尝试更好地理解 AWS IAM 资源/概念。我知道有一种方法可以配置 EC2(可能通过其底层 AMI 或启动模板),以便在首次启动时自动为该实例应有权访问的内容分配正确的角色/权限。例如,如果我知道在该实例上运行的软件服务器需要 S3 读/写访问权限,我应该能够配置一些东西,这样我就不需要通过 SSH 连接到该实例并配置文件~/.aws/credentials。
我的理解就是它用户和角色是构成可验证身份的 IAM 资源。这意味着您可以为用户/角色提供一组凭证,然后这些凭证可以针对 AWS 进行身份验证并识别自己。我相信建议的做法是为人类提供用户资源,为软件提供角色资源。所以我会有自己的 AWS IAM 用户,并且该用户将拥有凭证,我会将这些凭证输入到 Web 控制台或 CLI 中以获取对 AWS 的访问权限。我的服务器(将部署到 AWS)将被赋予一个 AWS IAM 角色,例如(myapp-server-dev),并且该角色将拥有服务器可以提供给 AWS API 进行身份验证的凭证。
我的理解就是它群组只是用户和/或角色的集合,用于将这些用户/角色分配给特定的权限集。
我的理解是 IAM政策是这些权限集,并且您将策略附加/绑定到用户、角色和/或组,以便授予他们使用各种 AWS 服务/资源的权限。
我的理解是 IAM实例配置文件以某种方式将 EC2 实例绑定到角色,但这也正是我的主要困惑所在。
最后,这是我的理解为了实现这一点:
- 我创建了一个 EC2 实例;并且
- 该 EC2 实例自动获得正确的 AWS 服务/资源的访问权,而无需通过 SSH 在实例上手动安装凭证文件……
...为了实现这一点,我需要:
- 为 EC2 实例以及将在其上运行同类服务器软件的任何其他实例(具有相同的授权需求)创建角色
- 创建一个实例配置文件与此角色绑定的 EC2 实例
- 附上政策该角色(或该角色所属的任何组)可让其访问适当的服务 / 资源
首先,如果我上面所说的任何内容不准确,请开始为我提供一些课程修正/澄清!假设我的理解是正确的,那么我的问题是:如何以及在何处将给定的 EC2 实例与 IAM 实例配置文件关联,以及如何/在何处将该配置文件与角色关联?
答案1
如果您使用控制台,则“IAM 实例配置文件”就是一个角色。
在创建实例时,您可以在“高级详细信息”部分中关联一个。
在后台,AWS 会为您创建实例配置文件。如果您使用命令行或 API,则可以根据需要单独创建它们;请参阅https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2_instance-profiles.html了解详情。