EC2 Instance Connect Endpoint 的服务相关角色 - Amazon Elastic Compute Cloud
AWSServiceRoleForEC2InstanceConnect 授予的权限 EC2 Instance Connect Endpoint 的服务相关角色EC2 Instance Connect Endpoint 的 Amazon 托管式策略
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

EC2 Instance Connect Endpoint 的服务相关角色

Amazon EC2 使用 Amazon Identity and Access Management(IAM)服务相关角色。服务相关角色是一种独特类型的 IAM 角色,它与 Amazon EC2 直接相关。服务相关角色由 Amazon EC2 预定义,并包含 Amazon EC2 代表您调用其他 Amazon Web Services 所需的一切权限。有关更多信息,请参阅《 IAM 用户指南》中的使用服务相关角色

当您创建 EC2 Instance Connect Endpoint 时,会在您的 Amazon Web Services 账户 中自动创建名为 AWSServiceRoleForEC2InstanceConnect 的服务相关角色和名为 EC2InstanceConnectEndpoint 的托管式策略,并且托管策略会自动附加到服务相关角色。

Amazon EC2 使用 AWSServiceRoleForEC2InstanceConnect 管理您账户中创建 EC2 Instance Connect Endpoint 时所需的网络接口。

AWSServiceRoleForEC2InstanceConnect 授予的权限

Amazon EC2 使用 AWSServiceRoleForEC2InstanceConnect 完成以下操作:

  • ec2:CreateNetworkInterface - 创建网络接口

  • ec2:DeleteNetworkInterface - 删除网络接口

  • ec2:DescribeNetworkInterfaces - 描述网络接口

  • ec2:DescribeAvailabilityZones - 描述可用区

  • ec2:ModifyNetworkInterfaceAttribute - 禁用源/目标检查

使用服务相关角色

EC2 Instance Connect Endpoint 使用名为 AWSServiceRoleForEC2InstanceConnect 的服务相关角色在您的账户中预置使用该服务所需的网络接口。

如果您创建 EC2 Instance Connect Endpoint,则会在您的 Amazon Web Services 账户 中自动创建 EC2InstanceConnectEndpoint 托管式策略并附加到 AWSServiceRoleForEC2InstanceConnect 服务相关角色。

EC2 Instance Connect Endpoint 的服务相关角色

AWSServiceRoleForEC2InstanceConnect 服务相关角色信任以下服务以担任该角色:

  • ec2-instance-connect.amazonaws.com

名为 EC2InstanceConnectEndpoint 的角色权限策略允许 EC2 Instance Connect Endpoint 对指定资源完成以下操作:

  • 操作:ec2:CreateNetworkInterface - 在具有非空标签键 InstanceConnectEndpointId 的所有子网和所有网络接口上,为 EC2 Instance Connect Endpoint 创建网络接口

  • 操作:ec2:CreateTags - 在创建时为具有标签键 InstanceConnectEndpointId 的 EC2 Instance Connect Endpoint 创建的所有网络接口上

  • 操作:ec2:DeleteNetworkInterface - 在为具有标签键 InstanceConnectEndpointId 的 EC2 Instance Connect Endpoint 创建的网络接口上

  • 操作:ec2:DescribeNetworkInterfaces - 在 Instance Connect Endpoint 的网络接口上

  • 操作:ec2:DescribeAvailabilityZones - 用于客户可用区的内部映射

  • 操作:ec2:ModifyNetworkInterfaceAttribute - 在所有网络接口上禁用源和目标检查

信任策略

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "ec2-instance-connect.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

权限策略

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeAvailabilityZones"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface"
            ],
            "Resource": "arn:aws:ec2:*:*:subnet/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface"
            ],
            "Resource": "arn:aws:ec2:*:*:network-interface/*",
            "Condition": {
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": [
                        "InstanceConnectEndpointId"
                    ]
                },
                "Null": {
                    "aws:RequestTag/InstanceConnectEndpointId": "false"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:ModifyNetworkInterfaceAttribute"
            ],
            "Resource": "arn:aws:ec2:*:*:network-interface/*",
            "Condition": {
                "Null": {
                    "aws:ResourceTag/InstanceConnectEndpointId": "false"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": "arn:aws:ec2:*:*:network-interface/*",
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": "CreateNetworkInterface"
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": [
                        "InstanceConnectEndpointId"
                    ]
                },
                "Null": {
                    "aws:RequestTag/InstanceConnectEndpointId": "false"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DeleteNetworkInterface"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "aws:ResourceTag/InstanceConnectEndpointId": [
                        "eice-*"
                    ]
                }
            }
        }
    ]
}

创建 EC2 Instance Connect Endpoint 的服务相关角色

当您创建 EC2 Instance Connect Endpoint 时,系统会自动为您创建服务相关角色 AWSServiceRoleForEC2InstanceConnect

重要

确保 Amazon Web Services 账户 用于创建 EC2 Instance Connect Endpoint 的附加 IAM policy 允许执行 iam:CreateServiceLinkedRole 操作。

编辑 EC2 Instance Connect Endpoint 的服务相关角色

EC2 Instance Connect Endpoint 不允许您编辑 AWSServiceRoleForEC2InstanceConnect 服务相关角色。

删除 EC2 Instance Connect Endpoint 的服务相关角色

如果您不再需要使用 EC2 Instance Connect Endpoint,我们建议您删除 AWSServiceRoleForEC2InstanceConnect 服务相关角色。

注意

只有在删除所有 EC2 Instance Connect Endpoint 资源后,您才可以删除服务相关角色。

使用 Amazon CLI 删除服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的删除服务相关角色

请按照以下步骤使用 Amazon CLI 删除服务相关角色:

  1. 使用 delete-instance-connect-endpoint 命令删除所有 EC2 Instance Connect Endpoint,这也将删除关联的资源。

  2. 使用 delete-service-linked-role 命令删除服务相关角色。删除服务相关角色也会删除关联的托管式策略。

EC2 Instance Connect Endpoint 支持在每个服务可用的 Amazon Web Services 区域 使用 AWSServiceRoleForEC2InstanceConnect 服务相关角色。

EC2 Instance Connect Endpoint 的 Amazon 托管式策略

Amazon 托管式策略:EC2InstanceConnectEndpoint

此附加到服务相关角色的策略允许 EC2 Instance Connect Endpoint 代表您执行操作。有关更多信息,请参阅 EC2InstanceConnectEndpoint

要查看此策略的权限,请参阅 Amazon Web Services Management Console 中的 Ec2InstanceConnectEndpoint

EC2 Instance Connect Endpoint 更新为 Amazon 托管式策略

查看有关自此服务开始跟踪这些更改起,EC2 Instance Connect Endpoint 的 Amazon 托管式策略更新的详细信息。

更改 描述 日期
EC2 Instance Connect Endpoint 开始跟踪更改

EC2 Instance Connect Endpoint 为其 Amazon 托管式策略开启了跟踪更改。

 2023 年 6 月 13 日