AWS IAM 리소스/개념을 좀 더 잘 이해하려고 노력 중입니다. EC2가 처음 시작될 때 인스턴스가 액세스해야 하는 항목에 대한 올바른 역할/권한이 자동으로 할당되도록 EC2(기본 AMI 또는 시작 템플릿을 통해)를 구성하는 방법이 있다는 것을 알고 있습니다. 예를 들어, 해당 인스턴스에서 실행되는 소프트웨어 서버에 S3 읽기/쓰기 액세스가 필요하다는 것을 알고 있는 경우 해당 인스턴스에 SSH를 통해 파일을 구성할 필요가 없도록 구성할 수 있어야 합니다 ~/.aws/credentials.
나의이해그게사용자그리고역할인증 가능한 ID를 구성하는 IAM 리소스입니다. 즉, 사용자/역할에 일련의 자격 증명을 제공할 수 있으며 해당 자격 증명은 AWS에 대해 인증하고 자신을 식별할 수 있습니다. 나는 인간에게 사용자 리소스를 제공하고 소프트웨어에 역할 리소스를 제공하는 것이 권장되는 방식이라고 생각합니다. 따라서 나만의 AWS IAM 사용자가 있고 해당 사용자는 AWS에 액세스하기 위해 웹 콘솔이나 CLI에 입력할 자격 증명을 갖게 됩니다. 그리고 AWS에 배포될 내 서버에는 ( myapp-server-dev)와 같은 AWS IAM 역할이 부여되고 해당 역할에는 서버가 인증을 위해 AWS API에 제공할 수 있는 자격 증명이 있습니다.
나의이해그게여러 떼해당 사용자/역할을 특정 권한 집합에 할당할 목적으로 사용되는 사용자 및/또는 역할의 모음일 뿐입니다.
나의이해그게 IAM인가요?정책이러한 권한 세트이며, 다양한 AWS 서비스/리소스에 대한 권한을 부여하기 위해 사용자, 역할 및/또는 그룹에 정책을 연결/바인딩합니다.
나의이해그게 IAM인가요?인스턴스 프로필어떻게 든 EC2 인스턴스를 역할에 바인딩하지만 여기에 주요 혼란이 있습니다.
드디어 내꺼다이해그렇게 하기 위해서:
- EC2 인스턴스를 생성합니다. 그리고
- 해당 EC2 인스턴스는 SSH를 통해 인스턴스에 자격 증명 파일을 수동으로 설치할 필요 없이 올바른 AWS 서비스/리소스에 자동으로 액세스할 수 있습니다.
...그렇게 하려면 다음을 수행해야 합니다.
- EC2 인스턴스 및 동종 서버 소프트웨어를 실행할 다른 인스턴스(동일한 인증 요구 사항이 있음)에 대한 역할을 생성합니다.
- 만들기인스턴스 프로필이 역할에 바인딩된 EC2 인스턴스의 경우
- 첨부정책적절한 서비스/리소스에 대한 액세스 권한을 부여하는 해당 역할(또는 해당 역할이 구성원으로 속한 그룹)
따라서 먼저 위에 언급한 내용이 정확하지 않은 경우 저를 위해 몇 가지 과정 수정/명확한 설명을 제공해 주시기 바랍니다. 내 이해가 정확하다고 가정하면 여기서 내 질문은 다음과 같습니다.특정 EC2 인스턴스를 IAM 인스턴스 프로필과 어떻게, 어디서 연결하고, 해당 프로필을 역할과 어떻게/어디에서 연결합니까?
답변1
콘솔을 사용하는 경우 "IAM 인스턴스 프로필"은 역할입니다.
인스턴스를 생성할 때 "고급 세부 정보" 섹션에서 연결합니다.
그 뒤에서 AWS는 사용자를 위해 인스턴스 프로필을 생성하고 있습니다. 명령줄이나 API를 사용하는 경우 원하는 경우 별도로 만들 수 있습니다. 보다https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2_instance-profiles.html자세한 내용은.