Prerequisiti Creazione di un modello di avvio Consulta anche

Ruoli IAM per le applicazioni in esecuzione sulle istanze Amazon EC2

Le applicazioni eseguite su istanze Amazon EC2 necessitano di credenziali per accedere ad altri Servizi AWS. Per fornire tali credenziali in modo sicuro, utilizza un ruolo IAM. Il ruolo fornisce le autorizzazioni provvisorie che l'applicazione può utilizzare quando accede ad altre risorse AWS . Le autorizzazioni del ruolo determinano ciò che l'applicazione può fare.

Per le istanze in un gruppo con dimensionamento automatico, è necessario creare un modello o una configurazione di avvio e scegliere un profilo dell'istanza per l'associazione alle istanze. Un profilo dell'istanza è un container per un ruolo IAM che permette ad Amazon EC2 di trasferire il ruolo IAM a un'istanza quando quest'ultima viene avviata. Innanzitutto, crea un ruolo IAM con tutte le autorizzazioni necessarie per accedere alle risorse. AWS Quindi, è necessario creare il profilo dell'istanza e assegnare il ruolo.

Nota

Come best practice, ti consigliamo vivamente di creare il ruolo in modo che disponga delle autorizzazioni minime per gli altri Servizi AWS ruoli richieste dall'applicazione.

Indice

Prerequisiti

Creazione del ruolo IAM che può essere assunto da un'applicazione in esecuzione su Amazon EC2. Scegli le autorizzazioni appropriate, in modo che l'applicazione a cui successivamente viene assegnato il ruolo possa effettuare le chiamate API necessarie.

Se utilizzi la console IAM anziché uno AWS CLI o uno degli AWS SDK, la console crea automaticamente un profilo di istanza e gli assegna lo stesso nome del ruolo a cui corrisponde.

Creazione di un ruolo IAM (console)

Aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/.
Nel riquadro di navigazione sulla sinistra, scegliere Roles (Ruoli).
Scegli Crea ruolo.
In Seleziona tipo di entità attendibile, scegli Servizio AWS .
Per il tuo caso d'uso, scegli EC2 quindi scegli Successivo.
Se possibile, selezionare la policy delle autorizzazioni da utilizzare o scegliere Crea policy per aprire una nuova scheda del browser e creare una nuova policy da zero. Per ulteriori informazioni, consulta Creazione di policy IAM nella Guida per l'utente di IAM. Una volta creata la policy, chiudere la scheda e tornare alla scheda originale. Selezionare la casella di controllo accanto alle policy di autorizzazione da assegnare al servizio.
(Facoltativo) Impostare un limite delle autorizzazioni. Questa è una caratteristica avanzata disponibile per i ruoli di servizio. Per ulteriori informazioni, consulta Limiti delle autorizzazioni per le entità IAM nella Guida per l'utente di IAM.
Seleziona Successivo.
Nella pagina Name, review and create (Nomina, verifica e crea), in Nome ruolo inserisci un nome per facilitare l'identificazione dello scopo del ruolo. Il nome deve essere univoco all'interno dell'account Account AWS. Poiché altre AWS risorse potrebbero fare riferimento al ruolo, non puoi modificare il nome del ruolo dopo che è stato creato.
Verificare il ruolo e quindi scegliere Create role (Crea ruolo).

Autorizzazioni IAM

Utilizza una policy basata sull'identità IAM per controllare l'accesso al tuo nuovo ruolo IAM. L'autorizzazione iam:PassRole è necessaria per l'identità IAM (utente o ruolo) che crea o aggiorna un gruppo con dimensionamento automatico utilizzando un modello di avvio con un profilo dell'istanza specifico.

La seguente policy di esempio concede le autorizzazioni per passare solo i ruoli IAM il cui nome inizia con qateam-.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::account-id:role/qateam-*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "ec2.amazonaws.com",
                        "ec2.amazonaws.com.rproxy.goskope.com.cn"
                    ]
                }
            }
        }
    ]
}

Importante

Per ulteriori informazioni su come Dimensionamento automatico Amazon EC2 convalida le autorizzazioni per l'operazione iam:PassRole per un gruppo con dimensionamento automatico che utilizza un modello di avvio, consulta Convalida delle autorizzazioni per ec2:RunInstances e iam:PassRole.

Creazione di un modello di avvio

Quando crei il modello di lancio utilizzando AWS Management Console, nella sezione Dettagli avanzati, seleziona il ruolo dal profilo dell'istanza IAM. Per ulteriori informazioni, consulta Crea un modello di avvio utilizzando le impostazioni avanzate.

Quando crei il modello di avvio utilizzando il comando create-launch-template di AWS CLI, specifica il nome del profilo di istanza del tuo ruolo IAM, come mostrato nell'esempio seguente.


aws ec2 create-launch-template --launch-template-name my-lt-with-instance-profile --version-description version1 \
--launch-template-data '{"ImageId":"ami-04d5cc9b88example","InstanceType":"t2.micro","IamInstanceProfile":{"Name":"my-instance-profile"}}'

Consulta anche

Per ulteriori informazioni su come iniziare a conoscere e a utilizzare i ruoli IAM per Amazon EC2, vedi:

Ruoli IAM per Amazon EC2 nella Guida per l'utente di Amazon EC2
Utilizzo dei profili delle istanze e Utilizzo di un ruolo IAM per concedere autorizzazioni ad applicazioni in esecuzione su istanze di Amazon EC2 nella Guida per l'utente di IAM

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Supporto modello di avvio

Convalida della conformità