Anexar uma função do IAM a uma instância
É possível criar uma função do IAM e anexá-la a uma instância durante ou depois da execução. Você também pode substituir ou desanexar perfis do IAM.
Para anexar um perfil do IAM a uma instância na execução usando o console do Amazon EC2, expanda Detalhes avançados. Para Perfil de instância do IAM, selecione o perfil do IAM.
Caso tenha criado o perfil do IAM usando o console do IAM, o perfil da instância terá sido criado para você e terá o mesmo nome do perfil. Caso tenha criado o perfil do IAM usando a AWS CLI, a API ou um SDK da AWS, é possível que você tenha dado um nome diferente do perfil para o perfil da instância.
É possível anexar um perfil do IAM a uma instância que está em execução ou interrompida. Se a instância já tiver um perfil do IAM anexado, você deverá substituí-lo pelo novo perfil do IAM.
- Console
-
Como anexar uma função do IAM a uma instância
Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.
-
No painel de navegação, escolha Instances (Instâncias).
-
Selecione a instância.
-
Selecione Actions (Ações), Security (Segurança), Modify IAM role (Modificar perfil do IAM).
-
Para Perfil do IAM, selecione o perfil de instância do IAM.
-
Escolha Atualizar perfil do IAM.
- AWS CLI
-
Como anexar uma função do IAM a uma instância
Use o comando associate-iam-instance-profile para anexar o perfil do IAM à instância. Ao especificar o perfil de instância, você pode usar o nome do recurso da Amazon (ARN) do perfil de instância ou o seu nome.
aws ec2 associate-iam-instance-profile \
--instance-id i-1234567890abcdef0 \
--iam-instance-profile Name="TestRole-1"
O seguinte é um exemplo de saída.
{
"IamInstanceProfileAssociation": {
"InstanceId": "i-1234567890abcdef0",
"State": "associating",
"AssociationId": "iip-assoc-0dbd8529a48294120",
"IamInstanceProfile": {
"Id": "AIPAJLNLDX3AMYZNWYYAY",
"Arn": "arn:aws:iam::123456789012:instance-profile/TestRole-1"
}
}
}
- PowerShell
-
Como anexar uma função do IAM a uma instância
Para substituir o perfil do IAM em uma instância que já tenha um perfil do IAM anexado, essa instância deve estar em execução. Será possível fazer isso se você quiser alterar a função do IAM de uma instância sem desanexar a existente primeiro. Por exemplo, é possível fazer isso para garantir que as ações de API desempenhadas por aplicações executadas na instância não sejam interrompidas.
- Console
-
Como substituir uma função do IAM para uma instância
Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.
-
No painel de navegação, escolha Instances (Instâncias).
-
Selecione a instância.
-
Selecione Actions (Ações), Security (Segurança), Modify IAM role (Modificar perfil do IAM).
-
Para Perfil do IAM, selecione o perfil de instância do IAM.
-
Escolha Atualizar perfil do IAM.
- AWS CLI
-
Como substituir uma função do IAM para uma instância
-
Se necessário, descreva as associações do perfil da instância do IAM para obter o ID da associação do perfil da instância do IAM a ser substituído.
aws ec2 describe-iam-instance-profile-associations
-
Use o comando replace-iam-instance-profile-association para substituir o perfil de instância do IAM especificando o ID da associação do perfil da instância existente e o ARN ou o nome do perfil da instância que deve substituí-lo.
aws ec2 replace-iam-instance-profile-association \
--association-id iip-assoc-0044d817db6c0a4ba \
--iam-instance-profile Name="TestRole-2"
O seguinte é um exemplo de saída.
{
"IamInstanceProfileAssociation": {
"InstanceId": "i-087711ddaf98f9489",
"State": "associating",
"AssociationId": "iip-assoc-09654be48e33b91e0",
"IamInstanceProfile": {
"Id": "AIPAJCJEDKX7QYHWYK7GS",
"Arn": "arn:aws:iam::123456789012:instance-profile/TestRole-2"
}
}
}
- PowerShell
-
Como substituir uma função do IAM para uma instância
É possível desvincular um perfil do IAM de uma instância que esteja em execução ou interrupção.
- Console
-
Como desanexar uma função do IAM de uma instância
Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.
-
No painel de navegação, escolha Instances (Instâncias).
-
Selecione a instância.
-
Selecione Actions (Ações), Security (Segurança), Modify IAM role (Modificar perfil do IAM).
-
Em IAM role (Função do IAM), selecione No IAM Role (Nenhuma função do IAM).
-
Escolha Atualizar perfil do IAM.
-
Quando a confirmação for solicitada, insira Desanexar e depois escolha Desanexar.
- AWS CLI
-
Como desanexar uma função do IAM de uma instância
-
Se necessário, use describe-iam-instance-profile-associations para descrever as associações do perfil da instância do IAM e obter o ID da associação do perfil da instância do IAM a ser desanexado.
aws ec2 describe-iam-instance-profile-associations
O seguinte é um exemplo de saída.
{
"IamInstanceProfileAssociations": [
{
"InstanceId": "i-088ce778fbfeb4361",
"State": "associated",
"AssociationId": "iip-assoc-0044d817db6c0a4ba",
"IamInstanceProfile": {
"Id": "AIPAJEDNCAA64SSD265D6",
"Arn": "arn:aws:iam::123456789012:instance-profile/TestRole-2"
}
}
]
}
-
Use o comando disassociate-iam-instance-profile para desanexar o perfil da instância do IAM usando o ID da associação.
aws ec2 disassociate-iam-instance-profile --association-id iip-assoc-0044d817db6c0a4ba
O seguinte é um exemplo de saída.
{
"IamInstanceProfileAssociation": {
"InstanceId": "i-087711ddaf98f9489",
"State": "disassociating",
"AssociationId": "iip-assoc-0044d817db6c0a4ba",
"IamInstanceProfile": {
"Id": "AIPAJEDNCAA64SSD265D6",
"Arn": "arn:aws:iam::123456789012:instance-profile/TestRole-2"
}
}
}
- PowerShell
-
Como desanexar uma função do IAM de uma instância
