Asociar un rol de IAM a una instancia - Amazon Elastic Compute Cloud

Asociar un rol de IAM a una instancia

Puede crear un rol de IAM y adjuntarlo a una instancia durante el lanzamiento o después. También puede desasociar o sustituir roles de IAM.

Para asociar un rol de IAM a una instancia en el momento de la inicialización mediante la consola de Amazon EC2, amplíe Detalles avanzados. En Perfil de instancia de IAM, seleccione el rol de IAM.

nota

Si creó su rol de IAM con la consola de IAM, el perfil de instancia se creó en su nombre y se le dio el mismo nombre que el rol. Si creó el rol de IAM con la AWS CLI, la API o un SDK de AWS, es posible que le haya dado un nombre distinto al del rol a su perfil de instancias.

Puede asociar un rol de IAM a una instancia que esté en ejecución o detenida. Si la instancia ya tiene un rol de IAM asociado, debes sustituirlo por el nuevo rol de IAM.

Console
Para asociar un rol de IAM con una instancia

  1. Abra la consola de Amazon EC2 en http://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, seleccione Instancias.

  3. Seleccione la instancia.

  4. Elija Actions (Acciones), Security (Seguridad), Modify IAM role (Modificar rol de IAM).

  5. En Rol de IAM, seleccione el perfil de instancia de IAM.

  6. Elija Actualizar rol de IAM.

AWS CLI
Para asociar un rol de IAM con una instancia

Use el comando associate-iam-instance-profile para asociar el rol de IAM a la instancia. Cuando especifique el perfil de instancia, puede utilizar el nombre de recurso de Amazon (ARN) del perfil de instancia o bien puede usar el nombre de este.

aws ec2 associate-iam-instance-profile \
    --instance-id i-1234567890abcdef0 \
    --iam-instance-profile Name="TestRole-1"
PowerShell
Para asociar un rol de IAM con una instancia

Utilice el cmdlet Register-EC2IamInstanceProfile.

Register-EC2IamInstanceProfile `
    -InstanceId i-1234567890abcdef0 `
    -IamInstanceProfile_Name TestRole-1

Para reemplazar el rol de IAM en una instancia que ya tiene un rol de IAM asociado, la instancia debe estar ejecutándose . Puede hacerlo si desea cambiar el rol de IAM de una instancia sin disociar primero el existente. Por ejemplo, puede hacer esto para asegurarse de que no se interrumpan las acciones de API realizadas por las aplicaciones que se ejecutan en la instancia.

Console
Para reemplazar un rol de IAM de una instancia

  1. Abra la consola de Amazon EC2 en http://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, seleccione Instancias.

  3. Seleccione la instancia.

  4. Elija Actions (Acciones), Security (Seguridad), Modify IAM role (Modificar rol de IAM).

  5. En Rol de IAM, seleccione el perfil de instancia de IAM.

  6. Elija Actualizar rol de IAM.

AWS CLI
Para reemplazar un rol de IAM de una instancia

  1. Si es necesario, utilice el comando describe-iam-instance-profile-associations para obtener el ID de asociación.

    aws ec2 describe-iam-instance-profile-associations \
    --filters Name=instance-id,Values=i-1234567890abcdef0 \
    --query IamInstanceProfileAssociations.AssociationId

  2. Utilice el comando replace-iam-instance-profile-association. Especifique el ID de asociación del perfil de instancia existente y el ARN o el nombre del nuevo perfil de instancia.

    aws ec2 replace-iam-instance-profile-association \
    --association-id iip-assoc-0044d817db6c0a4ba \
    --iam-instance-profile Name="TestRole-2"
PowerShell
Para reemplazar un rol de IAM de una instancia

  1. Si es necesario, utilice el cmdlet Get-EC2IAMInstanceProfileAssociation para obtener el ID de asociación.

    (Get-EC2IamInstanceProfileAssociation -Filter @{Name="instance-id"; Values="i-0636508011d8e966a"}).AssociationId

  2. Utilice el cmdlet Set-EC2IamInstanceProfileAssociation. Especifique el ID de asociación del perfil de instancia existente y el ARN o el nombre del nuevo perfil de instancia.

    Set-EC2IamInstanceProfileAssociation `
    -AssociationId iip-assoc-0044d817db6c0a4ba `
    -IamInstanceProfile_Name TestRole-2

Puede separar un rol IAM de una instancia que está en ejecución o detenida.

Console
Para separar un rol de IAM de una instancia

  1. Abra la consola de Amazon EC2 en http://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, seleccione Instancias.

  3. Seleccione la instancia.

  4. Elija Actions (Acciones), Security (Seguridad), Modify IAM role (Modificar rol de IAM).

  5. En Rol de IAM, elija Sin rol de IAM.

  6. Elija Actualizar rol de IAM.

  7. Cuando se le pida confirmación, introduzca Desconectar y, a continuación, elija Desconectar.

AWS CLI
Para separar un rol de IAM de una instancia

  1. Si es necesario, utilice describe-iam-instance-profile-associations para obtener el ID de asociación del perfil de instancia de IAM que quiere desasociar.

    aws ec2 describe-iam-instance-profile-associations \
    --filters Name=instance-id,Values=i-1234567890abcdef0 \
    --query IamInstanceProfileAssociations.AssociationId

  2. Utilice el comando disassociate-iam-instance-profile.

    aws ec2 disassociate-iam-instance-profile --association-id iip-assoc-0044d817db6c0a4ba
PowerShell
Para separar un rol de IAM de una instancia

  1. Si es necesario, utilice Get-EC2IamInstanceProfileAssociation para obtener el ID del perfil de instancia de IAM que quiere desasociar.

    (Get-EC2IamInstanceProfileAssociation -Filter @{Name="instance-id"; Values="i-0636508011d8e966a"}).AssociationId

  2. Utilice el cmdlet Unregister-EC2IamInstanceProfile.

    Unregister-EC2IamInstanceProfile -AssociationId iip-assoc-0044d817db6c0a4ba