Perfil vinculado ao serviço para o EC2 Fast Launch
O Amazon EC2 usa funções vinculadas ao serviço para as permissões necessárias para chamar outros Serviços da AWS em seu nome. O perfil vinculado ao serviço é um tipo exclusivo de perfil do IAM vinculado diretamente ao AWS service (Serviço da AWS). Os perfis vinculados a serviços oferecem uma maneira segura de delegar permissões a outros Serviços da AWS, pois somente o serviço vinculado pode assumir uma função vinculada ao serviço. Para obter mais informações sobre o Amazon EC2 usa as funções do IAM, incluindo funções vinculadas ao serviço, consulte Funções do IAM para Amazon EC2.
O Amazon EC2 usa a função vinculada ao serviço de nome AWSServiceRoleForEC2FastLaunch
para criar e gerenciar um conjunto de snapshots pré-provisionados que reduzem o tempo necessário para iniciar instâncias a partir da sua AMI do Windows.
Você não precisa criar manualmente essa função vinculada ao serviço. Quando você começa a usar o EC2 Fast Launch para a AMI, o Amazon EC2 cria o perfil vinculado ao serviço, caso ele ainda não exista.
nota
Se o perfil vinculado ao serviço for excluído de sua conta, você poderá habilitar o EC2 Fast Launch para outra AMI do Windows a fim de recriar o perfil em sua conta. Ou então, você pode desabilitar o EC2 Fast Launch para a AMI atual e, em seguida, habilitá-lo novamente. No entanto, desabilitar o atributo resulta em sua AMI usando o processo de início padrão para todas as novas instâncias, enquanto o Amazon EC2 remove todos os snapshots pré-provisionados. Depois que todos os snapshots pré-provisionados são excluídos, você pode habilitar novamente o uso do EC2 Fast Launch para a AMI.
O Amazon EC2 não permite que você edite a função vinculada ao serviço do AWSServiceRoleForEC2FastLaunch
. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição da função usando o IAM. Para ter mais informações, consulte Editar uma função vinculada a serviço no Guia do usuário do IAM.
É possível excluir uma função vinculada ao serviço somente depois de excluir todos os recursos relacionados. Isso protege os recursos do Amazon EC2 que estão associados à AMI do Windows Server do Amazon EC2 com o EC2 Fast Launch habilitado, pois não será possível remover acidentalmente a permissão para acessar os recursos.
O Amazon EC2 é compatível com o perfil vinculado ao serviço do EC2 Fast Launch em todas as regiões em que o serviço do Amazon EC2 está disponível. Para ter mais informações, consulte Regiões.
Permissões concedidas pelo AWSServiceRoleForEC2FastLaunch
O Amazon EC2 usa a política gerenciada EC2FastLaunchServiceRolePolicy
para concluir as ações a seguir:
-
cloudwatch:PutMetricData
: publicar os dados das métricas associadas ao EC2 Fast Launch para o namespace do Amazon EC2. -
ec2:CreateLaunchTemplate
: criar um modelo de inicialização para a AMI do Windows Server do Amazon EC2 com o EC2 Fast Launch habilitado. -
ec2:CreateSnapshot
: criar snapshots pré-provisionados para a AMI do Windows Server do Amazon EC2 com o EC2 Fast Launch habilitado. -
ec2:CreateTags
: criar tags para os recursos associados à inicialização e ao pré-provisionamento de instâncias do Windows para a AMI do Windows Server do Amazon EC2 com o EC2 Fast Launch habilitado. -
ec2:DeleteSnapshots
: excluir todos os snapshots pré-provisionados associados se o EC2 Fast Launch for desabilitado para uma AMI anteriormente habilitada. -
ec2:DescribeImages
: descreve imagens para todos os recursos. -
ec2:DescribeInstanceAttribute
: descreve os atributos da instância para todos os recursos. -
ec2:DescribeInstanceStatus
: descreve os status da instância para todos os recursos. -
ec2:DescribeInstances
: descreve as instâncias para todos os recursos. -
ec2:DescribeInstanceTypeOfferings
: descreve as ofertas de tipos de instância para todos os recursos. -
ec2:DescribeLaunchTemplates
: descreve modelos de início para todos os recursos. -
ec2:DescribeLaunchTemplateVersions
: descreve versões de modelos de início para todos os recursos. -
ec2:DescribeSnapshots
: descreva recursos de snapshot para todos os recursos. -
ec2:DescribeSubnets
: descreva sub-redes para todos os recursos. -
ec2:RunInstances
: iniciar instâncias em uma AMI do Windows Server do Amazon EC2 com o EC2 Fast Launch habilitado para realizar as etapas de provisionamento. -
ec2:StopInstances
: interromper as instâncias que foram iniciadas em uma AMI do Windows Server do Amazon EC2 com o EC2 Fast Launch habilitado para criar snapshots pré-provisionados. -
ec2:TerminateInstances
: encerrar uma instância que foi iniciada usando uma AMI do Windows Server do Amazon EC2 com o EC2 Fast Launch habilitado após criar o snapshot pré-provisionado usando essa instância. -
iam:PassRole
: permite que a função vinculada ao serviçoAWSServiceRoleForEC2FastLaunch
inicie instâncias em seu nome usando o perfil da instância do modelo de execução.
Para obter mais informações sobre o uso de políticas gerenciadas no Amazon EC2, consulte Políticas gerenciadas pela AWS para o Amazon EC2.
Acesso às chaves gerenciadas pelo cliente para uso com AMIs criptografadas e snapshots do EBS
Pré-requisito
-
Para permitir que o Amazon EC2 acesse uma AMI criptografada em seu nome, é necessário ter permissão para a ação
createGrant
na chave gerenciada pelo cliente.
Quando você habilita o EC2 Fast Launch para uma AMI criptografada, o Amazon EC2 garante que seja concedida ao perfil de AWSServiceRoleForEC2FastLaunch
permissão de usar a chave gerenciada pelo cliente para acessar a AMI. Essa permissão é necessária para iniciar instâncias e criar snapshots pré-provisionados em seu nome.