Amazon A EC2 uto Scaling 的服务相关角色 - Amazon A EC2 uto Scaling
概览服务相关角色授予的权限Amazon A EC2 uto Scaling 服务相关角色支持的区域创建、编辑和删除服务相关角色
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon A EC2 uto Scaling 的服务相关角色

Amazon A EC2 uto Scaling 使用服务相关角色来获得 Amazon Web Services 服务 代表您呼叫他人所需的权限。服务相关角色是一种独特的 IAM 角色,直接链接到。 Amazon Web Services 服务

服务相关角色提供了一种将权限委托给其他 Amazon Web Services 服务 的安全方式,因为只有相关服务才能担任服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的创建服务相关角色。服务相关角色还允许通过 Amazon CloudTrail查看所有 API 调用。这有助于满足监控和审计要求,因为您可以跟踪 Amazon A EC2 uto Scaling 代表您执行的所有操作。有关更多信息,请参阅 使用记录 Amazon A EC2 uto Scaling API 调用 Amazon CloudTrail

以下各节介绍如何创建和管理 Amazon A EC2 uto Scaling 服务相关角色。首先配置权限以允许 IAM 身份(如用户或角色)创建、编辑或删除服务相关角色。

概览

Amazon A EC2 uto Scaling 服务相关角色有两种类型:

  • 您账户的默认服务相关角色,名为 AWSServiceRoleForAutoScaling。 除非您指定其他服务相关角色,否则此角色会自动分配给您的 Auto Scaling 组。

  • 具有自定义后缀的服务相关角色,该后缀由您在创建角色时指定,例如,AWSServiceRoleForAutoScaling_mysuffix.

自定义后缀服务相关角色的权限与默认的服务相关角色的权限完全相同。在这两种情况下,如果某个 Auto Scaling 组仍在使用这些角色,您不能编辑也不能删除它们。唯一的区别是角色名称后缀。

在编辑 Amazon Key Management Service 密钥策略时,您可以指定任一角色,以允许使用您的客户托管密钥对由 Amazon A EC2 uto Scaling 启动的实例进行加密。但是,如果您计划对特定的客户托管密钥提供精细访问,应使用自定义后缀服务相关角色。使用自定义后缀服务相关角色可为您提供:

  • 对客户托管密钥的更多控制

  • 能够在您的 CloudTrail日志中跟踪哪个 Auto Scaling 群组进行了 API 调用

如果您创建并非所有用户都有权访问的客户托管密钥,请按照以下步骤操作,以允许使用自定义后缀服务相关角色:

  1. 创建具有自定义后缀的服务相关角色。有关更多信息,请参阅 创建服务相关角色(手动)

  2. 向服务相关角色授予对客户托管密钥的访问权限。有关允许服务相关角色使用密钥的密钥策略的更多信息,请参阅 使用加密卷所需的 Amazon KMS 密钥策略

  3. 授予用户对您创建的服务相关角色的访问权限。有关创建 IAM policy 的更多信息,请参阅 控制可以传递哪个服务相关角色(使用 PassRole)。如果用户尝试指定服务相关角色而无权将该角色传递给服务,则会收到错误。

服务相关角色授予的权限

Amazon A EC2 uto Scaling 使用名为的服务相关角色 AWSServiceRoleForAutoScaling 或者您的自定义后缀服务相关角色。

服务相关角色仅信任以下服务来担任该角色:

  • autoscaling.amazonaws.com

角色权限策略,AutoScalingServiceRolePolicy,允许 Amazon A EC2 uto Scaling 完成以下操作:

  • ec2— 创建、描述、修改、启动/停止和终止 EC2 实例。

  • iam将 IAM 角色传递给 EC2 实例,以便在实例上运行的应用程序可以访问该角色的临时证书。

  • iam— 创建AWSServiceRoleForEC2竞价服务相关角色以允许 Amazon A EC2 uto Scaling 代表您启动竞价型实例。

  • elasticloadbalancing:向 Elastic Load Balancing 注册和取消注册实例,并检查注册目标的运行状况。

  • cloudwatch— 创建、描述、修改和删除扩展策略的 CloudWatch警报,并检索用于预测性扩展的指标。

  • sns:在实例启动或终止时向 Amazon SNS 发布通知。

  • events— 代表您创建、描述、更新和删除 EventBridge规则。

  • ssm:在启动模板中使用 Systems Manager 参数作为 AMI ID 的别名时,从 Parameter Store 中读取参数。

  • vpc-lattice:向 VPC Lattice 注册和取消注册实例,并检查注册目标的运行状况。

  • resource-groups— 获取属于指定资源组的资源的所有资源名称 (ARNs)。

Amazon A EC2 uto Scaling 服务相关角色支持的区域

Amazon A EC2 uto Scaling 支持在所有提供服务 Amazon Web Services 区域 的地方使用服务相关角色。

创建、编辑和删除服务相关角色

创建服务相关角色(自动)

Amazon A EC2 uto Scaling 创建了 AWSServiceRoleForAutoScaling 首次创建 Auto Scaling 组时将为您提供服务关联角色,除非您手动创建自定义后缀服务相关角色并在创建组时指定该角色。

您必须具备创建服务相关角色的 IAM 权限。否则,自动创建操作将失败。有关更多信息,请参阅 IAM 用户指南和本指南中的 创建服务相关角色服务相关角色权限

创建服务相关角色(手动)

创建服务相关角色(控制台)

  1. 使用 https://console.aws.amazon.com/iam/ 打开 IAM 控制台。

  2. 在导航窗格中,选择 Roles(角色)和 Create role(创建角色)。

  3. 对于选择可信实体,选择 Amazon 服务

  4. 在 “选择将使用此角色的服务” 中,选择 EC2 Auto Scaling 和 A EC2 uto Scaling 用例。

  5. 依次选择 Next: Permissions (下一步: 权限)Next: Tags (下一步: 标签)Next: Review (下一步: 审核)。注意:您无法在创建过程中将标签附加到服务相关角色。

  6. 在 “审阅” 页面上,将角色名称留空以创建名称为的服务相关角色 AWSServiceRoleForAutoScaling,或者输入后缀以创建名为的服务相关角色 AWSServiceRoleForAutoScaling_suffix.

  7. (可选)对于角色描述,编辑服务相关角色的描述。

  8. 选择 Create role(创建角色)。

创建服务相关角色 (Amazon CLI)

使用以下 create-service-linked-roleCLI 命令为 Amazon A EC2 uto Scaling 创建名为的服务相关角色 AWSServiceRoleForAutoScaling_suffix. 

aws iam create-service-linked-role --aws-service-name autoscaling.amazonaws.com --custom-suffix suffix

此命令的输出包含服务相关角色的 ARN,您可以用来向服务相关角色提供对客户托管密钥的访问权限。

{
    "Role": {
        "RoleId": "ABCDEF0123456789ABCDEF",
        "CreateDate": "2018-08-30T21:59:18Z",
        "RoleName": "AWSServiceRoleForAutoScaling_suffix",
        "Arn": "arn:aws:iam::123456789012:role/aws-service-role/autoscaling.amazonaws.com/AWSServiceRoleForAutoScaling_suffix",
        "Path": "/aws-service-role/autoscaling.amazonaws.com/",
        "AssumeRolePolicyDocument": {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Action": [
                        "sts:AssumeRole"
                    ],
                    "Principal": {
                        "Service": [
                            "autoscaling.amazonaws.com"
                        ]
                    },
                    "Effect": "Allow"
                }
            ]
        }
    }
}

有关更多信息,请参阅《IAM 用户指南》中的创建服务相关角色

编辑服务相关角色

您无法编辑为 Amazon A EC2 uto Scaling 创建的服务相关角色。创建服务相关角色后,您将无法更改角色的名称或其权限。但是,您可以编辑角色的说明。有关更多信息,请参阅《IAM 用户指南》中的编辑服务相关角色描述

删除服务相关角色

如果您不使用某个 Auto Scaling 组,我们建议您删除其服务相关角色。删除此角色会防止您拥有不使用或不主动监视和维护的实体。

只有在先删除相关资源后,才能删除服务相关角色。这样可以防止您无意中撤销 Amazon A EC2 uto Scaling 对您的资源的权限。如果某个服务相关角色与多个 Auto Scaling 组结合使用,则必须删除使用该服务相关角色的所有 Auto Scaling 组,然后才能删除该服务相关角色。有关更多信息,请参阅 删除 Auto Scaling 基础设施

您可以使用 IAM 删除服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的删除服务相关角色

如果你删除 AWSServiceRoleForAutoScaling 服务相关角色,Amazon A EC2 uto Scaling 会在您创建 Auto Scaling 组时再次创建该角色,并且不指定其他服务相关角色。