Requisitos previos Creación de una plantilla de lanzamiento Véase también

Rol de IAM para aplicaciones que se ejecuten en instancias de Amazon EC2

Las aplicaciones que se ejecutan en instancias de Amazon EC2 necesitan credenciales para acceder a otros Servicios de AWS. Para proporcionar estas credenciales de una forma segura, utilice un rol de IAM. El rol proporciona permisos temporales que la aplicación puede utilizar al acceder a otros recursos de AWS . Los permisos del rol determinan lo que puede hacer la aplicación.

Para las instancias de un grupo de escalado automático, debe crear una configuración o una plantilla de lanzamiento y elegir un perfil de instancias para asociarlo con las instancias. Un perfil de instancias es un contenedor de un rol de IAM que permite que Amazon EC2 transfiera el rol de IAM a una instancia cuando esta se lanza. En primer lugar, cree un rol de IAM que tenga todos los permisos necesarios para acceder a los recursos. AWS A continuación, cree el perfil de instancia y asígnele el rol.

nota

Como práctica recomendada, te recomendamos encarecidamente que crees el rol de forma que tenga los permisos mínimos Servicios de AWS que requiera tu aplicación para otros roles.

Contenido

Requisitos previos

Cree el rol de IAM que la aplicación que se ejecuta en Amazon EC2 puede asumir. Elija los permisos adecuados, de modo que la aplicación a la que se le asigne posteriormente el rol pueda realizar las llamadas a la API específicas que necesita.

Si utilizas la consola de IAM en lugar de uno de los AWS SDK, la consola crea un perfil de instancia automáticamente y le asigna el mismo nombre que el rol al que corresponde. AWS CLI

Para crear un rol de IAM (consola)

Abra la consola de IAM en https://console.aws.amazon.com/iam/.
En el panel de navegación de la izquierda, seleccione Roles.
Elija Crear rol.
En Select trusted entity (Seleccionar entidad de confianza), elija AWS service (Servicio de ).
Para el caso de uso, elija EC2 y, luego, Next (Siguiente).
Si es posible, seleccione la política que desea utilizar para la política de permisos o elija Create policy (Crear política) para abrir una pestaña nueva del navegador y crear una política nueva desde cero. Para obtener más información, consulte Creación de políticas de IAM en la Guía del usuario de IAM. Después de crear la política, cierre esa pestaña y vuelva a la pestaña original. Seleccione la casilla situada junto a las políticas de permisos que desea conceder a los servicios.
(Opcional) Configure un límite de permisos. Se trata de una característica avanzada que está disponible para los roles de servicio. Para obtener más información, consulte Límites de permisos para las entidades de IAM en la Guía del usuario de IAM.
Elija Siguiente.
En la página Name, review, and create (Asignar nombre, revisar y crear), para Role name (Nombre del rol), escriba el nombre de un rol para ayudarle a identificar el propósito de este rol. El nombre debe ser único en su Cuenta de AWS. Como otros AWS recursos pueden hacer referencia al rol, no puedes editar el nombre del rol una vez creado.
Revise el rol y, a continuación, elija Crear rol.

Permisos de IAM

Use una política basada en identidades de IAM para controlar el acceso al nuevo rol de IAM. El permiso iam:PassRole es necesario para la identidad de IAM (usuario o rol) que crea o actualiza un grupo de escalado automático mediante una plantilla de lanzamiento que especifica un perfil de instancia.

La siguiente política de ejemplo otorga permisos para transferir únicamente los roles de IAM cuyo nombre comience por qateam-.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::account-id:role/qateam-*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "ec2.amazonaws.com",
                        "ec2.amazonaws.com.rproxy.goskope.com.cn"
                    ]
                }
            }
        }
    ]
}

importante

Para obtener información acerca de cómo Amazon EC2 Auto Scaling valida los permisos para la acción iam:PassRole de un grupo de escalado automático que utiliza una plantilla de lanzamiento, consulte Validación de permisos para ec2:RunInstances y iam:PassRole.

Creación de una plantilla de lanzamiento

Al crear la plantilla de lanzamiento mediante AWS Management Console, en la sección de detalles avanzados, seleccione el rol en el perfil de la instancia de IAM. Para obtener más información, consulte Creación de una plantilla de lanzamiento mediante la configuración avanzada.

Al crear la plantilla de lanzamiento mediante el comando create-launch-template del AWS CLI, especifique el nombre del perfil de instancia de su función de IAM, como se muestra en el siguiente ejemplo.


aws ec2 create-launch-template --launch-template-name my-lt-with-instance-profile --version-description version1 \
--launch-template-data '{"ImageId":"ami-04d5cc9b88example","InstanceType":"t2.micro","IamInstanceProfile":{"Name":"my-instance-profile"}}'

Véase también

Para obtener más información de ayuda para comenzar a aprender y a utilizar roles de IAM para Amazon EC2, consulte:

Funciones de IAM para Amazon EC2 en la Guía del usuario de Amazon EC2
Uso de perfiles de instancias y Uso de un rol de IAM para conceder permisos a aplicaciones que se ejecutan en instancias de Amazon EC2 en la Guía del usuario de IAM

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Compatibilidad con las plantillas de lanzamiento

Validación de conformidad