Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
IAMperan untuk Amazon EC2
Aplikasi harus menandatangani API permintaan mereka dengan AWS kredensialnya. Oleh karena itu, jika Anda seorang pengembang aplikasi, Anda memerlukan strategi untuk mengelola kredensi untuk aplikasi Anda yang berjalan pada EC2 instance. Sebagai contoh, Anda dapat mendistribusikan kredensial AWS Anda dengan aman ke instans, yang mana hal itu akan memungkinkan aplikasi-aplikasi pada instans tersebut untuk menggunakan kredensial Anda untuk menandatangani permintaan, sekaligus melindungi kredensial Anda dari pengguna lain. Namun, sulit untuk mendistribusikan kredensil secara aman ke setiap instans, terutama yang AWS dibuat atas nama Anda, seperti Instans Spot atau instance di grup Auto Scaling. Anda juga harus dapat memperbarui kredensional pada setiap instance ketika Anda memutar kredensional Anda. AWS
Kami merancang IAM peran agar aplikasi Anda dapat membuat API permintaan dengan aman dari instans Anda, tanpa mengharuskan Anda mengelola kredensil keamanan yang digunakan aplikasi. Alih-alih membuat dan mendistribusikan AWS kredensi Anda, Anda dapat mendelegasikan izin untuk membuat API permintaan menggunakan IAM peran sebagai berikut:
-
Buat IAM peran.
-
Tentukan akun atau AWS layanan mana yang dapat mengambil peran.
-
Tentukan API tindakan dan sumber daya mana yang dapat digunakan aplikasi setelah mengambil peran.
-
Tentukan peran saat Anda meluncurkan instans Anda, atau lampirkan peran tersebut ke instans yang sudah ada.
-
Buatlah aplikasi tersebut mengambil satu set kredensial sementara lalu gunakan kredensial tersebut.
Misalnya, Anda dapat menggunakan IAM peran untuk memberikan izin ke aplikasi yang berjalan pada instans yang perlu menggunakan bucket di Amazon S3. Anda dapat menentukan izin untuk IAM peran dengan membuat kebijakan dalam JSON format. Peran ini mirip dengan kebijakan yang Anda buat untuk pengguna. Jika Anda mengubah peran, maka perubahan itu akan disebarkan ke semua instans.
catatan
Kredensi EC2 IAM peran Amazon tidak tunduk pada durasi sesi maksimum yang dikonfigurasi dalam peran. Untuk informasi selengkapnya, lihat Metode untuk mengambil peran dalam Panduan IAM Pengguna.
Saat membuat IAM peran, kaitkan IAM kebijakan hak istimewa terkecil yang membatasi akses ke API panggilan spesifik yang dibutuhkan aplikasi. Untuk Windows-to-Windows komunikasi, gunakan grup dan peran Windows yang terdefinisi dengan baik dan terdokumentasi dengan baik untuk memberikan akses tingkat aplikasi antara instance Windows. Grup dan peran memungkinkan pelanggan untuk menentukan izin aplikasi dan NTFS tingkat folder dengan hak istimewa paling sedikit untuk membatasi akses ke persyaratan khusus aplikasi.
Anda hanya dapat melampirkan satu IAM peran ke instance, tetapi Anda dapat melampirkan peran yang sama ke banyak instance. Untuk informasi selengkapnya tentang membuat dan menggunakan IAM peran, lihat Peran di Panduan IAM Pengguna.
Anda dapat menerapkan izin tingkat sumber daya ke IAM kebijakan Anda untuk mengontrol kemampuan pengguna untuk melampirkan, mengganti, atau melepaskan peran untuk suatu instans. IAM Untuk informasi selengkapnya, lihat Izin tingkat sumber daya yang didukung untuk tindakan Amazon EC2 API dan contoh berikut ini: Contoh: Bekerja dengan IAM peran.
Daftar Isi
Profil instans
Amazon EC2 menggunakan profil instance sebagai wadah untuk IAM peran. Saat Anda membuat IAM peran menggunakan IAM konsol, konsol akan membuat profil instance secara otomatis dan memberinya nama yang sama dengan peran yang sesuai dengannya. Jika Anda menggunakan EC2 konsol Amazon untuk meluncurkan instance dengan IAM peran atau melampirkan IAM peran ke instance, Anda memilih peran berdasarkan daftar nama profil instance.
Jika Anda menggunakan AWS CLI,API, atau AWS SDK untuk membuat peran, Anda membuat profil peran dan instance sebagai tindakan terpisah, dengan nama yang berpotensi berbeda. Jika Anda kemudian menggunakan AWS CLI API,, atau AWS SDK untuk meluncurkan instance dengan IAM peran atau melampirkan IAM peran ke instance, tentukan nama profil instance.
Profil instance hanya dapat berisi satu IAM peran. Batas ini tidak dapat dinaikkan.
Untuk informasi selengkapnya, lihat Menggunakan profil instans di Panduan IAM Pengguna.
Izin untuk kasus penggunaan Anda
Saat pertama kali membuat IAM peran untuk aplikasi, terkadang Anda dapat memberikan izin di luar yang diperlukan. Sebelum meluncurkan aplikasi di lingkungan produksi, Anda dapat membuat IAM kebijakan yang didasarkan pada aktivitas akses untuk IAM peran. IAM Access Analyzer meninjau AWS CloudTrail log Anda dan membuat templat kebijakan yang berisi izin yang telah digunakan oleh peran dalam rentang tanggal yang ditentukan. Anda dapat menggunakan templat untuk membuat kebijakan terkelola dengan izin berbutir halus, lalu melampirkannya ke peran. IAM Dengan begitu, Anda hanya memberikan izin yang diperlukan peran untuk berinteraksi dengan AWS sumber daya untuk kasus penggunaan spesifik Anda. Hal ini akan membantu Anda untuk lebih mematuhi praktik terbaik dalam memberikan hak akses paling rendah. Untuk informasi selengkapnya, lihat Pembuatan kebijakan IAM Access Analyzer di Panduan IAM Pengguna.
Peran identitas instans untuk EC2 instans Amazon
Setiap EC2 instans Amazon yang Anda luncurkan memiliki peran identitas instans yang mewakili identitasnya. Peran identitas instance adalah jenis IAM peran. AWS layanan dan fitur yang terintegrasi untuk menggunakan peran identitas instance dapat menggunakannya untuk mengidentifikasi instance ke layanan.
Kredensial peran identitas instance dapat diakses dari Instance Metadata Service () di. IMDS /identity-credentials/ec2/security-credentials/ec2-instance
Kredensialnya terdiri dari AWS temporary access key pair dan session token. Mereka digunakan untuk menandatangani permintaan AWS Sigv4 ke AWS layanan yang menggunakan peran identitas instance. Kredensial hadir dalam metadata instans terlepas dari apakah layanan atau fitur yang menggunakan peran identitas instans diaktifkan pada instans.
Peran identitas instans dibuat secara otomatis saat instance diluncurkan, tidak memiliki dokumen kebijakan role-trust, dan tidak tunduk pada identitas atau kebijakan sumber daya apa pun.
Layanan yang didukung
AWS Layanan berikut menggunakan peran identitas instance:
-
Amazon EC2 — EC2Instance Connect menggunakan peran identitas instans untuk memperbarui kunci host untuk instance Linux.
-
Amazon GuardDuty — GuardDuty Runtime Monitoring menggunakan peran identitas instans untuk memungkinkan agen runtime mengirim telemetri keamanan ke titik akhir. GuardDuty VPC
-
AWS Security Token Service (AWS STS) - Kredensial peran identitas instance dapat digunakan dengan tindakan. AWS STS
GetCallerIdentity
-
AWS Systems Manager— Saat menggunakan Konfigurasi Manajemen Host Default, AWS Systems Manager gunakan identitas yang disediakan oleh peran identitas instance untuk mendaftarkan EC2 instance. Setelah mengidentifikasi instans Anda, Systems Manager dapat meneruskan
AWSSystemsManagerDefaultEC2InstanceManagementRole
IAM peran Anda ke instans Anda.
Peran identitas instans tidak dapat digunakan dengan AWS layanan atau fitur lain karena tidak memiliki integrasi dengan peran identitas instance.
Peran identitas instance ARN
Peran identitas instance ARN mengambil format berikut:
arn:
aws-partition
:iam::account-number
:assumed-role/aws:ec2-instance/instance-id
Sebagai contoh:
arn:
aws
:iam::0123456789012
:assumed-role/aws:ec2-instance/i-0123456789example
Untuk informasi selengkapnyaARNs, lihat Amazon Resource Names (ARNs) di Panduan IAM Pengguna.