Prasyarat Membuat templat peluncuran Lihat juga

Peran IAM untuk aplikasi yang berjalan di instance Amazon EC2

Aplikasi yang berjalan di instans Amazon EC2 memerlukan kredensil untuk mengakses lainnya. Layanan AWS Untuk memberikan kredensial ini dengan cara yang aman, gunakan peran IAM. Peran tersebut menyediakan izin sementara yang dapat digunakan aplikasi saat mengakses sumber daya lain AWS . Izin peran menentukan apa yang dapat dilakukan aplikasi.

Untuk instance dalam grup Auto Scaling, Anda harus membuat templat peluncuran atau memulai konfigurasi dan memilih profil instance untuk dikaitkan dengan instance. Profil instance adalah kontainer untuk peran IAM yang memungkinkan Amazon EC2 melewati peran IAM ke suatu instance saat instance diluncurkan. Pertama, buat peran IAM yang memiliki semua izin yang diperlukan untuk mengakses sumber daya. AWS Kemudian, buat profil instance dan tugaskan peran ke profil tersebut.

catatan

Sebagai praktik terbaik, kami sangat menyarankan Anda membuat peran sehingga memiliki izin minimum ke yang lain Layanan AWS yang dibutuhkan aplikasi Anda.

Daftar Isi

Prasyarat

Buat peran IAM yang dapat dijalankan aplikasi Anda di Amazon EC2. Pilih izin yang sesuai sehingga aplikasi yang kemudian diberikan peran tersebut dapat melakukan panggilan API khusus yang diperlukannya.

Jika Anda menggunakan konsol IAM alih-alih AWS SDK AWS CLI atau salah satu, konsol akan membuat profil instance secara otomatis dan memberinya nama yang sama dengan peran yang sesuai dengannya.

Untuk membuat peran IAM (konsol)

Buka konsol IAM di https://console.aws.amazon.com/iam/.
Pada panel navigasi di sebelah kiri, pilih Peran.
Pilih Buat peran.
Untuk Pilih entitas tepercaya, pilih AWS layanan.
Untuk kasus penggunaan Anda, pilih EC2 dan kemudian pilih Berikutnya.
Jika memungkinkan, pilih kebijakan yang akan digunakan untuk kebijakan izin atau pilih Buat kebijakan untuk membuka tab browser baru dan membuat kebijakan baru dari awal. Untuk informasi selengkapnya, lihat Membuat kebijakan IAM dalam Panduan Pengguna IAM. Setelah Anda membuat kebijakan, tutup tab tersebut dan kembali ke tab asli Anda. Pilih kotak centang di samping kebijakan izin yang ingin dimiliki pengguna identitas web.
(Opsional) Tetapkan batas izin. Ini adalah fitur lanjutan yang tersedia untuk peran layanan. Untuk informasi selengkapnya, lihat Batas izin untuk entitas IAM di Panduan Pengguna IAM.
Pilih Selanjutnya.
Pada halaman Nama, tinjau, dan buat, untuk nama Peran, masukkan nama peran untuk membantu Anda mengidentifikasi tujuan peran ini. Nama ini harus unik di dalam diri Anda Akun AWS. Karena AWS sumber daya lain mungkin mereferensikan peran, Anda tidak dapat mengedit nama peran setelah dibuat.
Tinjau peran lalu pilih Buat peran.

Izin IAM

Gunakan kebijakan berbasis identitas IAM untuk mengontrol akses ke peran IAM baru Anda. iam:PassRoleIzin diperlukan pada identitas IAM (pengguna atau peran) yang membuat atau memperbarui grup Auto Scaling menggunakan template peluncuran yang menentukan profil instance.

Contoh kebijakan berikut memberikan izin untuk hanya meneruskan peran IAM yang namanya dimulai. qateam-


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::account-id:role/qateam-*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "ec2.amazonaws.com",
                        "ec2.amazonaws.com.rproxy.goskope.com.cn"
                    ]
                }
            }
        }
    ]
}

penting

Untuk informasi tentang cara Auto Scaling Amazon EC2 memvalidasi izin untuk tindakan iam:PassRole untuk grup Auto Scaling yang menggunakan templat peluncuran, lihat. Validasi izin untuk dan ec2:RunInstancesiam:PassRole

Membuat templat peluncuran

Saat Anda membuat template peluncuran menggunakan AWS Management Console, di bagian Detail lanjutan, pilih peran dari profil instans IAM. Untuk informasi selengkapnya, lihat Buat template peluncuran menggunakan pengaturan lanjutan.

Saat Anda membuat template peluncuran menggunakan perintah create-launch-template dari AWS CLI, tentukan nama profil instance peran IAM Anda seperti yang ditunjukkan pada contoh berikut.


aws ec2 create-launch-template --launch-template-name my-lt-with-instance-profile --version-description version1 \
--launch-template-data '{"ImageId":"ami-04d5cc9b88example","InstanceType":"t2.micro","IamInstanceProfile":{"Name":"my-instance-profile"}}'

Lihat juga

Untuk informasi selengkapnya guna membantu Anda mulai mempelajari dan menggunakan peran IAM untuk Amazon EC2, lihat:

Peran IAM untuk Amazon EC2 di Panduan Pengguna Amazon EC2
Menggunakan profil instans dan Menggunakan peran IAM untuk memberikan izin ke aplikasi yang berjalan di instans Amazon EC2 dalam Panduan Pengguna IAM

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Luncurkan dukungan templat

Validasi kepatuhan