Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Preferenze
Contattaci
Feedback
AWS Documentation
Crea un Account AWS

Ruolo IAM per le applicazioni eseguite su EC2 istanze Amazon

PDF
RSS
Modalità Focus
Ruolo IAM per le applicazioni eseguite su EC2 istanze Amazon - Amazon EC2 Auto Scaling
PrerequisitiCreazione di un modello di avvioConsulta anche

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le applicazioni eseguite su EC2 istanze Amazon necessitano di credenziali per accedere ad altre istanze. Servizi AWS Per fornire tali credenziali in modo sicuro, utilizza un ruolo IAM. Il ruolo fornisce le autorizzazioni provvisorie che l'applicazione può utilizzare quando accede ad altre risorse AWS . Le autorizzazioni del ruolo determinano ciò che l'applicazione può fare.

Per le istanze in un gruppo con dimensionamento automatico, è necessario creare un modello o una configurazione di avvio e scegliere un profilo dell'istanza per l'associazione alle istanze. Un profilo di istanza è un contenitore per un ruolo IAM che consente EC2 ad Amazon di passare il ruolo IAM a un'istanza all'avvio dell'istanza. Innanzitutto, crea un ruolo IAM con tutte le autorizzazioni necessarie per accedere alle AWS risorse. Quindi, è necessario creare il profilo dell'istanza e assegnare il ruolo.

Nota

Come best practice, ti consigliamo vivamente di creare il ruolo in modo che disponga delle autorizzazioni minime per gli altri Servizi AWS ruoli richieste dall'applicazione.

Prerequisiti

Crea il ruolo IAM che la tua applicazione in esecuzione su Amazon EC2 può assumere. Scegli le autorizzazioni appropriate, in modo che l'applicazione a cui successivamente viene assegnato il ruolo possa effettuare le chiamate API necessarie.

Se utilizzi la console IAM invece di AWS CLI o una delle due AWS SDKs, la console crea automaticamente un profilo di istanza e gli assegna lo stesso nome del ruolo a cui corrisponde.

Creazione di un ruolo IAM (console)

  1. Aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione sulla sinistra, scegliere Roles (Ruoli).

  3. Scegliere Crea ruolo.

  4. In Seleziona tipo di entità attendibile, scegli Servizio AWS .

  5. Per il tuo caso d'uso, scegli EC2e poi scegli Avanti.

  6. Se possibile, selezionare la policy delle autorizzazioni da utilizzare o scegliere Crea policy per aprire una nuova scheda del browser e creare una nuova policy da zero. Per ulteriori informazioni, consulta Creazione di policy IAM nella Guida per l'utente di IAM. Una volta creata la policy, chiudere la scheda e tornare alla scheda originale. Selezionare la casella di controllo accanto alle policy di autorizzazione da assegnare al servizio.

  7. (Facoltativo) Impostare un limite delle autorizzazioni. Questa è una caratteristica avanzata disponibile per i ruoli di servizio. Per ulteriori informazioni, consulta Limiti delle autorizzazioni per le entità IAM nella Guida per l'utente di IAM.

  8. Scegli Next (Successivo).

  9. Nella pagina Name, review and create (Nomina, verifica e crea), in Nome ruolo inserisci un nome per facilitare l'identificazione dello scopo del ruolo. Il nome deve essere univoco all'interno dell'account Account AWS. Poiché altre AWS risorse potrebbero fare riferimento al ruolo, non puoi modificare il nome del ruolo dopo che è stato creato.

  10. Verificare il ruolo e quindi scegliere Create role (Crea ruolo).

Autorizzazioni IAM

Utilizza una policy basata sull'identità IAM per controllare l'accesso al tuo nuovo ruolo IAM. L'autorizzazione iam:PassRole è necessaria per l'identità IAM (utente o ruolo) che crea o aggiorna un gruppo con dimensionamento automatico utilizzando un modello di avvio con un profilo dell'istanza specifico.

La seguente policy di esempio concede le autorizzazioni per passare solo i ruoli IAM il cui nome inizia con qateam-. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::account-id:role/qateam-*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "ec2.amazonaws.com",
                        "ec2.amazonaws.com.rproxy.goskope.com.cn"
                    ]
                }
            }
        }
    ]
}
Importante

Per informazioni su come Amazon EC2 Auto Scaling convalida le autorizzazioni per l'iam:PassRoleazione per un gruppo di Auto Scaling che utilizza un modello di avvio, consulta. Convalida delle autorizzazioni per ec2:RunInstances e iam:PassRole

Creazione di un modello di avvio

Quando crei il modello di lancio utilizzando AWS Management Console, nella sezione Dettagli avanzati, seleziona il ruolo dal profilo dell'istanza IAM. Per ulteriori informazioni, consulta Crea un modello di avvio utilizzando le impostazioni avanzate.

Quando crei il modello di avvio utilizzando il create-launch-templatecomando di AWS CLI, specifica il nome del profilo di istanza del tuo ruolo IAM, come mostrato nell'esempio seguente.

aws ec2 create-launch-template --launch-template-name my-lt-with-instance-profile --version-description version1 \
--launch-template-data '{"ImageId":"ami-04d5cc9b88example","InstanceType":"t2.micro","IamInstanceProfile":{"Name":"my-instance-profile"}}'

Consulta anche

Per ulteriori informazioni su come iniziare a conoscere e utilizzare i ruoli IAM per Amazon EC2, consulta:

In questa pagina

PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.