用於 EC2 Fast Launch 的服務連結角色 - Amazon Elastic Compute Cloud
AWSServiceRoleForEC2FastLaunch 授予的許可存取客戶受管金鑰,以便與加密的 AMI 和 EBS 快照搭配使用

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

用於 EC2 Fast Launch 的服務連結角色

Amazon EC2 使用許可的服務連結角色,它需要代表您呼叫其他 AWS 服務。服務連結角色是直接連結至 AWS 服務 的一種特殊 IAM 角色類型。服務連結角色提供安全的方式對 AWS 服務 委派許可,因為只有連結的服務能夠擔任服務連結角色。如需 Amazon EC2 如何使用 IAM 角色的詳細資訊,請參閱 Amazon EC2 的 IAM 的角色

Amazon EC2 使用名為 AWSServiceRoleForEC2FastLaunch 的服務連結角色建立和管理一組預先佈建的快照,從而縮短從 Windows AMI 啟動執行個體所需的時間。

您不需要手動建立此服務連結角色。當您開始為 AMI 使用 EC2 Fast Launch 時,Amazon EC2 會自動建立服務連結角色 (如果尚不存在此角色)。

注意

如果從您的帳戶中刪除服務連結角色,您可以開始為另一個 Windows AMI 啟用 EC2 Fast Launch,從而在您的帳戶中重新建立此角色。或者,您可以針對目前 AMI 停用 EC2 Fast Launch,然後再次啟用。但是,停用該功能會導致 AMI 對所有新執行個體使用標準啟動過程,而 Amazon EC2 會移除您的所有預先佈建快照。所有預先佈建的快照都被刪除之後,您可以再次開始為 AMI 啟用 EC2 Fast Launch。

Amazon EC2 不允許您編輯 AWSServiceRoleForEC2FastLaunch 服務連結角色。因為有各種實體可能會參考服務連結角色,所以您無法在建立角色之後變更角色名稱。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱 IAM 使用者指南中的編輯服務連結角色

您必須先刪除所有相關的資源,才能刪除服務連結角色。這樣可保護與已啟用 EC2 Fast Launch 的 Amazon EC2 Windows Server AMI 相關聯的 Amazon EC2 資源,避免無意間移除了資源的存取許可。

Amazon EC2 支援所有提供 Amazon EC2 服務的區域中的 EC2 Fast Launch 服務連結角色。如需詳細資訊,請參閱區域

AWSServiceRoleForEC2FastLaunch 授予的許可

Amazon EC2 使用 EC2FastLaunchServiceRolePolicy 受管政策來完成下列動作:

  • cloudwatch:PutMetricData – 將與 EC2 Fast Launch 相關聯的指標資料發佈到 Amazon EC2 命名空間。

  • ec2:CreateLaunchTemplate – 為已啟用 EC2 Fast Launch 的 Amazon EC2 Windows Server 建立啟動範本。

  • ec2:CreateSnapshot – 為已啟用 EC2 Fast Launch 的 Amazon EC2 Windows Server AMI 建立預先佈建的快照。

  • ec2:CreateTags – 針對已啟用 EC2 Fast Launch 的 Amazon EC2 Windows Server AMI,為與啟動和預先佈建 Windows 執行個體相關聯的資源建立標籤。

  • ec2:DeleteSnapshots – 如果為先前啟用的 AMI 關閉了 EC2 Fast Launch,則刪除所有關聯的預先佈建快照。

  • ec2:DescribeImages – 描述所有資源的映像。

  • ec2:DescribeInstanceAttribute – 描述所有資源的執行個體屬性。

  • ec2:DescribeInstanceStatus – 描述所有資源的執行個體狀態。

  • ec2:DescribeInstances – 描述所有資源的執行個體。

  • ec2:DescribeInstanceTypeOfferings – 描述適用於所有資源的執行個體類型方案。

  • ec2:DescribeLaunchTemplates – 描述所有資源的啟動範本。

  • ec2:DescribeLaunchTemplateVersions – 描述所有資源的啟動範本版本。

  • ec2:DescribeSnapshots – 描述所有資源的快照資源。

  • ec2:DescribeSubnets – 描述所有資源的子網路。

  • ec2:RunInstances – 從已啟用 EC2 Fast Launch 的 Amazon EC2 Windows Server AMI 啟動執行個體,以執行佈建步驟。

  • ec2:StopInstances – 停止從已啟用 EC2 Fast Launch 的 Amazon EC2 Windows Server AMI 啟動的執行個體,以建立預先佈建的快照。

  • ec2:TerminateInstances – 從已啟用 EC2 Fast Launch的 Amazon EC2 Windows Server AMI 建立預先佈建的快照後,終止從該 AMI 啟動的執行個體。

  • iam:PassRole – 允許 AWSServiceRoleForEC2FastLaunch 服務連結角色使用啟動範本中的執行個體設定檔代表您啟動執行個體。

如需使用 Amazon EC2 受管政策的詳細資訊,請參閱 AWS Amazon EC2 的 受管政策

存取客戶受管金鑰,以便與加密的 AMI 和 EBS 快照搭配使用

先決條件

  • 若要讓 Amazon EC2 能夠代表您存取加密 AMI,您必須在客戶受管金鑰中擁有 createGrant 動作的許可。

當您為加密的 AMI 啟用 EC2 Fast Launch 時,Amazon EC2 會確保將許可授予 AWSServiceRoleForEC2FastLaunch 角色以使用客戶受管金鑰來存取 AMI。代表您啟動執行個體和建立預先佈建的快照需要此許可。