

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Service-linked Rolle für Spot-Instance-Anfragen
<a name="service-linked-roles-spot-instance-requests"></a>

Amazon EC2 nutzt serviceverknüpfte Rollen für die Berechtigungen, die für den Aufruf anderer AWS -Services in Ihrem Namen benötigt werden. Eine serviceverknüpfte Rolle ist ein einzigartiger Typ von IAM-Rolle, die direkt mit einer verknüpft ist. AWS-Service Service-linked Rollen bieten eine sichere Möglichkeit, Berechtigungen zu delegieren, AWS-Services da nur der verknüpfte Dienst eine dienstbezogene Rolle übernehmen kann. Weitere Informationen finden Sie im *IAM-Benutzerhandbuch* unter [Service-linkedRollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html).

Amazon EC2 verwendet die angegebene serviceverknüpfte Rolle **AWSServiceRoleForEC2Spot**, um Spot-Instances in Ihrem Namen zu starten und zu verwalten.

## Berechtigungen erteilt von AWSServiceRoleForEC2Spot
<a name="service-linked-role-permissions-granted-by-AWSServiceRoleForEC2Spot"></a>

Amazon EC2 verwendet **AWSServiceRoleForEC2Spot**, um die folgenden Aktionen durchzuführen:
+ `ec2:DescribeInstances`: Spot-Instances beschreiben
+ `ec2:StopInstances`: Spot-Instances stoppen
+ `ec2:StartInstances`: Spot-Instances starten

## Erstellen der serviceverknüpften Rolle
<a name="service-linked-role-creating-for-spot"></a>

Größtenteils müssen Sie die serviceverknüpfte Rolle nicht manuell erstellen. Amazon EC2 erstellt die **AWSServiceRoleForEC2Spot**serviceverknüpfte Rolle, wenn Sie zum ersten Mal eine Spot-Instance über die Konsole anfordern.

Wenn Sie vor Oktober 2017, als Amazon EC2 begann, diese serviceverknüpfte Rolle zu unterstützen, eine aktive Spot-Instance-Anfrage hatten, hat Amazon EC2 die **AWSServiceRoleForEC2Spot**Rolle in Ihrem Konto erstellt. AWS Weitere Informationen finden Sie unter [In meinem Konto wird eine neue Rolle angezeigt](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared) im *IAM-Benutzerhandbuch*.

Wenn Sie die AWS CLI oder eine API verwenden, um eine Spot-Instance anzufordern, müssen Sie zunächst sicherstellen, dass diese Rolle existiert.

**Um zu erstellen **AWSServiceRoleForEC2Spot** mit der Konsole**

1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.

1. Wählen Sie im Navigationsbereich **Rollen** aus.

1. Wählen Sie **Create role (Rolle erstellen)** aus.

1. Wählen Sie auf der Seite **Select type of trusted entity (Auswahl des Typs der vertrauenswürdigen Entität)** nacheinander **EC2**, **EC2 - Spot Instances (EC2 – Spot-Instances)** und **Next: Permissions (Weiter: Berechtigungen)** aus.

1. Wählen Sie auf der nächsten Seite **Next:Review**.

1. Wählen Sie auf der Seite **Review (Prüfen)** **Create role (Rolle erstellen)** aus.

**Um zu erstellen **AWSServiceRoleForEC2Spot** mit dem AWS CLI**  
Verwenden Sie den Befehl [create-service-linked-role](https://docs.aws.amazon.com/cli/latest/reference/iam/create-service-linked-role.html) wie folgt.

```
aws iam create-service-linked-role --aws-service-name spot.amazonaws.com
```

Wenn Sie Spot-Instances nicht mehr verwenden müssen, empfehlen wir Ihnen, die **AWSServiceRoleForEC2Spot**Rolle zu löschen. Wenn diese Rolle in Ihrem Konto gelöscht wurde, erstellt Amazon EC2 die Rolle erneut, sobald Sie Spot-Instances anfordern.

## Gewähren von Zugriff auf von Kunden verwaltete Schlüssel zur Verwendung mit verschlüsselten AMIs und EBS-Snapshots
<a name="spot-instance-service-linked-roles-access-to-cmks"></a>

Wenn Sie ein [verschlüsseltes AMI oder einen verschlüsselten](AMIEncryption.md) Amazon EBS-Snapshot für Ihre Spot-Instances angeben und einen vom Kunden verwalteten Schlüssel für die Verschlüsselung verwenden, müssen Sie der **AWSServiceRoleForEC2Spot**Rolle die Berechtigung zur Verwendung des vom Kunden verwalteten Schlüssels erteilen, damit Amazon EC2 Spot-Instances in Ihrem Namen starten kann. Dazu müssen Sie dem vom Kunden verwalteten Schlüssel eine Erteilung hinzufügen, wie im Folgenden gezeigt:

Bei der Einrichtung von Berechtigungen ist die Erteilung von Berechtigung eine Alternative zu Schüsselrichtlinien. Weitere Informationen finden Sie unter [Verwenden von Erteilungen](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) und [Verwenden von Schlüsselrichtlinien in AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) im *Developer-Handbuch für AWS Key Management Service *.

**Um das zu gewähren **AWSServiceRoleForEC2Spot** Rollenberechtigungen zur Verwendung des vom Kunden verwalteten Schlüssels**
+ Verwenden Sie den Befehl [create-grant](https://docs.aws.amazon.com/cli/latest/reference/kms/create-grant.html), um dem vom Kunden verwalteten Schlüssel einen Zuschuss hinzuzufügen und den Principal (die **AWSServiceRoleForEC2Spot**serviceverknüpfte Rolle) anzugeben, dem die Berechtigung erteilt wird, die durch die Gewährung erlaubten Operationen auszuführen. Der vom Kunden verwaltete Schlüssel wird durch den `key-id`-Parameter und den ARN des vom Kunden verwalteten Schlüssels angegeben. Der Principal wird durch den `grantee-principal` Parameter und den ARN der **AWSServiceRoleForEC2Spot**dienstverknüpften Rolle angegeben.

  ```
  aws kms create-grant \
      --region {{us-east-1}} \
      --key-id arn:aws:kms:{{us-east-1}}:{{444455556666}}:key/{{1234abcd-12ab-34cd-56ef-1234567890ab}} \
      --grantee-principal arn:aws:iam::{{111122223333}}:role/aws-service-role/spot.amazonaws.com/AWSServiceRoleForEC2Spot \
      --operations "Decrypt" "Encrypt" "GenerateDataKey" "GenerateDataKeyWithoutPlaintext" "CreateGrant" "DescribeKey" "ReEncryptFrom" "ReEncryptTo"
  ```