为 Amazon EC2 实例使用IAM角色 - Amazon SDKs 和工具
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为 Amazon EC2 实例使用IAM角色

此示例介绍如何设置一个拥有 Amazon S3 访问权限的 Amazon Identity and Access Management 角色,以便在部署到 Amazon EC2 实例的应用程序中使用。

要在亚马逊弹性计算云实例上运行您的 Amazon SDK应用程序,请创建一个IAM角色,然后授予您的亚马逊EC2实例访问该角色的权限。有关更多信息,请参阅亚马逊EC2用户指南EC2中的亚马逊IAM角色

创建 IAM 角色

您开发的 Amazon SDK应用程序可能至少访问一个应用程序 Amazon Web Services 服务 来执行操作。创建一个IAM角色来授予应用程序运行所需的权限。

例如,此过程创建了一个角色,该角色授予对 Amazon S3 的只读访问权限。许多 Amazon SDK指南都有从 Amazon S3 中读出的 “入门” 教程。

  1. 登录 Amazon Web Services Management Console 并打开IAM控制台,网址为https://console.aws.amazon.com/iam/

  2. 在导航窗格中,选择角色,然后选择创建角色

  3. 对于 选择可信实体,在 可信实体类型,选择 Amazon Web Services 服务

  4. 在 “用例” 下,选择 Amazon EC2,然后选择 “下一步”。

  5. 对于添加权限,请从策略列表中选中 Amazon S3 只读访问权限复选框,然后选择下一步

  6. 输入角色的名称,然后选择创建角色请记住这个名称,因为您在创建 Amazon EC2 实例时会用到它。

启动 Amazon EC2 实例并指定您的IAM角色

您可以通过执行以下操作使用您的IAM角色创建和启动 Amazon EC2 实例:

  • 关注 Amazon EC2 用户指南中的快速启动实例。但是,在最后的提交步骤之前,还要执行以下操作:

    • 高级详细信息下,在IAM实例配置文件中,选择您在上一步中创建的角色。

通过此设置IAM和 Amazon EC2 设置,您可以将应用程序部署到 Amazon EC2 实例,您的应用程序将拥有对 Amazon S3 服务的读取权限。

Connect 连接到EC2实例

连接到 Amazon EC2 实例,这样您就可以将应用程序传输到该实例,然后运行该应用程序。您需要包含您在创建实例时在 Key pair(登录)下使用的密钥对的私有部分的文件;也就是PEM文件。

为此,您可以按照实例类型的指导进行操作:连接到您的 Linux 实例连接到您的 Windows 实例。当您连接时,请确保您可以将文件从开发计算机传输到您的实例。

注意

在 Linux 或 macOS 终端上,您可以使用安全复制命令来复制您的应用程序。要scp与 key pair 一起使用,可以使用以下命令:scp -i path/to/key file/to/copy ec2-user@ec2-xx-xx-xxx-xxx.compute.amazonaws.com:~

有关 Windows 的更多信息,请参阅将文件传输到 Windows 实例

如果您使用的是 Amazon 工具包,则通常也可以使用工具包连接到实例。有关更多信息,请参阅您使用的工具包的特定用户指南。

在EC2实例上运行您的应用程序

  1. 将您的应用程序文件从本地驱动器复制到您的 Amazon EC2 实例。

  2. 启动应用程序并验证其运行结果是否与开发计算机上的结果相同。

  3. (可选)验证应用程序是否使用IAM角色提供的证书。

    1. 登录 Amazon Web Services Management Console 并打开 Amazon EC2 控制台,网址为https://console.aws.amazon.com/ec2/

    2. 选择实例。

    3. 选择 “操作”、“安全”,然后选择 “修改IAM角色”。

    4. 对于IAM角色,请选择 “无IAM角色” 来分离IAM角色

    5. 选择更新IAM角色

    6. 再次运行该应用程序,并确认它返回了授权错误。