Perfis vinculados ao serviço do Amazon EC2 Auto Scaling - Amazon EC2 Auto Scaling
Visão geral doPermissões concedidas pelo perfil vinculado ao serviçoRegiões compatíveis com funções vinculadas ao serviço do Amazon EC2 Auto ScalingCriar, editar e excluir um perfil vinculado ao serviço

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Perfis vinculados ao serviço do Amazon EC2 Auto Scaling

O Amazon EC2 Auto Scaling usa perfis vinculados ao serviço para as permissões necessárias para chamar outros serviços da Serviços da AWS em seu nome. Uma função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente a uma. AWS service (Serviço da AWS)

Os perfis vinculados a serviços oferecem uma maneira segura de delegar permissões a outros serviços da Serviços da AWS , pois somente o serviço vinculado pode assumir um perfil vinculado ao serviço. Para ter mais informações, consulte Criar um perfil vinculado ao serviço no Guia do usuário do IAM. As funções vinculadas ao serviço também permitem que todas as chamadas de API sejam visíveis por meio de. AWS CloudTrail Isso ajuda com os requisitos de monitoramento e auditoria porque você pode rastrear todas as ações que o Amazon EC2 Auto Scaling executa em seu nome. Para obter mais informações, consulte Registre chamadas da API Amazon EC2 Auto Scaling com AWS CloudTrail.

As seções a seguir descrevem como criar e gerenciar perfis vinculados ao serviço do Amazon EC2 Auto Scaling. Comece configurando permissões para autorizar uma identidade do IAM (por exemplo, um usuário ou um perfil) a criar, editar ou excluir um perfil vinculado ao serviço.

Visão geral do

Há dois tipos de funções vinculadas ao serviço do Amazon EC2 Auto Scaling:

  • A função vinculada ao serviço padrão para sua conta, chamada AWSServiceRoleForAutoScaling. Essa função é automaticamente atribuída aos seus grupos do Auto Scaling, a menos que você especifique outra função vinculada ao serviço.

  • Uma função vinculada ao serviço com um sufixo personalizado que você especifica ao criar a função, por exemplo, AWSServiceRoleForAutoScaling_mysuffix.

As permissões de um perfil vinculado ao serviço com sufixo personalizado são idênticas às do perfil vinculado ao serviço padrão. Em ambos os casos, você não poderá editar as funções nem excluí-las se elas ainda estiverem em uso por um grupo do Auto Scaling. A única diferença é o sufixo do nome do perfil.

Você pode especificar qualquer uma das funções ao editar suas políticas de AWS Key Management Service chaves para permitir que as instâncias lançadas pelo Amazon EC2 Auto Scaling sejam criptografadas com sua chave gerenciada pelo cliente. No entanto, se você planeja conceder acesso granular a uma determinada CMK gerenciada pelo cliente, será necessário usar um perfil vinculado ao serviço com sufixo personalizado. O uso de um perfil vinculado ao serviço com sufixo personalizado fornece:

  • Mais controle sobre a chave gerenciada pelo cliente

  • A capacidade de rastrear qual grupo do Auto Scaling fez uma chamada de API em seus registros CloudTrail

Se você criar chaves gerenciadas pelo cliente às quais nem todos os usuários devem ter acesso, siga estas etapas para permitir o uso de um perfil vinculado ao serviço com sufixo personalizado:

  1. Crie um perfil vinculado ao serviço com um sufixo personalizado. Para obter mais informações, consulte Criar um perfil vinculado ao serviço (manual).

  2. Conceda ao perfil vinculado ao serviço acesso a uma chave gerenciada pelo cliente. Para obter mais informações sobre a política de chaves que permite que a chave seja usada por um perfil vinculado ao serviço, consulte Política de AWS KMS chaves necessária para uso com volumes criptografados.

  3. Dê aos usuários acesso ao perfil vinculado ao serviço que você criou. Para obter mais informações sobre como criar políticas do IAM, consulte Controle qual função vinculada ao serviço pode ser passada (usando) PassRole. Se os usuários tentarem especificar um perfil vinculado ao serviço sem permissão para passar esse perfil para o serviço, eles receberão um erro.

Permissões concedidas pelo perfil vinculado ao serviço

O Amazon EC2 Auto Scaling usa o perfil vinculado ao serviço chamado AWSServiceRoleForAutoScaling ou seu perfil vinculado ao serviço de sufixo personalizado.

O perfil vinculado ao serviço confia no seguinte serviço para assumir o perfil:

  • autoscaling.amazonaws.com

A política de permissões do perfil, AutoScalingServiceRolePolicy, permite que o Amazon EC2 Auto Scaling execute as ações a seguir:

  • ec2 - Criar, descrever, modificar, iniciar/interromper e encerrar instâncias do EC2.

  • iam - Passar perfis do IAM para instâncias do EC2 para que as aplicações em execução nas instâncias possam acessar credenciais temporárias para o perfil.

  • iam— Crie a função vinculada ao serviço AWSServiceRoleForEC2Spot para permitir que o Amazon EC2 Auto Scaling lance Instâncias Spot em seu nome.

  • elasticloadbalancing - Registrar e cancelar o registro de instâncias com o Elastic Load Balancing e verificar a integridade dos alvos registrados.

  • cloudwatch— crie, descreva, modifique e exclua CloudWatch alarmes para políticas de escalabilidade e recupere métricas usadas para escalabilidade preditiva.

  • sns - Publicar notificações no Amazon SNS quando as instâncias forem iniciadas ou encerradas.

  • events— Crie, descreva, atualize e exclua EventBridge regras em seu nome.

  • ssm: leia os parâmetros do Parameter Store ao usar um parâmetro do Systems Manager como um alias para um ID de AMI em um modelo de execução.

  • vpc-lattice - Registrar e cancelar o registro de instâncias com o Elastic Load Balancing e verificar a integridade dos alvos registrados.

  • resource-groups— Obtenha todos os nomes de recursos (ARNs) dos recursos que são membros de um grupo de recursos especificado.

Regiões compatíveis com funções vinculadas ao serviço do Amazon EC2 Auto Scaling

O Amazon EC2 Auto Scaling oferece suporte ao uso de funções vinculadas a serviços em todos os lugares em que o serviço está Regiões da AWS disponível.

Criar, editar e excluir um perfil vinculado ao serviço

Criar uma função vinculada ao serviço (automática)

O Amazon EC2 Auto Scaling cria a função vinculada ao serviço AWSServiceRoleForAutoScaling para você na primeira vez que você cria um grupo do Auto Scaling, a menos que você crie manualmente uma função vinculada ao serviço com sufixo personalizado e especifique-a ao criar o grupo.

É necessário ter permissões do IAM para criar a função vinculada ao serviço. Caso contrário, a criação automática falhará. Para obter mais informações, consulte Permissões de perfil vinculado ao serviço no Manual do usuário do IAM e Criar um perfil vinculado ao serviço neste guia.

Criar um perfil vinculado ao serviço (manual)

Para criar um perfil vinculado ao serviço (console)

  1. Abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, selecione Perfil e então, Criar perfil.

  3. Em Select trusted entity (Selecionar entidade confiável), escolha AWS service (serviço).

  4. Em Choose the service that will use this role (Escolha o serviço que usará esse perfil), escolha EC2 Auto Scaling (Auto Scaling do EC2) e o caso de uso EC2 Auto Scaling (Auto Scaling do EC2) .

  5. Escolha Next: Permissions (Próximo: permissões), Next: Tags (Próximo: tags) e Next: Review (Próximo: revisão). Observação: você não pode anexar tags a perfis vinculados ao serviço durante a criação.

  6. Na página Revisar, deixe o nome da função em branco para criar uma função vinculada ao serviço com o nome AWSServiceRoleForAutoScalingou digite um sufixo para criar uma função vinculada ao serviço com o nome _. AWSServiceRoleForAutoScaling suffix

  7. (Opcional) Em Role description (Descrição do perfil), edite a descrição para o perfil vinculado ao serviço.

  8. Selecione Criar perfil.

Para criar um perfil vinculado ao serviço (AWS CLI)

Use o seguinte comando da create-service-linked-roleCLI para criar uma função vinculada ao serviço para o Amazon EC2 Auto Scaling com o nome _. AWSServiceRoleForAutoScaling suffix 

aws iam create-service-linked-role --aws-service-name autoscaling.amazonaws.com --custom-suffix suffix

A saída desse comando inclui o ARN da função vinculada ao serviço, o qual você pode usar para conceder acesso à chave gerenciada pelo cliente para a função vinculada ao serviço. 

{
    "Role": {
        "RoleId": "ABCDEF0123456789ABCDEF",
        "CreateDate": "2018-08-30T21:59:18Z",
        "RoleName": "AWSServiceRoleForAutoScaling_suffix",
        "Arn": "arn:aws:iam::123456789012:role/aws-service-role/autoscaling.amazonaws.com/AWSServiceRoleForAutoScaling_suffix",
        "Path": "/aws-service-role/autoscaling.amazonaws.com/",
        "AssumeRolePolicyDocument": {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Action": [
                        "sts:AssumeRole"
                    ],
                    "Principal": {
                        "Service": [
                            "autoscaling.amazonaws.com"
                        ]
                    },
                    "Effect": "Allow"
                }
            ]
        }
    }
}

Para ter mais informações, consulte Criar um perfil vinculado ao serviço no Guia do usuário do IAM.

Editar o perfil vinculado ao serviço

Você não pode editar os perfis vinculados ao serviço criados para o Amazon EC2 Auto Scaling. Depois de criar um perfil vinculado ao serviço, você não pode alterar o nome do perfil ou suas permissões. No entanto, você poderá editar a descrição do perfil. Para obter mais informações, consulte Editar uma descrição de perfil vinculado ao serviço no Guia do usuário do IAM.

Excluir o perfil vinculado ao serviço

Se você não estiver usando um grupo do Auto Scaling, recomendamos excluir o perfil vinculado ao serviço. Excluir o perfil evita que você tenha uma entidade que não é usada ou mantida e monitorada ativamente.

Você poderá excluir um perfil vinculado ao serviço somente depois de excluir os recursos dependentes relacionados. Isso evita que você revogue acidentalmente as permissões do Amazon EC2 Auto Scaling para seus recursos. Se um perfil vinculado ao serviço é usado com vários grupos do Auto Scaling, é necessário excluir todos os grupos do Auto Scaling que usam o perfil vinculado ao serviço antes de excluí-lo. Para obter mais informações, consulte Excluir infraestrutura do Auto Scaling.

É possível usar o IAM para excluir um perfil vinculado ao serviço. Para obter mais informações, consulte Excluir uma função vinculada ao serviço no Guia do usuário do IAM.

Se você excluir a função vinculada ao serviço AWSServiceRoleForAutoScaling, o Amazon EC2 Auto Scaling criará a função novamente quando você criar um grupo do Auto Scaling sem especificar outra função vinculada ao serviço.