Perfis de identidade da instância - Amazon Elastic Compute Cloud
Serviços com suporteARN de perfil de identidade da instância

Perfis de identidade da instância

Cada instância iniciada tem um perfil de identidade da instância que representa sua identidade. Um perfil de identidade de instância é um tipo de perfil do IAM. Serviços da AWS e recursos integrados para usar o perfil de identidade da instância podem usá-lo para identificar a instância com o serviço.

As credenciais do perfil de identidade da instância podem ser acessadas no Serviço de metadados da instância (IMDS) em /identity-credentials/ec2/security-credentials/ec2-instance. As credenciais consistem em um par temporário de chave de acesso da AWS e um token de sessão. Eles são usados para assinar solicitações AWS Sigv4 para os serviços da AWS que usam o perfil de identidade da instância. As credenciais estão presentes nos metadados da instância, independentemente de um serviço ou recurso que faça uso dos perfils de identidade da instância estar habilitado na instância.

Os perfis de identidade da instância são criados automaticamente quando uma instância é iniciada, não possuem nenhum documento de política de confiança de perfil e não estão sujeitos a nenhuma política de identidade ou de recursos.

Serviços com suporte

Os serviços da AWS a seguir usam o perfil de identidade da instância:

  • Amazon EC2: o EC2 Instance Connect usa o perfil de identidade da instância para atualizar as chaves de host de uma instância do Linux.

  • Amazon GuardDuty: o monitoramento do tempo de execução usa o perfil de identidade da instância para permitir que o agente de runtime envie telemetria de segurança para o endpoint da VPC do GuardDuty.

  • AWS Security Token Service (AWS STS): as credenciais do perfil de identidade da instância podem ser usadas com a ação AWS STS GetCallerIdentity.

  • AWS Systems Manager: ao usar a Configuração padrão de gerenciamento de host, o AWS Systems Manager usa a identidade fornecida pelo perfil de identidade da instância para registrar instâncias do EC2. Depois de identificar sua instância, o Systems Manager pode passar seu perfil do IAM AWSSystemsManagerDefaultEC2InstanceManagementRole para sua instância.

Os perfis de identidade da instância não podem ser usados com outros serviços ou recursos da AWS, pois eles não têm uma integração com os perfis de identidade da instância.

ARN de perfil de identidade da instância

O ARN de perfil de identidade da instância assume o seguinte formato:

arn:aws-partition:iam::account-number:assumed-role/aws:ec2-instance/instance-id

Por exemplo:

arn:aws:iam::0123456789012:assumed-role/aws:ec2-instance/i-0123456789example

Para obter mais informações sobre ARNs, consulte Nome do recurso da Amazon (ARN) no Guia do usuário do IAM.