Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Ruoli collegati ai servizi per Dimensionamento automatico Amazon EC2
Dimensionamento automatico Amazon EC2 utilizza ruoli collegati ai servizi per le autorizzazioni di cui ha bisogno per eseguire chiamate ad altri Servizi AWS per tuo conto. Un ruolo collegato ai servizi è un tipo unico di ruolo IAM collegato direttamente a un. Servizio AWS
I ruoli collegati ai servizi offrono un modo sicuro per concedere autorizzazioni ad altri Servizi AWS , in quanto solo il servizio associato può assumere un ruolo collegato al servizio. Per ulteriori informazioni, consulta Utilizzo di ruoli collegati a servizi nella Guida per l'utente di IAM . I ruoli collegati ai servizi consentono inoltre di rendere visibili tutte le chiamate API. AWS CloudTrail In questo modo, il monitoraggio e i requisiti di controllo sono più semplici perché è possibile tenere traccia di tutte le operazioni che Dimensionamento automatico Amazon EC2 esegue per te. Per ulteriori informazioni, consulta Registra le chiamate Amazon EC2 Auto Scaling con API AWS CloudTrail.
Le seguenti sezioni descrivono come creare e gestire i ruoli legati al servizio Dimensionamento automatico Amazon EC2. Per iniziare, configura le autorizzazioni per consentire a un'identità IAM (ad esempio un utente o un ruolo) di creare, modificare o eliminare un ruolo collegato ai servizi. Per ulteriori informazioni, consulta Utilizzo di ruoli collegati a servizi nella Guida per l'utente di IAM .
Indice
Panoramica
Esistono due tipi di ruoli collegati ai servizi di Dimensionamento automatico Amazon EC2 :
-
Il ruolo predefinito collegato al servizio per il tuo account, denominato. AWSServiceRoleForAutoScaling Questo ruolo viene automaticamente assegnato ai tuoi gruppi Auto Scaling, a meno che non specifichi un diverso ruolo collegato ai servizi.
-
Un ruolo collegato al servizio con un suffisso personalizzato specificato al momento della creazione del ruolo, ad esempio _ mysuffix. AWSServiceRoleForAutoScaling
Le autorizzazioni di un ruolo collegato al servizio con un suffisso personalizzato sono identiche a quelle del ruolo collegato al servizio predefinito. In entrambi i casi, non è possibile modificare i ruoli o eliminarli se sono ancora in uso da parte di un gruppo con dimensionamento automatico. L'unica differenza è il suffisso del nome del ruolo.
Puoi specificare entrambi i ruoli quando modifichi le politiche AWS Key Management Service chiave per consentire la crittografia delle istanze lanciate da Amazon EC2 Auto Scaling con la tua chiave gestita dal cliente. Tuttavia, se prevedi di fornire l'accesso granulare a una determinata chiave gestita dal cliente, ti consigliamo di utilizzare un ruolo collegato a un servizio con suffisso personalizzato. L'utilizzo di un ruolo collegato a un servizio con suffisso personalizzato offre:
-
Un maggiore controllo sulla chiave gestita dal cliente
-
La capacità di tracciare quale gruppo di Auto Scaling ha effettuato una chiamata API nei tuoi log CloudTrail
Se crei chiavi gestite dai clienti a cui non tutti gli utenti devono avere accesso, segui questi passaggi per permettere l'uso di un ruolo collegato al servizio con suffisso personalizzato:
-
Creazione di un ruolo collegato al servizio con un suffisso personalizzato. Per ulteriori informazioni, consulta Creazione di un ruolo collegato ai servizi (manuale).
-
Assegnazione al ruolo collegato al servizio l'accesso a una chiave gestita dal cliente. Per ulteriori informazioni sulla policy chiave che permette alla chiave di essere utilizzata da un ruolo collegato al servizio, vedi Policy AWS KMS chiave richiesta per l'uso con volumi crittografati.
-
Concedere agli utenti l'accesso al ruolo collegato al servizio creato. Per ulteriori informazioni sulla creazione di policy IAM, consulta Controlla quale ruolo collegato al servizio può essere passato (utilizzando) PassRole. Se gli utenti provano a specificare un ruolo collegato al servizio senza l'autorizzazione necessaria per passare tale ruolo al servizio, riceveranno un messaggio d'errore.
Autorizzazioni concesse dal ruolo collegato ai servizi
Amazon EC2 Auto Scaling utilizza il ruolo collegato al servizio AWSServiceRoleForAutoScalingdenominato o il tuo ruolo collegato al servizio con suffisso personalizzato.
Ai fini dell'assunzione del ruolo, il ruolo collegato ai servizi considera attendibile il seguente servizio:
-
autoscaling.amazonaws.com
La politica di autorizzazione dei ruoli consente AutoScalingServiceRolePolicyad Amazon EC2 Auto Scaling di completare le seguenti azioni:
-
ec2
— Crea, descrivi, modifica, avvia/interrompi e termina le istanze EC2. -
iam
— Passa i ruoli IAM alle istanze EC2 in modo che le applicazioni in esecuzione sulle istanze possano accedere alle credenziali temporanee per il ruolo. -
iam
— Crea il ruolo AWSServiceRoleForEC2Spotcollegato ai servizi per consentire ad Amazon EC2 Auto Scaling di avviare istanze Spot per tuo conto. -
elasticloadbalancing
— Registra e annulla la registrazione delle istanze con Elastic Load Balancing e verifica lo stato dei target registrati. -
cloudwatch
— Crea, descrivi, modifica ed elimina CloudWatch allarmi per le politiche di scalabilità e recupera le metriche utilizzate per la scalabilità predittiva. -
sns
— Pubblica notifiche su Amazon SNS all'avvio o alla chiusura delle istanze. -
events
— Crea, descrivi, aggiorna ed elimina EventBridge regole per tuo conto. -
ssm
— Leggi i parametri da Parameter Store quando usi un parametro Systems Manager come alias per un ID AMI in un modello di avvio. -
vpc-lattice
— Registra e annulla la registrazione delle istanze con VPC Lattice e controlla lo stato dei target registrati.
Regioni supportate per i ruoli collegati ai servizi di Dimensionamento automatico Amazon EC2
Amazon EC2 Auto Scaling supporta l'utilizzo di ruoli collegati al servizio in tutti i luoghi in cui Regioni AWS il servizio è disponibile.
Crea, modifica ed elimina un ruolo collegato al servizio
Creazione di un ruolo collegato ai servizi (automatico)
Amazon EC2 Auto Scaling crea AWSServiceRoleForAutoScalingil ruolo collegato al servizio per te la prima volta che crei un gruppo Auto Scaling, a meno che non crei manualmente un ruolo collegato al servizio con suffisso personalizzato e lo specifichi durante la creazione del gruppo.
Importante
Per creare il ruolo collegato ai servizi, devi disporre delle autorizzazioni IAM. In caso contrario, la creazione automatica non va a buon fine. Per ulteriori informazioni, consulta Autorizzazioni del ruolo collegato ai servizi nella Guida per l'utente di IAM o le informazioni sulle Creazione di un ruolo collegato ai servizi in questa guida.
Dimensionamento automatico Amazon EC2 ha iniziato a supportare i ruoli collegati ai servizi a marzo 2018. Se hai già creato un gruppo Auto Scaling in precedenza, Amazon EC2 Auto Scaling AWSServiceRoleForAutoScalingha creato il ruolo nel tuo account. Per ulteriori informazioni, consulta Visualizzazione di un nuovo ruolo nell'account Account AWS nella Guida per l'utente di IAM.
Creazione di un ruolo collegato ai servizi (manuale)
Come creare un ruolo collegato ai servizi (console)
Aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/
. -
Nel pannello di navigazione seleziona Ruoli, quindi Crea ruolo.
-
In Seleziona tipo di entità attendibile, scegli Servizio AWS .
-
Per Choose the service that will use this role (Scegli il servizio che utilizzerà questo ruolo), scegli il caso d'uso EC2 Auto Scaling ed EC2 Auto Scaling .
-
Scegli Next: Permissions (Successivo: autorizzazioni), Next: Tags (Successivo: tag), quindi Next: Review (Successivo: verifica). Nota: non è possibile allegare tag ai ruoli collegati ai servizi durante la creazione.
-
Nella pagina di revisione, lascia vuoto il campo Nome ruolo per creare un ruolo collegato al servizio con il nome AWSServiceRoleForAutoScalingoppure inserisci un suffisso per creare un ruolo collegato al servizio con il suffisso name _. AWSServiceRoleForAutoScaling
-
(Facoltativo) In Role description (Descrizione ruolo) modifica la descrizione per il ruolo collegato ai servizi.
-
Scegli Create role (Crea ruolo).
Come creare un ruolo collegato ai servizi (AWS CLI)
Utilizza il seguente comando create-service-linked-roleCLI per creare un ruolo collegato al servizio per Amazon EC2 Auto Scaling con il suffisso name _. AWSServiceRoleForAutoScaling
aws iam create-service-linked-role --aws-service-name autoscaling.amazonaws.com --custom-suffix
suffix
L'output di questo comando include l'ARN del ruolo collegato ai servizi, che puoi utilizzare per concedere a tale ruolo l'accesso alla chiave gestita dal cliente.
{
"Role": {
"RoleId": "ABCDEF0123456789ABCDEF",
"CreateDate": "2018-08-30T21:59:18Z",
"RoleName": "AWSServiceRoleForAutoScaling_suffix",
"Arn": "arn:aws:iam::123456789012:role/aws-service-role/autoscaling.amazonaws.com/AWSServiceRoleForAutoScaling_suffix",
"Path": "/aws-service-role/autoscaling.amazonaws.com/",
"AssumeRolePolicyDocument": {
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"sts:AssumeRole"
],
"Principal": {
"Service": [
"autoscaling.amazonaws.com"
]
},
"Effect": "Allow"
}
]
}
}
}
Per ulteriori informazioni, consulta Creazione di un ruolo collegato ai servizi nella Guida per l'utente di IAM.
Modifica del ruolo collegato ai servizi
Non è possibile modificare i ruoli collegati ai servizi che vengono creati per Dimensionamento automatico Amazon EC2. Dopo aver creato un ruolo collegato ai servizi, non è possibile modificare il nome del ruolo o delle sue autorizzazioni. Tuttavia, puoi modificare la descrizione del ruolo. Per ulteriori informazioni, consulta Modifica di un ruolo collegato ai servizi nella Guida per l'utente di IAM.
Eliminazione del ruolo collegato ai servizi
Se stai utilizzando un gruppo con dimensionamento automatico, ti suggeriamo di eliminare il ruolo collegato al servizio. L'eliminazione del ruolo impedisce di avere un'entità che non viene utilizzata o monitorata e gestita attivamente.
È possibile eliminare un ruolo collegato ai servizi solo dopo aver eliminato le risorse correlate. Questo di protegge dalla possibilità di revocare inavvertitamente le autorizzazioni Dimensionamento automatico Amazon EC2 per le risorse. Se un ruolo collegato ai servizi viene utilizzato con più gruppi Auto Scaling, è necessario eliminare tutti quelli che utilizzano il ruolo collegato ai servizi, prima di poterlo eliminare. Per ulteriori informazioni, consulta Eliminazione dell'infrastruttura Auto Scaling.
Per eliminare il ruolo collegato ai servizi, puoi utilizzare l'IAM. Per ulteriori informazioni, consulta Eliminazione del ruolo collegato ai servizi nella Guida per l'utente di IAM.
Se elimini il ruolo AWSServiceRoleForAutoScalingcollegato al servizio, Amazon EC2 Auto Scaling lo crea nuovamente quando crei un gruppo Auto Scaling e non specifichi un ruolo collegato al servizio diverso.