嘗試更好地理解 AWS IAM 資源/概念。我知道有一種方法可以配置 EC2(可以透過其底層 AMI 或啟動模板),這樣當它第一次啟動時,它會自動分配正確的角色/權限來執行執行個體應該存取的內容。例如,如果我知道在該實例上運行的軟體伺服器需要 S3 讀/寫存取權限,我應該能夠進行配置,這樣我就不需要透過 SSH 連接到該實例並配置檔案~/.aws/credentials。
我的理解就是它使用者和角色是構成可驗證身分的 IAM 資源。這表示您可以為使用者/角色提供一組憑證,然後這些憑證可以針對 AWS 進行身份驗證並識別自己的身分。我認為推薦的做法是為人類提供使用者資源並為軟體提供角色資源。因此,我將擁有自己的 AWS IAM 用戶,並且該用戶將擁有憑證,我可以將其輸入到 Web 控制台或 CLI 以取得對 AWS 的存取權。我的伺服器(將部署到 AWS)將被賦予一個 AWS IAM 角色,例如 ( myapp-server-dev),並且該角色將擁有伺服器可以向 AWS API 提供的憑證以進行身份驗證。
我的理解就是它團體只是使用者和/或角色的集合,用於將這些使用者/角色分配給特定的權限集。
我的理解是那個 IAM政策是這些權限集,並且您將政策附加/綁定到使用者、角色和/或群組,以便授予他們對各種 AWS 服務/資源的權限。
我的理解是那個 IAM實例設定檔以某種方式將 EC2 執行個體綁定到角色,但這就是我的主要困惑。
最後,是我的理解為了做到這一點:
- 我創建了一個 EC2 執行個體;和
- 此 EC2 執行個體可以自動存取正確的 AWS 服務/資源,而無需透過 SSH 在執行個體上手動安裝憑證檔案...
……為了實現這一點,我需要:
- 為 EC2 執行個體以及將在其上執行同質伺服器軟體的任何其他執行個體(具有相同的授權需求)建立一個角色
- 創建一個實例設定檔對於綁定到此角色的 EC2 實例
- 附上一個政策授予該角色(或該角色所屬的任何群組)存取適當服務/資源的權限
因此,首先,如果我上面所說的任何內容不準確,請開始為我提供一些課程修正/澄清!假設我的理解是正確的,那麼我的問題是:如何以及在何處將給定 EC2 執行個體與 IAM 執行個體設定檔關聯,以及如何/在何處將該設定檔與角色關聯?
答案1
如果您使用控制台,「IAM 實例設定檔」就是一個角色。
您可以在建立實例時在「進階詳細資料」部分中關聯一個。
AWS 在幕後為您建立執行個體設定檔。如果您使用命令列或 API,您可以根據需要單獨建立它們;看https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2_instance-profiles.html了解詳情。