Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menandai profil instance untuk EC2 peran Amazon

Saat meluncurkan EC2 instans Amazon, Anda menentukan IAM peran yang akan dikaitkan dengan instance tersebut. Profil instance adalah wadah untuk IAM peran yang dapat Anda gunakan untuk meneruskan informasi peran ke EC2 instans Amazon saat instance dimulai. Anda dapat menandai profil instance saat Anda menggunakan AWS CLI atau AWS API.

Anda dapat menggunakan pasangan nilai kunci IAM tag untuk menambahkan atribut khusus ke profil instance. Misalnya, untuk menambahkan informasi departemen ke profil instans, Anda dapat menambahkan kunci tanda access-team dan nilai tanda eng. Melakukan hal ini memberikan prinsipal dengan akses tanda yang sesuai ke profil instans dengan tanda yang sama. Anda bisa menggunakan beberapa tag pasangan kunci-nilai tanda untuk menentukan tim dan proyek: access-team = eng , dan project = peg. Anda dapat menggunakan tanda untuk mengontrol akses pengguna ke sumber daya atau untuk mengontrol tanda yang dapat dilampirkan ke pengguna. Untuk mempelajari lebih lanjut tentang penggunaan tag untuk mengontrol akses, lihat Mengontrol akses ke dan untuk pengguna dan peran IAM menggunakan tag.

Anda juga dapat menggunakan tag AWS STS untuk menambahkan atribut kustom saat Anda mengambil peran atau menyatukan pengguna. Untuk informasi selengkapnya, lihat Lulus tag sesi di AWS STS.

Izin yang diperlukan untuk menandai profil instans

Anda harus mengonfigurasi izin untuk mengizinkan IAM entitas (pengguna atau peran) menandai profil instance. Anda dapat menentukan satu atau semua tindakan IAM tag berikut dalam IAM kebijakan:

Untuk mengizinkan IAM entitas (pengguna atau peran) menambahkan, mencantumkan, atau menghapus tag untuk profil instance

Tambahkan pernyataan berikut ke kebijakan izin untuk IAM entitas yang perlu mengelola tag. Gunakan nomor akun Anda dan ganti <InstanceProfileName> dengan nama profil instance yang tagnya perlu dikelola. Untuk mempelajari cara membuat kebijakan menggunakan contoh dokumen JSON kebijakan ini, lihatMembuat kebijakan menggunakan JSON editor.

{
    "Effect": "Allow",
    "Action": [
        "iam:ListInstanceProfileTags",
        "iam:TagInstanceProfile",
        "iam:UntagInstanceProfile"
    ],
    "Resource": "arn:aws:iam::<account-number>:instance-profile/<InstanceProfileName>"
}

Untuk mengizinkan IAM entitas (pengguna atau peran) menambahkan tag ke profil instance tertentu

Tambahkan pernyataan berikut ke kebijakan izin untuk IAM entitas yang perlu menambahkan, tetapi tidak menghapus, tag untuk profil instance tertentu.

Untuk menggunakan kebijakan ini, ganti <InstanceProfileName> dengan nama profil instance yang tagnya perlu dikelola. Untuk mempelajari cara membuat kebijakan menggunakan contoh dokumen JSON kebijakan ini, lihatMembuat kebijakan menggunakan JSON editor.

{
    "Effect": "Allow",
    "Action": [
        "iam:ListInstanceProfileTags",
        "iam:TagInstanceProfile"
    ],
    "Resource": "arn:aws:iam::<account-number>:instance-profile/<InstanceProfileName>"
}

Atau, Anda dapat menggunakan kebijakan AWS terkelola seperti IAMFullAccessuntuk menyediakan akses penuh keIAM.

Mengelola tag pada profil contoh (AWS CLI atau AWS API)

Anda dapat membuat daftar, melampirkan, atau menghapus tanda untuk profil instans. Anda dapat menggunakan AWS CLI atau AWS API untuk mengelola tag untuk profil misalnya.

Untuk informasi tentang melampirkan tag ke sumber daya untuk AWS layanan lain, lihat dokumentasi untuk layanan tersebut.

Untuk informasi tentang penggunaan tag untuk menyetel izin terperinci lainnya dengan kebijakan IAM izin, lihat. Elemen kebijakan IAM: Variabel dan tanda