El rol vinculado a un servicio para el lanzamiento rápido de EC2

Amazon EC2 utiliza roles vinculados a un servicio para los permisos que necesita para llamar a otros Servicios de AWS en su nombre. Un rol vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente a un Servicio de AWS. Los roles vinculados a servicios ofrecen una manera segura de delegar permisos a Servicios de AWS, ya que solo los servicios vinculados pueden asumir roles vinculados a servicios. Para obtener más información acerca de cómo Amazon EC2 utiliza los roles de IAM, incluidos los roles vinculados a servicios, consulte Roles de IAM para Amazon EC2.

Amazon EC2 utiliza el rol vinculado a un servicio denominado AWSServiceRoleForEC2FastLaunch para crear y administrar un conjunto de instantáneas aprovisionadas previamente que reducen el tiempo que lleva iniciar instancias desde la AMI de Windows.

No es necesario crear este rol vinculado a un servicio de forma manual. Cuando comienza a utilizar el lanzamiento rápido de EC2 para la AMI, Amazon EC2 crea automáticamente el rol vinculado a un servicio, si aún no existe.

nota

Si el rol vinculado a un servicio se elimina de la cuenta, puede habilitar el lanzamiento rápido de EC2 para otra AMI de Windows para volver a crear el rol en la cuenta. Si no, puede deshabilitar el lanzamiento rápido de EC2 para la AMI actual y, a continuación, volver a habilitarlo. Sin embargo, al deshabilitar la característica, la AMI utiliza el proceso de inicialización estándar para todas las instancias nuevas, mientras que Amazon EC2 elimina todas las instantáneas aprovisionadas previamente. Después de que se hayan eliminado todas las instantáneas aprovisionadas previamente, puede volver a habilitar el lanzamiento rápido de EC2 para la AMI.

Amazon EC2 no permite editar el rol vinculado a un servicio de AWSServiceRoleForEC2FastLaunch. Después de crear un rol vinculado a un servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al mismo. Sin embargo, puede editar la descripción del rol mediante IAM. Para más información, consulte Editar un rol vinculado a un servicio en la Guía del usuario de IAM..

Solo puede eliminar un rol vinculado a un servicio después de eliminar los recursos relacionados. Esto protege los recursos de Amazon EC2 asociados a la AMI de Windows Server de Amazon EC2 con el lanzamiento rápido de EC2 habilitado, ya que no se puede quitar de manera accidental el permiso de acceso a los recursos.

Amazon EC2 es compatible con el rol vinculado a un servicio de lanzamiento rápido de EC2 en todas las regiones en las que el servicio de Amazon EC2 está disponible. Para obtener más información, consulte Regiones.

Permisos concedidos por AWSServiceRoleForEC2FastLaunch

Amazon EC2 utiliza la política administrada EC2FastLaunchServiceRolePolicy para realizar las siguientes acciones:

• cloudwatch:PutMetricData: publica datos de métricas asociados con el lanzamiento rápido de EC2 en el espacio de nombres de Amazon EC2.

• ec2:CreateLaunchTemplate: crea una platilla de lanzamiento para la AMI de Windows Server de Amazon EC2 con el lanzamiento rápido de EC2 habilitado.

• ec2:CreateSnapshot: crea instantáneas aprovisionadas previamente para la AMI de Windows Server de Amazon EC2 con el lanzamiento rápido de EC2 habilitado.

• ec2:CreateTags: crea etiquetas para los recursos asociados al lanzamiento y a la aprovisionamiento previo de las instancias de Windows para la AMI de Windows Server de Amazon EC2 con el lanzamiento rápido de EC2 habilitado.

• ec2:DeleteSnapshots: elimina todas las instantáneas aprovisionadas previamente asociadas, si el lanzamiento rápido de EC2 está desactivado para una AMI habilitada anteriormente.

• ec2:DescribeImages: describir imágenes para todos los recursos.

• ec2:DescribeInstanceAttribute: describir atributos de instancias para todos los recursos.

• ec2:DescribeInstanceStatus: describir estados de instancias para todos los recursos.

• ec2:DescribeInstances: describir instancias para todos los recursos.

• ec2:DescribeInstanceTypeOfferings: describir ofertas de tipos de instancias para todos los recursos.

• ec2:DescribeLaunchTemplates: describir plantillas de inicialización para todos los recursos.

• ec2:DescribeLaunchTemplateVersions: describir versiones de plantillas de inicialización para todos los recursos.

• ec2:DescribeSnapshots: describir recursos de instantáneas para todos los recursos.

• ec2:DescribeSubnets: describir subredes para todos los recursos.

• ec2:RunInstances: lanza las instancias desde una AMI de Windows Server de Amazon EC2 con el lanzamiento rápido de EC2 habilitado para poder realizar los pasos de aprovisionamiento.

• ec2:StopInstances: detiene las instancias lanzadas desde una AMI de Windows Server de Amazon EC2 con el lanzamiento rápido de EC2 habilitado para crear instantáneas aprovisionadas previamente.

• ec2:TerminateInstances: finaliza una instancia lanzada desde una AMI de Windows Server de Amazon EC2 con el lanzamiento rápido de EC2 habilitado después de crear una instantánea aprovisionada previamente a partir de la instancia.

• iam:PassRole permite que el rol vinculado a un servicio AWSServiceRoleForEC2FastLaunch lance instancias en su nombre mediante el perfil de instancias de la plantilla de inicialización.

Para obtener más información sobre las políticas administradas por Amazon EC2, consulte Políticas administradas de AWS para Amazon EC2.

Acceso a las claves administradas por el cliente para su uso con AMI cifradas e instantáneas de EBS

Requisito previo

• Para permitir que Amazon EC2 acceda a una AMI cifrada en su nombre, debe contar con un permiso para la acción createGrant en la clave administrada por el cliente.

Cuando habilita el lanzamiento rápido de EC2 para una AMI cifrada, Amazon EC2 garantiza que se conceda permiso para el rol AWSServiceRoleForEC2FastLaunch para que utilice la clave administrada por el cliente a fin de obtener acceso a la AMI. Este permiso es necesario para iniciar instancias y crear instantáneas aprovisionadas previamente en su nombre.