Uso de funções vinculadas aos serviços para a frota de reserva de capacidade - Amazon Elastic Compute Cloud

Uso de funções vinculadas aos serviços para a frota de reserva de capacidade

A frota de reserva de capacidade sob demanda usa funções vinculadas a serviço do AWS Identity and Access Management (IAM). Uma função vinculada a serviço é um tipo exclusivo de função do IAM vinculada diretamente à frota de reserva de capacidade. As funções vinculadas a serviço são predefinidas pela frota de reserva de capacidade e incluem todas as permissões que o serviço requer para chamar outros serviços da AWS em seu nome.

Uma função vinculada a serviço facilita a configuração da frota de reserva de capacidade porque você não precisa adicionar as permissões necessárias manualmente. A frota de reserva de capacidade define as permissões das funções vinculadas a serviço e, exceto se definido de outra forma, somente a frota de reserva de capacidade pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, e essa política não pode ser anexada a nenhuma outra entidade do IAM.

Uma função vinculada ao serviço poderá ser excluída somente após excluir seus recursos relacionados. Isso protege seus recursos da frota de reserva de capacidade, pois você não pode remover por engano as permissões para acessar os recursos.

Permissões de funções vinculadas aos serviços para a frota de reserva de capacidade

A frota de reserva de capacidade usa a função vinculada a serviço chamada AWSServiceRoleForec2CapacityReservationFleet para criar, descrever, modificar e cancelar em seu nome reservas de capacidade que foram criadas anteriormente por uma frota de reserva de capacidade.

A função vinculada a serviço AWSServiceRoleForEC2CapacityReservationFleet confia nas seguintes entidades para assumir a função: capacity-reservation-fleet.amazonaws.com.

A função usa a política AWSEC2CapacityReservationFleetRolePolicy, que inclui as seguintes permissões:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeCapacityReservations", "ec2:DescribeInstances" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateCapacityReservation", "ec2:CancelCapacityReservation", "ec2:ModifyCapacityReservation" ], "Resource": [ "arn:aws:ec2:*:*:capacity-reservation/*" ], "Condition": { "StringLike": { "ec2:CapacityReservationFleet": "arn:aws:ec2:*:*:capacity-reservation-fleet/crf-*" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": [ "arn:aws:ec2:*:*:capacity-reservation/*" ], "Condition": { "StringEquals": { "ec2:CreateAction": "CreateCapacityReservation" } } } ] }

É necessário configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua uma função vinculada ao serviço. Para obter mais informações, consulte Permissões de função vinculada a serviços no Guia do Usuário do IAM.

Criar uma função vinculada ao serviço para a frota de reserva de capacidade

Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você cria uma frota de reserva de capacidade usando o comando create-capacity-reservation-fleet da AWS CLI ou a API CreateCapacityReservationFleet, a função vinculada a serviço é criada automaticamente para você.

Se excluir essa função vinculada ao serviço e precisar criá-la novamente, você poderá usar esse mesmo processo para recriar a função em sua conta. Quando você cria uma frota de reserva de capacidade, a frota de reserva de capacidade cria a função vinculada a serviço para você novamente.

Editar uma função vinculada ao serviço para a frota de reserva de capacidade

A frota de reserva de capacidade não permite que você edite a função vinculada a serviço AWSServiceRoleForEC2CapacityReservationFleet. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para ter mais informações, consulte Editar uma função vinculada a serviço no Guia do usuário do IAM.

Excluir uma função vinculada ao serviço para a frota de reserva de capacidade

Se você não precisar mais usar um atributo ou serviço que requer uma função vinculada a serviço, é recomendável excluí-la. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, é necessário excluir os recursos de sua função vinculada a serviço antes que seja possível exclui-la manualmente.

nota

Se o serviço da frota de reserva de capacidade estiver usando a função quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.

Para excluir a função vinculada a serviço AWSServiceRoleForEC2CapacityReservationFleet
  1. Use o comando delete-capacity-reservation-fleet da AWS CLI ou a API DeleteCapacityReservationFleet para excluir as frotas de reserva de capacidade em sua conta.

  2. Use o console do IAM, a AWS CLI ou a API da AWS para excluir a função vinculada a serviço AWSServiceRoleForEC2CapacityReservationFleet. Para obter mais informações, consulte Excluir uma função vinculada ao serviço no Guia do usuário do IAM.

Regiões com suporte a funções vinculadas aos serviços para frota de reserva de capacidade

A frota de reserva de capacidade é compatível com o uso de funções vinculadas a serviço em todas as regiões nas quais o serviço esteja disponível. Para mais informações, consulte Regiões e endpoints da AWS.