本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 IAM 角色对部署到 Amazon 的应用程序进行身份验证 EC2
此示例介绍如何设置一个拥有 Amazon S3 访问权限的 AWS Identity and Access Management 角色,以便在部署到亚马逊弹性计算云实例的应用程序中使用。
要在亚马逊弹性计算云实例上运行您的 AWS 软件开发工具包应用程序,请创建一个 IAM 角色,然后授予您的亚马逊 EC2 实例访问该角色的权限。有关更多信息,请参阅《亚马逊 EC2 用户指南》 EC2中的 Amazon IAM 角色。
创建 IAM 角色
您开发的 AWS SDK 应用程序可能至少访问一个 SDK 应用程序 AWS 服务 来执行操作。创建一个 IAM 角色来授予应用程序运行所需的权限。
例如,此过程创建了一个角色,该角色授予对 Amazon S3 的只读访问权限。许多 AWS SDK 指南都有从 Amazon S3 中读出的 “入门” 教程。
登录 AWS Management Console 并打开 IAM 控制台,网址为https://console.aws.amazon.com/iam/
。 -
在导航窗格中,选择角色,然后选择创建角色。
-
对于 选择可信实体,在 可信实体类型,选择 AWS 服务。
-
在 “用例” 下,选择 Amazon EC2,然后选择 “下一步”。
-
对于添加权限,请从策略列表中选中 Amazon S3 只读访问权限复选框,然后选择下一步。
-
输入角色的名称,然后选择创建角色。请记住这个名称,因为您在创建 Amazon EC2 实例时会用到它。
启动 Amazon EC2 实例并指定您的 IAM 角色
您可以通过执行以下操作,使用您的 IAM 角色创建和启动 Amazon EC2 实例:
-
在 Amazon EC2 用户指南中按照 “快速启动实例” 进行操作。但是,在最后的提交步骤之前,还要执行以下操作:
-
在高级详细信息下,对于 IAM 实例配置文件,选择您在上一步中创建的角色。
-
通过此 IAM 和 Amazon EC2 设置,您可以将应用程序部署到亚马逊 EC2 实例,您的应用程序将拥有对 Amazon S3 服务的读取权限。
Connect 连接到 EC2 实例
连接到 Amazon EC2 实例,这样您就可以将应用程序传输到该实例,然后运行该应用程序。您需要包含您在创建实例时在 Key pair(登录)下使用的密钥对的私有部分的文件;即 PEM 文件。
为此,您可以按照实例类型的指导进行操作:连接到您的 Linux 实例或连接到您的 Windows 实例。当您连接时,请确保您可以将文件从开发计算机传输到您的实例。
注意
在 Linux 或 macOS 终端上,您可以使用安全复制命令来复制您的应用程序。要scp与 key pair 一起使用,可以使用以下命令:scp -i 。path/to/key
file/to/copy
ec2-user@ec2-xx-xx-xxx-xxx.compute.amazonaws.com:~
有关 Windows 的更多信息,请参阅将文件传输到 Windows 实例。
如果您使用的是 AWS 工具包,则通常也可以使用工具包连接到实例。有关更多信息,请参阅您使用的工具包的特定用户指南。
在 EC2 实例上运行您的应用程序
-
将您的应用程序文件从本地驱动器复制到您的 Amazon EC2 实例。
-
启动应用程序并验证其运行结果是否与开发计算机上的结果相同。
-
(可选)验证应用程序是否使用 IAM 角色提供的凭证。
登录 AWS Management Console 并打开 Amazon EC2 控制台,网址为https://console.aws.amazon.com/ec2/
。 -
选择实例。
-
选择操作、安全,然后选择修改 IAM 角色。
-
对于 IAM 角色,请选择无 IAM 角色来分离 IAM 角色。
-
选择更新 IAM 角色。
-
再次运行该应用程序,并确认它返回了授权错误。
