本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
授予 IAM 使用者將 IAM 角色傳遞至執行個體的許可
IAM 使用者等 中的身分必須具有特定許可 AWS 帳戶,才能啟動具有 IAM 角色的 Amazon EC2 執行個體、將 IAM 角色連接至執行個體、取代執行個體的 IAM 角色,或從執行個體分離 IAM 角色。您必須視需要授予使用下列 API 動作的許可:
-
iam:PassRole
-
ec2:AssociateIamInstanceProfile
-
ec2:DisassociateIamInstanceProfile
-
ec2:ReplaceIamInstanceProfileAssociation
注意
如果您將 iam:PassRole
資源指定為 *
,這將授予您的任何 IAM 角色傳遞給執行個體的存取權限。若要遵循最低權限的最佳實務,請使用 iam:PassRole
指定特定 IAM 角色ARNs,如以下範例政策所示。
程式設計存取的範例政策
下列 IAM 政策授予許可,以使用 IAM 角色啟動執行個體、將 IAM 角色連接至執行個體,或使用 AWS CLI 或 Amazon EC2 API 取代執行個體的 IAM 角色。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:RunInstances", "ec2:AssociateIamInstanceProfile", "ec2:DisassociateIamInstanceProfile", "ec2:ReplaceIamInstanceProfileAssociation" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::
123456789012
:role/DevTeam
*" } ] }
主控台存取的其他要求
若要授予使用 Amazon EC2 主控台完成相同任務的許可,您還必須包含 iam:ListInstanceProfiles
API 動作。