As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Funções vinculadas a serviços para Amazon EC2 Auto Scaling
O Amazon EC2 Auto Scaling usa funções vinculadas a serviços para obter as permissões necessárias para ligar para outras Serviços da AWS pessoas em seu nome. Uma função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente a uma. AWS service (Serviço da AWS)
Os perfis vinculados a serviços oferecem uma maneira segura de delegar permissões a outros serviços da Serviços da AWS , pois somente o serviço vinculado pode assumir um perfil vinculado ao serviço. Para ter mais informações, consulte Criar um perfil vinculado ao serviço no Guia do usuário do IAM. As funções vinculadas ao serviço também permitem que todas as chamadas de API sejam visíveis por meio de. AWS CloudTrail Isso ajuda com os requisitos de monitoramento e auditoria, pois você pode rastrear todas as ações que o Amazon EC2 Auto Scaling executa em seu nome. Para obter mais informações, consulte Registre chamadas do Amazon EC2 Auto Scaling com API AWS CloudTrail.
As seções a seguir descrevem como criar e gerenciar funções vinculadas a serviços do Amazon EC2 Auto Scaling. Comece configurando permissões para autorizar uma identidade do IAM (por exemplo, um usuário ou um perfil) a criar, editar ou excluir um perfil vinculado ao serviço.
Conteúdo
Visão geral
Há dois tipos de funções vinculadas a serviços do Amazon EC2 Auto Scaling:
-
A função padrão vinculada ao serviço da sua conta, chamada AWSServiceRoleForAutoScaling. Essa função é atribuída automaticamente aos seus grupos do Auto Scaling, a menos que você especifique uma função vinculada ao serviço diferente.
-
Uma função vinculada ao serviço com um sufixo personalizado que você especifica ao criar a função, por exemplo, AWSServiceRoleForAutoScaling_
mysuffix.
As permissões de um perfil vinculado ao serviço com sufixo personalizado são idênticas às do perfil vinculado ao serviço padrão. Em ambos os casos, você não poderá editar as funções nem excluí-las se elas ainda estiverem em uso por um grupo do Auto Scaling. A única diferença é o sufixo do nome do perfil.
Você pode especificar qualquer uma das funções ao editar suas políticas de AWS Key Management Service chaves para permitir que as instâncias lançadas pelo Amazon EC2 Auto Scaling sejam criptografadas com sua chave gerenciada pelo cliente. No entanto, se você planeja conceder acesso granular a uma determinada CMK gerenciada pelo cliente, você deverá usar um perfil vinculado ao serviço com sufixo personalizado. O uso de um perfil vinculado ao serviço com sufixo personalizado fornece:
-
Mais controle sobre a chave gerenciada pelo cliente
-
A capacidade de rastrear qual grupo do Auto Scaling fez uma chamada de API em seus registros CloudTrail
Se você criar chaves gerenciadas pelo cliente às quais nem todos os usuários devem ter acesso, siga estas etapas para permitir o uso de um perfil vinculado ao serviço com sufixo personalizado:
-
Crie um perfil vinculado ao serviço com um sufixo personalizado. Para obter mais informações, consulte Criar um perfil vinculado ao serviço (manual).
-
Conceda ao perfil vinculado ao serviço acesso a uma chave gerenciada pelo cliente. Para obter mais informações sobre a política de chaves que permite que a chave seja usada por um perfil vinculado ao serviço, consulte Política de AWS KMS chaves necessária para uso com volumes criptografados.
-
Dê aos usuários acesso ao perfil vinculado ao serviço que você criou. Para obter mais informações sobre como criar políticas do IAM, consulte Controle qual função vinculada ao serviço pode ser passada (usando) PassRole. Se os usuários tentarem especificar um perfil vinculado ao serviço sem permissão para passar esse perfil para o serviço, eles receberão um erro.
Permissões concedidas pelo perfil vinculado ao serviço
O Amazon EC2 Auto Scaling usa a função vinculada ao serviço chamada AWSServiceRoleForAutoScaling ou sua função vinculada ao serviço com sufixo personalizado.
O perfil vinculado ao serviço confia no seguinte serviço para assumir o perfil:
-
autoscaling.amazonaws.com
A política de permissões de funções, AutoScalingServiceRolePolicy, permite que o Amazon EC2 Auto Scaling conclua as seguintes ações:
-
ec2— Crie, descreva, modifique, inicie/pare e encerre EC2 instâncias. -
iam— Transmita as funções do IAM para EC2 as instâncias para que os aplicativos em execução nas instâncias possam acessar as credenciais temporárias da função. -
iam— Crie a função vinculada ao serviço AWSServiceRoleForEC2Spot para permitir que o Amazon Auto EC2 Scaling lance Instâncias Spot em seu nome. -
elasticloadbalancing- Registrar e cancelar o registro de instâncias com o Elastic Load Balancing e verificar a integridade dos alvos registrados. -
cloudwatch— crie, descreva, modifique e exclua CloudWatch alarmes para políticas de escalabilidade e recupere métricas usadas para escalabilidade preditiva. -
sns- Publicar notificações no Amazon SNS quando as instâncias forem iniciadas ou encerradas. -
events— Crie, descreva, atualize e exclua EventBridge regras em seu nome. -
ssm: leia os parâmetros do Parameter Store ao usar um parâmetro do Systems Manager como um alias para um ID de AMI em um modelo de execução. -
vpc-lattice- Registrar e cancelar o registro de instâncias com o Elastic Load Balancing e verificar a integridade dos alvos registrados. -
resource-groups— Obtenha todos os nomes de recursos (ARNs) dos recursos que são membros de um grupo de recursos especificado.
Regiões suportadas para funções vinculadas ao EC2 serviço Amazon Auto Scaling
O Amazon EC2 Auto Scaling oferece suporte ao uso de funções vinculadas a serviços em todos os Regiões da AWS lugares em que o serviço está disponível.
Criar, editar e excluir um perfil vinculado ao serviço
Criar um perfil vinculado ao serviço (automática)
O Amazon EC2 Auto Scaling cria o AWSServiceRoleForAutoScaling função vinculada ao serviço para você na primeira vez que você cria um grupo do Auto Scaling, a menos que você crie manualmente uma função vinculada ao serviço com sufixo personalizado e a especifique ao criar o grupo.
Você deve ter permissões do IAM para criar o perfil vinculado ao serviço. Caso contrário, a criação automática falhará. Para obter mais informações, consulte Permissões de perfil vinculado ao serviço no Manual do usuário do IAM e Criar um perfil vinculado ao serviço neste guia.
Criar um perfil vinculado ao serviço (manual)
Para criar um perfil vinculado ao serviço (console)
Abra o console do IAM em https://console.aws.amazon.com/iam/
. -
No painel de navegação, selecione Perfil e então, Criar perfil.
-
Em Select trusted entity (Selecionar entidade confiável), escolha AWS service (serviço).
-
Em Escolher o serviço que usará essa função, escolha EC2 Auto Scaling e o caso de uso do Auto EC2 Scaling.
-
Escolha Next: Permissions (Próximo: permissões), Next: Tags (Próximo: tags) e Next: Review (Próximo: revisão). Observação: você não pode anexar tags a perfis vinculados ao serviço durante a criação.
-
Na página Revisar, deixe o nome da função em branco para criar uma função vinculada ao serviço com o nome AWSServiceRoleForAutoScalingou insira um sufixo para criar uma função vinculada ao serviço com o nome AWSServiceRoleForAutoScaling_
suffix. -
(Opcional) Em Role description (Descrição do perfil), edite a descrição para o perfil vinculado ao serviço.
-
Selecione Criar perfil.
Para criar um perfil vinculado ao serviço (AWS CLI)
Use o seguinte comando da create-service-linked-rolesuffix.
aws iam create-service-linked-role --aws-service-name autoscaling.amazonaws.com --custom-suffixsuffix
A saída desse comando inclui o ARN do perfil vinculado ao serviço, o qual você pode usar para conceder acesso à chave gerenciada pelo cliente para o perfil vinculado ao serviço.
{
"Role": {
"RoleId": "ABCDEF0123456789ABCDEF",
"CreateDate": "2018-08-30T21:59:18Z",
"RoleName": "AWSServiceRoleForAutoScaling_suffix",
"Arn": "arn:aws:iam::123456789012:role/aws-service-role/autoscaling.amazonaws.com/AWSServiceRoleForAutoScaling_suffix",
"Path": "/aws-service-role/autoscaling.amazonaws.com/",
"AssumeRolePolicyDocument": {
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"sts:AssumeRole"
],
"Principal": {
"Service": [
"autoscaling.amazonaws.com"
]
},
"Effect": "Allow"
}
]
}
}
}Para ter mais informações, consulte Criar um perfil vinculado ao serviço no Guia do usuário do IAM.
Editar o perfil vinculado ao serviço
Você não pode editar as funções vinculadas ao serviço que são criadas para o Amazon Auto EC2 Scaling. Depois de criar um perfil vinculado ao serviço, você não pode alterar o nome do perfil ou suas permissões. No entanto, você poderá editar a descrição do perfil. Para obter mais informações, consulte Editar uma descrição de perfil vinculado ao serviço no Guia do usuário do IAM.
Excluir o perfil vinculado ao serviço
Se você não estiver usando um grupo do Auto Scaling, recomendamos excluir o perfil vinculado ao serviço. Excluir o perfil evita que você tenha uma entidade que não é usada ou mantida e monitorada ativamente.
Você poderá excluir um perfil vinculado ao serviço somente depois de excluir os recursos dependentes relacionados. Isso protege você de revogar inadvertidamente as permissões do Amazon Auto Scaling para EC2 seus recursos. Se um perfil vinculado ao serviço é usado com vários grupos do Auto Scaling, você deve excluir todos os grupos do Auto Scaling que usam o perfil vinculado ao serviço antes de excluí-lo. Para obter mais informações, consulte Excluir infraestrutura do Auto Scaling.
É possível usar o IAM para excluir um perfil vinculado ao serviço. Para obter mais informações, consulte Excluir uma função vinculada ao serviço no Guia do usuário do IAM.
Se você excluir o AWSServiceRoleForAutoScaling função vinculada ao serviço, o Amazon Auto EC2 Scaling cria a função novamente quando você cria um grupo de Auto Scaling e não especifica uma função vinculada ao serviço diferente.
