IAM 역할을 인스턴스에 연결
IAM 역할을 만들고 시작 도중 또는 후에 인스턴스에 연결할 수 있습니다. IAM 역할을 교체하거나 분리할 수도 있습니다.
인스턴스 시작 중 IAM 역할 생성 및 연결(권장)
-
EC2 인스턴스를 시작하는 동안 고급 세부 정보를 확장합니다.
-
IAM 인스턴스 프로파일 섹션에서 새 IAM 역할 생성을 선택합니다.
-
인라인 역할 생성 양식이 열리고 다음을 수행할 수 있습니다.
-
역할 이름(예: EC2-S3-Access-Role)을 지정합니다.
-
AWS 관리형 정책을 선택하거나 인스턴스에 대한 사용자 지정 정책을 생성하여 권한 정의
예를 들어, S3 액세스 권한을 부여하려면 AmazonS3ReadOnlyAccess 관리형 정책을 선택합니다.
-
ec2.amazonaws.com가 역할을 수임하도록 허용하는 신뢰 정책을 검토합니다.
-
메타데이터에 대한 선택적 태그 추가
-
역할 생성을 선택합니다.
새로 생성된 역할은 자동으로 선택되며 인스턴스가 시작될 때 인스턴스 프로파일을 통해 인스턴스에 연결됩니다.
인스턴스 시작 시 콘솔을 사용하여 역할을 생성하면 해당 역할과 동일한 이름의 인스턴스 프로파일이 자동으로 생성됩니다. 인스턴스 프로파일은 시작할 때 IAM 역할 정보를 인스턴스에 전달하는 컨테이너입니다.
-
인스턴스에 하나의 IAM 역할만 연결할 수 있지만, 여러 인스턴스에 동일한 역할을 연결할 수는 있습니다.
-
애플리케이션에 필요한 특정 API 호출에 대한 액세스를 제한하는 최소 권한 IAM 정책을 연결합니다.
IAM 역할 생성 및 사용에 대한 자세한 내용은 IAM 사용 설명서에서 역할을 참조하십시오.
인스턴스 시작 중 기존 IAM 역할 연결
Amazon EC2 콘솔을 사용하여 시작 시 인스턴스에 기존 IAM 역할을 연결하려면 고급 세부 정보를 확장합니다. IAM 인스턴스 프로파일 드롭다운 목록에서 IAM 역할을 선택합니다.
IAM 콘솔을 사용하여 IAM 역할을 생성한 경우 인스턴스 프로파일이 생성되고 역할과 동일한 이름이 지정됩니다. AWS CLI, API 또는 AWS SDK를 사용하여 IAM 역할을 생성한 경우 인스턴스 프로파일에 역할과 다른 이름을 지정했을 수 있습니다.
실행 중이거나 중지된 인스턴스에 IAM 역할을 연결할 수 있습니다. 인스턴스에 이미 IAM 역할이 연결되어 있는 경우 새 IAM 역할로 교체해야 합니다.
- Console
-
- AWS CLI
-
IAM 역할을 인스턴스에 연결하려면
associate-iam-instance-profile 명령을 사용하여 인스턴스에 IAM 역할을 연결합니다. 인스턴스 프로파일을 지정할 때 인스턴스 프로파일의 Amazon 리소스 이름(ARN) 또는 이름을 사용할 수 있습니다.
aws ec2 associate-iam-instance-profile \
--instance-id i-1234567890abcdef0 \
--iam-instance-profile Name="TestRole-1"
- PowerShell
-
IAM 역할을 인스턴스에 연결하려면
Register-EC2IamInstanceProfile cmdlet을 사용합니다.
Register-EC2IamInstanceProfile `
-InstanceId i-1234567890abcdef0 `
-IamInstanceProfile_Name TestRole-1
이미 IAM 역할이 연결된 인스턴스에서 IAM 역할을 교체하려면 인스턴스가 실행 중이어야 합니다. 기존 인스턴스를 먼저 분리하지 않고 인스턴스에 대한 IAM 역할을 변경하려는 경우 이 작업을 수행할 수 있습니다. 예를 들어 인스턴스에서 실행 중인 애플리케이션에서 수행된 API 작업이 중단되지 않도록 하기 위해 이 작업을 수행할 수 있습니다.
- Console
-
- AWS CLI
-
인스턴스에서 IAM 역할을 대체하려면
-
필요한 경우 describe-iam-instance-profile-associations 명령을 사용하여 연결 ID를 가져옵니다.
aws ec2 describe-iam-instance-profile-associations \
--filters Name=instance-id,Values=i-1234567890abcdef0 \
--query IamInstanceProfileAssociations.AssociationId
-
replace-iam-instance-profile-association 명령을 사용합니다. 기존 인스턴스 프로파일에 대한 연결 ID와 새 인스턴스 프로파일에 대한 ARN 또는 이름을 지정합니다.
aws ec2 replace-iam-instance-profile-association \
--association-id iip-assoc-0044d817db6c0a4ba \
--iam-instance-profile Name="TestRole-2"
- PowerShell
-
인스턴스에서 IAM 역할을 대체하려면
-
필요한 경우 Get-EC2IamInstanceProfileAssociation cmdlet을 사용하여 연결 ID를 가져옵니다.
(Get-EC2IamInstanceProfileAssociation -Filter @{Name="instance-id"; Values="i-0636508011d8e966a"}).AssociationId
-
Set-EC2IamInstanceProfileAssociation cmdlet을 사용합니다. 기존 인스턴스 프로파일에 대한 연결 ID와 새 인스턴스 프로파일에 대한 ARN 또는 이름을 지정합니다.
Set-EC2IamInstanceProfileAssociation `
-AssociationId iip-assoc-0044d817db6c0a4ba `
-IamInstanceProfile_Name TestRole-2
실행 중이거나 중지된 인스턴스에서 IAM 역할을 분리할 수 있습니다.
- Console
-
인스턴스에서 IAM 역할을 분리하려면
https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.
-
탐색 창에서 인스턴스를 선택합니다.
-
인스턴스를 선택합니다.
-
Actions(작업), Security(보안), Modify IAM role(IAM 역할 수정)을 선택합니다.
-
IAM 역할(IAM role)에서 IAM 역할 없음(No IAM Role)을 선택합니다.
-
IAM 역할 업데이트를 선택합니다.
-
확인 메시지가 나타나면 분리를 입력하고 분리를 선택합니다.
- AWS CLI
-
인스턴스에서 IAM 역할을 분리하려면
-
필요한 경우 describe-iam-instance-profile-associations를 사용하여 분리할 IAM 인스턴스 프로파일에 대한 연결 ID를 가져옵니다.
aws ec2 describe-iam-instance-profile-associations \
--filters Name=instance-id,Values=i-1234567890abcdef0 \
--query IamInstanceProfileAssociations.AssociationId
-
disassociate-iam-instance-profile 명령을 사용합니다.
aws ec2 disassociate-iam-instance-profile --association-id iip-assoc-0044d817db6c0a4ba
- PowerShell
-
인스턴스에서 IAM 역할을 분리하려면
-
필요한 경우 Get-EC2IamInstanceProfileAssociation을 사용하여 분리할 IAM 인스턴스 프로파일의 연결 ID를 가져옵니다.
(Get-EC2IamInstanceProfileAssociation -Filter @{Name="instance-id"; Values="i-0636508011d8e966a"}).AssociationId
-
Unregister-EC2IamInstanceProfile cmdlet을 사용합니다.
Unregister-EC2IamInstanceProfile -AssociationId iip-assoc-0044d817db6c0a4ba
