Uso de modelos de execução para controlar parâmetros de execução Controlar o uso dos modelos de execução Aspectos importantes de segurança ao usar modelos de execução com o EC2 Fleet ou o frota spot

Usar modelos de execução do Amazon EC2 para controlar a execução de instâncias do Amazon EC2

Você pode controlar a configuração das instâncias do Amazon EC2 ao especificar que os usuários só poderão executar instâncias se usarem um modelo de execução, e que só poderão usar um modelo de execução específico. Você também pode controlar quem pode criar, modificar, descrever e excluir modelos de inicialização e versões do modelo de inicialização.

Uso de modelos de execução para controlar parâmetros de execução

Um modelo de execução pode conter todos ou alguns parâmetros para configurar uma instância na execução. No entanto, ao executar uma instância usando um modelo de execução, você poderá substituir os parâmetros especificados nele. Ou pode especificar parâmetros adicionais que não estão no modelo de execução.

nota

Você não remover os parâmetros do modelo de execução durante a execução (por exemplo, não é possível especificar um valor nulo para o parâmetro). Para remover um parâmetro, crie uma nova versão do modelo de execução sem o parâmetro e use essa versão para executar a instância.

Para executar instâncias, os usuários devem ter permissão para usar a ação ec2:RunInstances. Os usuários também devem ter permissões para criar ou usar os recursos que são criados ou estão associados à instância. É possível usar permissões em nível de recurso para a ação ec2:RunInstances para controlar os parâmetros de execução que podem ser especificados pelos usuários. Como alternativa, é possível conceder permissões aos usuários para executar uma instância usando um modelo de execução. Isso permite que você gerencie parâmetros de execução em um modelo de execução, em vez de uma política do IAM, e use um modelo de execução como um veículo de autorização para executar instâncias. Por exemplo, você pode especificar que os usuários só poderão iniciar instâncias usando um modelo de execução e que só poderão usar um modelo de execução específico. Também é possível controlar os parâmetros de execução que os usuários podem substituir no modelo de execução. Para obter exemplos de políticas, consulte Modelos de execução.

Controlar o uso dos modelos de execução

Por padrão, os usuários não têm permissões para trabalhar com modelos de execução. É possível criar uma política que concede aos usuários permissões para criar, modificar, descrever e excluir modelos de execução e versões do modelo de execução. Também é possível aplicar permissões no nível do recurso a algumas ações do modelo de execução para controlar a capacidade de um usuário de usar recursos específicos nessas ações. Para obter mais informações, consulte as seguintes políticas de exemplo: Exemplo: trabalhar com modelos de execução.

Tenha cuidado ao conceder aos usuários permissões para usar as ações ec2:CreateLaunchTemplate e ec2:CreateLaunchTemplateVersion. Você não pode usar permissões em nível de recurso para controlar quais recursos os usuários podem especificar no modelo de execução. Para restringir os recursos usados para executar uma instância, conceda permissões para criar modelos de execução e versões de modelo de execução somente a administradores apropriados.

Aspectos importantes de segurança ao usar modelos de execução com o EC2 Fleet ou o frota spot

Ao usar modelos de execução, você também deve conceder aos usuários permissões para criar, modificar, descrever e excluir modelos de execução e versões de modelo de execução. Você pode controlar quem pode criar modelos de lançamento e iniciar versões de modelos controlando o acesso às ações ec2:CreateLaunchTemplate e ec2:CreateLaunchTemplateVersion. . Também é possível controlar quem pode modificar os modelos de execução controlando o acesso à ação ec2:ModifyLaunchTemplate.

Importante

Se uma frota spot ou EC2 Fleet estiver configurada para usar a versão mais recente ou padrão do modelo de execução, a frota não saberá se a mais recente ou a padrão foram alteradas posteriormente para apontar para uma versão diferente do modelo de execução. Quando uma versão diferente do modelo de execução é usada para Mais recente ou Padrão, o Amazon EC2 não verifica novamente as permissões para que as ações sejam concluídas ao iniciar novas instâncias para atender à capacidade desejada da frota. Essa é uma consideração importante ao conceder permissões a quem pode criar e gerenciar versões do modelo de execução, especialmente a ação ec2:ModifyLaunchTemplate, que permite ao usuário alterar a versão Padrão do modelo de execução.

Ao conceder permissão ao usuário para usar as ações do EC2 para as APIs do modelo de execução, o usuário também recebe efetivamente a permissão iam:PassRole se criar ou atualizar uma frota spot ou EC2 Fleet para apontar para uma versão diferente do modelo de execução que contenha um perfil de instância (um contêiner para um perfil do IAM). Isso significa que um usuário pode atualizar um modelo de execução para transferir um perfil do IAM para uma instância, mesmo que não tenha a permissão iam:PassRole. Para obter mais informações e um exemplo de política do IAM, consulte Uso de um perfil do IAM para conceder permissões a aplicações em execução em instâncias do Amazon EC2 no Guia do usuário do IAM.

Para ter mais informações, consulte Controlar o uso dos modelos de execução e Exemplo: trabalhar com modelos de execução.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Permissões

Criar