本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 平行運算服務的 IAM AWS 執行個體描述檔
在 EC2 執行個體上執行的應用程式必須在其提出的任何 AWS API 請求中包含 AWS 登入資料。我們建議您使用 IAM 角色來管理 EC2 執行個體上的臨時登入資料。您可以定義執行個體描述檔來執行此操作,並將其連接到您的執行個體。如需詳細資訊,請參閱[《Amazon Elastic Compute Cloud 使用者指南》中的 Amazon EC2 的 IAM 角色](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html)。 **
**注意**
當您使用 AWS 管理主控台 為 Amazon EC2 建立 IAM 角色時,主控台會自動建立執行個體描述檔,並為其提供與 IAM 角色相同的名稱。如果您使用 AWS CLI、 AWS API 動作或 AWS SDK 來建立 IAM 角色,您可以將執行個體描述檔建立為個別動作。如需詳細資訊,請參閱《*Amazon Elastic Compute Cloud 使用者指南*》中的[執行個體描述](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html#ec2-instance-profile)檔。
建立運算節點群組時,您必須指定執行個體描述檔的 Amazon Resource Name (ARN)。您可以為部分或全部運算節點群組選擇不同的執行個體描述檔。
## 要求
### 執行個體描述檔的 IAM 角色
與執行個體描述檔相關聯的 IAM 角色必須在其路徑`/aws-pcs/`中具有 ,或其名稱必須以 開頭`AWSPCS`。
**IAM 角色 ARNs範例**
+ `arn:aws:iam::*:role/AWSPCS-example-role-1`
+ `arn:aws:iam::*:role/aws-pcs/example-role-2`
### 許可
與 AWS PCS 執行個體描述檔相關聯的 IAM 角色必須包含下列政策。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"pcs:RegisterComputeNodeGroupInstance"
],
"Resource": "*",
"Effect": "Allow"
}
]
}
```
------
## 其他政策
考慮將 受管政策新增至執行個體描述檔。例如:
+ [AmazonS3ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonS3ReadOnlyAccess.html) 提供所有 S3 儲存貯體的唯讀存取權。
+ [AmazonSSMManagedInstanceCore](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMManagedInstanceCore.html) 啟用 AWS Systems Manager 服務核心功能,例如直接從 Amazon 管理主控台進行遠端存取。
+ [CloudWatchAgentServerPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchAgentServerPolicy.html) 包含在伺服器上使用 AmazonCloudWatchAgent 所需的許可。
您也可以包含自己的 IAM 政策,以支援您的特定使用案例。