Etiquetamento de perfis de instância para funções do Amazon EC2 - AWS Identity and Access Management

Etiquetamento de perfis de instância para funções do Amazon EC2

Quando você executa uma instância do Amazon EC2, você especifica uma função do IAM para associar à instância. Perfil de instância é um contêiner para uma função do IAM que pode ser usada para passar informações da função para uma instância do Amazon EC2 quando a instância é iniciada. Você pode marcar perfis de instância ao usar a AWS CLI ou a API da AWS.

É possível usar pares de chave-valor de etiqueta do IAM para adicionar atributos personalizados a um perfil de instância. Por exemplo, para adicionar informações de departamento a um perfil de instância, você pode adicionar a chave de tag access-team e o valor de tag eng. Assim, os principais com tags correspondentes terão acesso a perfis de instância com a mesma tag. Você pode usar vários pares de chave-valor de tag para especificar uma equipe e um projeto: access-team = eng e project = peg. Você pode usar tags para controlar o acesso de um usuário a recursos ou controlar quais tags podem ser associadas a um usuário. Para saber mais sobre como usar tags para controlar o acesso, consulte Controle de acesso para usuários e funções do IAM usando etiquetas.

Você também pode usar tags no AWS STS para adicionar atributos personalizados ao assumir uma função ou federar um usuário. Para obter mais informações, consulte Passar tags de sessão no AWS STS.

Permissões necessárias para marcar perfis de instância

Você deve configurar permissões para permitir que uma entidade (usuário ou função) do IAM etiquete perfis de instância. Você pode especificar uma ou todas as seguintes de etiqueta do IAM em uma política do IAM:

  • iam:ListInstanceProfileTags

  • iam:TagInstanceProfile

  • iam:UntagInstanceProfile

Para permitir que uma entidade (usuário ou função) do IAM adicione, liste ou remova uma etiqueta em um perfil de instância

Adicione a seguinte instrução à política de permissões para a entidade do IAM que precisa gerenciar etiquetas. Use o número da sua conta e substitua <InstanceProfileName> pelo nome do perfil de instância cujas tags precisam ser gerenciadas. Para saber mais sobre como criar uma política usando este exemplo de documento de política JSON, consulte Criar políticas na guia JSON.

{ "Effect": "Allow", "Action": [ "iam:ListInstanceProfileTags", "iam:TagInstanceProfile", "iam:UntagInstanceProfile" ], "Resource": "arn:aws:iam:*:<account-number>:instance-profile/<InstanceProfileName>" }

Para permitir que uma entidade (usuário ou função) do IAM adicione uma etiqueta a um perfil de instância específico

Adicione a declaração a seguir à política de permissões da entidade do IAM que precisa adicionar, mas não remover, etiquetas em um perfil de instância específico.

nota

A ação iam:TagInstanceProfile requer que você também inclua a ação iam:ListInstanceProfileTags.

Para usar essa política, substitua <InstanceProfileName> pelo nome do perfil de instância cujas tags precisam ser gerenciadas. Para saber mais sobre como criar uma política usando este exemplo de documento de política JSON, consulte Criar políticas na guia JSON.

{ "Effect": "Allow", "Action": [ "iam:ListInstanceProfileTags", "iam:TagInstanceProfile" ], "Resource": "arn:aws:iam:*:<account-number>:instance-profile/<InstanceProfileName>" }

Como alternativa, você pode usar uma política gerenciada pela AWS, como IAMFullAccess, para fornecer acesso total ao IAM.

Gerenciar tags em perfis de instância (AWS CLI ou API da AWS)

Você pode listar, associar ou remover tags em perfis de instância. Você pode usar a AWS CLI ou a API da AWS para gerenciar tags em perfis de instância.

Listar tags atualmente associadas a um perfil de instância (AWS CLI ou API da AWS)

Associar tags a um perfil de instância (AWS CLI ou AWS API)

Remover tags de um perfil de instância (AWS CLI ou AWS API)

Para obter informações sobre como anexar tags a recursos de outros serviços da AWS, consulte a documentação desses serviços.

Para obter informações sobre como usar etiquetas para definir mais permissões detalhadas com políticas de permissões do IAM, consulte Elementos de política do IAM: variáveis e etiquetas.