Peran IAM untuk aplikasi yang berjalan di instans Amazon EC2 - EC2 Auto Scaling Amazon

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Peran IAM untuk aplikasi yang berjalan di instans Amazon EC2

Aplikasi yang berjalan di EC2 instans Amazon memerlukan kredensil untuk mengakses lainnya. Layanan AWS Untuk memberikan kredensial ini dengan cara yang aman, gunakan peran IAM. Peran tersebut menyediakan izin sementara yang dapat digunakan aplikasi saat mengakses sumber daya lain AWS . Izin peran menentukan apa yang dapat dilakukan aplikasi.

Untuk instance dalam grup Auto Scaling, Anda harus membuat templat peluncuran atau memulai konfigurasi dan memilih profil instance untuk dikaitkan dengan instance. Profil instance adalah wadah untuk peran IAM yang memungkinkan Amazon EC2 meneruskan peran IAM ke instance saat instance diluncurkan. Pertama, buat peran IAM yang memiliki semua izin yang diperlukan untuk mengakses sumber daya. AWS Kemudian, buat profil instance dan tugaskan peran ke profil tersebut.

catatan

Sebagai praktik terbaik, kami sangat menyarankan Anda membuat peran sehingga memiliki izin minimum ke yang lain Layanan AWS yang dibutuhkan aplikasi Anda.

Prasyarat

Buat peran IAM yang EC2 dapat diasumsikan oleh aplikasi Anda yang berjalan di Amazon. Pilih izin yang sesuai sehingga aplikasi yang kemudian diberikan peran tersebut dapat melakukan panggilan API khusus yang diperlukannya.

Jika Anda menggunakan konsol IAM alih-alih konsol AWS CLI atau salah satu AWS SDKs, konsol akan membuat profil instance secara otomatis dan memberinya nama yang sama dengan peran yang sesuai dengannya.

Untuk membuat peran IAM (konsol)
  1. Buka konsol IAM di https://console.aws.amazon.com/iam/.

  2. Pada panel navigasi di sebelah kiri, pilih Peran.

  3. Pilih Buat peran.

  4. Untuk Pilih entitas tepercaya, pilih AWS layanan.

  5. Untuk kasus penggunaan Anda, pilih EC2dan kemudian pilih Berikutnya.

  6. Jika memungkinkan, pilih kebijakan yang akan digunakan untuk kebijakan izin atau pilih Buat kebijakan untuk membuka tab browser baru dan membuat kebijakan baru dari awal. Untuk informasi selengkapnya, lihat Membuat kebijakan IAM dalam Panduan Pengguna IAM. Setelah Anda membuat kebijakan, tutup tab tersebut dan kembali ke tab asli Anda. Pilih kotak centang di samping kebijakan izin yang ingin dimiliki pengguna identitas web.

  7. (Opsional) Tetapkan batas izin. Ini adalah fitur lanjutan yang tersedia untuk peran layanan. Untuk informasi selengkapnya, lihat Batas izin untuk entitas IAM di Panduan Pengguna IAM.

  8. Pilih Berikutnya.

  9. Pada halaman Nama, tinjau, dan buat, untuk nama Peran, masukkan nama peran untuk membantu Anda mengidentifikasi tujuan peran ini. Nama ini harus unik di dalam diri Anda Akun AWS. Karena AWS sumber daya lain mungkin mereferensikan peran, Anda tidak dapat mengedit nama peran setelah dibuat.

  10. Tinjau peran lalu pilih Buat peran.

Izin IAM

Gunakan kebijakan berbasis identitas IAM untuk mengontrol akses ke peran IAM baru Anda. iam:PassRoleIzin diperlukan pada identitas IAM (pengguna atau peran) yang membuat atau memperbarui grup Auto Scaling menggunakan template peluncuran yang menentukan profil instance.

Contoh kebijakan berikut memberikan izin untuk hanya meneruskan peran IAM yang namanya dimulai. qateam-

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::account-id:role/qateam-*", "Condition": { "StringEquals": { "iam:PassedToService": [ "ec2.amazonaws.com", "ec2.amazonaws.com.cn" ] } } } ] }
penting

Untuk informasi tentang cara Amazon EC2 Auto Scaling memvalidasi izin untuk iam:PassRole tindakan untuk grup Auto Scaling yang menggunakan templat peluncuran, lihat. Validasi izin untuk dan ec2:RunInstancesiam:PassRole

Membuat templat peluncuran

Saat Anda membuat template peluncuran menggunakan AWS Management Console, di bagian Detail lanjutan, pilih peran dari profil instans IAM. Untuk informasi selengkapnya, lihat Buat template peluncuran menggunakan pengaturan lanjutan.

Saat Anda membuat template peluncuran menggunakan create-launch-templateperintah dari AWS CLI, tentukan nama profil instance peran IAM Anda seperti yang ditunjukkan pada contoh berikut.

aws ec2 create-launch-template --launch-template-name my-lt-with-instance-profile --version-description version1 \ --launch-template-data '{"ImageId":"ami-04d5cc9b88example","InstanceType":"t2.micro","IamInstanceProfile":{"Name":"my-instance-profile"}}'

Lihat juga

Untuk informasi selengkapnya guna membantu Anda mulai mempelajari dan menggunakan peran IAM untuk Amazon EC2, lihat: