用于 EC2 Fast Launch 的服务相关角色 - Amazon Elastic Compute Cloud
AWSServiceRoleForEC2FastLaunch 授予的权限对用于加密的 AMI 和 EBS 快照的客户托管密钥的访问权限
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

用于 EC2 Fast Launch 的服务相关角色

Amazon EC2 使用服务相关角色获取代表您调用其他 Amazon Web Services 所需的权限。服务相关角色是一种独特类型的 IAM 角色,它与 Amazon Web Service 直接相关。服务相关角色提供了一种将权限委托给 Amazon Web Services 的安全方式,因为只有相关服务才能担任服务相关角色。有关 Amazon EC2 如何使用 IAM 角色的更多信息,请参阅 适用于 Amazon EC2 的 IAM 角色

Amazon EC2 使用名为 AWSServiceRoleForEC2FastLaunch 的服务相关角色创建和管理一组预置快照,从而减少从 Windows AMI 启动实例所需的时间。

您无需手动创建该服务相关角色。开始为 AMI 使用 EC2 Fast Launch 时,如果服务相关角色尚不存在,Amazon EC2 将为您创建一个。

注意

如果从账户中删除了该服务相关角色,则可以为另一个 Windows AMI 启用 EC2 Fast Launch,以便在账户中重新创建此角色。或者,您还可以为当前 AMI 禁用 EC2 Fast Launch,然后将其重新启用。但是,禁用该功能会导致您的 AMI 对所有新实例使用标准启动流程,而 Amazon EC2 会删除所有预置快照。删除所有预置快照之后,您可以重新为 AMI 启用 EC2 Fast Launch。

Amazon EC2 不允许您编辑 AWSServiceRoleForEC2FastLaunch 服务相关角色。创建服务相关角色后,将无法更改角色名称,因为可能有多个实体引用该角色。但是可以使用 IAM 编辑角色说明。有关更多信息,请参阅《IAM 用户指南》中的编辑服务相关角色

只有在先删除所有相关资源后,才能删除服务相关角色。这可确保您不会无意中删除相关资源的访问权限,从而保护与启用了 EC2 Fast Launch 的 Amazon EC2 Windows Server AMI 关联的 Amazon EC2 资源。

Amazon EC2 在所有开放 Amazon EC2 服务的区域均支持 EC2 Fast Launch 服务相关角色。有关更多信息,请参阅 区域

AWSServiceRoleForEC2FastLaunch 授予的权限

Amazon EC2 使用 EC2FastLaunchServiceRolePolicy 托管策略完成以下操作:

  • cloudwatch:PutMetricData – 将与 EC2 Fast Launch 关联的指标数据发布到 Amazon EC2 命名空间。

  • ec2:CreateLaunchTemplate – 为启用了 EC2 Fast Launch 的 Amazon EC2 Windows Server AMI 创建启动模板。

  • ec2:CreateSnapshot – 为启用了 EC2 Fast Launch 的 Amazon EC2 Windows Server AMI 创建预置快照。

  • ec2:CreateTags – 创建标签,在为启用了 EC2 Fast Launch 的 Amazon EC2 Windows Server AMI 启动和预置 Windows 实例时,将其用于相关资源。

  • ec2:DeleteSnapshots – 如果为先前启用了 EC2 Fast Launch 的 AMI 关闭了此功能,则将删除所有关联的预置快照。

  • ec2:DescribeImages – 描述所有资源的映像。

  • ec2:DescribeInstanceAttribute – 描述所有资源的实例属性。

  • ec2:DescribeInstanceStatus – 描述所有资源的实例状态。

  • ec2:DescribeInstances – 描述所有资源的实例。

  • ec2:DescribeInstanceTypeOfferings – 描述所有资源的实例类型产品。

  • ec2:DescribeLaunchTemplates – 描述所有资源的启动模板。

  • ec2:DescribeLaunchTemplateVersions – 描述所有资源的启动模板版本。

  • ec2:DescribeSnapshots – 描述所有资源的快照资源。

  • ec2:DescribeSubnets – 描述所有资源的子网。

  • ec2:RunInstances – 从启用了 EC2 Fast Launch 的 Amazon EC2 Windows Server AMI 启动实例,以便执行预置步骤。

  • ec2:StopInstances – 停止从启用了 EC2 Fast Launch 的 Amazon EC2 Windows Server AMI 启动的实例,以便创建预置快照。

  • ec2:TerminateInstances – 创建预置快照后,终止从启用了 EC2 Fast Launch 的 Amazon EC2 Windows Server AMI 启动的实例。

  • iam:PassRole – 允许 AWSServiceRoleForEC2FastLaunch 服务相关角色使用启动模板中的实例配置文件代表您启动实例。

有关 Amazon EC2 使用托管式策略的更多信息,请参阅 Amazon EC2 的 Amazon 托管式策略

对用于加密的 AMI 和 EBS 快照的客户托管密钥的访问权限

先决条件

  • 要让 Amazon EC2 能够代表您访问加密 AMI,您必须具有客户管理密钥中的 createGrant 操作的权限。

为加密 AMI 启用 EC2 Fast Launch 时,Amazon EC2 会确保授予 AWSServiceRoleForEC2FastLaunch 角色使用客户托管密钥访问 AMI 的权限。需要此权限才能启动实例并代表您创建预配置快照。