本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
将服务相关角色用于 Amazon Batch
Amazon Batch 使用 Amazon Identity and Access Management (IAM) 服务相关角色。服务相关角色是一种与之直接关联的 IAM 角色的独特类型。 Amazon Batch服务相关角色由服务预定义 Amazon Batch ,包括该服务代表您调用其他 Amazon 服务所需的所有权限。
服务相关角色使设置变得 Amazon Batch 更加容易,因为您不必手动添加必要的权限。 Amazon Batch 定义其服务相关角色的权限,除非另有定义,否则 Amazon Batch 只能担任其角色。定义的权限包括信任策略和权限策略,而且权限策略不能附加到任何其他 IAM 实体。
注意
执行以下任一操作为 Amazon Batch 计算环境指定服务角色。
-
对服务角色使用空字符串。这样就可以 Amazon Batch 创建服务角色了。
-
采用以下格式指定服务角色:
arn:aws:iam::。account_number:role/aws-service-role/batch.amazonaws.com/AWSServiceRoleForBatch
有关更多信息,请参阅角色名称或 ARN 不正确《 Amazon Batch 用户指南》。
只有在首先删除相关资源后,您才能删除服务相关角色。这将保护您的 Amazon Batch 资源,因为您不会无意中删除对资源的访问权限。
有关支持服务相关角色的其他服务的信息,请参阅使用 IAM 的Amazon 服务并查找服务相关角色列中显示为是的服务。选择是和链接,查看该服务的服务相关角色文档。
的服务相关角色权限 Amazon Batch
Amazon Batch 使用名AWSServiceRoleForBatch为的服务相关角色。该AWSServiceRoleForBatch角色 Amazon Batch 允许代表您创建和管理 Amazon 资源。
AWSServiceRoleForBatch 服务相关角色信任 batch.amazonaws.com 服务委托人担任该角色。
名为的 IAM 策略BatchServiceRolePolicy Amazon Batch 允许对特定资源完成以下操作:
-
autoscaling— Amazon Batch 允许创建和管理 Amazon A EC2 uto Scaling 资源。 Amazon Batch 为大多数计算环境创建和管理 Amazon A EC2 uto Scaling 群组。 -
ec2— Amazon Batch 允许控制 Amazon EC2 实例的生命周期以及创建和管理启动模板和标签。 Amazon Batch 为某些 EC2 Spot 计算环境创建和管理 EC2 竞价型队列请求。 -
ecs- Amazon Batch 允许创建和管理 Amazon ECS 集群、任务定义和任务执行任务。 -
eks- Amazon Batch 允许描述用于验证的 Amazon EKS 集群资源。 -
iam-允许 Amazon Batch 验证所有者提供的角色并将其传递给亚马逊 EC2、Amazon A EC2 uto Scaling 和 Amazon ECS。 -
logs— Amazon Batch 允许创建和管理 Amazon Batch 作业的日志组和日志流。
您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的服务相关角色权限。
为创建服务相关角色 Amazon Batch
您无需手动创建服务相关角色。当你 CreateComputeEnvironment 在 Amazon Web Services Management Console Amazon CLI、或 Amazon API 中并且没有为serviceRole参数指定值时, Amazon Batch 会为你创建服务相关角色。
重要
如果您在其他使用此角色支持的功能的服务中完成某个操作,此服务相关角色可以出现在您的账户中。另外,如果您在 2021 年 3 月 10 日之前使用该 Amazon Batch 服务,即该服务开始支持服务相关角色,则在您的账户中 Amazon Batch 创建了该 AWSServiceRoleForBatch 角色。要了解更多信息,请参阅我的 IAM 账户中的新角色。
如果您删除该服务相关角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。当你时 CreateComputeEnvironment,再次为你 Amazon Batch 创建服务相关角色。
编辑的服务相关角色 Amazon Batch
使用 Amazon Batch,您无法编辑 AWSServiceRoleForBatch 服务相关角色。在创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。不过,您可以使用 IAM 编辑角色的说明。有关更多信息,请参阅《IAM 用户指南》中的编辑服务相关角色。
允许 IAM 实体编辑 AWSServiceRoleForBatch 服务相关角色的描述
向该权限策略添加以下声明。这允许 IAM 实体编辑服务相关角色的描述。
{ "Effect": "Allow", "Action": [ "iam:UpdateRoleDescription" ], "Resource": "arn:aws:iam::*:role/aws-service-role/batch.amazonaws.com/AWSServiceRoleForBatch", "Condition": {"StringLike": {"iam:AWSServiceName": "batch.amazonaws.com"}} }
删除的服务相关角色 Amazon Batch
如果不再需要使用某个需要服务相关角色的特征或服务,我们建议您删除该角色。这样您就没有未被主动监控或维护的未使用实体。但是,您必须先清除服务相关角色的资源,然后才能手动删除它。
允许 IAM 实体删除 AWSServiceRoleForBatch 服务相关角色
向该权限策略添加以下声明。这允许 IAM 实体删除服务相关角色。
{ "Effect": "Allow", "Action": [ "iam:DeleteServiceLinkedRole", "iam:GetServiceLinkedRoleDeletionStatus" ], "Resource": "arn:aws:iam::*:role/aws-service-role/batch.amazonaws.com/AWSServiceRoleForBatch", "Condition": {"StringLike": {"iam:AWSServiceName": "batch.amazonaws.com"}} }
清除服务相关角色
在使用 IAM 删除服务相关角色之前,必须先确认该角色没有活动会话,然后删除单个分区中所有 Amazon 区域中使用该角色的所有 Amazon Batch 计算环境。
检查服务相关角色是否有活动会话
使用 https://console.aws.amazon.com/iam/
打开 IAM 控制台。 -
在导航窗格中,选择角色,然后选择 AWSServiceRoleForBatch 名称(不是复选框)。
-
在 Summary 页面上,选择 Access Advisor,查看服务相关角色的近期活动。
注意
如果您不知道 Amazon Batch 是否在使用该 AWSServiceRoleForBatch 角色,可以尝试删除该角色。如果服务正在使用该角色,则该角色将无法删除。您可以查看正在使用该角色的区域。如果该角色已被使用,则您必须等待会话结束,然后才能删除该角色。无法撤销服务相关角色对会话的权限。
移除 AWSServiceRoleForBatch 服务相关角色使用的 Amazon Batch 资源
必须先删除所有 Amazon 区域中使用该 AWSServiceRoleForBatch 角色的所有 Amazon Batch 计算环境,然后才能删除该 AWSServiceRoleForBatch 角色。
-
打开 Amazon Batch 控制台,网址为https://console.aws.amazon.com/batch/
。 -
从导航栏中,选择要使用的区域。
-
在导航窗格中,选择计算环境。
-
选择计算环境。
-
选择 Disable (禁用)。等待状态变为已禁用。
-
选择计算环境。
-
选择删除。通过选择删除计算环境来确认您要删除计算环境。
-
对所有区域中使用服务相关角色的所有计算环境重复步骤 1—7。
在 IAM 中删除服务相关角色 (控制台)
您可以使用 IAM 控制台删除服务相关角色。
删除服务相关角色 (控制台)
登录 Amazon Web Services Management Console 并打开 IAM 控制台,网址为https://console.aws.amazon.com/iam/
。 -
在 IAM 控制台的导航窗格中,选择角色。然后选中旁边的复选框 AWSServiceRoleForBatch,而不是名称或行本身。
-
选择删除角色。
-
在确认对话框中,查看上次访问服务数据,该数据显示每个选定角色上次访问 Amazon Web Services 服务的时间。这样可帮助您确认角色当前是否处于活动状态。如果要继续,请选择 Yes, Delete 以提交服务相关角色进行删除。
-
监视 IAM 控制台通知,以监控服务相关角色的删除进度。由于 IAM 服务相关角色删除是异步的,因此,在您提交角色进行删除后,删除任务可能成功,也可能失败。
-
如果任务成功,则角色将从列表中删除,并会在页面顶部显示成功通知。
-
如果任务失败,您可以从通知中选择 View details 或 View Resources 以了解删除失败的原因。如果因为角色正在使用服务的资源而使删除失败,则通知包含一个资源列表 (如果服务返回该信息)。然后您可以清除资源并再次提交删除。
注意
您可能需要多次重复执行此过程,这取决于服务返回的信息。例如,您的服务相关角色可能使用六个资源,而您的服务可能返回有关其中五个资源的信息。如果您清除这五个资源并再次提交该角色以进行删除,则删除会失败,并且服务会报告一个剩余资源。服务可能会返回所有资源、其中一些资源,也可能不报告任何资源。
-
如果任务失败,并且通知不包含资源列表,则服务可能不会返回该信息。要了解如何清除该服务的资源,请参阅 使用 IAM 的Amazon Web Services 服务。在表中查找您的服务,然后选择 Yes 链接以查看该服务的服务相关角色文档。
-
在 IAM 中删除服务相关角色 (Amazon CLI)
您可以使用中的 IAM 命令 Amazon Command Line Interface 删除服务相关角色。
删除服务相关角色(CLI)
-
如果服务相关角色正被使用或具有关联的资源,则无法删除它,因此您必须提交删除请求。如果不满足这些条件,该请求可能会被拒绝。您必须从响应中捕获
deletion-task-id以检查删除任务的状态。键入以下命令以提交服务相关角色的删除请求:$aws iam delete-service-linked-role --role-name AWSServiceRoleForBatch -
使用以下命令以检查删除任务的状态:
$aws iam get-service-linked-role-deletion-status --deletion-task-iddeletion-task-id删除任务的状态可能是
NOT_STARTED、IN_PROGRESS、SUCCEEDED或FAILED。如果删除失败,则调用会返回失败的原因,以便您进行问题排查。如果因为角色正在使用服务的资源而使删除失败,则通知包含一个资源列表 (如果服务返回该信息)。然后您可以清除资源并再次提交删除。注意
您可能需要多次重复执行此过程,这取决于服务返回的信息。例如,您的服务相关角色可能使用六个资源,而您的服务可能返回有关其中五个资源的信息。如果您清除这五个资源并再次提交该角色以进行删除,则删除会失败,并且服务会报告一个剩余资源。服务可能会返回所有资源,其中一些资源。或者,它可能不会报告任何资源。要了解如何为不报告任何资源的服务清除资源,请参阅 Amazon 使用 IAM 的服务。在表中查找您的服务,然后选择 Yes 链接以查看该服务的服务相关角色文档。
在 IAM 中删除服务相关角色 (Amazon API)
您可以使用 IAM API 删除服务相关角色。
删除服务相关角色(API)
-
要提交服务相关角色的删除请求,请调用 DeleteServiceLinkedRole。在请求中,指定 AWSServiceRoleForBatch 角色名称。
如果服务相关角色正被使用或具有关联的资源,则无法删除它,因此您必须提交删除请求。如果不满足这些条件,该请求可能会被拒绝。您必须从响应中捕获
DeletionTaskId以检查删除任务的状态。 -
要检查删除的状态,请调用 GetServiceLinkedRoleDeletionStatus。在请求中,指定
DeletionTaskId。删除任务的状态可能是
NOT_STARTED、IN_PROGRESS、SUCCEEDED或FAILED。如果删除失败,则调用会返回失败的原因,以便您进行问题排查。如果因为角色正在使用服务的资源而使删除失败,则通知包含一个资源列表 (如果服务返回该信息)。然后您可以清除资源并再次提交删除。注意
您可能需要多次重复执行此过程,这取决于服务返回的信息。例如,您的服务相关角色可能使用六个资源,而您的服务可能返回有关其中五个资源的信息。如果您清除这五个资源并再次提交该角色以进行删除,则删除会失败,并且服务会报告一个剩余资源。服务可能会返回所有资源、其中一些资源,也可能不报告任何资源。要了解如何为不报告任何资源的服务清除资源,请参阅 使用 IAM 的Amazon Web Services 服务。在表中查找您的服务,然后选择 Yes 链接以查看该服务的服务相关角色文档。
Amazon Batch 服务相关角色支持的区域
Amazon Batch 支持在提供服务的所有区域中使用服务相关角色。有关更多信息,请参阅 Amazon Batch 端点。