授與將IAM角色附加至執行個體的權限 - Amazon Elastic Compute Cloud

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

授與將IAM角色附加至執行個體的權限

您 AWS 帳戶的身分 (例如IAM使用者) 必須具有特定的許可,才能啟動具有IAM角色的 Amazon EC2 執行個體、將IAM角色附加至執行個體、取代執行個體的IAM角色,或從執行個體中分離IAM角色。您必須授與權限才能視需要使用下列API動作:

  • iam:PassRole

  • ec2:AssociateIamInstanceProfile

  • ec2:DisassociateIamInstanceProfile

  • ec2:ReplaceIamInstanceProfileAssociation

注意

如果您將資源指定iam:PassRole*,這將授予將任何IAM角色傳遞給執行個體的存取權。若要遵循最小權限的最佳作法,請指定具有ARNs的特定IAM角色iam:PassRole,如以下範例政策所示。

程式化存取的範例原則

下列IAM政策授予使用或 Amazon 啟動具有IAM角色的執行個體、將IAM角色附加至執行個體或取代執行個體IAM角色的 AWS CLI 許可EC2API。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
         "ec2:RunInstances",
         "ec2:AssociateIamInstanceProfile",
         "ec2:DisassociateIamInstanceProfile",
         "ec2:ReplaceIamInstanceProfileAssociation"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": "iam:PassRole",
      "Resource": "arn:aws:iam::123456789012:role/DevTeam*"
    }
  ]
}
主控台存取的其他需求

若要授與使用 Amazon EC2 主控台完成相同任務的許可,您還必須包括iam:ListInstanceProfilesAPI動作。