Peran tertaut layanan untuk EC2 Instance Connect Endpoint - Amazon Elastic Compute Cloud

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Peran tertaut layanan untuk EC2 Instance Connect Endpoint

Amazon EC2 menggunakan peran tertaut layanan AWS Identity and Access Management (IAM). Peran tertaut layanan adalah tipe peran IAM unik yang tertaut langsung ke Amazon EC2. Peran tertaut layanan telah ditentukan sebelumnya oleh Amazon EC2 dan mencakup semua izin yang diperlukan Amazon EC2 untuk memanggil orang lain atas nama Anda. Layanan AWS Untuk informasi selengkapnya, lihat Menggunakan peran tertaut layanan di Panduan Pengguna IAM.

Saat Anda membuat Titik Akhir Connect Instance EC2, peran yang ditautkan layanan bernama AWSServiceRoleForEC2InstanceConnectdan kebijakan terkelola bernama EC2 akan dibuat secara otomatis di dalam AndaAkun AWS, dan kebijakan InstanceConnectEndpoint terkelola secara otomatis dilampirkan ke peran yang ditautkan layanan.

Amazon EC2 digunakan AWSServiceRoleForEC2InstanceConnectuntuk mengelola antarmuka jaringan di akun Anda yang diperlukan saat membuat Titik Akhir Instans Connect EC2.

Izin diberikan oleh AWSServiceRoleForEC2InstanceConnect

Penggunaan Amazon EC2 AWSServiceRoleForEC2InstanceConnect untuk menyelesaikan tindakan berikut:

  • ec2:CreateNetworkInterface – Membuat antarmuka jaringan

  • ec2:DeleteNetworkInterface – Menghapus antarmuka jaringan

  • ec2:DescribeNetworkInterfaces – Menjelaskan antarmuka jaringan

  • ec2:DescribeAvailabilityZones – Menjelaskan Zona Ketersediaan

  • ec2:ModifyNetworkInterfaceAttribute – Menonaktifkan pemeriksaan sumber dan tujuan

Gunakan peran tertaut layanan

EC2 Instance Connect Endpoint menggunakan peran terkait layanan yang diberi nama AWSServiceRoleForEC2InstanceConnectuntuk menyediakan antarmuka jaringan di akun Anda yang diperlukan untuk menggunakan layanan.

Jika Anda membuat Titik Akhir Connect Instance EC2, kebijakan InstanceConnectEndpoint terkelola EC2 akan dibuat secara otomatis Akun AWS dan dilampirkan ke peran terkait layanan. AWSServiceRoleForEC2InstanceConnect

Peran Tertaut Layanan untuk EC2 Instance Connect Endpoint

Peran tertaut layanan AWSServiceRoleForEC2InstanceConnect memercayai layanan berikut untuk mengambil peran tersebut:

  • ec2-instance-connect.amazonaws.com

Kebijakan izin peran, bernama EC2 InstanceConnectEndpoint, memungkinkan Titik Akhir Connect Instans EC2 menyelesaikan tindakan berikut pada sumber daya yang ditentukan:

  • Tindakan: ec2:CreateNetworkInterface — Pada semua subnet dan semua antarmuka jaringan dengan kunci tag non-null InstanceConnectEndpointIduntuk membuat antarmuka jaringan untuk EC2 Instance Connect Endpoint

  • Tindakan: ec2:CreateTags — Pada semua antarmuka jaringan yang dibuat untuk Instance Connect Endpoint EC2 pada waktu pembuatan dengan kunci tag InstanceConnectEndpointId

  • Tindakan: ec2:DeleteNetworkInterface — Pada antarmuka jaringan yang dibuat untuk Instance Connect Endpoint EC2 dengan kunci tag InstanceConnectEndpointId

  • Tindakan: ec2:DescribeNetworkInterfaces – Pada antarmuka jaringan untuk Instance Connect Endpoint

  • Tindakan: ec2:DescribeAvailabilityZones — Untuk pemetaan internal Zona Ketersediaan pelanggan

  • Tindakan: ec2:ModifyNetworkInterfaceAttribute – Pada semua antarmuka jaringan untuk menonaktifkan pemeriksaan sumber dan tujuan

Kebijakan kepercayaan

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ec2-instance-connect.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }

Kebijakan izin

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeNetworkInterfaces", "ec2:DescribeAvailabilityZones" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface" ], "Resource": "arn:aws:ec2:*:*:subnet/*" }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface" ], "Resource": "arn:aws:ec2:*:*:network-interface/*", "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": [ "InstanceConnectEndpointId" ] }, "Null": { "aws:RequestTag/InstanceConnectEndpointId": "false" } } }, { "Effect": "Allow", "Action": [ "ec2:ModifyNetworkInterfaceAttribute" ], "Resource": "arn:aws:ec2:*:*:network-interface/*", "Condition": { "Null": { "aws:ResourceTag/InstanceConnectEndpointId": "false" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:*:*:network-interface/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateNetworkInterface" }, "ForAllValues:StringEquals": { "aws:TagKeys": [ "InstanceConnectEndpointId" ] }, "Null": { "aws:RequestTag/InstanceConnectEndpointId": "false" } } }, { "Effect": "Allow", "Action": [ "ec2:DeleteNetworkInterface" ], "Resource": "*", "Condition": { "StringLike": { "aws:ResourceTag/InstanceConnectEndpointId": [ "eice-*" ] } } } ] }

Membuat peran tertaut layanan untuk EC2 Instance Connect Endpoint

Saat Anda membuat Titik Akhir Connect Instance EC2, peran yang ditautkan layanan akan dibuat AWSServiceRoleForEC2InstanceConnectsecara otomatis untuk Anda.

penting

Pastikan bahwa Akun AWS digunakan untuk membuat EC2 Instance Connect Endpoint memiliki kebijakan IAM yang terlampir padanya yang memungkinkan tindakan iam:CreateServiceLinkedRole.

Mengedit peran tertaut layanan untuk EC2 Instance Connect Endpoint

Titik Akhir Instance Connect EC2 tidak memungkinkan Anda mengedit peran terkait AWSServiceRoleForEC2InstanceConnectlayanan.

Mnghapus peran tertaut layanan untuk EC2 Instance Connect Endpoint

Jika Anda tidak perlu lagi menggunakan EC2 Instance Connect Endpoint, sebaiknya hapus peran yang ditautkan AWSServiceRoleForEC2InstanceConnectlayanan.

catatan

Anda hanya dapat menghapus peran tertaut layanan setelah menghapus semua sumber daya EC2 Instance Connect Endpoint.

Gunakan AWS CLI untuk menghapus peran tertaut layanan. Untuk informasi selengkapnya, lihat Menghapus peran tertaut layanan di Panduan Pengguna IAM.

Ikuti langkah-langkah berikut ini untuk menghapus peran yang terkait layanan menggunakan: AWS CLI

  1. Hapus semua EC2 Instance Connect Endpoint menggunakan perintah delete-instance-connect-endpoint; hal ini juga akan menghapus sumber daya terkait.

  2. Hapus peran tertaut layanan menggunakan perintah delete-service-linked-role. Menghapus peran tertaut layanan juga akan menghapus kebijakan yang dikelola terkait.

EC2 Instance Connect Endpoint mendukung penggunaan peran AWSServiceRoleForEC2InstanceConnectterkait layanan di setiap Wilayah AWS tempat layanan tersedia.

Kebijakan yang dikelola AWS untuk EC2 Instance Connect Endpoint

Kebijakan terkelola AWS: EC2InstanceConnectEndpoint

Kebijakan ini dilampirkan ke peran tertaut layanan yang mengizinkan Instans EC2 Connect Endpoint untuk melakukan tindakan atas nama Anda. Untuk informasi selengkapnya, lihat EC2InstanceConnectEndpoint.

Untuk menampilkan izin untuk kebijakan ini, lihat Ec2InstanceConnectEndpoint di AWS Management Console.

Pembaruan EC2 Instance Connect Endpoint untuk kebijakan yang dikelola AWS

Tampilkan detail tentang pembaruan pada kebijakan yang dikelola AWS untuk EC2 Instance Connect sejak layanan ini mulai melacak perubahan-perubahan ini.

Perubahan Deskripsi Tanggal
EC2 Instans Connect melacak perubahan

EC2 Instans Connect Endpoint mulai melacak perubahan kebijakan yang dikelola AWS miliknya.

13 Juni 2023