# Concesión de permisos para asociar un rol de IAM a una instancia Las identidades de su Cuenta de AWS, como los usuarios de IAM, deben tener permisos específicos para inicializar una instancia de Amazon EC2 con un rol de IAM, asociar un rol de IAM a una instancia, reemplazar el rol de IAM de una instancia o separar un rol de IAM de una instancia. Debe concederles permiso para utilizar las siguientes acciones de la API según sea necesario: + `iam:PassRole` + `ec2:AssociateIamInstanceProfile` + `ec2:DisassociateIamInstanceProfile` + `ec2:ReplaceIamInstanceProfileAssociation` **nota** Si especifica el recurso de `iam:PassRole` como `*`, se otorgará acceso para transferir cualquiera de los roles de IAM a una instancia. Para seguir la práctica recomendada de [privilegios mínimos](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege), especifique los ARN de roles de IAM específicos con `iam:PassRole`, tal y como se muestra en el ejemplo de política que aparece a continuación. **Ejemplo de política para el acceso mediante programación** La siguiente política de IAM concede permisos para inicializar instancias con un rol de IAM, asociar un rol de IAM a una instancia o sustituir el rol de IAM para una instancia existente mediante la AWS CLI o la API de Amazon EC2. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:RunInstances", "ec2:AssociateIamInstanceProfile", "ec2:DisassociateIamInstanceProfile", "ec2:ReplaceIamInstanceProfileAssociation" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::{{123456789012}}:role/{{DevTeam}}*" } ] } ``` ------ **Requisito adicional para el acceso con la consola** Si quiere conceder permisos para realizar las mismas tareas con la consola de Amazon EC2, debe incluir también la acción de la API `iam:ListInstanceProfiles`.