IAM-Rollen für Anwendungen, die auf Amazon EC2-Instances ausgeführt werden - Amazon EC2 Auto Scaling
VoraussetzungenErstellen einer StartvorlageWeitere Informationen finden Sie auch unter

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

IAM-Rollen für Anwendungen, die auf Amazon EC2-Instances ausgeführt werden

Anwendungen, die in Amazon EC2-Instances ausgeführt werden, benötigen Anmeldeinformationen, um auf andere AWS-Services-Services zugreifen zu können. Verwenden Sie eine IAM-Rolle, um diese Anmeldeinformationen auf sichere Weise bereitstellen zu können. Die Rolle stellt temporäre Berechtigungen bereit, die von der Anwendung verwendet werden können, wenn sie auf andere AWS -Ressourcen zugreift. Die Berechtigungen der Rolle bestimmen, welche Aktionen die Anwendung durchführen darf.

Für Instances in einer Auto Scaling-Gruppe müssen Sie eine Startkonfiguration oder Vorlage erstellen und ein Instance-Profil wählen, das mit den Instances verknüpft werden soll. Ein Instance-Profil ist ein Container für eine IAM-Rolle, mit dem Amazon EC2 einer Instance die IAM-Rolle übergibt, wenn die Instance gestartet wird. Erstellen Sie zunächst eine IAM-Rolle, die über alle für den Zugriff auf die Ressourcen erforderlichen Berechtigungen verfügt. AWS Erstellen Sie anschließend das Instance-Profil und weisen Sie diesem die Rolle zu.

Anmerkung

Als bewährte Methode empfehlen wir dringend, die Rolle so zu erstellen, dass sie über die Mindestberechtigungen für andere Benutzer verfügt AWS-Services , die für Ihre Anwendung erforderlich sind.

Voraussetzungen

Erstellen Sie die IAM-Rolle, die Ihre unter Amazon EC2 ausgeführte Anwendung verwenden kann. Wählen Sie die entsprechenden Berechtigungen, so dass die Anwendung, der die Rolle im Anschluss übertragen wird, die benötigten API-Aufrufe durchführen kann.

Wenn Sie die IAM-Konsole anstelle des AWS CLI oder eines der AWS SDKs verwenden, erstellt die Konsole automatisch ein Instanzprofil und weist diesem denselben Namen zu wie der Rolle, der es entspricht.

So erstellen Sie eine IAM-Rolle (Konsole)

  1. Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich auf der linken Seite Roles (Rollen).

  3. Wählen Sie Rolle erstellen aus.

  4. Wählen Sie für Select trusted entity (Vertrauenswürdige Entität auswählen) die Option AWS -Service.

  5. Wählen Sie für Ihren Anwendungsfall die Option EC2 und dann Next (Weiter) aus.

  6. Wenn möglich, wählen Sie die Richtlinie aus, die für die Berechtigungsrichtlinie verwendet werden soll, oder wählen Create policy (Richtlinie erstellen), um eine neue Registerkarte im Browser zu öffnen und eine vollständig neue Richtlinie zu erstellen. Weitere Informationen finden Sie unter Erstellen von IAM-Richtlinien im IAM-Benutzerhandbuch. Nachdem Sie die Richtlinie erstellt haben, schließen Sie die Registerkarte und kehren zur ursprünglichen Registerkarte zurück. Aktivieren Sie die Kontrollkästchen neben den Berechtigungsrichtlinien, die der Service haben soll.

  7. (Optional) Legen Sie eine Berechtigungsgrenze fest. Dies ist eine erweiterte Funktion, die für Servicerollen verfügbar ist. Weitere Informationen finden Sie unter Berechtigungsgrenzen für IAM-Entitäten im IAM-Benutzerhandbuch.

  8. Wählen Sie Weiter aus.

  9. Geben Sie auf der Seite Name, review, and create (Benennen, überprüfen und erstellen), für Role name (Rollenname) einen Rollennamen ein, mit dem der Zweck dieser Rolle einfach zu erkennen ist. Dieser Name muss innerhalb Ihres AWS-Konto eindeutig sein. Da andere AWS Ressourcen möglicherweise auf die Rolle verweisen, können Sie den Namen der Rolle nicht bearbeiten, nachdem sie erstellt wurde.

  10. Prüfen Sie die Rolle und klicken Sie dann auf Create Role (Rolle erstellen).

IAM-Berechtigungen

Verwenden Sie eine identitätsbasierte IAM-Richtlinie, um den Zugriff auf Ihre neue IAM-Rolle zu steuern. Die iam:PassRole-Berechtigung ist für die IAM-Identität (Benutzer oder Rolle) erforderlich, die eine Auto-Scaling-Gruppe mithilfe einer Startvorlage erstellt oder aktualisiert, die ein Instance-Profil angibt.

Die folgende Beispielrichtlinie gewährt die Berechtigung, nur IAM-Rollen weiterzugeben, deren Name mit qateam- beginnt. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::account-id:role/qateam-*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "ec2.amazonaws.com",
                        "ec2.amazonaws.com.rproxy.goskope.com.cn"
                    ]
                }
            }
        }
    ]
}
Wichtig

Informationen darüber, wie Amazon EC2 Auto Scaling Berechtigungen für die iam:PassRole-Aktion für eine Auto-Scaling-Gruppe validiert, die eine Startvorlage verwendet, finden Sie unter Überprüfung der Berechtigungen für ec2:RunInstances und iam:PassRole.

Erstellen einer Startvorlage

Wenn Sie die Startvorlage mithilfe von erstellen AWS Management Console, wählen Sie im Abschnitt Erweiterte Details die Rolle aus dem IAM-Instanzprofil aus. Weitere Informationen finden Sie unter Erstellen einer Startvorlage mithilfe erweiterter Einstellungen.

Wenn Sie die Startvorlage mit dem Befehl create-launch-template aus dem erstellen AWS CLI, geben Sie den Instanzprofilnamen Ihrer IAM-Rolle an, wie im folgenden Beispiel gezeigt.

aws ec2 create-launch-template --launch-template-name my-lt-with-instance-profile --version-description version1 \
--launch-template-data '{"ImageId":"ami-04d5cc9b88example","InstanceType":"t2.micro","IamInstanceProfile":{"Name":"my-instance-profile"}}'

Weitere Informationen finden Sie auch unter

Weitere Informationen, die Sie beim Lernen von IAM-Rollen für Amazon EC2 unterstützen, finden Sie unter: