本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# AWS 并行计算服务的 IAM 实例配置文件
在 EC2 实例上运行的应用程序必须在其发出的任何 AWS API 请求中包含 AWS 证书。我们建议您使用 IAM 角色来管理 EC2 实例上的临时证书。您可以定义实例配置文件来执行此操作,并将其附加到您的实例。有关更多信息,请参阅《[亚马逊*弹性计算云用户指南》中的 Amazon* EC2 的 IAM 角色](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html)。
**注意**
当您使用为 Amazon EC2 创建 IAM 角色时,控制台会自动创建实例配置文件并将其命名为 IAM 角色。 AWS 管理控制台 如果您使用 AWS CLI、 AWS API 操作或 AWS 软件开发工具包创建 IAM 角色,则可以将实例配置文件作为单独的操作创建。有关更多信息,请参阅 *Amazon 弹性计算云用户指南*中的[实例配置文件](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html#ec2-instance-profile)。
创建计算节点组时,必须指定实例配置文件的 Amazon 资源名称 (ARN)。您可以为部分或所有计算节点组选择不同的实例配置文件。
## 要求
### 实例配置文件的 IAM 角色
与实例配置文件关联的 IAM 角色的路径`/aws-pcs/`中必须有,或者其名称必须以开头`AWSPCS`。
**IAM 角色示例 ARNs**
+ `arn:aws:iam::*:role/AWSPCS-example-role-1`
+ `arn:aws:iam::*:role/aws-pcs/example-role-2`
### Permissions
与 AWS PCS 实例配置文件关联的 IAM 角色必须包含以下策略。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"pcs:RegisterComputeNodeGroupInstance"
],
"Resource": "*",
"Effect": "Allow"
}
]
}
```
------
## 其他政策
考虑向实例配置文件添加托管策略。例如:
+ [AmazonS3 ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonS3ReadOnlyAccess.html) 提供对所有 S3 存储桶的只读访问权限。
+ [亚马逊SSMManagedInstanceCore](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMManagedInstanceCore.html)启用 AWS Systems Manager 服务的核心功能,例如直接从亚马逊管理控制台进行远程访问。
+ [CloudWatchAgentServerPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchAgentServerPolicy.html)包含 AmazonCloudWatchAgent 在服务器上使用所需的权限。
您也可以加入自己的 IAM 策略来支持您的特定使用案例。