本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
執行個體身分角色
您啟動的每個執行個體都有一個代表其身分的執行個體身分角色。執行個體身分識別角色是 IAM 角色的一種。 AWS 整合以使用執行個體身分識別角色的服務和功能可以使用它來識別服務的執行個體。
您可以從 /identity-credentials/ec2/security-credentials/ec2-instance
的執行個體中繼資料服務 (IMDS) 存取執行個體身分角色憑證。憑據由 AWS 臨時訪問 key pair 和會話令牌組成。它們是用來簽 AWS 署 Sigv4 要求,以使用執行個體身分識別角色的 AWS 服務。無論執行個體上是否已啟用使用執行個體身分角色的服務或功能,憑證都會顯示在執行個體中繼資料中。
執行個體身分角色在執行個體啟動時自動建立,沒有角色信任政策文件,且不受任何身分或資源政策的約束。
支援的服務
下列 AWS 服務使用執行個體識別角色:
-
Amazon EC2 — EC2 執行個體 Connect 使用執行個體身分角色更新 Linux 執行個體的主機金鑰。
-
Amazon GuardDuty — 執行階段監控使用執行個體身分角色,允許執行階段代理程式將安全性遙測傳送到 GuardDuty VPC 端點。
-
AWS Security Token Service (AWS STS) — 執行個體身分識別角色認證可與 AWS STS
GetCallerIdentity
動作搭配使用。 -
AWS Systems Manager— 使用預設主機管理組態時, AWS Systems Manager 會使用執行個體身分角色提供的身分來註冊 EC2 執行個體。識別執行個體之後,Systems Manager 可將
AWSSystemsManagerDefaultEC2InstanceManagementRole
IAM 角色傳遞給執行個體。
執行個體身分識別角色無法與其他 AWS 服務或功能搭配使用,因為這些角色未與執行個體身分識別角色整合。
執行個體身分角色 ARN
執行個體身分角色 ARN 採用下列格式:
arn:
aws-partition
:iam::account-number
:assumed-role/aws:ec2-instance/instance-id
例如:
arn:
aws
:iam::0123456789012
:assumed-role/aws:ec2-instance/i-0123456789example
如需 ARN 的詳細資訊,請參閱《IAM 使用者指南》中的 Amazon Resource Name (ARN)。