实例身份角色 - Amazon Elastic Compute Cloud
支持的服务实例身份角色 ARN
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

实例身份角色

您启动的每个实例都有一个代表其身份的实例身份角色。实例身份角色是一种 IAM 角色。集成使用实例身份角色的 Amazon 服务和功能可以使用它来标识服务的实例。

实例身份角色凭证可通过 /identity-credentials/ec2/security-credentials/ec2-instance 的实例元数据服务(IMDS)访问。凭证由 Amazon 临时访问密钥对和会话令牌组成。它们用于对使用实例身份角色的 Amazon 服务签署 Amazon Sigv4 请求。无论实例上是否启用了使用实例身份角色的服务或功能,凭证都存在于实例元数据中。

实例身份角色会在实例启动时自动创建,没有 role-trust 策略文档,并且不受任何身份或资源策略的约束。

支持的服务

以下 Amazon 服务使用实例身份角色:

  • Amazon EC2EC2 Instance Connect 使用实例身份角色来更新 Linux 实例的主机密钥。

  • Amazon GuardDuty运行时监控使用实例身份角色允许运行时代理向 GuardDuty VPC 端点发送安全遥测数据。

  • Amazon Security Token Service(Amazon STS)– 实例身份角色凭证可与 Amazon STS GetCallerIdentity 操作结合使用。

  • Amazon Systems Manager – 使用默认主机管理配置时,Amazon Systems Manager 将使用实例身份角色提供的身份来注册 EC2 实例。标识实例后,Systems Manager 可将 AWSSystemsManagerDefaultEC2InstanceManagementRole IAM 角色传递给实例。

实例身份角色不能与其他 Amazon 服务或功能结合使用,因为其并未与实例身份角色集成。

实例身份角色 ARN

实例身份角色 ARN 采用以下格式:

arn:aws-partition:iam::account-number:assumed-role/aws:ec2-instance/instance-id

例如:

arn:aws:iam::0123456789012:assumed-role/aws:ec2-instance/i-0123456789example

有关 ARN 的更多信息,请参阅《IAM 用户指南》中的 Amazon 资源名称(ARN)