使用容量保留機群的服務連結角色 - Amazon Elastic Compute Cloud
服務連結角色許可建立服務連結角色編輯服務連結角色刪除服務連結角色支援地區

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用容量保留機群的服務連結角色

隨選容量保留叢集使用 AWS Identity and Access Management (IAM) 服務連結角色。服務連結角色是直接連結至容量保留叢集的唯一IAM角色類型。服務連結角色由容量保留叢集預先定義,並包含服務代表您呼叫其他服 AWS 務所需的所有權限。

服務連結角色可讓設定容量預留機群更為簡單,因為您不必手動新增必要的許可。容量預留機群定義其服務連結角色的許可,除非另有定義,否則僅有容量預留機群可以擔任其角色。定義的權限包括信任原則和權限原則,而且該權限原則無法附加至任何其他IAM實體。

您必須先刪除服務連結角色的相關資源,才能將其刪除。如此可保護您的容量預留機群資源,避免您不小心移除資源的存取許可。

容量保留機群的服務連結角色許可

容量保留叢集使用名為的服務連結角色AWSServiceRoleForEC2CapacityReservationFleet來代表您建立、描述、修改及取消先前由容量保留叢集建立的容量保留。

AWSServiceRoleForEC2CapacityReservationFleet 服務連結角色會信任下列實體擔任該角色:capacity-reservation-fleet.amazonaws.com

角色使用包含下列權限的AWSEC2CapacityReservationFleetRolePolicy原則:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeCapacityReservations",
                "ec2:DescribeInstances"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateCapacityReservation",
                "ec2:CancelCapacityReservation",
                "ec2:ModifyCapacityReservation"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:capacity-reservation/*"
            ],
            "Condition": {
                "StringLike": {
                    "ec2:CapacityReservationFleet": "arn:aws:ec2:*:*:capacity-reservation-fleet/crf-*"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:capacity-reservation/*"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": "CreateCapacityReservation"
                }
            }
        }
    ]
}

您必須設定權限,才能允許IAM實體 (例如使用者、群組或角色) 建立、編輯或刪除服務連結角色。如需詳細資訊,請參閱IAM使用指南中的服務連結角色權限

建立容量保留機群的服務連結角色

您不需要手動建立一個服務連結角色。當您使用create-capacity-reservation-fleet AWS CLI 命令或建立容量保留叢集時 CreateCapacityReservationFleetAPI,會自動為您建立服務連結角色。

若您刪除此服務連結角色,之後需要再次建立,您可以在帳戶中使用相同程序重新建立角色。建立容量預留機群時,容量預留機群會再次為您建立服務連結角色。

編輯容量保留機群的服務連結角色

容量保留叢集不允許您編輯 AWSServiceRoleForEC2CapacityReservationFleet 服務連結角色。因為有各種實體可能會參考服務連結角色,所以您無法在建立角色之後變更角色名稱。但是,您可以使用編輯角色的描述IAM。如需詳細資訊,請參閱IAM使用指南中的編輯服務連結角色

刪除容量保留機群的服務連結角色

若您不再使用需要服務連結角色的功能或服務,我們建議您刪除該角色。如此一來,您就沒有未主動監控或維護的未使用實體。然而,在手動刪除服務連結角色之前,您必須先刪除資源。

注意

若容量預留機群服務在您試圖刪除資源時正在使用該角色,刪除可能會失敗。若此情況發生,請等待數分鐘後並再次嘗試操作。

若要刪除 AWSServiceRoleForEC2CapacityReservationFleet 服務連結角色

  1. 使用delete-capacity-reservation-fleet AWS CLI 命令或刪DeleteCapacityReservationFleetAPI除帳戶中的容量保留叢集。

  2. 使用IAM主控台 AWS CLI、或刪除 AWSServiceRoleForEC2CapacityReservationFleet 服務連結角色。 AWS API如需詳細資訊,請參閱IAM使用指南中的刪除服務連結角色

容量保留機群服務連結角色的支援區域

容量預留機群支援在所有提供服務的區域中,使用服務連結角色。如需詳細資訊,請參閱 AWS 區域與端點