创建AliyunECSInstanceForEHPCRole - 弹性高性能计算E-HPC

使用E-HPC时，必须创建普通服务角色AliyunECSInstanceForEHPCRole并授权AliyunECSInstanceForEHPCRolePolicy，本文介绍如何创建、查看和删除AliyunECSInstanceForEHPCRole。

功能概述

普通服务角色（Service Role）是一种可信实体为阿里云服务的RAM角色，旨在解决跨云服务的授权访问问题。更多信息，请参见RAM角色概览。

使用E-HPC时，系统提供的普通服务角色及其包含的系统权限策略如下：

普通服务角色：AliyunECSInstanceForEHPCRole
系统权限策略：AliyunECSInstanceForEHPCRolePolicy

应用场景

AliyunECSInstanceForEHPCRole用于授权E-HPC集群中的节点（即ECS实例）访问其他云资源。通过AliyunECSInstanceForEHPCRole，ECS实例可以获得云服务器ECS、弹性高性能计算E-HPC的访问权限。

RAM用户使用普通服务角色需要的权限

如果使用RAM用户创建或删除普通服务角色，必须使用阿里云账号为该RAM用户授权。

方式一：授予AliyunEHPCFullAccess权限策略，该权限策略包含了创建和删除AliyunECSInstanceForEHPCRole的权限。
方式二：在自定义权限策略的Action语句中为RAM用户添加以下权限：
- 创建普通服务角色：ram:CreateRole
- 删除普通服务角色：ram:DeleteRole

创建普通服务角色

在您使用E-HPC时，系统会检查当前账号是否已有AliyunECSInstanceForEHPCRole，如果不存在则会弹出提示，在您确认提示信息后系统会自动创建AliyunECSInstanceForEHPCRole，同时为其创建和授权AliyunECSInstanceForEHPCRolePolicy。

AliyunECSInstanceForEHPCRole包含系统权限策略AliyunECSInstanceForEHPCRolePolicy，您无法修改系统权限策略的内容，但可以为其新增其他权限策略。

展开查看AliyunECSInstanceForEHPCRolePolicy权限内容

{
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "ecs:RunInstances",
                "ecs:StartInstances",
                "ecs:StopInstances",
                "ecs:DeleteInstances",
                "ecs:DescribeInstances",
                "cms:QueryMetricLast",
                "cms:QueryMetricList",
                "ess:DescribeScalingConfigurations",
                "ess:ModifyScalingConfiguration",
                "ess:ModifyScalingRule",
                "ess:ExecuteScalingRule",
                "ess:RemoveInstances",
                "oss:PutObject",
                "oss:GetObject",
                "oss:ListObjects",
                "oss:ListBuckets",
                "ehpc:*",
                "ecs:CreateCommand",
                "ecs:InvokeCommand",
                "ecs:RunCommand",
                "ecs:DescribeCommands",
                "ecs:DescribeSecurityGroupAttribute",
                "ecs:ListSecurityGroups",
                "ecs:AuthorizeSecurityGroup"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

查看普通服务角色

当普通服务角色创建成功后，您可以在RAM控制台的角色页面，通过搜索AliyunECSInstanceForEHPCRole查看角色详情。

基本信息
在角色详情页面的基本信息区域，查看角色基本信息，包括角色名称、创建时间、角色ARN和备注等。
权限策略
在角色详情页面的权限管理页签，单击权限策略名称，查看权限策略内容以及该角色可授权访问哪些云资源。
信任策略
在角色详情页的信任策略页签，查看信任策略内容。信任策略是描述RAM角色可信实体的策略，可信实体是指可以扮演RAM角色的实体用户身份。普通服务角色的可信实体为云服务，您可以通过信任策略中的Service字段查看。

关于如何查看普通服务角色的详细操作，请参见查看RAM角色。

使用限制与权限扩展

重要

AliyunECSInstanceForEHPCRole是管理节点和登录节点的必要绑定角色，请勿在ECS控制台解绑或替换该角色：解绑管理节点的该角色将导致集群自动扩缩容失效，解绑登录节点的该角色将导致Web Portal功能异常。

为普通服务角色添加自定义策略

如需为节点增加更多接口调用权限，正确的方式是在AliyunECSInstanceForEHPCRole角色上追加自定义权限策略，而非解绑或替换该角色。具体操作步骤如下：

登录RAM控制台。
在左侧导航栏，选择身份管理 > 角色。
在角色列表中搜索并单击AliyunECSInstanceForEHPCRole。
在权限管理页签中，单击新增授权，选择或创建所需的自定义权限策略。
单击确定完成授权。

更多关于自定义权限策略的信息，请参见权限策略基本元素。

删除普通服务角色

重要

删除普通服务角色后，依赖该角色的对应功能将无法正常使用，请谨慎删除。

当您长时间不使用E-HPC时，您可以在RAM控制台手动删除普通服务角色。具体操作，请参见删除RAM角色。

删除AliyunECSInstanceForEHPCRoleC前，您需要满足以下条件：

确定不再需要使用该普通服务角色，例如不需要创建集群、管理集群节点等。
已删除依赖该普通服务角色的E-HPC集群。具体操作，请参见释放集群。