Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
IAMruoli per Amazon EC2
Le applicazioni devono firmare le proprie API richieste con le AWS credenziali. Pertanto, se sei uno sviluppatore di applicazioni, avrai bisogno di una strategia per gestire le credenziali per le applicazioni eseguite su EC2 istanze. Ad esempio, puoi distribuire in modo sicuro le credenziali AWS alle istanze, consentendo alle applicazioni eseguite su tali istanze di utilizzare le credenziali per firmare le richieste, e contemporaneamente proteggere le credenziali da altri utenti. Tuttavia, potrebbe essere difficoltoso distribuire in modo sicuro le credenziali a ciascuna istanza, soprattutto a quelle AWS create da per tuo conto, ad esempio le istanze Spot o le istanze nei gruppi Auto Scaling. Devi inoltre essere in grado di aggiornare le credenziali in ciascuna istanza in caso di rotazione delle credenziali AWS .
Abbiamo sviluppato IAM i ruoli in modo da consentire alle applicazioni di eseguire in modo sicuro API le richieste dalle istanze senza la necessità di gestire le credenziali di sicurezza utilizzate dalle applicazioni stesse. Anziché creare e distribuire le AWS credenziali, puoi delegare le autorizzazioni per creare API richieste utilizzando i IAM ruoli nel modo descritto di seguito:
-
Crea un ruolo. IAM
-
Definire gli account o AWS i servizi che possono essere associati al ruolo.
-
Definire API le operazioni e le risorse che l'applicazione può utilizzare dopo l'assunzione del ruolo.
-
Specificare il ruolo quando avvii l'istanza o quando associ il ruolo a un'istanza esistente.
-
Impostare l'applicazione in modo che recuperi un set di credenziali temporanee e le utilizzi.
Ad esempio, puoi utilizzare IAM i ruoli per concedere le autorizzazioni alle applicazioni eseguite su istanze che devono utilizzare un bucket in Amazon S3. Puoi specificare le autorizzazioni per IAM i ruoli mediante la creazione di una policy in JSON formato. Si tratta di policy simili a quelle create per gli utenti . Se modifichi un ruolo, la modifica verrà propagata a tutte le istanze.
Nota
Le credenziali del EC2 IAM ruolo Amazon non sono soggette alla durata massima delle sessioni configurata nel ruolo. Per ulteriori informazioni, consulta Using IAM roles in the IAMUser Guide.
Durante la creazione di IAM ruoli, associa IAM policy con privilegi minimi che limitano l'accesso alle API chiamate specifiche richieste dall'applicazione. Per la Windows-to-Windows comunicazione, utilizza gruppi e ruoli Windows ben definiti e ben documentati per concedere l'accesso a livello di applicazione tra istanze di Windows. Gruppi e ruoli consentono ai clienti di definire le autorizzazioni a livello di cartella con privilegi minimi per l'applicazione e le autorizzazioni a NTFS livello di cartella per limitare l'accesso ai requisiti specifici dell'applicazione.
È possibile associare un solo IAM ruolo a un'istanza, ma è possibile associare lo stesso ruolo a molte istanze. Per ulteriori informazioni sulla creazione e l'utilizzo IAM dei ruoli, consulta Ruoli nella Guida per l'IAMutente.
Puoi applicare le autorizzazioni a livello di risorsa alle IAM policy per controllare la capacità degli utenti di collegare, sostituire o scollegare i ruoli per un'istanza. IAM Per ulteriori informazioni, consulta Autorizzazioni a livello di risorsa supportate per Amazon Actions EC2 API e l'esempio seguente: Esempio: utilizzo dei ruoli IAM.
Indice
Profili delle istanze
Amazon EC2 utilizza un profilo di istanza come contenitore per un IAM ruolo. Quando crei un IAM ruolo utilizzando la IAM console, la console crea automaticamente un profilo dell'istanza e le assegna lo stesso nome del ruolo a cui corrisponde. Se utilizzi la EC2 console Amazon per avviare un'istanza con un IAM ruolo o per collegare un IAM ruolo a un'istanza, scegli il ruolo in base all'elenco di nomi di profilo delle istanze.
Se utilizzi AWS CLI API, o an AWS SDK per creare un ruolo, crea il ruolo e il profilo dell'istanza come operazioni distinte, con nomi potenzialmente diversi. Se poi usi il AWS CLI API, o an AWS SDK per avviare un'istanza con un IAM ruolo o per associare un IAM ruolo a un'istanza, specifica il nome del profilo dell'istanza.
Un profilo dell'istanza può contenere solo un IAM ruolo. Questo limite non può essere aumentato.
Per ulteriori informazioni, consulta Instance Profiles nella Guida IAM per l'utente.
Autorizzazioni per il tuo caso d'uso
Quando si crea per la prima volta un IAM ruolo per le applicazioni, a volte è possibile concedere altre autorizzazioni oltre a quanto richiesto. Prima di avviare l'applicazione nell'ambiente di produzione, è possibile generare una IAM policy basata sull'attività di accesso per un IAM ruolo. IAMAccess Analyzer AWS CloudTrail verifica i registri e genera un modello di policy che contiene le autorizzazioni utilizzate dal ruolo nell'intervallo di date specificato. È possibile utilizzare il modello per creare una policy gestita con autorizzazioni granulari e quindi collegarla al ruolo. IAM In questo modo, si concedono solo le autorizzazioni necessarie al ruolo per interagire con AWS le risorse per il caso d'uso specifico. In questo modo è possibile rispettare la best practice per concedere il minimo privilegio. Per ulteriori informazioni, vedere Generazione di policy di IAM Access Analyzer nella Guida per l'IAMutente.
Ruoli di identità delle istanze per le EC2 istanze Amazon
Ogni EC2 istanza Amazon avviata dispone di un ruolo di identità dell'istanza che ne rappresenta l'identità. Un ruolo di identità dell'istanza è un tipo di IAM ruolo. AWS i servizi e le funzionalità integrati per l'uso del ruolo di identità dell'istanza possono impiegarlo per identificare l'istanza nel servizio.
Le credenziali del ruolo di identità dell'istanza sono accessibili dal servizio di metadati dell'istanza (IMDS) in. /identity-credentials/ec2/security-credentials/ec2-instance Le credenziali sono costituite da una coppia di chiavi di accesso AWS temporanee e da un token di sessione. Vengono utilizzate per firmare le richieste AWS Sigv4 per AWS i servizi che utilizzano il ruolo di identità dell'istanza. Le credenziali sono presenti nei metadati dell'istanza indipendentemente dal fatto che sull'istanza sia abilitato un servizio o una funzione che fa uso dei ruoli di identità dell'istanza.
I ruoli di identità dell'istanza vengono creati automaticamente all'avvio di un'istanza, non dispongono di alcun documento relativo alla policy di affidabilità ruolo e non sono soggetti a policy di identità o risorse.
Servizi supportati
I AWS servizi seguenti utilizzano il ruolo di identità dell'istanza:
-
Amazon EC2 — EC2Instance Connect utilizza il ruolo di identità dell'istanza per aggiornare le chiavi host per un'istanza Linux.
-
Amazon GuardDuty — Runtime Monitoring utilizza il ruolo di identità dell'istanza per consentire all'agente runtime di inviare telemetria di sicurezza all'endpoint. GuardDuty VPC
-
AWS Security Token Service (AWS STS) — Le credenziali del ruolo di identità dell'istanza possono essere utilizzate con l'azione. AWS STS
GetCallerIdentity -
AWS Systems Manager: quando si utilizza la Configurazione di gestione host predefinita, AWS Systems Manager utilizza l'identità fornita dal ruolo di identità dell'istanza per registrare EC2 le istanze. Dopo aver identificato l'istanza, Systems Manager può passare il
AWSSystemsManagerDefaultEC2InstanceManagementRoleIAM ruolo all'istanza.
I ruoli di identità dell'istanza non possono essere utilizzati con altri AWS servizi o funzionalità, poiché non sono integrati.
Ruolo di identità dell'istanza ARN
Il ruolo di identità dell'ARNistanza ha il seguente formato:
arn:aws-partition:iam::account-number:assumed-role/aws:ec2-instance/instance-id
Per esempio:
arn:aws:iam::0123456789012:assumed-role/aws:ec2-instance/i-0123456789example
Per ulteriori informazioniARNs, consulta Amazon Resource Names (ARNs) nella Guida IAM per l'utente.
