Perfil vinculado ao serviço para o EC2 Fast Launch - Amazon Elastic Compute Cloud
Permissões concedidas pelo AWSServiceRoleForEC2FastLaunchAcesso às chaves gerenciadas pelo cliente para uso com AMIs criptografadas e snapshots do EBS

Perfil vinculado ao serviço para o EC2 Fast Launch

O Amazon EC2 usa funções vinculadas ao serviço para as permissões necessárias para chamar outros Serviços da AWS em seu nome. O perfil vinculado ao serviço é um tipo exclusivo de perfil do IAM vinculado diretamente ao AWS service (Serviço da AWS). Os perfis vinculados a serviços oferecem uma maneira segura de delegar permissões a outros Serviços da AWS, pois somente o serviço vinculado pode assumir uma função vinculada ao serviço. Para obter mais informações sobre o Amazon EC2 usa as funções do IAM, incluindo funções vinculadas ao serviço, consulte Funções do IAM para Amazon EC2.

O Amazon EC2 usa a função vinculada ao serviço de nome AWSServiceRoleForEC2FastLaunch para criar e gerenciar um conjunto de snapshots pré-provisionados que reduzem o tempo necessário para iniciar instâncias a partir da sua AMI do Windows.

Você não precisa criar manualmente essa função vinculada ao serviço. Quando você começa a usar o EC2 Fast Launch para a AMI, o Amazon EC2 cria o perfil vinculado ao serviço, caso ele ainda não exista.

nota

Se o perfil vinculado ao serviço for excluído de sua conta, você poderá habilitar o EC2 Fast Launch para outra AMI do Windows a fim de recriar o perfil em sua conta. Ou então, você pode desabilitar o EC2 Fast Launch para a AMI atual e, em seguida, habilitá-lo novamente. No entanto, desabilitar o atributo resulta em sua AMI usando o processo de início padrão para todas as novas instâncias, enquanto o Amazon EC2 remove todos os snapshots pré-provisionados. Depois que todos os snapshots pré-provisionados são excluídos, você pode habilitar novamente o uso do EC2 Fast Launch para a AMI.

O Amazon EC2 não permite que você edite a função vinculada ao serviço do AWSServiceRoleForEC2FastLaunch. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição da função usando o IAM. Para ter mais informações, consulte Editar uma função vinculada a serviço no Guia do usuário do IAM.

É possível excluir uma função vinculada ao serviço somente depois de excluir todos os recursos relacionados. Isso protege os recursos do Amazon EC2 que estão associados à AMI do Windows Server do Amazon EC2 com o EC2 Fast Launch habilitado, pois não será possível remover acidentalmente a permissão para acessar os recursos.

O Amazon EC2 é compatível com o perfil vinculado ao serviço do EC2 Fast Launch em todas as regiões em que o serviço do Amazon EC2 está disponível. Para ter mais informações, consulte Regiões.

Permissões concedidas pelo AWSServiceRoleForEC2FastLaunch

O Amazon EC2 usa a política gerenciada EC2FastLaunchServiceRolePolicy para concluir as ações a seguir:

  • cloudwatch:PutMetricData: publicar os dados das métricas associadas ao EC2 Fast Launch para o namespace do Amazon EC2.

  • ec2:CreateLaunchTemplate: criar um modelo de inicialização para a AMI do Windows Server do Amazon EC2 com o EC2 Fast Launch habilitado.

  • ec2:CreateSnapshot: criar snapshots pré-provisionados para a AMI do Windows Server do Amazon EC2 com o EC2 Fast Launch habilitado.

  • ec2:CreateTags: criar tags para os recursos associados à inicialização e ao pré-provisionamento de instâncias do Windows para a AMI do Windows Server do Amazon EC2 com o EC2 Fast Launch habilitado.

  • ec2:DeleteSnapshots: excluir todos os snapshots pré-provisionados associados se o EC2 Fast Launch for desabilitado para uma AMI anteriormente habilitada.

  • ec2:DescribeImages: descreve imagens para todos os recursos.

  • ec2:DescribeInstanceAttribute: descreve os atributos da instância para todos os recursos.

  • ec2:DescribeInstanceStatus: descreve os status da instância para todos os recursos.

  • ec2:DescribeInstances: descreve as instâncias para todos os recursos.

  • ec2:DescribeInstanceTypeOfferings: descreve as ofertas de tipos de instância para todos os recursos.

  • ec2:DescribeLaunchTemplates: descreve modelos de início para todos os recursos.

  • ec2:DescribeLaunchTemplateVersions: descreve versões de modelos de início para todos os recursos.

  • ec2:DescribeSnapshots: descreva recursos de snapshot para todos os recursos.

  • ec2:DescribeSubnets: descreva sub-redes para todos os recursos.

  • ec2:RunInstances: iniciar instâncias em uma AMI do Windows Server do Amazon EC2 com o EC2 Fast Launch habilitado para realizar as etapas de provisionamento.

  • ec2:StopInstances: interromper as instâncias que foram iniciadas em uma AMI do Windows Server do Amazon EC2 com o EC2 Fast Launch habilitado para criar snapshots pré-provisionados.

  • ec2:TerminateInstances: encerrar uma instância que foi iniciada usando uma AMI do Windows Server do Amazon EC2 com o EC2 Fast Launch habilitado após criar o snapshot pré-provisionado usando essa instância.

  • iam:PassRole: permite que a função vinculada ao serviço AWSServiceRoleForEC2FastLaunch inicie instâncias em seu nome usando o perfil da instância do modelo de execução.

Para obter mais informações sobre o uso de políticas gerenciadas no Amazon EC2, consulte Políticas gerenciadas pela AWS para o Amazon EC2.

Acesso às chaves gerenciadas pelo cliente para uso com AMIs criptografadas e snapshots do EBS

Pré-requisito

  • Para permitir que o Amazon EC2 acesse uma AMI criptografada em seu nome, é necessário ter permissão para a ação createGrant na chave gerenciada pelo cliente.

Quando você habilita o EC2 Fast Launch para uma AMI criptografada, o Amazon EC2 garante que seja concedida ao perfil de AWSServiceRoleForEC2FastLaunch permissão de usar a chave gerenciada pelo cliente para acessar a AMI. Essa permissão é necessária para iniciar instâncias e criar snapshots pré-provisionados em seu nome.