インスタンスプロファイルの使用 - AWS Identity and Access Management

インスタンスプロファイルの使用

インスタンスプロファイルを使用して、IAM ロールを EC2 インスタンスに渡します。詳細については、Linux インスタンス用 Amazon EC2 ユーザーガイド の「Amazon EC2 の IAM ロール」を参照してください。

インスタンスプロファイルの管理 (コンソール)

AWS Management Console を使用して Amazon EC2 のロールを作成する場合、コンソールはインスタンスプロファイルを自動的に作成し、そのインスタンスプロファイルにロールと同じ名前を付けます。IAM ロールを使用してインスタンスを起動するのに Amazon EC2 コンソールを使用する場合、インスタンスに関連付けるロールを選択できます。コンソールに表示されるリストは実際にはインスタンスプロファイル名のリストです。コンソールでは、Amazon EC2 に関連付けられていないロールのインスタンスプロファイルは作成されません。

Amazon EC2 の IAM ロールとインスタンスプロファイルが同じ名前の場合、AWS Management Console を使用して、これらのロールとインスタンスプロファイルを削除できます。インスタンスプロファイルの削除の詳細については、ロールまたはインスタンスプロファイルの削除 を参照してください。

インスタンスプロファイルの管理 (AWS CLI または AWS API)

AWS CLI または AWS API からロールを管理する場合、ロールとインスタンスプロファイルを別個のアクションとして作成します。ロールとインスタンスプロファイルには異なる名前を使用できるため、インスタンスプロファイルの名前とこれらのプロファイルに含まれるロールの名前を知っている必要があります。これにより、EC2 インスタンスを起動するときに適切なインスタンスプロファイルを選択できます。

IAM リソース (インスタンスプロファイルを含む) にタグをアタッチして、それらへのアクセスを特定、整理、制御することができます。インスタンスプロファイルにタグを付けることができるのは、AWS CLI または AWS API を使用する場合のみです。

注記

インスタンスプロファイルに含めることができる IAM ロールは 1 つのみです。ただし、1 つのロールを複数のインスタンスプロファイルに含めることはできます。このインスタンスプロファイルあたり 1 ロールの制限は、緩和できません。既存のロールを削除してから、別のロールをインスタンスプロファイルに追加することはできます。その後、AWS 全体で変更が反映されるのを待つ必要があります。これは結果整合性のためです。変更を強制的に実行するには、インスタンスプロファイルの関連付けを解除してから、インスタンスプロファイルを関連付けるか、インスタンスを停止してから再起動します。

インスタンスプロファイルの管理 (AWS CLI)

AWS アカウントでインスタンスプロファイルを使用するには、以下の AWS CLI コマンドを使用できます。

次のコマンドを使用して、既に実行中の EC2 インスタンスにロールをアタッチすることもできます。詳細については、「Amazon EC2 の IAM ロール」を参照してください。

インスタンスプロファイルの管理 (AWS API)

以下の AWS API オペレーションを呼び出して AWS アカウントのインスタンスプロファイルを使用できます。

以下のオペレーションを呼び出して、既に実行中の EC2 インスタンスにロールをアタッチすることもできます。詳細については、「Amazon EC2 の IAM ロール」を参照してください。

  • ロールが含まれたインスタンスプロファイルを停止中または実行中の EC2 インスタンスにアタッチする: AssociateIamInstanceProfile

  • EC2 インスタンスにアタッチされたインスタンスプロファイルに関する情報を取得する: DescribeIamInstanceProfileAssociations

  • ロールが含まれたインスタンスプロファイルを停止中または実行中の EC2 インスタンスからデタッチする: DisassociateIamInstanceProfile