Marcar perfis de instância para funções do Amazon EC2
Quando você executa uma instância do Amazon EC2, você especifica uma função do IAM para associar à instância. Perfil de instância é um contêiner para uma função do IAM que pode ser usada para passar informações da função para uma instância do Amazon EC2 quando a instância é iniciada. Você pode marcar perfis de instância ao usar a AWS CLI ou a API da AWS.
É possível usar pares de chave-valor de etiqueta do IAM para adicionar atributos personalizados a um perfil de instância. Por exemplo, para adicionar informações de departamento a um perfil de instância, você pode adicionar a chave de tag access-team
e o valor de tag eng
. Assim, os principais com tags correspondentes terão acesso a perfis de instância com a mesma tag. Você pode usar vários pares de chave-valor de tag para especificar uma equipe e um projeto: access-team
= eng
e project = peg
. Você pode usar tags para controlar o acesso de um usuário a recursos ou controlar quais tags podem ser associadas a um usuário. Para saber mais sobre como usar tags para controlar o acesso, consulte Controle de acesso para usuários e funções do IAM usando etiquetas.
Você também pode usar tags no AWS STS para adicionar atributos personalizados ao assumir uma função ou federar um usuário. Para ter mais informações, consulte Passar tags de sessão no AWS STS.
Permissões necessárias para marcar perfis de instância
Você deve configurar permissões para permitir que uma entidade (usuário ou função) do IAM etiquete perfis de instância. Você pode especificar uma ou todas as seguintes de etiqueta do IAM em uma política do IAM:
-
iam:ListInstanceProfileTags
-
iam:TagInstanceProfile
-
iam:UntagInstanceProfile
Para permitir que uma entidade (usuário ou função) do IAM adicione, liste ou remova uma etiqueta em um perfil de instância
Adicione a seguinte instrução à política de permissões para a entidade do IAM que precisa gerenciar etiquetas. Use o número da sua conta e substitua <InstanceProfileName>
pelo nome do perfil de instância cujas tags precisam ser gerenciadas. Para saber mais sobre como criar uma política usando este exemplo de documento de política JSON, consulte Criar políticas usando o editor de JSON.
{ "Effect": "Allow", "Action": [ "iam:ListInstanceProfileTags", "iam:TagInstanceProfile", "iam:UntagInstanceProfile" ], "Resource": "arn:aws:iam::
<account-number>
:instance-profile/<InstanceProfileName>
" }
Para permitir que uma entidade (usuário ou função) do IAM adicione uma etiqueta a um perfil de instância específico
Adicione a declaração a seguir à política de permissões da entidade do IAM que precisa adicionar, mas não remover, etiquetas em um perfil de instância específico.
nota
A ação iam:TagInstanceProfile
requer que você também inclua a ação iam:ListInstanceProfileTags
.
Para usar essa política, substitua <InstanceProfileName>
pelo nome do perfil de instância cujas tags precisam ser gerenciadas. Para saber mais sobre como criar uma política usando este exemplo de documento de política JSON, consulte Criar políticas usando o editor de JSON.
{ "Effect": "Allow", "Action": [ "iam:ListInstanceProfileTags", "iam:TagInstanceProfile" ], "Resource": "arn:aws:iam::
<account-number>
:instance-profile/<InstanceProfileName>
" }
Como alternativa, você pode usar uma política gerenciada pela AWS, como IAMFullAccess
Gerenciar tags em perfis de instância (AWS CLI ou API da AWS)
Você pode listar, associar ou remover tags em perfis de instância. Você pode usar a AWS CLI ou a API da AWS para gerenciar tags em perfis de instância.
Listar tags atualmente associadas a um perfil de instância (AWS CLI ou API da AWS)
-
AWS CLI: aws iam list-instance-profile-tags
-
AWS API: ListInstanceProfileTags
Associar tags a um perfil de instância (AWS CLI ou AWS API)
-
AWS CLI: aws iam tag-instance-profile
-
AWS API: TagInstanceProfile
Remover tags de um perfil de instância (AWS CLI ou AWS API)
-
AWS CLI: aws iam untag-instance-profile
-
AWS API: UntagInstanceProfile
Para obter informações sobre como anexar tags a recursos de outros serviços da AWS, consulte a documentação desses serviços.
Para obter informações sobre como usar etiquetas para definir mais permissões detalhadas com políticas de permissões do IAM, consulte Elementos de política do IAM: variáveis e etiquetas.