IAMRollen für Amazon EC2 - Amazon Elastic Compute Cloud

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

IAMRollen für Amazon EC2

Anwendungen müssen ihre API Anfragen mit AWS Anmeldeinformationen signieren. Wenn Sie ein Anwendungsentwickler sind, benötigen Sie daher eine Strategie für die Verwaltung der Anmeldeinformationen für Ihre Anwendungen, die auf EC2 Instances ausgeführt werden. Sie können zum Beispiel die AWS -Anmeldeinformationen sicher an die Instances verteilen, damit die Anwendungen auf diesen Instances sie zum Signieren von Anforderungen verwenden können, während Ihre Anmeldeinformationen vor anderen Benutzern geschützt bleiben. Es ist jedoch schwierig, Anmeldeinformationen sicher an jede Instance zu verteilen, insbesondere an diejenigen, die in Ihrem Namen AWS erstellt werden, wie Spot-Instances oder Instances in Auto Scaling Scaling-Gruppen. Sie müssen auch in der Lage sein, die Anmeldeinformationen für jede Instance zu aktualisieren, wenn Sie Ihre AWS Anmeldeinformationen wechseln.

Wir haben IAM Rollen so konzipiert, dass Ihre Anwendungen auf sichere Weise API Anfragen von Ihren Instances aus stellen können, ohne dass Sie die von den Anwendungen verwendeten Sicherheitsanmeldedaten verwalten müssen. Anstatt Ihre AWS Anmeldeinformationen zu erstellen und zu verteilen, können Sie die Berechtigungen zum Stellen von API Anfragen mithilfe von IAM Rollen wie folgt delegieren:

  1. Erstellen Sie eine IAM Rolle.

  2. Definieren Sie, welche Konten oder AWS Dienste die Rolle übernehmen können.

  3. Definieren Sie, welche API Aktionen und Ressourcen die Anwendung nach Übernahme der Rolle verwenden kann.

  4. Geben Sie die Rolle beim Starten der Instance an oder verknüpfen Sie die Rolle mit einer vorhandenen Instance.

  5. Lassen Sie die Anwendung einen Satz vorübergehende Anmeldeinformationen abrufen und verwenden.

Sie können IAM Rollen beispielsweise verwenden, um Anwendungen, die auf Ihren Instances ausgeführt werden und einen Bucket in Amazon S3 verwenden müssen, Berechtigungen zu erteilen. Sie können Berechtigungen für IAM Rollen angeben, indem Sie eine Richtlinie im JSON Format erstellen. Diese Richtlinien sind denen ähnlich, die Sie für -Benutzer erstellen. Wenn Sie an einer Rolle etwas ändern, wird diese Änderung an alle Instances weitergegeben.

Anmerkung

Die Anmeldeinformationen für EC2 IAM Amazon-Rollen unterliegen nicht der in der Rolle konfigurierten maximalen Sitzungsdauer. Weitere Informationen finden Sie unter IAM Rollen verwenden im IAMBenutzerhandbuch.

Ordnen Sie beim Erstellen von IAM Rollen IAM Richtlinien mit den geringsten Rechten zu, die den Zugriff auf die spezifischen API Aufrufe einschränken, die die Anwendung benötigt. Verwenden Sie für die Windows-Kommunikation gut definierte und gut dokumentierte Windows-Gruppen und -Rollen, um den Zugriff auf Anwendungsebene zwischen Windows-Instances zu gewähren. Gruppen und Rollen ermöglichen es Kunden, Berechtigungen auf Anwendungs- und NTFS Ordnerebene mit den geringsten Rechten zu definieren, um den Zugriff auf anwendungsspezifische Anforderungen zu beschränken.

Sie können einer Instanz nur eine IAM Rolle zuweisen, aber Sie können dieselbe Rolle vielen Instanzen zuweisen. Weitere Informationen zum Erstellen und Verwenden von IAM Rollen finden Sie unter Rollen im IAMBenutzerhandbuch.

Sie können Ihren IAM Richtlinien Berechtigungen auf Ressourcenebene zuweisen, um zu kontrollieren, ob Benutzer IAM Rollen für eine Instanz zuordnen, ersetzen oder trennen können. Weitere Informationen finden Sie unter Unterstützte Berechtigungen auf Ressourcenebene für Amazon-Aktionen EC2 API und in diesem Beispiel: Beispiel: Arbeiten mit IAM-Rollen.

Instance-Profile

Amazon EC2 verwendet ein Instance-Profil als Container für eine IAM Rolle. Wenn Sie mit der IAM Konsole eine IAM Rolle erstellen, erstellt die Konsole automatisch ein Instance-Profil und weist diesem denselben Namen zu wie der Rolle, der es entspricht. Wenn Sie die EC2 Amazon-Konsole verwenden, um eine Instance mit einer IAM Rolle zu starten oder einer Instance eine IAM Rolle zuzuweisen, wählen Sie die Rolle anhand einer Liste von Instance-Profilnamen aus.

Wenn Sie, oder an verwenden AWS CLI API, AWS SDK um eine Rolle zu erstellen, erstellen Sie die Rolle und das Instance-Profil als separate Aktionen mit möglicherweise unterschiedlichen Namen. Wenn Sie dann das AWS CLI, oder an verwendenAPI, AWS SDK um eine Instance mit einer IAM Rolle zu starten oder einer Instanz eine IAM Rolle zuzuweisen, geben Sie den Namen des Instanzprofils an.

Ein Instanzprofil kann nur eine IAM Rolle enthalten. Dieses Limit kann nicht erhöht werden.

Weitere Informationen finden Sie unter Instanzprofile im IAMBenutzerhandbuch.

Berechtigungen für Ihren Anwendungsfall

Wenn Sie zum ersten Mal eine IAM Rolle für Ihre Anwendungen erstellen, gewähren Sie manchmal Berechtigungen, die über das hinausgehen, was erforderlich ist. Bevor Sie Ihre Anwendung in Ihrer Produktionsumgebung starten, können Sie eine IAM Richtlinie generieren, die auf der Zugriffsaktivität für eine IAM Rolle basiert. IAMAccess Analyzer überprüft Ihre AWS CloudTrail Protokolle und generiert eine Richtlinienvorlage, die die Berechtigungen enthält, die von der Rolle in dem von Ihnen angegebenen Zeitraum verwendet wurden. Sie können die Vorlage verwenden, um eine verwaltete Richtlinie mit detaillierten Berechtigungen zu erstellen und sie dann an die IAM Rolle anzuhängen. Auf diese Weise gewähren Sie nur die Berechtigungen, die die Rolle für die Interaktion mit AWS Ressourcen für Ihren speziellen Anwendungsfall benötigt. Dies hilft Ihnen, die Best Practice einzuhalten, die geringsten Privilegien zu gewähren. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Generierung von IAM Access Analyzer-Richtlinien.

Instanzidentitätsrollen für EC2 Amazon-Instances

Jede EC2 Amazon-Instance, die Sie starten, hat eine Instance-Identitätsrolle, die ihre Identität repräsentiert. Eine Instance-Identitätsrolle ist eine Art von IAM Rolle. AWS Dienste und Funktionen, die zur Verwendung der Instanzidentitätsrolle integriert sind, können sie verwenden, um die Instanz für den Dienst zu identifizieren.

Auf die Anmeldeinformationen für die Instanzidentitätsrolle kann über den Instanz-Metadatendienst (IMDS) unter zugegriffen /identity-credentials/ec2/security-credentials/ec2-instance werden. Die Anmeldeinformationen bestehen aus einem AWS temporären Zugriffsschlüsselpaar und einem Sitzungstoken. Sie werden verwendet, um AWS Sigv4-Anfragen an die AWS Dienste zu signieren, die die Instanzidentitätsrolle verwenden. Die Anmeldeinformationen sind in den Instance-Metadaten vorhanden, unabhängig davon, ob ein Service oder ein Feature, welches Instance-Identitätsrollen verwendet, in der Instance aktiviert ist.

Instance-Identitätsrollen werden automatisch erstellt, wenn eine Instance gestartet wird. Sie haben kein Rollenvertrauensrichtliniendokument und unterliegen keiner Identitäts- oder Ressourcenrichtlinie.

Unterstützte Services

Die folgenden AWS Dienste verwenden die Instanzidentitätsrolle:

  • Amazon EC2EC2Instance Connect verwendet die Instance-Identitätsrolle, um die Hostschlüssel für eine Linux-Instance zu aktualisieren.

  • Amazon GuardDutyRuntime Monitoring verwendet die Instance-Identitätsrolle, damit der Runtime-Agent Sicherheitstelemetrie an den GuardDuty VPC Endpunkt senden kann.

  • AWS Security Token Service (AWS STS) — Die Anmeldeinformationen für die Instance-Identitätsrolle können für die AWS STS GetCallerIdentityAktion verwendet werden.

  • AWS Systems Manager— Bei Verwendung der Standard-Host-Management-Konfiguration AWS Systems Manager wird die Identität verwendet, die von der Instance-Identitätsrolle bereitgestellt wird, um EC2 Instances zu registrieren. Nachdem Sie Ihre Instanz identifiziert haben, kann Systems Manager Ihre AWSSystemsManagerDefaultEC2InstanceManagementRole IAM Rolle an Ihre Instanz übergeben.

Instanzidentitätsrollen können nicht mit anderen AWS Diensten oder Funktionen verwendet werden, da sie nicht mit Instanzidentitätsrollen integriert sind.

Rolle „Instanzidentität“ ARN

Die ARN Instanzidentitätsrolle hat das folgende Format:

arn:aws-partition:iam::account-number:assumed-role/aws:ec2-instance/instance-id

Beispielsweise:

arn:aws:iam::0123456789012:assumed-role/aws:ec2-instance/i-0123456789example

Weitere Informationen zu ARNs finden Sie unter Amazon Resource Names (ARNs) im IAMBenutzerhandbuch.