將 IAM 角色連接至執行個體 - Amazon Elastic Compute Cloud

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

將 IAM 角色連接至執行個體

您可建立 IAM 角色,並在啟動期間或之後將其連接至執行個體。您也可以取代或分離 IAM 角色。

若要使用 Amazon EC2 主控台在啟動時將 IAM 角色連接至執行個體,請展開進階詳細資訊。為 IAM 執行個體設定檔,建立 IAM 角色。

注意

若您已使用主控台建立 IAM 角色,則會為您建立執行個體設定檔,且其名稱會與該角色相同。如果您使用 AWS CLI、 API 或 AWS SDK 建立 IAM 角色,您可能已將與角色不同的名稱授予執行個體描述檔。

您可以將 IAM 角色連接至正在執行或已停止的執行個體。如果執行個體已連接 IAM 角色,您必須將其取代為新的 IAM 角色。

Console
將 IAM 角色連接至執行個體 (主控台)

  1. http://console.aws.amazon.com/ec2/ 開啟 Amazon EC2 主控台。

  2. 在導覽窗格中,選擇執行個體

  3. 選取執行個體。

  4. 選擇 Actions (動作)、Security (安全性)、Modify IAM role (修改 IAM 角色)。

  5. IAM 角色,選擇 IAM 執行個體設定檔。

  6. 選擇更新 IAM 角色

AWS CLI
將 IAM 角色連接至執行個體 (主控台)

使用 associate-iam-instance-profile 命令,將 IAM 角色連接至執行個體。當您指定執行個體設定檔時,您可以使用執行個體設定檔的 Amazon Resource Name (ARN),也可以使用其名稱。

aws ec2 associate-iam-instance-profile \
    --instance-id i-1234567890abcdef0 \
    --iam-instance-profile Name="TestRole-1"
PowerShell
將 IAM 角色連接至執行個體 (主控台)

使用 Register-EC2IamInstanceProfile cmdlet。

Register-EC2IamInstanceProfile `
    -InstanceId i-1234567890abcdef0 `
    -IamInstanceProfile_Name TestRole-1

若要在已連接 IAM 角色的執行個體上取代 IAM 角色,執行個體必須正在執行。如果您想要變更執行個體上的 IAM 角色,但不中斷現有的角色,您可以這麼做。例如,您可以這麼做確保執行個體上應用程式執行的 API 動作不會中斷。

Console
取代執行個體的 IAM 角色

  1. http://console.aws.amazon.com/ec2/ 開啟 Amazon EC2 主控台。

  2. 在導覽窗格中,選擇執行個體

  3. 選取執行個體。

  4. 選擇 Actions (動作)、Security (安全性)、Modify IAM role (修改 IAM 角色)。

  5. IAM 角色,選擇 IAM 執行個體設定檔。

  6. 選擇更新 IAM 角色

AWS CLI
取代執行個體的 IAM 角色

  1. 如有需要,請使用 describe-iam-instance-profile-associations 命令來取得關聯 ID。

    aws ec2 describe-iam-instance-profile-associations \
    --filters Name=instance-id,Values=i-1234567890abcdef0 \
    --query IamInstanceProfileAssociations.AssociationId

  2. 使用 replace-iam-instance-profile-association 命令。指定現有執行個體描述檔的關聯 ID,以及新執行個體描述檔的 ARN 或名稱。

    aws ec2 replace-iam-instance-profile-association \
    --association-id iip-assoc-0044d817db6c0a4ba \
    --iam-instance-profile Name="TestRole-2"
PowerShell
取代執行個體的 IAM 角色

  1. 如有需要,請使用 Get-EC2IamInstanceProfileAssociation cmdlet 取得關聯 ID。

    (Get-EC2IamInstanceProfileAssociation -Filter @{Name="instance-id"; Values="i-0636508011d8e966a"}).AssociationId

  2. 使用 Set-EC2IamInstanceProfileAssociation cmdlet。指定現有執行個體描述檔的關聯 ID,以及新執行個體描述檔的 ARN 或名稱。

    Set-EC2IamInstanceProfileAssociation `
    -AssociationId iip-assoc-0044d817db6c0a4ba `
    -IamInstanceProfile_Name TestRole-2

您可以將 IAM 角色與執行中或已停止的執行個體分離。

Console
分離 IAM 角色和執行個體

  1. http://console.aws.amazon.com/ec2/ 開啟 Amazon EC2 主控台。

  2. 在導覽窗格中,選擇執行個體

  3. 選取執行個體。

  4. 選擇 Actions (動作)、Security (安全性)、Modify IAM role (修改 IAM 角色)。

  5. 針對 IAM role (IAM 角色),選擇 No IAM Role (無 IAM 角色)

  6. 選擇更新 IAM 角色

  7. 出現確認提示時,請輸入分離,然後選擇分離

AWS CLI
分離 IAM 角色和執行個體

  1. 如有需要,請使用 describe-iam-instance-profile-associations 取得要分離的 IAM 執行個體描述檔關聯 ID。

    aws ec2 describe-iam-instance-profile-associations \
    --filters Name=instance-id,Values=i-1234567890abcdef0 \
    --query IamInstanceProfileAssociations.AssociationId

  2. 使用 disassociate-iam-instance-profile 命令。

    aws ec2 disassociate-iam-instance-profile --association-id iip-assoc-0044d817db6c0a4ba
PowerShell
分離 IAM 角色和執行個體

  1. 如有需要,請使用 Get-EC2IamInstanceProfileAssociation 取得要分離的 IAM 執行個體描述檔關聯 ID。

    (Get-EC2IamInstanceProfileAssociation -Filter @{Name="instance-id"; Values="i-0636508011d8e966a"}).AssociationId

  2. 使用 Unregister-EC2IamInstanceProfile cmdlet。

    Unregister-EC2IamInstanceProfile -AssociationId iip-assoc-0044d817db6c0a4ba