本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
EC2快速啟動的服務連結角色
Amazon EC2 針對代表您呼叫其他 AWS 服務 人所需的許可,使用服務連結角色。服務連結角色是一種獨特的IAM角色類型,直接連結至. AWS 服務服務連結角色提供委派權限的安全方式, AWS 服務 因為只有連結的服務可以擔任服務連結的角色。如需 Amazon 如何EC2使用IAM角色 (包括服務連結角色) 的詳細資訊,請參閱IAMAmazon 的角色 EC2。
Amazon EC2 使用名為的服務連結角色AWSServiceRoleForEC2FastLaunch
來建立和管理一組預先佈建的快照,以減少從 Windows 啟動執行個體所需的時間。AMI
您不需要手動建立此服務連結角色。當您開始為您使用EC2快速啟動時AMI,Amazon EC2 會為您建立服務連結角色 (如果尚未存在)。
注意
如果服務連結角色已從您的帳戶中刪除,您可以為其他 Windows 啟用EC2快速啟動,AMI以在您的帳戶中重新建立角色。或者,您可以禁用當前的EC2快速啟動AMI,然後再次啟用它。但是,停用此功能會導致您對所有新執行個體AMI使用標準啟動程序,而 Amazon EC2 會移除所有預先佈建的快照。所有預先佈建的快照都消失後,您可以AMI再次啟用EC2快速啟動。
Amazon EC2 不允許您編輯AWSServiceRoleForEC2FastLaunch
服務鏈接的角色。因為有各種實體可能會參考服務連結角色,所以您無法在建立角色之後變更角色名稱。但是,您可以使用編輯角色的描述IAM。如需詳細資訊,請參閱IAM使用指南中的編輯服務連結角色。
您必須先刪除所有相關的資源,才能刪除服務連結角色。如此可在啟用EC2快速啟動的情況下保護與 Amazon EC2 Windows 伺服器AMI相關聯的 Amazon EC2 資源,因為您不會意外移除存取資源的權限。
Amazon 在提供 Amazon 服務的所有區域中EC2支援EC2快速啟動EC2服務連結角色。如需詳細資訊,請參閱區域。
AWSServiceRoleForEC2FastLaunch
授予的許可
Amazon EC2 使用受EC2FastLaunchServiceRolePolicy
管政策完成下列動作:
-
cloudwatch:PutMetricData
— 將與EC2快速啟動相關聯的指標資料張貼至 Amazon EC2 命名空間。 -
ec2:CreateLaunchTemplate
— 為您的 Amazon EC2 Windows 服務器創建一個啟動模板,並啟AMI用了EC2快速啟動。 -
ec2:CreateSnapshot
— 在啟用快速啟動的情況下,為您的 Amazon EC2 Windows 伺服器AMI建立預先佈建的EC2快照。 -
ec2:CreateTags
— 為與啟用EC2快速啟動的 Amazon EC2 Windows 伺服器AMI啟動和預先佈建 Windows 執行個體相關聯的資源建立標籤。 -
ec2:DeleteSnapshots
— 如果先前已啟用的EC2快速啟AMI動已關閉,請刪除所有相關聯的預先佈建快照。 -
ec2:DescribeImages
– 描述所有資源的映像。 -
ec2:DescribeInstanceAttribute
– 描述所有資源的執行個體屬性。 -
ec2:DescribeInstanceStatus
– 描述所有資源的執行個體狀態。 -
ec2:DescribeInstances
– 描述所有資源的執行個體。 -
ec2:DescribeInstanceTypeOfferings
– 描述適用於所有資源的執行個體類型方案。 -
ec2:DescribeLaunchTemplates
– 描述所有資源的啟動範本。 -
ec2:DescribeLaunchTemplateVersions
– 描述所有資源的啟動範本版本。 -
ec2:DescribeSnapshots
– 描述所有資源的快照資源。 -
ec2:DescribeSubnets
– 描述所有資源的子網。 -
ec2:RunInstances
— 從已啟用EC2快速啟動的 Amazon EC2 Windows 伺服AMI器啟動執行個體,以執行佈建步驟。 -
ec2:StopInstances
— 停止從已啟用EC2快速啟動的 Amazon EC2 Windows 伺服器啟動AMI的執行個體,以建立預先佈建的快照。 -
ec2:TerminateInstances
— 從執行個體建立預先佈建的快照後,終止從已啟AMI用EC2快速啟動的 Amazon EC2 Windows 伺服器啟動的執行個體。 -
iam:PassRole
– 允許AWSServiceRoleForEC2FastLaunch
服務連結角色使用啟動範本中的執行個體設定檔代表您啟動執行個體。
如需使用 Amazon 受管政策的詳細資訊EC2,請參閱AWS Amazon 的受管政策 EC2。
存取客戶管理的金鑰,以便搭配加密AMIs和EBS快照使用
先決條件
-
若要讓 Amazon EC2 代表您存AMI取加密,您必須擁有客戶受管金鑰中
createGrant
動作的許可。
當您為加密啟用EC2快速啟動時AMI,Amazon 會EC2確保授與該AWSServiceRoleForEC2FastLaunch
角色使用客戶受管金鑰存取您的權限AMI。代表您啟動執行個體和建立預先佈建的快照需要此許可。