View a markdown version of this page

Amazon EC2 受管執行個體 - Amazon Elastic Compute Cloud
受管執行個體的帳單識別受管執行個體受管資源可見性設定開始使用受管執行個體

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon EC2 受管執行個體

Amazon EC2 受控執行個體是由指定的服務提供者佈建及管理的 EC2 執行個體,例如透過 EKS 自動模式的 Amazon EKS。受管執行個體可讓您將執行個體的操作控制權委派給服務提供者,藉此提供輕鬆在 Amazon EC2 上執行運算工作負載的方法。。

委派的控制權是針對受管執行個體引進的唯一變更。技術規格和帳單與非受控 EC2 執行個體維持相同。由於受管執行個體可讓您將控制權委派給服務提供者,因此您可以從服務提供者的營運專業知識和最佳實務中受益。在管理執行個體時,服務提供者會負責佈建執行個體、設定軟體、擴展容量、處理執行個體故障和替換,以及終止執行個體等任務。

您無法直接修改受管執行個體的設定或或終止執行個體。服務和特定操作取決於您與服務提供者之間簽訂的協議。不過,您可以從受管執行個體新增、修改或移除標籤,讓您在 AWS 環境中進行分類。

受管執行個體的帳單

Amazon EC2 受控執行個體會產生與非受控 Amazon EC2 執行個體相同的基本費用,以及服務提供者的個別費用。這筆額外費用由管理執行個體的服務提供者收取,且另外計費。其涵蓋了為操作和維護受控執行個體而提供的服務成本。

所有 Amazon EC2 購買選項均適用於受管執行個體,包括隨需執行個體、預留執行個體、Spot 執行個體和 Savings Plans。透過直接從 EC2 取得計算資源並提供給您的服務提供者,即可從套用至帳戶的現有預留執行個體或 Savings Plans 中受益,確保使用了最具成本效益的可用運算容量。

例如,在使用 Amazon EKS 自動模式時,您需要為基礎執行個體支付標準 EC2 執行個體的費率,以及 Amazon EKS 為您管理執行個體的額外費用。如果您隨後決定註冊 Savings Plans,則 Savings Plans 會減少 EC2 執行個體的費率,而 Amazon EKS 的額外費用保持不變。

識別受管執行個體

受管執行個體由受管欄位中的 true 值識別。服務提供者是在運算子欄位 (位於主控台) 或 Principal 欄位 (位於 CLI) 中識別。

使用下列程序來識別受管執行個體。

Console
識別受控執行個體

  1. 前往 https://console.aws.amazon.com/ec2/ 開啟 Amazon EC2 主控台。

  2. 在導覽窗格中,選擇執行個體

  3. 選取您要檢查的執行個體。

  4. 詳細資訊索引標籤 (如果選取核取方塊) 或摘要區域中 (如果選取執行個體 ID),尋找受控欄位。

    • true 值表示受控執行個體。

    • false 值表示非受控執行個體。

  5. 如果將受控設為 true運算子欄位會顯示某個值,可識別負責管理執行個體的服務提供者。例如,eks.amazonaws.com 的值會將 Amazon EKS 識別為服務提供者。

AWS CLI
識別受控執行個體

使用 describe-instances 命令並指定執行個體 ID。

aws ec2 describe-instances \
    --instance-ids i-1234567890abcdef0 \
    --query Reservations[].Instances[].Operator

以下為範例輸出。如果 Managedtrue,則執行個體是受控執行個體並包含 Principal。主體是管理執行個體的服務提供者。例如,eks.amazonaws.com 的值會將 Amazon EKS 識別為服務提供者。

[
    {
        "Managed": true,
        "Principal": "eks.amazonaws.com"
    }
]
尋找受管執行個體

使用 describe-instances 命令,並使用 true 的值指定 operator.managed 篩選條件。--query 選項只會顯示受管執行個體 ID。

aws ec2 describe-instances \
    --filters "Name=operator.managed,Values=true" \
    --query Reservations[*].Instances[].InstanceId
PowerShell
識別受控執行個體

使用 Get-EC2Instance cmdlet。

(Get-EC2Instance -InstanceId i-1234567890abcdef0).Instances.Operator

以下為範例輸出。

Managed Principal
------- ---------
True    eks.amazonaws.com
尋找受管執行個體

使用 Get-EC2Instance cmdlet。此範例只會顯示受管執行個體 ID。

(Get-EC2Instance -Filter @{Name="operator.managed"; Values="true"}).Instances.InstanceId

受管資源可見性設定

您可以控制 AWS 服務代表您佈建的資源是否出現在 Amazon EC2 主控台檢視和 API 清單操作中。

什麼是受管資源可見性?

AWS 服務,例如 Amazon EKS、Amazon ECS、WorkSpaces Core 和 AWS Lambda 佈建,並直接在您的帳戶中操作 Amazon EC2 執行個體。這些服務會承擔擴展、作業系統修補程式、安全性更新和生命週期管理的責任。產生的 Amazon EC2 執行個體、Amazon EC2 啟動範本、Amazon EBS 磁碟區和網路介面 (ENIs) 會顯示在 Amazon EC2 主控台和 APIs 中的客戶受管資源旁。受管資源可見性設定可讓您控制這些受管資源是否出現在資源檢視中。

受影響的資源類型

Resource Type (資源類型) 佈建這些資源的服務 Description
Amazon EC2 執行個體 Amazon EKS 工作者節點、Amazon ECS 容器執行個體、 AWS Lambda 執行環境、Amazon WorkSpaces Core 受可見性設定影響的主要資源類型
Amazon EC2 啟動範本 Amazon EKS、Amazon ECS、Amazon WorkSpaces Core 受管服務建立的啟動範本
Amazon EBS 磁碟區 Amazon EKS、Amazon ECS、Amazon WorkSpaces Core 連接至受管執行個體的磁碟區
網路界面 ENIs) Amazon EKS、Amazon ECS、 AWS Lambda、Amazon WorkSpaces Core 針對受管工作負載佈建的網路介面
注意

根據預設,Amazon EC2 在可見性設定變成可用之前,會針對沒有受管資源的帳戶隱藏受管資源。對於已有受管資源的帳戶,Amazon EC2 會將可見性設定設為 可見,以保留現有的工作流程。可見性設定適用於區域中的所有受管資源,無論它們何時建立。您可以隨時變更可見性設定。

為什麼要設定可見性設定

設定可見性設定可讓您自訂受管資源在操作工具中的顯示方式。常用案例包括:

  • 將合規儀表板中的資源計數減少為僅客戶管理的資源,以簡化控管。

  • 減少可觀測性工具中的雜訊,這些工具會彙總帳戶中所有執行個體的 Amazon EC2 指標。

  • 防止雲端安全狀態管理 (CSPM) 掃描器 (例如 Qualys) 中將受管資源標記為客戶錯誤組態的誤報。

  • 透過受管執行個體, AWS 負責 Amazon EC2 執行個體的組態、修補和運作狀態。透過控制可見性,您可以更好地向最終使用者闡明共同的責任模型。

注意

可見性設定控制 AWS 主控台檢視和 API 清單操作中的資源顯示。它們不會影響帳單、資源操作或實際存取許可。隱藏的資源仍能完全運作並計費。

設定受管資源可見性

您可以使用 Amazon EC2 主控台或 來設定受管資源的可見性 AWS CLI。

Console

  1. 前往 https://console.aws.amazon.com/ec2/ 開啟 Amazon EC2 主控台。

  2. 在導覽窗格中,選擇 Dashboard (儀表板)

  3. 帳戶屬性卡片的設定下,選擇受管資源

  4. 選擇 Modify (修改)。

  5. 預設可見性下,選擇下列其中一個選項:

    • 隱藏 (預設) – 隱藏所有受管資源。

    • 可見 – 顯示所有受管資源。

  6. 選擇修改可見性

AWS CLI
取得目前的可見性設定

使用 get-managed-resource-visibility 命令來擷取目前的可見性組態:

aws ec2 get-managed-resource-visibility

回應範例:

{
    "visibility": {
        "defaultVisibility": "hidden"
    }
}
隱藏所有受管資源

使用 modify-managed-resource-visibility 命令來隱藏所有受管資源,無論運算子為何:

aws ec2 modify-managed-resource-visibility \
    --default-visibility "hidden"

探索隱藏的受管資源

關閉可見性時,您仍然可以存取受管資源。下列方法會隨需顯示它們:

  1. 服務特定主控台:導覽至個別 AWS 的服務主控台 (例如 Amazon EKS 主控台),以檢視為該服務佈建的執行個體。服務主控台提供有關服務在您帳戶中管理的所有資源的完整詳細資訊。

  2. 直接 API 查詢:搭配特定instance-id參數使用 describe-instances API。無論可見性設定為何,具有已知執行個體 IDs直接查詢都會傳回結果。可見性設定只會影響清單和篩選操作。您也可以使用 describe-instances搭配 include-managed-resources 參數來探索受管執行個體。

注意

相同的 direct-query-by-ID 行為適用於所有受影響的資源類型。您可以使用 describe-volumesdescribe-launch-templatesdescribe-network-interfaces搭配特定資源 IDs 來存取這些類型的隱藏受管資源。

帳單考量

受管資源可見性設定不會影響帳單。隱藏的受管執行個體會繼續出現在帳單資料中,因為它們是在您帳戶中執行、代表您佈建的資源,無論可見性組態為何,都會保持完全計費。

隱藏的資源仍然可見於:

  • AWS 帳單

  • AWS 成本和用量報告

重要

受管執行個體會在您的帳戶中佈建,並使用運算資源。從主控台檢視中隱藏它們並不會降低成本。檢閱服務特定的帳單文件 (例如 Amazon EKS 定價Amazon ECS 定價),以取得受管執行個體費用的詳細資訊。

限制

  • 可見性設定適用於整個帳戶,並統一地影響所有 IAM 主體。

  • 您無法依資源類型或建立資源的服務選擇性地顯示或隱藏受管資源。例如,您無法選擇在隱藏由 Lambda、Amazon ECS 或 Amazon WorkSpaces 建立的受管執行個體時顯示由 Amazon EKS 建立的受管執行個體。

開始使用受管執行個體

如需有關使用受管執行個體的指引,請參閱「Amazon EKS 使用者指南」中的使用 EKS 自動模式模式自動化叢集基礎設施