

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Service-linked ruolo per le richieste di istanze Spot
<a name="service-linked-roles-spot-instance-requests"></a>

Amazon EC2 utilizza ruoli collegati ai servizi per le autorizzazioni di cui ha bisogno per eseguire chiamate ad altri servizi AWS per tuo conto. Un ruolo collegato ai servizi è un tipo unico di ruolo IAM collegato direttamente a un. Servizio AWS Service-linked i ruoli forniscono un modo sicuro per delegare le autorizzazioni Servizi AWS perché solo il servizio collegato può assumere un ruolo collegato al servizio. *Per ulteriori informazioni, consulta [Service-linkedi ruoli](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html) nella Guida per l'utente IAM.*

Amazon EC2 utilizza il ruolo collegato al servizio denominato **AWSServiceRoleForEC2Spot**per avviare e gestire le istanze Spot per tuo conto.

## Autorizzazioni concesse da AWSServiceRoleForEC2Spot
<a name="service-linked-role-permissions-granted-by-AWSServiceRoleForEC2Spot"></a>

Amazon EC2 utilizza **AWSServiceRoleForEC2Spot**per completare le seguenti azioni:
+ `ec2:DescribeInstances` - Descrive le istanze spot
+ `ec2:StopInstances` - Arresta istanze spot
+ `ec2:StartInstances` - Avvia istanze spot

## Creazione del ruolo collegato ai servizi
<a name="service-linked-role-creating-for-spot"></a>

In gran parte dei casi, non è necessario creare manualmente un ruolo collegato ai servizi. Amazon EC2 crea il ruolo **AWSServiceRoleForEC2Spot**collegato al servizio la prima volta che richiedi un'istanza Spot utilizzando la console.

Se hai ricevuto una richiesta di istanza Spot attiva prima di ottobre 2017, quando Amazon EC2 ha iniziato a supportare questo ruolo collegato al servizio, Amazon EC2 ha creato il ruolo nel tuo account. **AWSServiceRoleForEC2Spot** AWS Per ulteriori informazioni, consulta [Visualizzazione di un nuovo ruolo nell'account ](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared) nella *Guida per l'utente di IAM*.

Se utilizzi AWS CLI o un'API per richiedere un'istanza Spot, devi prima assicurarti che questo ruolo esista.

**Per creare **AWSServiceRoleForEC2Spot** utilizzando la console**

1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Nel pannello di navigazione, seleziona **Roles** (Ruoli).

1. Selezionare **Create role (Crea ruolo)**.

1. Nella pagina **Select type of trusted entity (Seleziona tipo di entità attendibile)** selezionare **EC2**, **EC2 - Spot Instances (EC2 – Istanze spot)**, quindi scegliere **Next: Permissions (Successivo: Autorizzazioni)**.

1. Nella pagina successiva, scegli **Next:Review**.

1. Nella pagina **Review (Revisione)**, scegliere **Create Role (Crea ruolo)**.

**Per creare **AWSServiceRoleForEC2Spot** utilizzando il AWS CLI**  
Utilizzare il comando [create-service-linked-role](https://docs.aws.amazon.com/cli/latest/reference/iam/create-service-linked-role.html) come segue.

```
aws iam create-service-linked-role --aws-service-name spot.amazonaws.com
```

Se non hai più bisogno di utilizzare le istanze Spot, ti consigliamo di eliminare il **AWSServiceRoleForEC2Spot**ruolo. Dopo che questo ruolo è stato eliminato dall'account, Amazon EC2 creerà di nuovo il ruolo se verranno richieste le Istanze spot.

## Concessione dell’accesso alle chiavi gestite dal cliente per l’uso con le AMI crittografate e gli snapshot EBS
<a name="spot-instance-service-linked-roles-access-to-cmks"></a>

Se specifichi un'[AMI crittografata](AMIEncryption.md) o uno snapshot Amazon EBS crittografato per le tue istanze Spot e utilizzi una chiave gestita dal cliente per la crittografia, devi concedere al **AWSServiceRoleForEC2Spot**ruolo l'autorizzazione a utilizzare la chiave gestita dal cliente in modo che Amazon EC2 possa avviare istanze Spot per tuo conto. Per farlo, occorre aggiungere una concessione alla chiave gestita dal cliente, come mostrato nella procedura seguente.

Nel processo di assegnazione delle autorizzazioni, le concessioni rappresentano un’alternativa alle policy delle chiavi. Per ulteriori informazioni, consulta [Utilizzo delle concessioni](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) e [Utilizzo delle policy delle chiavi in AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) nella *Guida per gli sviluppatori di AWS Key Management Service *.

**Per concedere il **AWSServiceRoleForEC2Spot** autorizzazioni di ruolo per utilizzare la chiave gestita dal cliente**
+ Utilizza il comando [create-grant](https://docs.aws.amazon.com/cli/latest/reference/kms/create-grant.html) per aggiungere una concessione alla chiave gestita dal cliente e per specificare il principale (il ruolo **AWSServiceRoleForEC2Spot**collegato al servizio) a cui è concessa l'autorizzazione per eseguire le operazioni consentite dalla concessione. La chiave gestita dal cliente è specificata dal parametro `key-id` e dall’ARN della chiave gestita dal cliente. Il principale è specificato dal `grantee-principal` parametro e dall'ARN del ruolo collegato al **AWSServiceRoleForEC2Spot**servizio.

  ```
  aws kms create-grant \
      --region {{us-east-1}} \
      --key-id arn:aws:kms:{{us-east-1}}:{{444455556666}}:key/{{1234abcd-12ab-34cd-56ef-1234567890ab}} \
      --grantee-principal arn:aws:iam::{{111122223333}}:role/aws-service-role/spot.amazonaws.com/AWSServiceRoleForEC2Spot \
      --operations "Decrypt" "Encrypt" "GenerateDataKey" "GenerateDataKeyWithoutPlaintext" "CreateGrant" "DescribeKey" "ReEncryptFrom" "ReEncryptTo"
  ```