Restrinja los permisos con los perfiles de instancia de Amazon EC2 IAM

Un perfil de instancia de IAM es un contenedor para un rol de IAM que puedes usar para pasar la información del rol a una EC2 instancia de Amazon cuando se inicia la instancia.

Actualmente, customer-mc-ec2-instance-profile existe un perfil de instancia predeterminado de AWS Managed Services (AMS) que concede permisos a las aplicaciones que se ejecutan en la instancia, no a los usuarios que inician sesión en ella. Es posible que desee modificar el perfil de instancia predeterminado o crear uno nuevo si quiere conceder a una instancia acceso a algo sin conceder también el acceso a otras instancias. Puede solicitar un nuevo perfil de instancia de IAM con la opción Gestión | Aplicaciones | Perfil de instancia de IAM | Crear tipo de cambio (ct-0ixp4ch2tiu04). Al enviar la RFC, puede crear su propio perfil de instancia e incluirlo como tal, o simplemente informar a AMS (utilizando el mismo InstanceProfileDescription campo) de los cambios que desea realizar. Como se trata de un CT manual, AMS debe aprobar el cambio y se pondrá en contacto contigo al respecto.

Si no estás familiarizado con las políticas de Amazon IAM, consulta Descripción general de las políticas de IAM para obtener información importante. También hay una buena entrada de blog, Demystifying EC2 Amazon Resource-Level Permissions. Tenga en cuenta que, actualmente, AMS no admite el control de acceso basado en recursos, pero sí admite controles a nivel de recursos mediante políticas de funciones de IAM (para obtener una explicación de la diferencia, consulte Servicios que funcionan con IAM).AWS

Zona de destino con una sola cuenta (AMS):

Para ver una tabla de permisos que concede el perfil de instancia de IAM de AMS predeterminado, vaya a Perfil de instancia de EC2 IAM.