Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Ruoli IAM per Amazon EC2
Le applicazioni devono firmare le proprie richieste API con AWS credenziali. Pertanto, se sei uno sviluppatore di applicazioni, avrai bisogno di una strategia per gestire le credenziali per le applicazioni eseguite su istanze EC2. Ad esempio, puoi distribuire in modo sicuro le credenziali AWS alle istanze, consentendo alle applicazioni eseguite su tali istanze di utilizzare le credenziali per firmare le richieste, e contemporaneamente proteggere le credenziali da altri utenti. Tuttavia, è difficile distribuire in modo sicuro le credenziali a ciascuna istanza, specialmente a quelle AWS create per tuo conto, come le istanze Spot o le istanze nei gruppi di Auto Scaling. Inoltre, devi essere in grado di aggiornare le credenziali su ogni istanza quando ruoti le credenziali. AWS
Per i tuoi carichi di lavoro Amazon EC2, ti consigliamo di recuperare le credenziali di sessione utilizzando il metodo descritto di seguito. Queste credenziali dovrebbero consentire al carico di lavoro di effettuare richieste di API AWS , senza dover utilizzare sts:AssumeRole per assumere lo stesso ruolo già associato all'istanza. A meno che non sia necessario passare i tag di sessione per il controllo degli accessi basato sugli attributi (ABAC) o passare una policy di sessione per limitare ulteriormente le autorizzazioni del ruolo, tali chiamate di assunzione del ruolo non sono necessarie in quanto creano un nuovo set delle stesse credenziali di sessione del ruolo temporaneo.
Se il carico di lavoro utilizza un ruolo per assumere se stesso, devi creare una policy di attendibilità che consenta esplicitamente a tale ruolo di assumere se stesso. Se non crei la policy di attendibilità, ricevi l'errore AccessDenied. Per ulteriori informazioni, consulta Modifica di una policy di attendibilità di un ruolo nella Guida per l'utente di IAM.
Abbiamo sviluppato i ruoli IAM in modo da consentire alle applicazioni di eseguire in modo sicuro le richieste API dalle istanze senza la necessità di gestire le credenziali di sicurezza utilizzate dalle applicazioni stesse. Invece di creare e distribuire AWS le tue credenziali, puoi delegare l'autorizzazione a effettuare richieste API utilizzando i ruoli IAM nel modo seguente:
-
Crea un ruolo IAM.
-
Definisci quali account o AWS servizi possono assumere il ruolo.
-
Definire le operazioni e le risorse API che l'applicazione può utilizzare dopo l'assunzione del ruolo.
-
Specificare il ruolo quando avvii l'istanza o quando associ il ruolo a un'istanza esistente.
-
Impostare l'applicazione in modo che recuperi un set di credenziali temporanee e le utilizzi.
Ad esempio, puoi utilizzare i ruoli IAM per concedere le autorizzazioni alle applicazioni eseguite su istanze che devono utilizzare un bucket in Amazon S3. Puoi specificare le autorizzazioni per i ruoli IAM mediante la creazione di una policy in formato JSON. Si tratta di policy simili a quelle create per gli utenti . Se modifichi un ruolo, la modifica verrà propagata a tutte le istanze.
Le credenziali del ruolo IAM di Amazon EC2 non sono soggette alla durata massima delle sessioni configurata nel ruolo. Per ulteriori informazioni, consulta Utilizzo di ruoli IAM nella Guida per l'utente di IAM.
Durante la creazione di ruoli IAM, associa policy IAM con privilegi minimi che limitano l'accesso alle chiamate API specifiche richieste dall'applicazione.
È possibile associare un solo ruolo IAM a un'istanza, ma è possibile associare lo stesso ruolo a molte istanze. Per ulteriori informazioni sulla creazione e sull'utilizzo dei ruoli IAM, consulta la sezione relativa ai ruoli nella Guida per l'utente di IAM.
Puoi applicare le autorizzazioni a livello di risorsa alle policy IAM per controllare la capacità degli utenti di collegare, sostituire o scollegare i ruoli IAM per un'istanza. Per ulteriori informazioni, consulta Autorizzazioni a livello di risorsa supportate per le operazioni API Amazon EC2 e l'esempio seguente: Esempio: utilizzo dei ruoli IAM.
Profili delle istanze
Amazon EC2 utilizza un profilo dell'istanza come container per un ruolo IAM. Quando crei un ruolo IAM utilizzando la console IAM, la console crea automaticamente un profilo dell'istanza e le assegna lo stesso nome del ruolo a cui corrisponde. Se utilizzi la console Amazon EC2 per avviare un'istanza con un ruolo IAM o per collegare un ruolo IAM a un'istanza, scegli il ruolo in base all'elenco di nomi di profilo delle istanze.
Se utilizzi l' AWS CLI API o un AWS SDK per creare un ruolo, crei il ruolo e il profilo dell'istanza come azioni separate, con nomi potenzialmente diversi. Se poi utilizzi l' AWS CLI API o un AWS SDK per avviare un'istanza con un ruolo IAM o per associare un ruolo IAM a un'istanza, specifica il nome del profilo dell'istanza.
Un profilo dell'istanza può contenere solo un ruolo IAM. Questo limite non può essere aumentato.
Per ulteriori informazioni, consulta la sezione relativa ai profili delle istanze nella Guida per l'utente di IAM.
Un'applicazione in un'istanza recupera le credenziali di sicurezza fornite dal ruolo dalla voce iam/security-credentials/role-name nei metadati dell'istanza. All'applicazione vengono concesse le autorizzazioni per le operazioni e le risorse definite per il ruolo tramite le credenziali di sicurezza associate al ruolo. Queste credenziali di sicurezza sono temporanee e sono caratterizzate da un piano di rotazione automatica. Ciò significa che rendiamo disponibili nuove credenziali almeno cinque minuti prima della scadenza delle vecchie credenziali.
Se utilizzi servizi che usano metadati delle istanze con i ruoli IAM, assicurati di non esporre le credenziali quando i servizi effettuano chiamate HTTP per tuo conto. I tipi di servizi che possono esporre le credenziali includono i proxy HTTP, i servizi validatore HTML/CSS e i processori XML che supportano l'inclusione XML.
Il comando seguente recupera le credenziali di sicurezza per un ruolo IAM denominato s3access.
- IMDSv2
-
[ec2-user ~]$ TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"` \
&& curl -H "X-aws-ec2-metadata-token: $TOKEN" http://169.254.169.254/latest/meta-data/iam/security-credentials/s3access
- IMDSv1
-
[ec2-user ~]$ curl http://169.254.169.254/latest/meta-data/iam/security-credentials/s3access
Di seguito è riportato un output di esempio.
{
"Code" : "Success",
"LastUpdated" : "2012-04-26T16:39:16Z",
"Type" : "AWS-HMAC",
"AccessKeyId" : "ASIAIOSFODNN7EXAMPLE",
"SecretAccessKey" : "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY",
"Token" : "token",
"Expiration" : "2017-05-17T15:09:54Z"
}
Per le applicazioni e PowerShell i comandi Tools for Windows eseguiti sull'istanza, non è necessario ottenere in modo esplicito le credenziali di sicurezza temporanee: gli AWS SDK e Tools for Windows ottengono PowerShell automaticamente le credenziali dal servizio di metadati dell'istanza EC2 e le utilizzano. AWS CLI AWS CLI Per eseguire una chiamata esternamente all'istanza utilizzando le credenziali di sicurezza temporanee, ad esempio per testare le policy IAM, è necessario fornire la chiave di accesso, la chiave segreta e il token di sessione. Per ulteriori informazioni, consulta Utilizzo delle credenziali di sicurezza temporanee per richiedere l'accesso alle risorse nella Guida per l'utente IAM. AWS
Per ulteriori informazioni sui metadati delle istanze, consulta Metadati dell'istanza e dati utente. Per informazioni sull'indirizzo IP dei metadati dell'istanza, consulta Recupero dei metadati dell'istanza.
Concessione a un utente dell'autorizzazione a trasferire un ruolo IAM a un'istanza
Per consentire a un utente di avviare un'istanza con un ruolo IAM o per collegare o sostituire un ruolo IAM per un'istanza esistente, devi concedere all'utente l'autorizzazione a utilizzare le seguenti operazioni API:
Ad esempio, la policy IAM seguente concede agli utenti l'autorizzazione ad avviare istanze con un ruolo IAM o a collegare o sostituire un ruolo IAM per un'istanza esistente tramite la AWS CLI.
Questa policy concede agli utenti l'accesso a tutti i ruoli specificando la risorsa come * nella policy. Tuttavia, si prega di tenere conto del principio del privilegio minimo come best practice.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:RunInstances",
"ec2:AssociateIamInstanceProfile",
"ec2:ReplaceIamInstanceProfileAssociation"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::123456789012:role/DevTeam*"
}
]
}
Per concedere agli utenti l'autorizzazione per avviare le istanze con un ruolo IAM o per collegare o sostituire un ruolo IAM per un'istanza esistente tramite la console Amazon EC2, devi concedere loro l'autorizzazione ad utilizzare iam:ListInstanceProfiles, iam:PassRole,ec2:AssociateIamInstanceProfile e ec2:ReplaceIamInstanceProfileAssociation oltre a qualsiasi altra autorizzazione di cui potrebbero aver bisogno. Per esempi di policy, consulta Policy di esempio da utilizzare nella console Amazon EC2.
Utilizzo dei ruoli IAM
Puoi creare un ruolo IAM e collegarlo a un'istanza durante o dopo l'avvio. Puoi inoltre sostituire o scollegare un ruolo IAM per un'istanza.
Creare un ruolo IAM.
Devi creare un ruolo IAM prima di poter avviare un'istanza utilizzando tale ruolo o di collegarlo a un'istanza.
- Console
-
Per creare un ruolo IAM utilizzando la console IAM
Aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/.
-
Nel riquadro di navigazione seleziona Ruoli, quindi scegli Crea ruolo.
-
Nella pagina Seleziona entità attendibile scegli Servizio AWS, quindi seleziona il caso d'uso EC2. Seleziona Successivo.
-
Nella pagina Aggiungi autorizzazioni seleziona una policy che concede alle istanze l'accesso alle risorse necessarie. Seleziona Successivo.
-
Nella pagina Nomina, verifica e crea, immetti un nome e una descrizione per il ruolo. Facoltativamente, aggiungi i tag al ruolo. Scegli Crea ruolo.
- Command line
-
Nell'esempio seguente viene creato un ruolo IAM con una policy che consente al ruolo di utilizzare un bucket Amazon S3.
Come creare un ruolo e il profilo dell'istanza IAM (AWS CLI)
-
Creare la seguente policy di attendibilità e salvarla in un file di testo denominato ec2-role-trust-policy.json.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": { "Service": "ec2.amazonaws.com"},
"Action": "sts:AssumeRole"
}
]
}
-
Creare il ruolo s3access e specificare la policy di attendibilità creata utilizzando il comando create-role.
aws iam create-role \
--role-name s3access \
--assume-role-policy-document file://ec2-role-trust-policy.json
Example response
{
"Role": {
"AssumeRolePolicyDocument": {
"Version": "2012-10-17",
"Statement": [
{
"Action": "sts:AssumeRole",
"Effect": "Allow",
"Principal": {
"Service": "ec2.amazonaws.com"
}
}
]
},
"RoleId": "AROAIIZKPBKS2LEXAMPLE",
"CreateDate": "2013-12-12T23:46:37.247Z",
"RoleName": "s3access",
"Path": "/",
"Arn": "arn:aws:iam::123456789012:role/s3access"
}
}
-
Creare una policy di accesso e salvarla in un file di testo denominato ec2-role-access-policy.json. Ad esempio, questa policy concede autorizzazioni amministrative per Amazon S3 ad applicazioni eseguite nell'istanza.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": ["s3:*"],
"Resource": ["*"]
}
]
}
-
Allega la politica di accesso al ruolo utilizzando il put-role-policycomando.
aws iam put-role-policy \
--role-name s3access \
--policy-name S3-Permissions \
--policy-document file://ec2-role-access-policy.json
-
Crea un profilo di istanza denominato s3access-profile utilizzando il create-instance-profilecomando.
aws iam create-instance-profile --instance-profile-name s3access-profile
Example response
{
"InstanceProfile": {
"InstanceProfileId": "AIPAJTLBPJLEGREXAMPLE",
"Roles": [],
"CreateDate": "2013-12-12T23:53:34.093Z",
"InstanceProfileName": "s3access-profile",
"Path": "/",
"Arn": "arn:aws:iam::123456789012:instance-profile/s3access-profile"
}
}
-
Aggiungi il ruolo s3access al profilo dell'istanza s3access-profile.
aws iam add-role-to-instance-profile \
--instance-profile-name s3access-profile \
--role-name s3access
In alternativa, è possibile utilizzare i seguenti AWS Tools for Windows PowerShell comandi:
Avvio di un'istanza con un ruolo IAM
Dopo aver creato un ruolo IAM, puoi avviare un'istanza e associare tale ruolo all'istanza durante l'avvio.
Dopo aver creato un ruolo IAM, potrebbero essere necessari alcuni secondi per la propagazione delle autorizzazioni. Se il primo tentativo di avviare un'istanza con un ruolo ha esito negativo, attendi alcuni secondi prima di riprovare. Per ulteriori informazioni, consulta la sezione Risoluzione dei problemi dei ruoli IAM nella Guida per l'utente di IAM.
- New console
-
Per avviare un'istanza con un ruolo IAM (console)
-
Segui la procedura per avviare un'istanza.
-
Espandi Advanced details (Dettagli avanzati) e per IAM instance profile (Profilo dell'istanza IAM) seleziona il ruolo IAM creato.
Nell'elenco IAM instance profile (Profilo dell'istanza IAM) viene visualizzato il nome del profilo dell'istanza creato contemporaneamente al ruolo IAM. Se hai creato il ruolo IAM utilizzando la console, il profilo dell'istanza creato automaticamente avrà lo stesso nome del ruolo. Se hai creato il tuo ruolo IAM utilizzando l' AWS CLI API o un AWS SDK, potresti aver denominato il profilo dell'istanza in modo diverso.
-
Configura tutti gli altri dettagli richiesti per la tua istanza o accetta i valori predefiniti e seleziona una coppia di chiavi. Per informazioni sui campi della procedura guidata di avvio istanza, consulta Avvio di un'istanza utilizzando parametri definiti.
-
Nel pannello Summary (Riepilogo), verifica la configurazione dell'istanza, quindi scegli Launch instance (Avvia istanza).
-
Se utilizzi le azioni dell'API Amazon EC2 nella tua applicazione, recupera le credenziali di AWS sicurezza rese disponibili sull'istanza e usale per firmare le richieste. L' AWS SDK lo fa per te.
IMDSv2IMDSv1
- IMDSv2
[ec2-user ~]$ TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"` \
&& curl -H "X-aws-ec2-metadata-token: $TOKEN" http://169.254.169.254/latest/meta-data/iam/security-credentials/role_name
- IMDSv1
[ec2-user ~]$ curl http://169.254.169.254/latest/meta-data/iam/security-credentials/role_name
- Old console
-
Per avviare un'istanza con un ruolo IAM (console)
Apri la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.
-
Nel pannello di controllo scegliere Avvia istanza.
-
Selezionare un'AMI e un tipo di istanza, quindi scegliere Next: Configure Instance Details (Successivo: configura dettagli dell'istanza).
-
Nella pagina Configure Instance Details (Configura dettagli dell'istanza), in IAM role (Ruolo IAM), selezionare il ruolo IAM creato.
Nell'elenco IAM role (Ruolo IAM) viene visualizzato il nome del profilo dell'istanza creato quando è stato creato il ruolo IAM. Se hai creato il ruolo IAM utilizzando la console, il profilo dell'istanza creato automaticamente avrà lo stesso nome del ruolo. Se hai creato il tuo ruolo IAM utilizzando l' AWS CLI API o un AWS SDK, potresti aver denominato il profilo dell'istanza in modo diverso.
-
Configurare qualsiasi altro dettaglio, quindi seguire le istruzioni visualizzate nella procedura guidata e scegliere Review and Launch (Analizza e avvia) per accettare le impostazioni di default e passare direttamente alla pagina Review Instance Launch (Rivedi l'avvio dell'istanza).
-
Rivedere le impostazioni, quindi scegliere Launch (Avvia) per scegliere la coppia di chiavi e avviare l'istanza.
-
Se utilizzi le azioni dell'API Amazon EC2 nella tua applicazione, recupera le credenziali di AWS sicurezza rese disponibili sull'istanza e usale per firmare le richieste. L' AWS SDK lo fa per te.
IMDSv2IMDSv1
- IMDSv2
[ec2-user ~]$ TOKEN=`curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 21600"` \
&& curl -H "X-aws-ec2-metadata-token: $TOKEN" http://169.254.169.254/latest/meta-data/iam/security-credentials/role_name
- IMDSv1
[ec2-user ~]$ curl http://169.254.169.254/latest/meta-data/iam/security-credentials/role_name
- Command line
-
Puoi utilizzare il AWS CLI per associare un ruolo a un'istanza durante il lancio. Devi specificare il profilo dell'istanza nel comando.
Come avviare un'istanza con un ruolo IAM (AWS CLI)
-
Utilizzare il comando run-instances per avviare un'istanza utilizzando il profilo dell'istanza. L'esempio seguente illustra come avviare un'istanza con il profilo dell'istanza.
aws ec2 run-instances \
--image-id ami-11aa22bb \
--iam-instance-profile Name="s3access-profile" \
--key-name my-key-pair \
--security-groups my-security-group \
--subnet-id subnet-1a2b3c4d
In alternativa, utilizzate il PowerShell comando New-EC2InstanceTools for Windows.
-
Se utilizzi le azioni dell'API Amazon EC2 nella tua applicazione, recupera le credenziali di AWS sicurezza rese disponibili sull'istanza e usale per firmare le richieste. L' AWS SDK lo fa per te.
curl http://169.254.169.254/latest/meta-data/iam/security-credentials/role_name
Collegamento di un ruolo IAM all'istanza
Per collegare un ruolo IAM a un'istanza senza ruolo, l'istanza può essere nello stato stopped o running.
- Console
-
Per collegare un ruolo IAM a un'istanza
Aprire la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.
-
Nel riquadro di navigazione, seleziona Instances (Istanze).
-
Selezionare l'istanza e scegliere Actions (Operazioni), Security (Sicurezza), Modify IAM role (Modifica ruolo IAM).
-
Selezionare il ruolo IAM da collegare all'istanza e scegliere Save (Salva).
- Command line
-
Come collegare un ruolo IAM a un'istanza (AWS CLI)
-
Se necessario, descrivere le istanze per ottenere l'ID dell'istanza a cui collegare il ruolo.
aws ec2 describe-instances
-
Utilizza il associate-iam-instance-profilecomando per associare il ruolo IAM all'istanza specificando il profilo dell'istanza. Puoi utilizzare il nome della risorsa Amazon (ARN) del profilo dell'istanza oppure il relativo nome.
aws ec2 associate-iam-instance-profile \
--instance-id i-1234567890abcdef0 \
--iam-instance-profile Name="TestRole-1"
Example response
{
"IamInstanceProfileAssociation": {
"InstanceId": "i-1234567890abcdef0",
"State": "associating",
"AssociationId": "iip-assoc-0dbd8529a48294120",
"IamInstanceProfile": {
"Id": "AIPAJLNLDX3AMYZNWYYAY",
"Arn": "arn:aws:iam::123456789012:instance-profile/TestRole-1"
}
}
}
In alternativa, utilizzate i seguenti PowerShell comandi Tools for Windows:
Sostituire un ruolo IAM
Per sostituire il ruolo IAM su un'istanza che ha già un ruolo IAM collegato, l'istanza deve essere nello stato running. È possibile eseguire questa operazione se si desidera modificare il ruolo IAM per un'istanza senza scollegare prima quella esistente. Ad esempio, è possibile eseguire questa operazione per verificare che le operazioni API eseguite dalle applicazioni in esecuzione sull'istanza non siano interrotte.
- Console
-
Per sostituire un ruolo IAM per un'istanza
Aprire la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.
-
Nel riquadro di navigazione, seleziona Instances (Istanze).
-
Selezionare l'istanza e scegliere Actions (Operazioni), Security (Sicurezza), Modify IAM role (Modifica ruolo IAM).
-
Selezionare il ruolo IAM da collegare all'istanza e scegliere Save (Salva).
- Command line
-
Come sostituire un ruolo IAM per un'istanza (AWS CLI)
-
Se necessario, descrivere le associazioni del profilo dell'istanza IAM per recuperare l'ID associazione per il profilo dell'istanza IAM da sostituire.
aws ec2 describe-iam-instance-profile-associations
-
Utilizza il comando replace-iam-instance-profile-association per sostituire il profilo dell'istanza IAM specificando l'ID di associazione per il profilo di istanza esistente e l'ARN o il nome del profilo di istanza che dovrebbe sostituirlo.
aws ec2 replace-iam-instance-profile-association \
--association-id iip-assoc-0044d817db6c0a4ba \
--iam-instance-profile Name="TestRole-2"
Example response
{
"IamInstanceProfileAssociation": {
"InstanceId": "i-087711ddaf98f9489",
"State": "associating",
"AssociationId": "iip-assoc-09654be48e33b91e0",
"IamInstanceProfile": {
"Id": "AIPAJCJEDKX7QYHWYK7GS",
"Arn": "arn:aws:iam::123456789012:instance-profile/TestRole-2"
}
}
}
In alternativa, utilizza i seguenti comandi Tools for Windows: PowerShell
Scollegare un ruolo IAM
Puoi scollegare un ruolo IAM da un'istanza in esecuzione o arrestata.
- Console
-
Per scollegare un ruolo IAM da un'istanza
Aprire la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.
-
Nel riquadro di navigazione, seleziona Instances (Istanze).
-
Selezionare l'istanza e scegliere Actions (Operazioni), Security (Sicurezza), Modify IAM role (Modifica ruolo IAM).
-
Per IAM role (Ruolo IAM), scegliere No IAM Role (Nessun ruolo IAM). Seleziona Salva.
-
Nella finestra di dialogo di conferma, immettere Detach (Scollega), quindi scegliere Detach (Scollega).
- Command line
-
Come scollegare un ruolo IAM da un'istanza (AWS CLI)
-
Se necessario, usa describe-iam-instance-profile-associations per descrivere le associazioni dei profili di istanza IAM e ottenere l'ID di associazione per il profilo dell'istanza IAM da scollegare.
aws ec2 describe-iam-instance-profile-associations
Example response
{
"IamInstanceProfileAssociations": [
{
"InstanceId": "i-088ce778fbfeb4361",
"State": "associated",
"AssociationId": "iip-assoc-0044d817db6c0a4ba",
"IamInstanceProfile": {
"Id": "AIPAJEDNCAA64SSD265D6",
"Arn": "arn:aws:iam::123456789012:instance-profile/TestRole-2"
}
}
]
}
-
Utilizza il disassociate-iam-instance-profilecomando per scollegare il profilo dell'istanza IAM utilizzando il relativo ID di associazione.
aws ec2 disassociate-iam-instance-profile --association-id iip-assoc-0044d817db6c0a4ba
Example response
{
"IamInstanceProfileAssociation": {
"InstanceId": "i-087711ddaf98f9489",
"State": "disassociating",
"AssociationId": "iip-assoc-0044d817db6c0a4ba",
"IamInstanceProfile": {
"Id": "AIPAJEDNCAA64SSD265D6",
"Arn": "arn:aws:iam::123456789012:instance-profile/TestRole-2"
}
}
}
In alternativa, utilizza i seguenti PowerShell comandi Tools for Windows:
Generazione di una policy per il ruolo IAM in base all'attività di accesso
Quando si crea per la prima volta un ruolo IAM per le applicazioni, a volte è possibile concedere altre autorizzazioni oltre a quanto richiesto. Prima di avviare l'applicazione nell'ambiente di produzione, è possibile generare una policy IAM basata sull'attività di accesso per un ruolo IAM. IAM Access Analyzer esamina AWS CloudTrail i log e genera un modello di policy che contiene le autorizzazioni utilizzate dal ruolo nell'intervallo di date specificato. È possibile utilizzare il modello per creare una policy gestita con autorizzazioni granulari e quindi collegarla al ruolo IAM. In questo modo, concedi solo le autorizzazioni necessarie al ruolo per interagire con le AWS risorse per il tuo caso d'uso specifico. In questo modo è possibile rispettare la best practice per concedere il minimo privilegio. Per ulteriori informazioni, consulta Generazione di policy basate sull'attività di accesso nella Guida per l'utente di IAM.
