本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 Amazon EC2 啟動範本控制啟動 Amazon EC2 執行個體
您可以控制 Amazon EC2 執行個體的組態,方法是指定使用者只能在使用啟動範本時啟動執行個體,並且只能使用特定的啟動範本。您也可以控制哪些人員可以建立、修改、描述與刪除啟動範本和啟動範本版本。
使用啟動範本控制啟動參數
啟動範本可以包含所有或部分參數,以便在啟動時設定執行個體。不過,當您使用啟動範本啟動執行個體時,您可以覆寫在啟動範本中指定的參數。或者,您可以指定啟動範本中沒有的其他參數。
注意
您無法在啟動期間移除啟動範本參數 (例如,您無法為參數指定空值)。若要移除參數,請在沒有參數的情況下建立新版本的啟動範本,並使用該版本來啟動執行個體。
若要啟動執行個體,使用者必須擁有使用ec2:RunInstances動作的權限。使用者也必須具備許可,才能建立或使用由該執行個體所建立或與其相關聯的資源。您可以使用 ec2:RunInstances 動作上的資源層級許可,以控制使用者可指定的啟動參數。或者,您可以將使用啟動範本啟動執行個體的許可授予使用者。這可讓您在啟動範本而非IAM原則中管理啟動參數,並使用啟動範本做為啟動執行個體的授權工具。例如,您可以指定使用者只能使用啟動範本來啟動執行個體,而且使用者只能使用特定的啟動範本。您也可以控制使用者能在啟動範本中覆寫的啟動參數。如需範例政策,請參閱 啟動範本。
控制啟動範本的使用
根據預設, 使用者不具使用啟動範本的許可。您可以建立使用者政策,授予使用者建立、修改、描述與刪除啟動範本和啟動範本版本的許可。您也可以將資源層級許可套用至一些啟動範本動作,藉以控制使用者將特定資源用於那些動作的能力。如需詳細資訊,請參閱下列範例政策:範例:使用啟動範本。
將使用 ec2:CreateLaunchTemplate 和 ec2:CreateLaunchTemplateVersion 動作的許可授予使用者時請小心。您無法使用資源層級權限來控制使用者可以在啟動範本中指定哪些資源。若要限制用來啟動執行個體的資源,請確定您只將建立啟動範本和啟動範本版本的許可授予合適的管理員。
搭配EC2叢集或 Spot 叢集使用啟動範本時的重要安全性考量
若要使用啟動範本,您必須授予使用者許可,以便建立、修改、描述和刪除啟動範本及啟動範本版本。透過控制對 ec2:CreateLaunchTemplate 和 ec2:CreateLaunchTemplateVersion 動作的存取權,您可以控制誰可以建立啟動範本和啟動範本版本。您也可以透過控制 ec2:ModifyLaunchTemplate 動作的存取權來控制可修改啟動範本的對象。
重要
如果EC2叢集或 Spot 叢集設定為使用「最新」或「預設」啟動範本版本,則叢集不會知道稍後是否變更為「最新」或「預設」,以指向不同的啟動範本版本。當 Latest 或 Default 使用EC2不同的啟動範本版本時,Amazon 在啟動新執行個體以滿足叢集的目標容量時,不會重新檢查要完成動作的許可。將許可授與可建立和管理啟動範本版本的使用者 (尤其是允許使用者變更「預設」啟動範本版本的 ec2:ModifyLaunchTemplate 動作) 時,請務必考量到這點。
透過授與使用者使用啟動範本EC2動作的權限APIs,如果使用者建立或更新EC2叢集或 Spot Fleet 以指向包含執行個體設定檔 (IAM角色的容器) 的不同啟動範本版本,該使用者也會實際上獲得該iam:PassRole權限。這表示使用者可能會更新啟動範本,以將IAM角色傳遞給執行個體,即使他們沒有iam:PassRole權限也是如此。如需詳細資訊和範例IAM政策,請參閱使用IAM者指南中的使用IAM角色將許可授與在 Amazon EC2 執行個體上執行的應用程式。
如需詳細資訊,請參閱 控制啟動範本的使用 和 範例:使用啟動範本。
