Modello di avvio Ruolo collegato al servizio per parco istanze EC2 Concedi l'accesso alle chiavi gestite dal cliente da utilizzare con istantanee crittografate AMIs ed EBS Autorizzazioni del parco istanze EC2 per gli utenti

Prerequisiti di parco istanze EC2

Per creare un parco istanze EC2, devono esserci i prerequisiti seguenti:

Modello di avvio
Ruolo collegato al servizio per parco istanze EC2
Concedi l'accesso alle chiavi gestite dal cliente da utilizzare con istantanee crittografate AMIs ed EBS
Autorizzazioni del parco istanze EC2 per gli utenti

Modello di avvio

Un modello di avvio specifica le informazioni di configurazione riguardo alle istanze da avviare, come il tipo di istanza e la zona di disponibilità. Per ulteriori informazioni sui modelli di avvio, consulta Archivia i parametri di avvio dell'istanza nei modelli di avvio di Amazon EC2.

Ruolo collegato al servizio per parco istanze EC2

Il ruolo AWSServiceRoleForEC2Fleet concede al parco istanze EC2 l’autorizzazione per richiedere, avviare e terminare le istanze, e applicarvi tag per tuo conto. Amazon EC2 utilizza questo ruolo collegato ai servizi per completare le operazioni seguenti:

ec2:RunInstances – Avviare istanze.
ec2:RequestSpotInstances – Richiesta Istanze spot.
ec2:TerminateInstances – Terminare istanze
ec2:DescribeImages— Descrivi Amazon Machine Images (AMIs) per le istanze.
ec2:DescribeInstanceStatus – Descrivere lo stato delle istanze.
ec2:DescribeSubnets – Descrivere le sottoreti per le istanze.
ec2:CreateTags – Aggiungere tag a parco istanze EC2, istanze e volumi.

Assicurati che questo ruolo esista prima di utilizzare AWS CLI o un'API per creare una flotta EC2.

Nota

Un parco istanze EC2 instant non richiede questo ruolo.

Per creare il ruolo, utilizzare la console IAM nel modo seguente.

Per creare il AWSServiceRoleForEC2Fleet ruolo per EC2 Fleet

Aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/.
Nel pannello di navigazione, seleziona Roles (Ruoli).
Selezionare Create role (Crea ruolo).
Nella pagina Seleziona un’entità attendibile, esegui le operazioni seguenti:
1. Per Tipo di entità attendibile, scegli Servizio AWS .
2. In Caso d’uso, per Servizio o caso d’uso, scegli EC2 – Parco istanze.
  
  Suggerimento
  Assicurati di scegliere EC2 – Parco istanze. Se scegli EC2, il caso d’uso EC2 – Parco istanze non appare nell’elenco dei casi d’uso. Lo use case EC2 - Fleet creerà automaticamente una policy con le autorizzazioni IAM richieste e suggerirà AWSServiceRoleForEC2Fleet come nome del ruolo.
3. Scegli Next (Successivo).
Nella pagina Add permissions (Aggiungi autorizzazioni), scegli Next (Successivo).
Nella pagina Nomina, rivedi e crea scegli Crea ruolo.

Se non hai più bisogno di utilizzare EC2 Fleet, ti consigliamo di eliminare il AWSService RoleFor EC2 ruolo Fleet. Dopo che questo ruolo è stato eliminato dal proprio account, è possibile creare di nuovo il ruolo se si crea un altro parco istanze.

Per ulteriori informazioni, consulta Ruoli collegati ai servizi nella Guida per l’utente di IAM.

Concedi l'accesso alle chiavi gestite dal cliente da utilizzare con istantanee crittografate AMIs ed EBS

Se specifichi un'AMI crittografata o uno snapshot Amazon EBS crittografato nella tua flotta EC2 e utilizzi una AWS KMS chiave per la crittografia, devi concedere al ruolo AWSServiceRoleForEC2Fleet l'autorizzazione a utilizzare la chiave gestita dal cliente in modo che Amazon EC2 possa avviare istanze per tuo conto. Per farlo, occorre aggiungere una concessione alla chiave gestita dal cliente, come mostrato nella procedura seguente.

Nel processo di assegnazione delle autorizzazioni, le concessioni rappresentano un’alternativa alle policy delle chiavi. Per ulteriori informazioni, consulta Utilizzo delle concessioni e Utilizzo delle policy delle chiavi in AWS KMS nella Guida per gli sviluppatori di AWS Key Management Service .

Per concedere al ruolo AWSService RoleFor EC2 Fleet le autorizzazioni per utilizzare la chiave gestita dal cliente

Utilizza il comando create-grant per aggiungere una concessione alla chiave gestita dal cliente e per specificare il principale (il ruolo collegato al servizio AWSServiceRoleForEC2Fleet) a cui è concessa l'autorizzazione per eseguire le operazioni consentite dalla concessione. La chiave gestita dal cliente è specificata dal parametro key-id e dall’ARN della chiave gestita dal cliente. Il principale è specificato dal grantee-principal parametro e dall'ARN del ruolo collegato al servizio AWSServiceRoleForEC2Fleet.
```
aws kms create-grant \
    --region us-east-1 \
    --key-id arn:aws:kms:us-east-1:444455556666:key/1234abcd-12ab-34cd-56ef-1234567890ab \
    --grantee-principal arn:aws:iam::111122223333:role/AWSServiceRoleForEC2Fleet \
    --operations "Decrypt" "Encrypt" "GenerateDataKey" "GenerateDataKeyWithoutPlaintext" "CreateGrant" "DescribeKey" "ReEncryptFrom" "ReEncryptTo"
```

Autorizzazioni del parco istanze EC2 per gli utenti

Se gli utenti creano o gestiscono un parco istanze EC2, assicurati di concedere loro le autorizzazioni richieste.

Per creare una policy per il parco istanze EC2

Aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/.
Nel riquadro di navigazione, scegli Policy.
Scegli Create Policy (Crea policy).
Nella pagina Create policy (Crea policy), selezionare la scheda JSON, sostituire il testo con il seguente, quindi selezionare Review policy (Rivedi policy).
JSON
{ "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:ListRoles", "iam:PassRole", "iam:ListInstanceProfiles" ], "Resource":"arn:aws:iam::123456789012:role/DevTeam*" } ] }
ec2:* concede a un utente l’autorizzazione per chiamare tutte le operazioni API Amazon EC2. Per limitare l’utente a specifiche operazioni API Amazon EC2, è necessario invece indicare tali azioni.

L’utente deve avere l’autorizzazione per chiamare l’operazione iam:ListRoles per enumerare i ruoli IAM esistenti, l’operazione iam:PassRole per specificare il ruolo del parco istanze EC2 e l’operazione iam:ListInstanceProfiles per enumerare i profili dell’istanza esistenti.

(Facoltativo) Per consentire a un utente di creare ruoli o profili dell’istanza utilizzando la console IAM, devi inoltre aggiungere le operazioni seguenti alla policy:
- iam:AddRoleToInstanceProfile
- iam:AttachRolePolicy
- iam:CreateInstanceProfile
- iam:CreateRole
- iam:GetRole
- iam:ListPolicies
Nella pagina Review policy (Rivedi policy), immettere un nome policy e una descrizione, poi selezionare Create policy (Crea policy).
Per fornire l’accesso, aggiungi autorizzazioni agli utenti, gruppi o ruoli:
- Utenti e gruppi in: AWS IAM Identity Center
  
  Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina Create a permission set (Creazione di un set di autorizzazioni) nella Guida per l’utente di AWS IAM Identity Center .
- Utenti gestiti in IAM tramite un provider di identità:
  
  Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate nella pagina Create a role for a third-party identity provider (federation) della Guida per l’utente IAM.
- Utenti IAM:
  - Crea un ruolo che l’utente possa assumere. Segui le istruzioni riportate nella pagina Create a role for an IAM user della Guida per l’utente IAM.
  - (Non consigliato) Collega una policy direttamente a un utente o aggiungi un utente a un gruppo di utenti. Segui le istruzioni riportate nella pagina Aggiunta di autorizzazioni a un utente (console) nella Guida per l’utente IAM.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Stati della richiesta parco istanze EC2

Creazione di un parco istanze EC2