Ich versuche, die AWS IAM-Ressourcen/-Konzepte ein wenig besser zu verstehen. Ich weiß, dass es eine Möglichkeit gibt, einen EC2 (entweder möglicherweise über das zugrunde liegende AMI oder eine Startvorlage) so zu konfigurieren, dass ihm beim ersten Start automatisch die richtige Rolle/Berechtigungen für Dinge zugewiesen werden, auf die diese Instanz Zugriff haben soll. Wenn ich beispielsweise weiß, dass der auf dieser Instanz ausgeführte Softwareserver S3-Lese-/Schreibzugriff benötigt, sollte ich in der Lage sein, die Dinge so zu konfigurieren, dass ich mich nicht per SSH mit dieser Instanz verbinden und eine ~/.aws/credentialsDatei konfigurieren muss.
MeinVerständnisist dasBenutzerUndRollensind IAM-Ressourcen, die authentifizierbare Identitäten bilden. Das bedeutet, dass Sie einem Benutzer/einer Rolle einen Satz von Anmeldeinformationen zuweisen können, und diese Anmeldeinformationen können dann gegenüber AWS authentifiziert und identifiziert werden. Ich glaube, es ist die empfohlene Vorgehensweise, Menschen eine Benutzerressource und Software eine Rollenressource zuzuweisen. Ich hätte also meinen eigenen AWS IAM-Benutzer, und dieser Benutzer hätte Anmeldeinformationen, die ich in die Webkonsole oder CLI eingeben würde, um Zugriff auf AWS zu erhalten. Und mein Server (der in AWS bereitgestellt würde) würde eine AWS IAM-Rolle wie ( myapp-server-dev) erhalten, und diese Rolle hätte Anmeldeinformationen, die der Server dann der AWS-API zur Authentifizierung vorlegen könnte.
MeinVerständnisist dasGruppensind lediglich Sammlungen von Benutzern und/oder Rollen, die für den Zweck verwendet werden, diese Benutzer/Rollen bestimmten Berechtigungssätzen zuzuweisen.
MeinVerständnisist das ICH BINRichtliniensind diese Berechtigungssätze und dass Sie Richtlinien an Benutzer, Rollen und/oder Gruppen anhängen/binden, um ihnen Berechtigungen für verschiedene AWS-Dienste/-Ressourcen zu erteilen.
MeinVerständnisist das ICH BINInstanzprofileirgendwie eine EC2-Instanz an eine Rolle binden, aber hierin liegt meine größte Verwirrung.
Schließlich ist es meinVerständnisdass, um es so zu machen, dass:
- Ich erstelle eine EC2-Instanz; und
- Diese EC2-Instanz hat automatisch Zugriff auf die richtigen AWS-Dienste/-Ressourcen, ohne dass Anmeldeinformationsdateien manuell über SSH auf der Instanz installiert werden müssen …
... um das zu erreichen, muss ich:
- Erstellen Sie eine Rolle für die EC2-Instanz und alle anderen Instanzen, auf denen homogene Serversoftware ausgeführt wird (die dieselben Autorisierungsanforderungen haben).
- Erstelle einInstanzprofilfür die EC2-Instanz, die an diese Rolle gebunden ist
- Befestigen einPolitikzu dieser Rolle (oder einer Gruppe, der die Rolle angehört), die ihr Zugriff auf die entsprechenden Dienste/Ressourcen gewährt
Wenn also irgendetwas von dem, was ich oben gesagt habe, ungenau ist, dann bitte ich Sie, mir eine Kurskorrektur/Klarstellung zu geben! Vorausgesetzt, mein Verständnis ist richtig, dann lautet meine Frage:wie und wo verknüpfe ich eine bestimmte EC2-Instanz mit einem IAM-Instanzprofil und wie/wo verknüpfe ich dieses Profil mit einer Rolle?
Antwort1
Ein „IAM-Instanzprofil“ ist eine Rolle, wenn Sie die Konsole verwenden.
Sie ordnen eine zu, wenn Sie die Instanz erstellen, im Abschnitt „Erweiterte Details“.
Im Hintergrund erstellt AWS ein Instanzprofil für Sie. Wenn Sie die Befehlszeile oder die API verwenden, können Sie diese bei Bedarf separat erstellen. Weitere Informationen finden Sie unterhttps://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2_instance-profiles.htmlfür Details.