简介

AWS IAM（身份和访问管理服务）中的角色使您的应用程序在Amazon EC2上能够使用临时的安全凭证自动实现AWS服务的创建，发布和内容修改。使用这样的临时凭证是IAM的最佳做法，因为您不再需要在实例上维护一个或多个长期密钥。对EC2使用IAM角色也无需再使用必须手动或以编程方式管理的长期AWS访问密钥。

例如，应用程序必须通过AWS证书签署API请求。因此，如果您是应用程序开发人员，您需要一个策略来为EC2实例上运行的应用程序管理证书。您可以安全地将您的AWS证书分配至实例，从而允许这些实例上运行的应用程序使用您的证书签署请求，并保护其免受其他用户的影响。但是，要将凭证安全地分配至每项实例有一定难度，尤其是AWS以您的名义创建的实例，例如竞价型实例或Auto Scaling组中的实例。当您更换AWS证书时，您还必须能够更新每项实例上的证书。IAM角色能够委托授权以发出API请求，而不用创建并分配您的AWS证书。详细解决方案，请查阅文档适用于Amazon EC2的IAM角色。

之前，IAM角色只能在实例创建设置时添加，这导致了过去创建的实例和忘记添加IAM角色的实例无法使用IAM角色操作实例，从而被迫重新部署实例及应用程序。从现在开始，您可以通过将IAM角色附加到现有的尚未被角色附加的EC2实例，来使用AWS提供的临时安全证书操作EC2实例，您还可以随时替换附加到现有EC2实例的IAM角色。

适用范围

文中的操作步骤已于2017年2月23日验证通过，其中AWS CLI版本1.11.48，在AWS全球和AWS中国区均能正常使用。

解决方案

创建IAM角色
将IAM角色附加给现有EC2实例（最初没有IAM角色附加）
更换附加到Amazon EC2的IAM角色
移除附加到Amazon EC2的IAM角色

本文假设您具有创建IAM角色的权限，并具有调用EC2 API的权限。

AWS命令行操作步骤中所有出现的占位符{Some Words}，都应该替换为实际资源名称。

AWS控制台操作步骤

打开EC2控制面板，并选择左侧边栏的“实例”。

选择您的实例，依次点击上方的操作->实例设置->Attach/Replace IAM role

打开IAM role下拉菜单，选择您想要附加给当前EC2的IAM角色，No Role代表不附加角色，选好后点击右侧的Apply按钮。选择并应用的过程实际上包含了：将IAM角色附加给现有EC2实例（最初没有IAM角色附加）；更换附加到Amazon EC2的IAM角色；移除附加到Amazon EC2的IAM角色。

如果您选择了No Rule（即移除EC2上的IAM角色），会显示如下页面：

如果您未作出有效的修改，会显示如下页面：

如果您的修改有效，会显示如下页面：

AWS命令行操作步骤

开始操作之前，请确保您的CLI版本大于等于1.11.48。如果您对当前自己的CLI版本有疑问，可以在命令行中执行以下命令进行版本查询：

$aws --version

如果您已经有 pip 和支持的 Python 版本，则可以使用以下命令安装 AWS CLI：

# pip install --upgrade --user awscli

一、创建IAM角色

在从AWS CLI创建IAM角色之前，必须先创建角色信任策略。信任策略允许AWS服务（如EC2）代表您的应用程序承担IAM角色。

要创建信任策略，请复制以下策略，并将其粘贴到使用名称{YourNewRole}-Trust-Policy.json保存的文本文件中，注意后缀名为.json：

♦AWS中国区

{

"Version": "2012-10-17",

"Statement": [

{

"Effect": "Allow",

"Principal": {

"Service": "ec2.amazonaws.com.cn"

},

"Action": "sts:AssumeRole"

}

]

}

♦AWS全球

{

"Version": "2012-10-17",

"Statement": [

{

"Effect": "Allow",

"Principal": {

"Service": "ec2.amazonaws.com"

},

"Action": "sts:AssumeRole"

}

]

}

现在您已成功创建信任策略，接下来创建IAM角色{YourNewRole}：

基于信任策略创建IAM角色{ourNewRole}，打开命令行并执行以下命令：

$aws iam create-role --role-name {YourNewRole} --assume-role–policy-document file://{FilePath}/{YourNewRole}-Trust-Policy.json

注意： file:// 不能省略，策略路径可以是当前相对路径也可以是全路径。

例如：

相对路径： file://TestRole-Trust-Policy.json

全路径：

Windows：file://C:/test/TestRole-Trust-Policy.json

Linux： file:///data/test/TestRole-Trust-Policy.json

给予此IAM角色访问帐户中资源的权限。在本示例中，我假设您的应用程序需要只读访问您帐户中的所有Amazon S3存储桶和存储桶中的对象。因此，您将使用AmazonS3ReadOnlyAccess AWS托管策略。有关AWS托管策略的详细信息，请参阅使用托管策略。在命令行中执行以下命令：

$aws iam attach-role-policy --role-name {YourNewRole} --policy-arn arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess

创建IAM实例配置文件{YourNewRole-Instance-Profile}。实例配置文件允许EC2将IAM角色{YourNewRole}传递给EC2实例。要了解更多信息，请参阅使用实例配置文件。在命令行中执行以下命令：

$aws iam create-instance-profile --instance-profile-name {YourNewRole-Instance-Profile}

$aws iam add-role-to-instance-profile --role-name {YourNewRole} --instance-profile-name {YourNewRole-Instance-Profile}

至此，您已成功创建IAM角色{YourNewRole}。

二、将IAM角色附加给现有EC2实例（最初没有IAM角色附加）

您现在可以将IAM角色{YourNewRole}附加到EC2实例{YourInstanceId}：

获取现有EC2实例详细信息（记录InstanceId）。在命令行中执行以下命令：

$aws ec2 describe-instances

将新创建的IAM角色{YourNewRole}的实例配置文件{YourNewRole-Instance-Profile} 附加到您的EC2实例{YourInstanceId}。在命令行中执行以下命令：

$aws ec2 associate-iam-instance-profile --instance-id {YourInstanceId} --iam-instance-profile Name={YourNewRole-Instance-Profile}

验证IAM角色是否已附加到实例。在命令行中执行以下命令：

$aws ec2 describe-iam-instance-profile-associations

打开AWS EC2控制台，查看实例的描述信息：

进入EC2实例内，查看实例IAM角色具体信息：

$curl http://169.254.169.254/latest/meta-data/iam/security-credentials/{YourNewRole}

至此，您可以使用IAM角色访问AWS资源来更新应用程序，并把实例中的长期密钥删除。

三、更换附加到Amazon EC2的IAM角色

如果角色的使用需求发生改变，并且您希望通过修改IAM角色来授予EC2实例权限，则可以更换换附加到EC2的IAM角色。但是，这也将修改使用此IAM角色的其他EC2实例的权限。

可以采用调用replace-iam-instance-profile-association调用替换IAM角色命令, 将当前附加的IAM角色{YourNewRole}更换为另一个IAM角色｛YourReplacementRole｝(例如:EC2role2)，而不终止您的EC2实例：

步骤:

创建新的IAM实例配置文件{YourReplacementRole-Instance-Profile}指向新的IAM角色{YourReplacementRole}，例如EC2Role。创建命令参考上节内容。
获取现有EC2实例IAM附加信息（记录AssociationId）。在命令行中执行以下命令：

$aws ec2 describe-iam-instance-profile-associations

使用过滤条件和控制查询输出内容，获取指定EC2实例的

$aws ec2 describe-iam-instance-profile-associations --filters Name=instance-id,Values=i-79dxxxx --query

'IamInstanceProfileAssociations[*].{InstanceId:InstanceId,AssociationId:AssociationId}' --output table

更换IAM角色。在命令行中执行以下命令：

$aws ec2 replace-iam-instance-profile-association --association-id {YourCurrentAssociationId}

--iam-instance-profile Name={YourReplacementRole-Instance-Profile}

根据AssociationId的值看出，IAM角色的更改已生效。打开AWS EC2控制台，查看实例的描述信息：

四、移除附加到Amazon EC2的IAM角色

在实际使用过程中，您的EC2可能不再需要通过角色使用AWS资源。这时候您可以选择移除附加在EC2上的IAM角色。

可以采用调用disassociate-iam-instance-profile调用移除IAM角色命令：

步骤:

获取现有EC2实例IAM附加信息（记录AssociationId）。获取IAM信息命令参考上一节所述
移除IAM角色。在命令行中执行以下命令：

$aws ec2 disassociate-iam-instance-profile --association-id {YourCurrentAssociationId }

根据第二次查询现有EC2实例IAM附加信息为空可以看出，当前实例的IAM角色已被移除。

而在上述所有操作的过程中，均未影响EC2的运行状态。

总结：

做为安全最佳实践，让我们现在就行动起来，将所有需要使用AWS资源的Amazon EC2上添加对应的角色。

参考

[1]New! Attach an AWS IAM Role to an Existing Amazon EC2 Instance by Using the AWS CLI

[2]AWS命令行参考手册

[3]Demo脚本下载

作者介绍：

王元恺

AWS实习解决方案架构师，上海交通大学学生，有数年C++程序开发以及一年PHP前后端开发经验，同时致力于AWS云服务在国内的应用和推广。熟悉网站架设与网络应用开发，对于TCP/IP及网络协议有自己的理解和实践经验。

陈琳涛

AWS解决方案架构师。拥有超过15年的IT行业以及软件开发领域的工作经验。2000年投身互联网大潮，创办过自己的公司。长期从事网络相关研发和管理工作，热爱DevOps实践。随后，投身游戏行业，参与多个项目的研发，运维，上线工作。致力于使用云计算来帮助更多的创业者迈向成功。

本文转载自AWS技术博客。

原文链接：
https://amazonaws-china.com/cn/blogs/china/using-aws-console-adding-iam-role-to-ec2-instance/

创作场景

使用 AWS 控制台或命令行将 AWS IAM 角色附加到现有的 Amazon EC2 实例中