EC2-Flotte-Voraussetzungen - Amazon Elastic Compute Cloud
StartvorlageServiceverknüpfte Rolle für EC2-FlotteGewähren Sie Zugriff auf vom Kunden verwaltete Schlüssel zur Verwendung mit verschlüsselten AMIs und EBS-SnapshotsBerechtigungen für EC2-Flotten-Benutzer

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

EC2-Flotte-Voraussetzungen

Startvorlage

Eine Startvorlage gibt die Konfigurationsinformationen über die zu startenden Instances an, wie beispielsweise den Instance-Typ und die Availability Zone. Weitere Informationen über Startvorlagen finden Sie unter Instance-Startparametern in Amazon-EC2-Startvorlagen speichern.

Serviceverknüpfte Rolle für EC2-Flotte

Die AWSServiceRoleForEC2Fleet-Rolle gewährt der EC2-Flotte die Berechtigung, in Ihrem Namen Instances anzufordern, zu launchen, zu beenden und zu markieren. Amazon EC2 verwendet diese serviceverknüpfte Rolle, um die folgenden Aktionen durchzuführen:

  • ec2:RunInstances – Instances starten.

  • ec2:RequestSpotInstances – Spot-Instances anfragen.

  • ec2:TerminateInstances – Instances beenden.

  • ec2:DescribeImages— Beschreiben Sie Amazon Machine Images (AMIs) für die Instances.

  • ec2:DescribeInstanceStatus – Beschreiben des Status der Instances.

  • ec2:DescribeSubnets – Beschreiben der Subnetze für Instances.

  • ec2:CreateTags – Tags (Markierungen) zu den EC2-Flotte, Instances und Volumes hinzufügen.

Stellen Sie sicher, dass diese Rolle vorhanden ist, bevor Sie die AWS CLI oder eine API verwenden, um eine EC2-Flotte zu erstellen.

Anmerkung

Ein instant EC2-Flotte erfordert diese Rolle nicht.

Um die Rolle anzulegen, verwenden Sie die IAM-Konsole wie folgt.

Um die AWSServiceRoleForEC2Fleet Rolle für die EC2-Flotte zu erstellen

  1. Öffnen Sie unter https://console.aws.amazon.com/iam/ die IAM-Konsole.

  2. Wählen Sie im Navigationsbereich Rollen aus.

  3. Wählen Sie Create role (Rolle erstellen) aus.

  4. Gehen Sie auf der Seite Select trusted entity (Vertrauenswürdige Entität auswählen) wie folgt vor:

    1. Wählen Sie unter Vertrauenswürdiger Entitätstyp die Option AWS -Service aus.

    2. Wählen Sie unter Anwendungsfall für Service oder Anwendungsfall die Option EC2-Flotte aus.

      Tipp

      Achten Sie darauf, EC2-Flotte auszuwählen. Wenn Sie EC2 wählen, wird der Anwendungsfall EC2-Flotte nicht in der Liste der Anwendungsfälle angezeigt. Der Anwendungsfall EC2 — Fleet erstellt automatisch eine Richtlinie mit den erforderlichen IAM-Berechtigungen und schlägt AWSServiceRoleForEC2Fleet als Rollennamen vor.

    3. Wählen Sie Weiter aus.

  5. Wählen Sie auf der Seite Add permissions (Berechtigungen hinzufügen) die Option Next (Weiter) aus.

  6. Wählen Sie auf der Seite Benennen, Überprüfen und Erstellen die Option Rolle erstellen aus.

Wenn Sie EC2 Fleet nicht mehr verwenden müssen, empfehlen wir Ihnen, die Fleet-Rolle zu löschen. AWSService RoleFor EC2 Nachdem diese Rolle aus Ihrem Konto gelöscht wurde, können Sie die Rolle erneut anlegen, wenn Sie eine andere Flotte anlegen.

Weitere Informationen finden Sie unter Serviceverknüpfte Rollen im IAM-Benutzerhandbuch.

Gewähren Sie Zugriff auf vom Kunden verwaltete Schlüssel zur Verwendung mit verschlüsselten AMIs und EBS-Snapshots

Wenn Sie in Ihrer EC2-Flotte ein verschlüsseltes AMI oder einen verschlüsselten Amazon EBS-Snapshot angeben und einen AWS KMS Schlüssel für die Verschlüsselung verwenden, müssen Sie der AWSServiceRoleForEC2Flottenrolle die Berechtigung zur Verwendung des vom Kunden verwalteten Schlüssels erteilen, damit Amazon EC2 Instances in Ihrem Namen starten kann. Dazu müssen Sie dem vom Kunden verwalteten Schlüssel eine Erteilung hinzufügen, wie im Folgenden gezeigt:

Bei der Einrichtung von Berechtigungen ist die Erteilung von Berechtigung eine Alternative zu Schüsselrichtlinien. Weitere Informationen finden Sie unter Verwenden von Erteilungen und Verwenden von Schlüsselrichtlinien in AWS KMS im Entwicklerhandbuch für AWS Key Management Service .

Um der AWSService RoleFor EC2 Flottenrolle Berechtigungen zur Verwendung des vom Kunden verwalteten Schlüssels zu erteilen

  • Verwenden Sie den Befehl create-grant, um dem vom Kunden verwalteten Schlüssel einen Grant hinzuzufügen und den Principal (die dienstbezogene AWSServiceRoleForEC2Flottenrolle) anzugeben, der die Berechtigung zur Ausführung der durch die Gewährung erlaubten Operationen erhält. Der vom Kunden verwaltete Schlüssel wird durch den key-id-Parameter und den ARN des vom Kunden verwalteten Schlüssels angegeben. Der Principal wird durch den grantee-principal Parameter und den ARN der mit dem AWSServiceRoleForEC2Fleet-Service verknüpften Rolle angegeben.

    aws kms create-grant \
    --region us-east-1 \
    --key-id arn:aws:kms:us-east-1:444455556666:key/1234abcd-12ab-34cd-56ef-1234567890ab \
    --grantee-principal arn:aws:iam::111122223333:role/AWSServiceRoleForEC2Fleet \
    --operations "Decrypt" "Encrypt" "GenerateDataKey" "GenerateDataKeyWithoutPlaintext" "CreateGrant" "DescribeKey" "ReEncryptFrom" "ReEncryptTo"

Berechtigungen für EC2-Flotten-Benutzer

Wenn Ihre Benutzer eine EC2-Flotte erstellen oder verwalten, stellen Sie sicher, dass Sie ihnen die erforderlichen Berechtigungen gewähren.

So erstellen Sie eine Richtlinie für EC2-Flotte

  1. Öffnen Sie unter https://console.aws.amazon.com/iam/ die IAM-Konsole.

  2. Wählen Sie im Navigationsbereich Richtlinien.

  3. Wählen Sie Richtlinie erstellen aus.

  4. Wählen Sie auf der Seite Create policy (Richtlinie erstellen) die Registerkarte JSON, ersetzen Sie den Text durch den im Folgenden gezeigten Text, und wählen Sie Review policy (Richtlinie überprüfen).

    JSON
    {
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
              "iam:ListRoles",
              "iam:PassRole",
              "iam:ListInstanceProfiles"
            ],
            "Resource":"arn:aws:iam::123456789012:role/DevTeam*"
        }
    ]
}

    ec2:* erteilt einem Benutzer die Berechtigung, alle Amazon-EC2-API-Aktionen aufzurufen. Sie können die Berechtigung eines Benutzer auf bestimmte Amazon EC2-API-Aktionen beschränken, indem Sie diese Aktionen stattdessen explizit angeben.

    Der Benutzer muss über die Berechtigung verfügen, die folgenden Aktionen aufzurufen: iam:ListRoles, um vorhandene IAM-Rollen aufzulisten, iam:PassRole, um die Rolle für die EC2-Flotte anzugeben und iam:ListInstanceProfiles, um vorhandene Instance-Profile aufzulisten.

    (Optional) Um einem Benutzer das Erstellen von Rollen oder Instance-Profilen mithilfe der IAM-Konsole zu ermöglichen, müssen Sie der Richtlinie auch die folgenden Aktionen hinzufügen:

    • iam:AddRoleToInstanceProfile

    • iam:AttachRolePolicy

    • iam:CreateInstanceProfile

    • iam:CreateRole

    • iam:GetRole

    • iam:ListPolicies

  5. Geben Sie auf der Seite Review policy (Richtlinie überprüfen) einen Richtlinienamen und eine Beschreibung ein und wählen Sie anschließend Create policy (Richtlinie erstellen) aus.

  6. Um Zugriff zu gewähren, fügen Sie Ihren Benutzern, Gruppen oder Rollen Berechtigungen hinzu: