Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Rôle d'opérateur Lambda pour les instances gérées Lambda
Lorsque vous utilisez des instances gérées Lambda, Lambda a besoin d'autorisations pour gérer la capacité de calcul de votre compte. Le rôle d'opérateur fournit ces autorisations via des politiques IAM qui permettent à Lambda de EC2 gérer les instances du fournisseur de capacité.
Lambda assume le rôle d'opérateur lors de l'exécution de ces opérations de gestion, de la même manière que Lambda assume un rôle d'exécution lorsque votre fonction s'exécute.
Création d'un rôle d'opérateur
Vous pouvez créer un rôle d'opérateur dans la console IAM ou à l'aide de la AWS CLI. Le rôle doit inclure :
-
Politique d'autorisations : accorde des autorisations pour gérer les fournisseurs de capacité et les ressources associées
-
Politique de confiance — Permet au service Lambda (
lambda.amazonaws.com) d'assumer le rôle
Politique d’autorisations
Le rôle d'opérateur nécessite des autorisations pour gérer les fournisseurs de capacité et les ressources informatiques sous-jacentes. Au minimum, le rôle nécessite les autorisations définies dans la politique AWSLambdaEC2ResourceOperatorgérée
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:RunInstances", "ec2:CreateTags", "ec2:AttachNetworkInterface" ], "Resource": [ "arn:aws:ec2:*:*:instance/*", "arn:aws:ec2:*:*:network-interface/*", "arn:aws:ec2:*:*:volume/*" ], "Condition": { "StringEquals": { "ec2:ManagedResourceOperator": "scaler.lambda.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "ec2:DescribeAvailabilityZones", "ec2:DescribeCapacityReservations", "ec2:DescribeInstances", "ec2:DescribeInstanceStatus", "ec2:DescribeInstanceTypeOfferings", "ec2:DescribeInstanceTypes", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:RunInstances", "ec2:CreateNetworkInterface" ], "Resource": [ "arn:aws:ec2:*:*:subnet/*", "arn:aws:ec2:*:*:security-group/*" ] }, { "Effect": "Allow", "Action": [ "ec2:RunInstances" ], "Resource": [ "arn:aws:ec2:*:*:image/*" ], "Condition": { "StringEquals": { "ec2:Owner": "amazon" } } } ] }
Politique d’approbation
La politique de confiance permet à Lambda d'assumer le rôle d'opérateur :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "lambda.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Rôle lié à un service pour les instances gérées Lambda
Pour gérer de manière responsable le cycle de vie des instances gérées Lambda, Lambda a besoin d'un accès permanent pour mettre fin aux instances gérées de votre compte. Lambda utilise un rôle lié à un service (SLR) AWS Identity and Access Management (IAM) pour effectuer ces opérations.
Création automatique : le rôle lié au service est automatiquement créé la première fois que vous créez un fournisseur de capacité. L'utilisateur qui crée le premier fournisseur de capacité doit avoir l'iam:CreateServiceLinkedRoleautorisation pour le lambda.amazonaws.com principal.
Autorisations : le rôle lié au service accorde à Lambda les autorisations suivantes sur les instances gérées :
-
ec2:TerminateInstances— Pour mettre fin aux instances à la fin de leur cycle de vie -
ec2:DescribeInstances— Pour énumérer les instances gérées
Suppression : vous ne pouvez supprimer ce rôle lié à un service qu'après avoir supprimé tous les fournisseurs de capacité des instances gérées Lambda de votre compte.
Pour plus d’informations sur les rôles liés à un service, consultez Utilisation de rôles liés à un service pour Lambda.
