Anexar uma função do IAM a uma instância - Amazon Elastic Compute Cloud

Anexar uma função do IAM a uma instância

É possível criar uma função do IAM e anexá-la a uma instância durante ou depois da execução. Você também pode substituir ou desanexar perfis do IAM.

Para anexar um perfil do IAM a uma instância na execução usando o console do Amazon EC2, expanda Detalhes avançados. Para Perfil de instância do IAM, selecione o perfil do IAM.

nota

Caso tenha criado o perfil do IAM usando o console do IAM, o perfil da instância terá sido criado para você e terá o mesmo nome do perfil. Caso tenha criado o perfil do IAM usando a AWS CLI, a API ou um SDK da AWS, você poderá ter dado um nome diferente do perfil para o perfil da instância.

Você pode anexar um perfil do IAM a uma instância que está em execução ou interrompida. Se a instância já tiver um perfil do IAM anexado, você deverá substituí-lo pelo novo perfil do IAM.

Console
Como anexar uma função do IAM a uma instância

  1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.

  2. No painel de navegação, escolha Instances (Instâncias).

  3. Selecione a instância.

  4. Selecione Actions (Ações), Security (Segurança), Modify IAM role (Modificar perfil do IAM).

  5. Para Perfil do IAM, selecione o perfil de instância do IAM.

  6. Escolha Atualizar perfil do IAM.

AWS CLI
Como anexar uma função do IAM a uma instância

Use o comando associate-iam-instance-profile para anexar o perfil do IAM à instância. Ao especificar o perfil de instância, você pode usar o nome do recurso da Amazon (ARN) do perfil de instância ou o seu nome.

aws ec2 associate-iam-instance-profile \
    --instance-id i-1234567890abcdef0 \
    --iam-instance-profile Name="TestRole-1"

O seguinte é um exemplo de saída.

{
    "IamInstanceProfileAssociation": {
        "InstanceId": "i-1234567890abcdef0", 
        "State": "associating", 
        "AssociationId": "iip-assoc-0dbd8529a48294120", 
        "IamInstanceProfile": {
            "Id": "AIPAJLNLDX3AMYZNWYYAY", 
            "Arn": "arn:aws:iam::123456789012:instance-profile/TestRole-1"
        }
    }
}
PowerShell
Como anexar uma função do IAM a uma instância

Para substituir a função do IAM em uma instância que já tenha uma função do IAM anexa, a instância deve estar no estado running. Será possível fazer isso se quiser alterar a função do IAM de uma instância sem desanexar a existente primeiro. Por exemplo, é possível fazer isso para garantir que as ações de API desempenhadas por aplicações executadas na instância não sejam interrompidas.

Console
Como substituir uma função do IAM para uma instância

  1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.

  2. No painel de navegação, escolha Instances (Instâncias).

  3. Selecione a instância.

  4. Selecione Actions (Ações), Security (Segurança), Modify IAM role (Modificar perfil do IAM).

  5. Para Perfil do IAM, selecione o perfil de instância do IAM.

  6. Escolha Atualizar perfil do IAM.

AWS CLI
Como substituir uma função do IAM para uma instância

  1. Se necessário, descreva as associações do perfil da instância do IAM para obter o ID da associação do perfil da instância do IAM a ser substituído.

    aws ec2 describe-iam-instance-profile-associations

  2. Use o comando replace-iam-instance-profile-association para substituir o perfil de instância do IAM especificando o ID da associação do perfil da instância existente e o ARN ou o nome do perfil da instância que deve substituí-lo.

    aws ec2 replace-iam-instance-profile-association \
    --association-id iip-assoc-0044d817db6c0a4ba \
    --iam-instance-profile Name="TestRole-2"

    O seguinte é um exemplo de saída.

    {
    "IamInstanceProfileAssociation": {
        "InstanceId": "i-087711ddaf98f9489", 
        "State": "associating", 
        "AssociationId": "iip-assoc-09654be48e33b91e0", 
        "IamInstanceProfile": {
            "Id": "AIPAJCJEDKX7QYHWYK7GS", 
            "Arn": "arn:aws:iam::123456789012:instance-profile/TestRole-2"
        }
    }
}
PowerShell
Como substituir uma função do IAM para uma instância

É possível desanexar uma função do IAM de uma instância em execução ou parada.

Console
Como desanexar uma função do IAM de uma instância

  1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.

  2. No painel de navegação, escolha Instances (Instâncias).

  3. Selecione a instância.

  4. Selecione Actions (Ações), Security (Segurança), Modify IAM role (Modificar perfil do IAM).

  5. Em IAM role (Função do IAM), selecione No IAM Role (Nenhuma função do IAM).

  6. Escolha Atualizar perfil do IAM.

  7. Quando a confirmação for solicitada, insira Desanexar e depois escolha Desanexar.

AWS CLI
Como desanexar uma função do IAM de uma instância

  1. Se necessário, use describe-iam-instance-profile-associations para descrever as associações do perfil da instância do IAM e obter o ID da associação do perfil da instância do IAM a ser desanexado.

    aws ec2 describe-iam-instance-profile-associations

    O seguinte é um exemplo de saída.

    {
    "IamInstanceProfileAssociations": [
        {
            "InstanceId": "i-088ce778fbfeb4361", 
            "State": "associated", 
            "AssociationId": "iip-assoc-0044d817db6c0a4ba", 
            "IamInstanceProfile": {
                "Id": "AIPAJEDNCAA64SSD265D6", 
                "Arn": "arn:aws:iam::123456789012:instance-profile/TestRole-2"
            }
        }
    ]
}

  2. Use o comando disassociate-iam-instance-profile para desanexar o perfil da instância do IAM usando o ID da associação.

    aws ec2 disassociate-iam-instance-profile --association-id iip-assoc-0044d817db6c0a4ba

    O seguinte é um exemplo de saída.

    {
    "IamInstanceProfileAssociation": {
        "InstanceId": "i-087711ddaf98f9489", 
        "State": "disassociating", 
        "AssociationId": "iip-assoc-0044d817db6c0a4ba", 
        "IamInstanceProfile": {
            "Id": "AIPAJEDNCAA64SSD265D6", 
            "Arn": "arn:aws:iam::123456789012:instance-profile/TestRole-2"
        }
    }
}
PowerShell
Como desanexar uma função do IAM de uma instância