Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Peran operator Lambda untuk Instans Terkelola Lambda
Saat Anda menggunakan Instans Terkelola Lambda, Lambda memerlukan izin untuk mengelola kapasitas komputasi di akun Anda. Peran operator memberikan izin ini melalui kebijakan IAM yang memungkinkan Lambda mengelola EC2 instance di penyedia kapasitas.
Lambda mengasumsikan peran operator saat melakukan operasi manajemen ini, mirip dengan cara Lambda mengasumsikan peran eksekusi saat fungsi Anda berjalan.
Membuat peran operator
Anda dapat membuat peran operator di konsol IAM atau dengan AWS CLI. Peran tersebut harus mencakup:
-
Kebijakan izin - Memberikan izin untuk mengelola penyedia kapasitas dan sumber daya terkait
-
Kebijakan kepercayaan - Memungkinkan layanan Lambda (
lambda.amazonaws.com) untuk mengambil peran
Kebijakan izin
Peran operator memerlukan izin untuk mengelola penyedia kapasitas dan sumber daya komputasi yang mendasarinya. Minimal, peran memerlukan izin dalam kebijakan AWSLambdaterkelola EC2 ResourceOperator terkelola
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:RunInstances", "ec2:CreateTags", "ec2:AttachNetworkInterface" ], "Resource": [ "arn:aws:ec2:*:*:instance/*", "arn:aws:ec2:*:*:network-interface/*", "arn:aws:ec2:*:*:volume/*" ], "Condition": { "StringEquals": { "ec2:ManagedResourceOperator": "scaler.lambda.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "ec2:DescribeAvailabilityZones", "ec2:DescribeCapacityReservations", "ec2:DescribeInstances", "ec2:DescribeInstanceStatus", "ec2:DescribeInstanceTypeOfferings", "ec2:DescribeInstanceTypes", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:RunInstances", "ec2:CreateNetworkInterface" ], "Resource": [ "arn:aws:ec2:*:*:subnet/*", "arn:aws:ec2:*:*:security-group/*" ] }, { "Effect": "Allow", "Action": [ "ec2:RunInstances" ], "Resource": [ "arn:aws:ec2:*:*:image/*" ], "Condition": { "StringEquals": { "ec2:Owner": "amazon" } } } ] }
Kebijakan kepercayaan
Kebijakan kepercayaan memungkinkan Lambda untuk mengambil peran operator:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "lambda.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Peran Tertaut Layanan untuk Instans Terkelola Lambda
Untuk mengelola siklus hidup Instans Terkelola Lambda secara bertanggung jawab, Lambda memerlukan akses terus-menerus untuk menghentikan instans terkelola di akun Anda. Lambda menggunakan AWS Identity and Access Management (IAM) and Access Management (SLR) service-linked role (SLR) untuk melakukan operasi ini.
Pembuatan otomatis: Peran terkait layanan dibuat secara otomatis saat pertama kali Anda membuat penyedia kapasitas. Pengguna yang membuat penyedia kapasitas pertama harus memiliki iam:CreateServiceLinkedRole izin untuk kepala lambda.amazonaws.com sekolah.
Izin: Peran terkait layanan memberi Lambda izin berikut pada instans terkelola:
-
ec2:TerminateInstances— Untuk mengakhiri instance di akhir siklus hidupnya -
ec2:DescribeInstances— Untuk menghitung instance terkelola
Penghapusan: Anda hanya dapat menghapus peran terkait layanan ini setelah menghapus semua penyedia kapasitas Instans Terkelola Lambda di akun Anda.
Untuk mengetahui informasi selengkapnya tentang peran terkait layanan, lihat Menggunakan peran terkait layanan untuk Lambda.
