AWS 平行運算服務的 IAM 執行個體設定檔 - AWS PCS

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS 平行運算服務的 IAM 執行個體設定檔

在 EC2 執行個體上執行的應用程式必須在其提出的任何 AWS API 請求中包含 AWS 登入資料。我們建議您使用 IAM 角色來管理 EC2 執行個體上的臨時登入資料。您可以定義執行個體描述檔來執行此操作,並將其連接至您的執行個體。如需詳細資訊,請參閱《Amazon Elastic Compute Cloud 使用者指南》中的 Amazon EC2 的 IAM 角色

注意

當您使用 AWS Management Console 為 Amazon EC2 建立 IAM 角色時,主控台會自動建立執行個體描述檔,並提供與 IAM 角色相同的名稱。如果您使用 AWS CLI、 AWS API 動作或 AWS SDK 來建立 IAM 角色,您可以將執行個體描述檔建立為個別動作。如需詳細資訊,請參閱《Amazon Elastic Compute Cloud 使用者指南》中的執行個體描述檔。

建立運算節點群組時,您必須指定執行個體設定檔的 Amazon Resource Name (ARN)。您可以為部分或全部運算節點群組選擇不同的執行個體設定檔。

執行個體設定檔需求

執行個體設定檔 ARN

ARN 的 IAM 角色名稱部分必須以 開頭,AWSPCS或在路徑/aws-pcs/中包含:

  • arn:aws:iam::*:instance-profile/AWSPCS-example-role-1

  • arn:aws:iam::*:instance-profile/aws-pcs/example-role-2.

注意

如果您使用 AWS CLI,請提供要包含在 ARN 路徑/aws-pcs/中的--pathiam create-instance-profile給 。例如:

aws iam create-instance-profile --path /aws-pcs/ --instance-profile-name example-role-2
許可

至少, AWS PCS 的執行個體描述檔必須包含下列政策。它允許運算節點在 AWS PCS 服務運作時通知他們。

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "pcs:RegisterComputeNodeGroupInstance" ], "Resource": "*", "Effect": "Allow" } ] }

其他政策

您可以考慮將受管政策新增至執行個體設定檔。例如:

您也可以包含自己的 IAM 政策,以支援您的特定使用案例。

建立執行個體描述檔

您可以直接從 Amazon EC2 主控台建立執行個體描述檔。如需詳細資訊,請參閱AWS Identity and Access Management 《 使用者指南》中的使用執行個體設定檔

列出 AWS PCS 的執行個體設定檔

您可以使用下列 AWS CLI 命令來列出 AWS 區域 中符合 AWS PCS 名稱需求的執行個體設定檔。將 us-east-1 取代為適當的 AWS 區域。

aws iam list-instance-profiles --region us-east-1 --query "InstanceProfiles[?starts_with(InstanceProfileName, 'AWSPCS') || contains(Path, '/aws-pcs/')].[InstanceProfileName]" --output text