將IAM角色附加至執行個體 - Amazon Elastic Compute Cloud

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

將IAM角色附加至執行個體

您可以建立IAM角色,並在啟動期間或之後將其附加至執行個體。您也可以取代或卸離IAM角色。

若要在啟動時使用 Amazon EC2 主控台將IAM角色附加到執行個體,請展開進階詳細資料。針對IAM執行個體設定檔,選取IAM角色。

注意

如果您是使用IAM主控台建立IAM角色,則系統會為您建立執行個體設定檔,並提供與該角色相同的名稱。如果您使用、或建立IAM角色 AWS CLI API AWS SDK,可能已為執行個體設定檔指定與角色不同的名稱。

您可以將IAM角色附加至執行中或已停止的執行個體。如果執行個體已附加IAM角色,您必須將其取代為新IAM角色。

Console
若要將IAM角色附加至執行個體

  1. 在打開 Amazon EC2 控制台https://console.aws.amazon.com/ec2/

  2. 在導覽窗格中,選擇 Instances (執行個體)。

  3. 選取執行個體。

  4. 選擇動作安全性修改IAM角色

  5. 針對 IAMrole,請選取IAM執行個體設定檔。

  6. 選擇 [更新IAM角色]。

AWS CLI
若要將IAM角色附加至執行個體

使用指associate-iam-instance-profile令將IAM角色附加至執行個體。指定執行個體設定檔時,可以使用執行個體設定檔的 Amazon 資源名稱 (ARN),也可以使用其名稱。

aws ec2 associate-iam-instance-profile \
    --instance-id i-1234567890abcdef0 \
    --iam-instance-profile Name="TestRole-1"

下列為範例輸出。

{
    "IamInstanceProfileAssociation": {
        "InstanceId": "i-1234567890abcdef0", 
        "State": "associating", 
        "AssociationId": "iip-assoc-0dbd8529a48294120", 
        "IamInstanceProfile": {
            "Id": "AIPAJLNLDX3AMYZNWYYAY", 
            "Arn": "arn:aws:iam::123456789012:instance-profile/TestRole-1"
        }
    }
}
PowerShell
若要將IAM角色附加至執行個體

若要取代已有附加IAM角色的執行個體上的IAM角色,執行個體必須處於該running狀態。如果您想要變更執行個體的IAM角色而不先分離現有的執行個體角色,可以這麼做。例如,您可以這樣做,以確保執行個體上API執行的應用程式執行的動作不會中斷。

Console
若要取代執行個體的IAM角色

  1. 在打開 Amazon EC2 控制台https://console.aws.amazon.com/ec2/

  2. 在導覽窗格中,選擇 Instances (執行個體)。

  3. 選取執行個體。

  4. 選擇動作安全性修改IAM角色

  5. 針對 IAMrole,請選取IAM執行個體設定檔。

  6. 選擇 [更新IAM角色]。

AWS CLI
若要取代執行個體的IAM角色

  1. 如有必要,請說明您的IAM執行個體設定檔關聯,以取得要取代之IAM執行個體設定檔的關聯 ID。

    aws ec2 describe-iam-instance-profile-associations

  2. 透過指定現有IAM執行個體設定檔的replace-iam-instance-profile關聯 ID,以及應取代它的執行個體設定檔ARN或名稱,以取代執行個體設定檔,以取代執行個體設定檔。

    aws ec2 replace-iam-instance-profile-association \
    --association-id iip-assoc-0044d817db6c0a4ba \
    --iam-instance-profile Name="TestRole-2"

    下列為範例輸出。

    {
    "IamInstanceProfileAssociation": {
        "InstanceId": "i-087711ddaf98f9489", 
        "State": "associating", 
        "AssociationId": "iip-assoc-09654be48e33b91e0", 
        "IamInstanceProfile": {
            "Id": "AIPAJCJEDKX7QYHWYK7GS", 
            "Arn": "arn:aws:iam::123456789012:instance-profile/TestRole-2"
        }
    }
}
PowerShell
若要取代執行個體的IAM角色

您可以從執行中或已停止的執行個體中斷連結IAM角色。

Console
若要從執行個體卸離IAM角色

  1. 在打開 Amazon EC2 控制台https://console.aws.amazon.com/ec2/

  2. 在導覽窗格中,選擇 Instances (執行個體)。

  3. 選取執行個體。

  4. 選擇動作安全性修改IAM角色

  5. 對於IAM角色,請選擇無IAM角色

  6. 選擇 [更新IAM角色]。

  7. 升級以進行確認時,請輸入「分離」,然後選擇「分離」

AWS CLI
若要從執行個體卸離IAM角色

  1. 如有必要,請使用 describe-iam-instance-profile- sociation 描述您的IAM執行個體設定檔關聯,並取得要分離之IAM執行個體設定檔的關聯 ID。

    aws ec2 describe-iam-instance-profile-associations

    下列為範例輸出。

    {
    "IamInstanceProfileAssociations": [
        {
            "InstanceId": "i-088ce778fbfeb4361", 
            "State": "associated", 
            "AssociationId": "iip-assoc-0044d817db6c0a4ba", 
            "IamInstanceProfile": {
                "Id": "AIPAJEDNCAA64SSD265D6", 
                "Arn": "arn:aws:iam::123456789012:instance-profile/TestRole-2"
            }
        }
    ]
}

  2. 使用指disassociate-iam-instance-profile令,使用其關聯 ID 分離IAM執行個體設定檔。

    aws ec2 disassociate-iam-instance-profile --association-id iip-assoc-0044d817db6c0a4ba

    下列為範例輸出。

    {
    "IamInstanceProfileAssociation": {
        "InstanceId": "i-087711ddaf98f9489", 
        "State": "disassociating", 
        "AssociationId": "iip-assoc-0044d817db6c0a4ba", 
        "IamInstanceProfile": {
            "Id": "AIPAJEDNCAA64SSD265D6", 
            "Arn": "arn:aws:iam::123456789012:instance-profile/TestRole-2"
        }
    }
}
PowerShell
若要從執行個體卸離IAM角色