本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS 平行運算服務的 IAM 執行個體設定檔
在 EC2 執行個體上執行的應用程式必須在其提出的任何 AWS API 請求中包含 AWS 登入資料。我們建議您使用 IAM 角色來管理 EC2 執行個體上的臨時登入資料。您可以定義執行個體描述檔來執行此操作,並將其連接至您的執行個體。如需詳細資訊,請參閱《Amazon Elastic Compute Cloud 使用者指南》中的 Amazon EC2 的 IAM 角色。
注意
當您使用 AWS Management Console 為 Amazon EC2 建立 IAM 角色時,主控台會自動建立執行個體描述檔,並提供與 IAM 角色相同的名稱。如果您使用 AWS CLI、 AWS API 動作或 AWS SDK 來建立 IAM 角色,您可以將執行個體描述檔建立為個別動作。如需詳細資訊,請參閱《Amazon Elastic Compute Cloud 使用者指南》中的執行個體描述檔。
建立運算節點群組時,您必須指定執行個體設定檔的 Amazon Resource Name (ARN)。您可以為部分或全部運算節點群組選擇不同的執行個體設定檔。
執行個體設定檔需求
執行個體設定檔 ARN
ARN 的 IAM 角色名稱部分必須以 開頭,AWSPCS或在路徑/aws-pcs/中包含:
-
arn:aws:iam::*:instance-profile/AWSPCS-example-role-1和 -
arn:aws:iam::*:instance-profile/aws-pcs/example-role-2.
注意
如果您使用 AWS CLI,請提供要包含在 ARN 路徑/aws-pcs/中的--path值iam create-instance-profile給 。例如:
aws iam create-instance-profile --path /aws-pcs/ --instance-profile-name example-role-2
許可
至少, AWS PCS 的執行個體描述檔必須包含下列政策。它允許運算節點在 AWS PCS 服務運作時通知他們。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "pcs:RegisterComputeNodeGroupInstance" ], "Resource": "*", "Effect": "Allow" } ] }
其他政策
您可以考慮將受管政策新增至執行個體設定檔。例如:
-
AmazonS3ReadOnlyAccess 提供所有 S3 儲存貯體的唯讀存取。
-
AmazonSSMManagedInstanceCore 啟用 AWS Systems Manager 服務核心功能,例如直接從 Amazon 管理主控台進行遠端存取。
-
CloudWatchAgentServerPolicy 包含在伺服器上使用 AmazonCloudWatchAgent 所需的許可。
您也可以包含自己的 IAM 政策,以支援您的特定使用案例。
建立執行個體描述檔
您可以直接從 Amazon EC2 主控台建立執行個體描述檔。如需詳細資訊,請參閱AWS Identity and Access Management 《 使用者指南》中的使用執行個體設定檔。
列出 AWS PCS 的執行個體設定檔
您可以使用下列 AWS CLI 命令來列出 AWS 區域 中符合 AWS PCS 名稱需求的執行個體設定檔。將 us-east-1 取代為適當的 AWS 區域。
aws iam list-instance-profiles --regionus-east-1--query "InstanceProfiles[?starts_with(InstanceProfileName, 'AWSPCS') || contains(Path, '/aws-pcs/')].[InstanceProfileName]" --output text
