IAMruoli per Amazon EC2 - Amazon Elastic Compute Cloud
Profili delle istanzeCaso d'uso delle autorizzazioniRuoli di identità dell'istanza

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

IAMruoli per Amazon EC2

Le applicazioni devono firmare le proprie API richieste con AWS credenziali. Pertanto, se sei uno sviluppatore di applicazioni, hai bisogno di una strategia per la gestione delle credenziali per le applicazioni eseguite su EC2 istanze. Ad esempio, puoi distribuire in modo sicuro le credenziali AWS alle istanze, consentendo alle applicazioni eseguite su tali istanze di utilizzare le credenziali per firmare le richieste, e contemporaneamente proteggere le credenziali da altri utenti. Tuttavia, è difficile distribuire in modo sicuro le credenziali a ciascuna istanza, specialmente a quelle AWS create per tuo conto, come le istanze Spot o le istanze nei gruppi di Auto Scaling. Inoltre, devi essere in grado di aggiornare le credenziali su ogni istanza quando ruoti le credenziali. AWS

Abbiamo progettato IAM i ruoli in modo che le tue applicazioni possano effettuare in modo sicuro API le richieste dalle tue istanze, senza che tu debba gestire le credenziali di sicurezza utilizzate dalle applicazioni. Invece di creare e distribuire le AWS credenziali, puoi delegare l'autorizzazione a effettuare API richieste utilizzando i ruoli seguenti: IAM

  1. Creare un ruolo IAM.

  2. Definisci quali account o AWS servizi possono assumere il ruolo.

  3. Definisci quali API azioni e risorse l'applicazione può utilizzare dopo aver assunto il ruolo.

  4. Specificare il ruolo quando avvii l'istanza o quando associ il ruolo a un'istanza esistente.

  5. Impostare l'applicazione in modo che recuperi un set di credenziali temporanee e le utilizzi.

Ad esempio, puoi utilizzare IAM i ruoli per concedere le autorizzazioni alle applicazioni in esecuzione sulle tue istanze che richiedono l'uso di un bucket in Amazon S3. Puoi specificare le autorizzazioni per IAM i ruoli creando una policy in formato. JSON Si tratta di policy simili a quelle create per gli utenti . Se modifichi un ruolo, la modifica verrà propagata a tutte le istanze.

Nota

Le credenziali del EC2 IAM ruolo Amazon non sono soggette alla durata massima delle sessioni configurata nel ruolo. Per ulteriori informazioni, consulta Metodi per assumere un ruolo nella Guida per l'IAMutente.

Durante la creazione IAM dei ruoli, associa IAM politiche con privilegi minimi che limitano l'accesso alle API chiamate specifiche richieste dall'applicazione. Per la Windows-to-Windows comunicazione, utilizzate gruppi e ruoli Windows ben definiti e ben documentati per concedere l'accesso a livello di applicazione tra le istanze di Windows. I gruppi e i ruoli consentono ai clienti di definire autorizzazioni con privilegi minimi a livello di applicazione e NTFS cartella per limitare l'accesso ai requisiti specifici dell'applicazione.

È possibile associare un solo ruolo IAM a un'istanza, ma è possibile associare lo stesso ruolo a molte istanze. Per ulteriori informazioni sulla creazione e l'utilizzo dei IAM ruoli, consulta Ruoli nella Guida per l'utente. IAM

Puoi applicare le autorizzazioni a livello di risorsa alle policy IAM per controllare la capacità degli utenti di collegare, sostituire o scollegare i ruoli IAM per un'istanza. Per ulteriori informazioni, consulta Autorizzazioni supportate a livello di risorsa per le azioni Amazon EC2 API e l'esempio seguente: Esempio: utilizzo dei ruoli IAM.

Indice

Profili delle istanze

Amazon EC2 utilizza un profilo di istanza come contenitore per un IAM ruolo. Quando crei un ruolo IAM utilizzando la console IAM, la console crea automaticamente un profilo dell'istanza e le assegna lo stesso nome del ruolo a cui corrisponde. Se utilizzi la EC2 console Amazon per avviare un'istanza con un IAM ruolo o per assegnare un IAM ruolo a un'istanza, scegli il ruolo in base a un elenco di nomi di profilo dell'istanza.

Se usi AWS CLI API, o an AWS SDK per creare un ruolo, crei il ruolo e il profilo dell'istanza come azioni separate, con nomi potenzialmente diversi. Se poi usi il AWS CLI API, o an AWS SDK per avviare un'istanza con un IAM ruolo o per associare un IAM ruolo a un'istanza, specifica il nome del profilo dell'istanza.

Un profilo dell'istanza può contenere solo un ruolo IAM. Questo limite non può essere aumentato.

Per ulteriori informazioni, consulta Utilizzare i profili di istanza nella Guida IAM per l'utente.

Caso d'uso delle autorizzazioni

Quando si crea per la prima volta un ruolo IAM per le applicazioni, a volte è possibile concedere altre autorizzazioni oltre a quanto richiesto. Prima di avviare l'applicazione nell'ambiente di produzione, è possibile generare una IAM policy basata sull'attività di accesso per un IAM ruolo. IAM Access Analyzer esamina AWS CloudTrail i log e genera un modello di policy che contiene le autorizzazioni utilizzate dal ruolo nell'intervallo di date specificato. È possibile utilizzare il modello per creare una policy gestita con autorizzazioni granulari e quindi collegarla al ruolo IAM. In questo modo, concedi solo le autorizzazioni necessarie al ruolo per interagire con le AWS risorse per il tuo caso d'uso specifico. In questo modo è possibile rispettare la best practice per concedere il minimo privilegio. Per ulteriori informazioni, vedere Generazione di policy di IAM Access Analyzer nella Guida per l'IAMutente.

Ruoli di identità delle istanze per le EC2 istanze Amazon

Ogni EC2 istanza Amazon che avvii ha un ruolo di identità dell'istanza che ne rappresenta l'identità. Un ruolo di identità dell'istanza è un tipo di IAM ruolo. AWS i servizi e le funzionalità integrati per utilizzare il ruolo di identità dell'istanza possono utilizzarlo per identificare l'istanza nel servizio.

Le credenziali del ruolo di identità dell'istanza sono accessibili da Instance Metadata Service (IMDS) all'indirizzo. /identity-credentials/ec2/security-credentials/ec2-instance Le credenziali sono costituite da una coppia di chiavi di accesso AWS temporanea e da un token di sessione. Vengono utilizzate per firmare le richieste AWS Sigv4 ai AWS servizi che utilizzano il ruolo di identità dell'istanza. Le credenziali sono presenti nei metadati dell'istanza indipendentemente dal fatto che sull'istanza sia abilitato un servizio o una funzione che fa uso dei ruoli di identità dell'istanza.

I ruoli di identità dell'istanza vengono creati automaticamente all'avvio di un'istanza, non dispongono di alcun documento relativo alla policy di affidabilità ruolo e non sono soggetti a policy di identità o risorse.

Servizi supportati

I seguenti AWS servizi utilizzano il ruolo di identità dell'istanza:

  • Amazon EC2EC2Instance Connect utilizza il ruolo di identità dell'istanza per aggiornare le chiavi host per un'istanza Linux.

  • Amazon GuardDutyGuardDuty Runtime Monitoring utilizza il ruolo di identità dell'istanza per consentire all'agente runtime di inviare telemetria di sicurezza all'endpoint. GuardDuty VPC

  • AWS Security Token Service (AWS STS) — Le credenziali del ruolo di identità dell'istanza possono essere utilizzate con l'azione. AWS STS GetCallerIdentity

  • AWS Systems Manager— Quando si utilizza la configurazione predefinita di gestione dell'host, AWS Systems Manager utilizza l'identità fornita dal ruolo di identità dell'istanza per registrare le EC2 istanze. Dopo aver identificato l'istanza, Systems Manager può passare il AWSSystemsManagerDefaultEC2InstanceManagementRole IAM ruolo all'istanza.

I ruoli di identità delle istanze non possono essere utilizzati con altri AWS servizi o funzionalità perché non hanno un'integrazione con i ruoli di identità delle istanze.

Ruolo di identità dell'istanza ARN

Il ruolo di identità dell'ARNistanza ha il seguente formato:

arn:aws-partition:iam::account-number:assumed-role/aws:ec2-instance/instance-id

Per esempio:

arn:aws:iam::0123456789012:assumed-role/aws:ec2-instance/i-0123456789example

Per ulteriori informazioniARNs, consulta Amazon Resource Names (ARNs) nella Guida IAM per l'utente.