AWS Parallel Computing Service の IAM インスタンスプロファイル - AWS PCS

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Parallel Computing Service の IAM インスタンスプロファイル

EC2 インスタンスで実行されるアプリケーションは、実行する任意の AWS API リクエストに AWS 認証情報を含める必要があります。IAM インスタンスの一時的な認証情報を管理するには、EC2 ロールを使用することをお勧めします。これを行うインスタンスプロファイルを定義し、インスタンスにアタッチできます。詳細については、「Amazon Elastic Compute Cloud ユーザーガイド」の「Amazon EC2 の Word IAMロール」を参照してください。

注記

を使用して Amazon IAM 用の EC2 ロール AWS Management Console を作成すると、コンソールによってインスタンスプロファイルが自動的に作成され、IAM ロールと同じ名前が付けられます。 AWS CLI、 AWS API アクション、または an AWS SDK を使用して IAM ロールを作成する場合は、別のアクションとしてインスタンスプロファイルを作成します。詳細については、「Amazon Elastic Compute Cloud ユーザーガイド」の「インスタンスプロファイル」を参照してください。

コンピューティングノードグループを作成するときは、インスタンスプロファイルの Amazon リソースネーム (ARN) を指定する必要があります。コンピューティングノードグループの一部またはすべてに異なるインスタンスプロファイルを選択できます。

インスタンスプロファイルの要件

インスタンスプロファイルARN

IAM の ARN ロール名部分は、 で始まるかAWSPCS、パス/aws-pcs/に が含まれている必要があります。

  • arn:aws:iam::*:instance-profile/AWSPCS-example-role-1 および

  • arn:aws:iam::*:instance-profile/aws-pcs/example-role-2.

注記

を使用する場合は AWS CLI、ARN パス/aws-pcs/に含める iam create-instance-profile --pathの値を指定します。例:

aws iam create-instance-profile --path /aws-pcs/ --instance-profile-name example-role-2
アクセス許可

少なくとも、 AWS PCS のインスタンスプロファイルには次のポリシーを含める必要があります。これにより、コンピューティングノードは、運用可能になったときに AWS PCS サービスに通知できます。

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "pcs:RegisterComputeNodeGroupInstance" ], "Resource": "*", "Effect": "Allow" } ] }

追加ポリシー

インスタンスプロファイルに 管理ポリシーを追加することを検討してください。例:

  • AmazonS3ReadOnlyAccess は、すべての S3 バケットへの読み取り専用アクセスを提供します。

  • AmazonSSMManagedInstanceCore Wordは、Amazon マネジメントコンソールから直接リモートアクセスするなど、AWS Systems Manager サービスの主要機能を有効にします。

  • CloudWatchAgentServerPolicy には、サーバーで AmazonCloudWatchAgent を使用するために必要なアクセス許可が含まれています。

特定のユースケースをサポートする独自の IAM ポリシーを含めることもできます。

インスタンスプロファイルの作成

インスタンスプロファイルは、Amazon EC2 コンソールから直接作成できます。詳細については、「 AWS Identity and Access Management ユーザーガイド」の「インスタンスプロファイルの使用」を参照してください。