Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Concessione dell'autorizzazione a collegare un ruolo IAM a un'istanza
Le tue identità Account AWS, come gli utenti IAM, devono disporre di autorizzazioni specifiche per avviare un'istanza Amazon EC2 con un ruolo IAM, associare un ruolo IAM a un'istanza, sostituire il ruolo IAM con un'istanza o scollegare un ruolo IAM da un'istanza. Se necessario, devi concedergli l'autorizzazione per utilizzare le seguenti operazioni API:
-
iam:PassRole -
ec2:AssociateIamInstanceProfile -
ec2:DisassociateIamInstanceProfile -
ec2:ReplaceIamInstanceProfileAssociation
Nota
Se specifichi la risorsa per iam:PassRole come *, ciò garantisce l'accesso per passare uno qualsiasi dei tuoi ruoli IAM a un'istanza. Per seguire la best practice del privilegio minimo, specifica i ruoli IAM specifici coniam:PassRole, come mostrato nella politica ARNs di esempio riportata di seguito.
Esempio di policy per l'accesso programmatico
La seguente policy IAM concede le autorizzazioni per avviare istanze con un ruolo IAM, associare un ruolo IAM a un'istanza o sostituire il ruolo IAM con un'istanza utilizzando l'API Amazon EC2 AWS CLI o l'API di Amazon EC2.
Requisito aggiuntivo per l'accesso alla console
Per concedere le autorizzazioni per eseguire le stesse operazioni mediante la console Amazon EC2, è necessario includere anche l'operazione API iam:ListInstanceProfiles.
