Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Peran terkait layanan untuk Amazon EC2 Auto Scaling
Amazon EC2 Auto Scaling menggunakan peran terkait layanan untuk izin yang diperlukan untuk memanggil orang lain atas nama Anda. Layanan AWS Peran terkait layanan adalah jenis unik dari peran IAM yang ditautkan langsung ke sebuah. Layanan AWS
Peran terkait layanan menyediakan cara aman untuk mendelegasikan izin ke pihak lain Layanan AWS karena hanya layanan tertaut yang dapat mengambil peran terkait layanan. Untuk informasi selengkapnya, lihat Membuat peran terkait layanan di Panduan Pengguna IAM. Peran terkait layanan juga memungkinkan semua panggilan API terlihat melalui. AWS CloudTrail Hal ini membantu dengan persyaratan pemantauan dan audit karena Anda dapat melacak semua tindakan yang dilakukan Amazon EC2 Auto Scaling atas nama Anda. Untuk informasi selengkapnya, lihat Log panggilan EC2 Auto Scaling API Amazon dengan AWS CloudTrail.
Bagian berikut menjelaskan cara membuat dan mengelola peran terkait layanan Amazon EC2 Auto Scaling. Mulailah dengan mengonfigurasi izin untuk mengizinkan identitas IAM (seperti pengguna atau peran) membuat, mengedit, atau menghapus peran terkait layanan.
Daftar Isi
Gambaran Umum
Ada dua jenis peran terkait layanan Amazon EC2 Auto Scaling:
-
Peran default yang ditautkan layanan untuk akun Anda, bernama AWSServiceRoleForAutoScaling. Peran ini secara otomatis ditetapkan ke grup Auto Scaling kecuali Anda menentukan peran terkait layanan yang berbeda.
-
Peran terkait layanan dengan akhiran kustom yang Anda tentukan saat membuat peran, misalnya, AWSServiceRoleForAutoScaling_
mysuffix
.
Izin peran terkait layanan akhiran kustom identik dengan peran terhubung ke layanan default. Dalam kedua kasus, Anda tidak dapat mengedit peran, dan Anda juga tidak dapat menghapusnya jika peran tersebut masih digunakan oleh grup Auto Scaling. Satu-satunya perbedaan adalah akhiran nama peran.
Anda dapat menentukan salah satu peran saat mengedit kebijakan AWS Key Management Service utama agar instans yang diluncurkan oleh Amazon EC2 Auto Scaling dienkripsi dengan kunci yang dikelola pelanggan. Namun, jika Anda berencana untuk memberikan akses terperinci ke kunci terkelola pelanggan tertentu, Anda harus menggunakan peran terkait layanan akhiran khusus. Dengan peran layanan terkait akhiran yang disesuaikan, Anda akan mendapatkan:
-
Kontrol lebih besar atas kunci yang dikelola pelanggan
-
Kemampuan untuk melacak grup Auto Scaling mana yang melakukan panggilan API di log CloudTrail
Jika Anda membuat kunci terkelola pelanggan yang tidak dapat diakses oleh semua pengguna, ikuti langkah-langkah berikut untuk mengizinkan penggunaan peran terkait layanan akhiran kustom:
-
Buat peran terkait layanan dengan akhiran khusus. Untuk informasi selengkapnya, lihat Buat peran terkait layanan (manual).
-
Berikan akses peran terkait layanan ke kunci yang dikelola pelanggan. Untuk informasi selengkapnya tentang kebijakan kunci yang memungkinkan kunci digunakan oleh peran terkait layanan, lihat. Kebijakan AWS KMS kunci yang diperlukan untuk digunakan dengan volume terenkripsi
-
Berikan pengguna akses ke peran terkait layanan yang Anda buat. Untuk informasi selengkapnya tentang cara membuat kebijakan IAM, lihat Kontrol peran terkait layanan mana yang dapat diteruskan (menggunakan) PassRole. Jika pengguna mencoba menentukan peran terkait layanan tanpa izin untuk meneruskan peran tersebut ke layanan, mereka akan menerima pesan kesalahan.
Izin yang diberikan oleh peran tertaut layanan
Amazon EC2 Auto Scaling menggunakan peran terkait layanan bernama AWSServiceRoleForAutoScaling atau peran terkait layanan akhiran khusus Anda.
Peran terkait layanan memercayai layanan berikut untuk mengambil peran tersebut:
-
autoscaling.amazonaws.com
Kebijakan izin peran, AutoScalingServiceRolePolicy, memungkinkan Amazon EC2 Auto Scaling untuk menyelesaikan tindakan berikut:
-
ec2
— Buat, jelaskan, modifikasi, mulai/hentikan, dan akhiri EC2 instance. -
iam
— Lulus peran IAM ke EC2 instance sehingga aplikasi yang berjalan pada instance dapat mengakses kredensi sementara untuk peran tersebut. -
iam
— Buat peran terkait layanan AWSServiceRoleForEC2Spot untuk memungkinkan Amazon Auto EC2 Scaling meluncurkan Instans Spot atas nama Anda. -
elasticloadbalancing
— Daftarkan dan deregister instans dengan Elastic Load Balancing dan periksa kesehatan target yang terdaftar. -
cloudwatch
— Membuat, mendeskripsikan, memodifikasi, dan menghapus CloudWatch alarm untuk kebijakan penskalaan dan mengambil metrik yang digunakan untuk penskalaan prediktif. -
sns
— Publikasikan pemberitahuan ke Amazon SNS saat instance diluncurkan atau dihentikan. -
events
— Buat, jelaskan, perbarui, dan hapus EventBridge aturan atas nama Anda. -
ssm
— Baca parameter dari Parameter Store saat menggunakan parameter Systems Manager sebagai alias untuk ID AMI dalam template peluncuran. -
vpc-lattice
— Daftarkan dan deregister instance dengan VPC Lattice dan periksa kesehatan target yang terdaftar. -
resource-groups
— Dapatkan semua nama sumber daya (ARNs) dari sumber daya yang merupakan anggota grup sumber daya tertentu.
Wilayah yang Didukung untuk peran terkait EC2 layanan Amazon Auto Scaling
Amazon EC2 Auto Scaling mendukung penggunaan peran terkait layanan di semua Wilayah AWS tempat layanan tersedia.
Membuat, mengedit, dan menghapus peran terkait layanan
Buat peran terkait layanan (otomatis)
Amazon EC2 Auto Scaling menciptakan AWSServiceRoleForAutoScaling peran terkait layanan untuk Anda saat pertama kali membuat grup Auto Scaling, kecuali jika Anda secara manual membuat peran terkait layanan akhiran kustom dan menentukannya saat membuat grup.
Anda harus memiliki izin IAM untuk membuat peran terkait layanan. Jika tidak, pembuatan otomatis gagal. Untuk informasi lebih lanjut, lihat Izin peran yang ditautkan dengan layanan dalam Panduan Pengguna IAM dan Buat peran tertaut layanan dalam panduan ini.
Buat peran terkait layanan (manual)
Untuk membuat peran terkait layanan (konsol)
Buka konsol IAM di https://console.aws.amazon.com/iam/
. -
Dalam panel navigasi, pilih Roles (Peran), lalu Create role (Buat peran).
-
Untuk Pilih entitas tepercaya, pilih AWS layanan.
-
Untuk Pilih layanan yang akan menggunakan peran ini, pilih EC2 Auto Scaling dan kasus penggunaan Auto EC2 Scaling.
-
Pilih Berikutnya: Izin, Berikutnya: Tag, dan kemudian Berikutnya: Ulasan. Catatan: Anda tidak dapat melampirkan tag ke peran terkait layanan selama pembuatan.
-
Pada halaman Tinjauan, biarkan nama Peran kosong untuk membuat peran terkait layanan dengan nama AWSServiceRoleForAutoScaling, atau masukkan akhiran untuk membuat peran terkait layanan dengan nama AWSServiceRoleForAutoScaling_
suffix
. -
(Opsional) Untuk Deskripsi peran, edit deskripsi untuk peran terkait layanan.
-
Pilih Buat peran.
Untuk membuat peran terkait layanan (AWS CLI)
Gunakan perintah create-service-linked-rolesuffix
.
aws iam create-service-linked-role --aws-service-name autoscaling.amazonaws.com --custom-suffix
suffix
Output dari perintah ini mencakup ARN dari peran terkait layanan, yang dapat Anda gunakan untuk memberikan akses peran terkait layanan ke kunci terkelola pelanggan Anda.
{
"Role": {
"RoleId": "ABCDEF0123456789ABCDEF",
"CreateDate": "2018-08-30T21:59:18Z",
"RoleName": "AWSServiceRoleForAutoScaling_suffix",
"Arn": "arn:aws:iam::123456789012:role/aws-service-role/autoscaling.amazonaws.com/AWSServiceRoleForAutoScaling_suffix",
"Path": "/aws-service-role/autoscaling.amazonaws.com/",
"AssumeRolePolicyDocument": {
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"sts:AssumeRole"
],
"Principal": {
"Service": [
"autoscaling.amazonaws.com"
]
},
"Effect": "Allow"
}
]
}
}
}
Untuk informasi selengkapnya, lihat Membuat peran terkait layanan di Panduan Pengguna IAM.
Mengedit peran terkait layanan
Anda tidak dapat mengedit peran terkait layanan yang dibuat untuk Amazon Auto EC2 Scaling. Setelah Anda membuat peran terkait layanan, Anda tidak dapat mengubah nama peran atau izinnya. Namun, Anda dapat mengedit deskripsi peran. Untuk informasi selengkapnya, lihat Mengedit deskripsi peran terkait layanan di Panduan Pengguna IAM.
Menghapus peran terkait layanan
Jika Anda tidak menggunakan grup Auto Scaling, sebaiknya hapus peran terkait layanan. Menghapus peran mencegah Anda memiliki entitas yang tidak digunakan atau dipantau dan dipelihara secara aktif.
Anda dapat menghapus peran terkait layanan hanya setelah terlebih dahulu menghapus sumber daya dependen terkait. Ini melindungi Anda dari pencabutan izin Auto Scaling EC2 Amazon secara tidak sengaja ke sumber daya Anda. Jika peran terkait layanan digunakan dengan beberapa grup Auto Scaling, Anda harus menghapus semua grup Auto Scaling yang menggunakan peran terkait layanan sebelum Anda dapat menghapusnya. Untuk informasi selengkapnya, lihat Hapus infrastruktur Auto Scaling.
Anda dapat menggunakan IAM untuk menghapus peran yang terkait layanan. Untuk informasi selengkapnya, lihat Menghapus peran terkait layanan di Panduan Pengguna IAM.
Jika Anda menghapus AWSServiceRoleForAutoScaling peran terkait layanan, Amazon Auto EC2 Scaling membuat peran lagi saat Anda membuat grup Auto Scaling dan tidak menentukan peran terkait layanan yang berbeda.