实例身份角色
您启动的每个实例都有一个代表其身份的实例身份角色。实例身份角色是一种 IAM 角色。集成使用实例身份角色的 Amazon 服务和功能可以使用它来标识服务的实例。
实例身份角色凭证可通过 /identity-credentials/ec2/security-credentials/ec2-instance
的实例元数据服务(IMDS)访问。凭证由 Amazon 临时访问密钥对和会话令牌组成。它们用于对使用实例身份角色的 Amazon 服务签署 Amazon Sigv4 请求。无论实例上是否启用了使用实例身份角色的服务或功能,凭证都存在于实例元数据中。
实例身份角色会在实例启动时自动创建,没有 role-trust 策略文档,并且不受任何身份或资源策略的约束。
支持的服务
以下 Amazon 服务使用实例身份角色:
-
Amazon EC2:EC2 Instance Connect 使用实例身份角色来更新 Linux 实例的主机密钥。
-
Amazon GuardDuty – 运行时监控使用实例身份角色允许运行时代理向 GuardDuty VPC 端点发送安全遥测数据。
-
Amazon Security Token Service(Amazon STS)– 实例身份角色凭证可与 Amazon STS
GetCallerIdentity
操作结合使用。 -
Amazon Systems Manager – 使用默认主机管理配置时,Amazon Systems Manager 将使用实例身份角色提供的身份来注册 EC2 实例。标识实例后,Systems Manager 可将
AWSSystemsManagerDefaultEC2InstanceManagementRole
IAM 角色传递给实例。
实例身份角色不能与其他 Amazon 服务或功能结合使用,因为其并未与实例身份角色集成。
实例身份角色 ARN
实例身份角色 ARN 采用以下格式:
arn:
aws-partition
:iam::account-number
:assumed-role/aws:ec2-instance/instance-id
例如:
arn:
aws
:iam::0123456789012
:assumed-role/aws:ec2-instance/i-0123456789example
有关 ARN 的更多信息,请参阅《IAM 用户指南》中的 Amazon 资源名称(ARN)。