授予 IAM 使用者將 IAM 角色傳遞至執行個體的許可 - Amazon Elastic Compute Cloud

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

授予 IAM 使用者將 IAM 角色傳遞至執行個體的許可

IAM 使用者等 中的身分必須具有特定許可 AWS 帳戶,才能啟動具有 IAM 角色的 Amazon EC2 執行個體、將 IAM 角色連接至執行個體、取代執行個體的 IAM 角色,或從執行個體分離 IAM 角色。您必須視需要授予使用下列 API 動作的許可:

  • iam:PassRole

  • ec2:AssociateIamInstanceProfile

  • ec2:DisassociateIamInstanceProfile

  • ec2:ReplaceIamInstanceProfileAssociation

注意

如果您將 iam:PassRole 資源指定為 *,這將授予您的任何 IAM 角色傳遞給執行個體的存取權限。若要遵循最低權限的最佳實務,請使用 iam:PassRole 指定特定 IAM 角色ARNs,如以下範例政策所示。

程式設計存取的範例政策

下列 IAM 政策授予許可,以使用 IAM 角色啟動執行個體、將 IAM 角色連接至執行個體,或使用 AWS CLI 或 Amazon EC2 API 取代執行個體的 IAM 角色。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
         "ec2:RunInstances",
         "ec2:AssociateIamInstanceProfile",
         "ec2:DisassociateIamInstanceProfile",
         "ec2:ReplaceIamInstanceProfileAssociation"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": "iam:PassRole",
      "Resource": "arn:aws:iam::123456789012:role/DevTeam*"
    }
  ]
}
主控台存取的其他要求

若要授予使用 Amazon EC2 主控台完成相同任務的許可,您還必須包含 iam:ListInstanceProfiles API 動作。