI に対し EC2 Fast Launch の使用を開始した際に、サービスにリンクしたロールが存在しない場合、Amazon EC2 はそのロールを作成します。

注記

サービスにリンクしたロールがアカウントから削除された場合、別の Windows AMI に対し EC2 Fast Launch を有効にして、アカウントでロールを再作成することができます。または、現在の AMI に対して EC2 Fast Launch を無効にし、再度有効にすることもできます。ただし、機能を無効にすると、AMI ではすべての新しいインスタンスに対して標準の起動プロセスが使用され、Amazon EC2 では事前プロビジョニングされたスナップショットがすべて削除されます。事前プロビジョニングされたスナップショットがすべて削除されたら、AMI に対し EC2 Fast Launch の使用を再び有効にすることができます。

Amazon EC2 では、AWSServiceRoleForEC2FastLaunch のサービスリンクロールを編集することはできません。サービスリンクロールを作成した後は、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明の編集はできます。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの編集」を参照してください。

サービスリンクロールは、関連リソースをすべて削除した後でしか削除できません。この結果、Amazon EC2 リソースへのアクセス許可が誤って削除できなくなるため、EC2 Fast Launch が有効になっている Amazon EC2 Windows Server AMI に関連付けられたリソースが保護されます。

Amazon EC2 では、Amazon EC2 サービスを利用できるすべてのリージョンで、EC2 Fast Launch のサービスにリンクしたロールがサポートされています。詳細については、「リージョン」を参照してください。

AWSServiceRoleForEC2FastLaunch によって付与されるアクセス許可

Amazon EC2 は、EC2FastLaunchServiceRolePolicy 管理ポリシーを使用して、次のアクションを実行します。

  • cloudwatch:PutMetricData – EC2 Fast Launch に関連付けられたメトリクスデータを Amazon EC2 名前空間に投稿します。

  • ec2:CreateLaunchTemplate – EC2 Fast Launch が有効になっている Amazon EC2 Windows Server AMI の起動テンプレートを作成します。

  • ec2:CreateSnapshot – EC2 Fast Launch が有効になっている Amazon EC2 Windows Server AMI に対し、事前プロビジョニングされたスナップショットを作成します。

  • ec2:CreateTags – EC2 Fast Launch が有効になっている Amazon EC2 Windows Server AMI に対し、Windows インスタンスの起動と事前プロビジョニングに関連付けられたリソースのタグを作成します。

  • ec2:DeleteSnapshots – 以前に有効にされた AMI に対し EC2 Fast Launch がオフになっている場合に、関連付けられた事前プロビジョニングされたスナップショットをすべて削除します。

  • ec2:DescribeImages — すべてのリソースのイメージを表示します。

  • ec2:DescribeInstanceAttribute — すべてのリソースのインスタンス属性を表示します。

  • ec2:DescribeInstanceStatus — すべてのリソースのインスタンスステータスを表示します。

  • ec2:DescribeInstances — すべてのリソースのインスタンスを表示します。

  • ec2:DescribeInstanceTypeOfferings — すべてのリソースのインスタンスタイプの提供を表示します。

  • ec2:DescribeLaunchTemplates — すべてのリソースの起動テンプレートを表示します。

  • ec2:DescribeLaunchTemplateVersions — すべてのリソースの起動テンプレートのバージョンを表示します。

  • ec2:DescribeSnapshots — すべてのリソースのスナップショットリソースを表示します。

  • ec2:DescribeSubnets — すべてのリソースのサブネットを表示します。

  • ec2:RunInstances – プロビジョニングの手順を実行するために、EC2 Fast Launch が有効になっている Amazon EC2 Windows Server AMI からインスタンスを起動します。

  • ec2:StopInstances – 事前プロビジョニングされたスナップショットを作成するために、EC2 Fast Launch が有効になっている Amazon EC2 Windows Server AMI から起動されたインスタンスを停止します。

  • ec2:TerminateInstances – 事前プロビジョニングされたスナップショットを作成した後、EC2 Fast Launch が有効になっている Amazon EC2 Windows Server AMI から起動されたインスタンスを終了します。

  • iam:PassRoleAWSServiceRoleForEC2FastLaunch サービスリンクロールが、起動テンプレートのインスタンスプロファイルを使用して、ユーザーに代わってインスタンスを起動することを許可します。

Amazon EC2 のマネージドポリシーの使用方法の詳細については、「Amazon EC2 の AWS マネージドポリシー」を参照してください。

暗号化された AMI および EBS スナップショット用のカスタマーマネージド型キーへのアクセス

前提条件

  • Amazon EC2 がお客様に代わって暗号化された AMI にアクセスできるようにするには、カスタマーマネージド型キーの createGrant アクションに対する権限が必要です。

暗号化された AMI に対し EC2 Fast Launch を有効にすると、Amazon EC2 で、カスタマーマネージドキーを使用して AMI にアクセスするアクセス許可が AWSServiceRoleForEC2FastLaunch ロールに付与されます。この権限は、インスタンスを起動し、ユーザーに代わって事前プロビジョニングされたスナップショットを作成するために必要です。