使用 Amazon EC2 IAM 執行個體描述檔限制許可

IAM 執行個體描述檔是 IAM 角色的容器，您可以在執行個體啟動時用來將角色資訊傳遞至 Amazon EC2 執行個體。

目前有一個 AWS Managed Services (AMS) 預設執行個體描述檔 customer-mc-ec2-instance-profile授予許可給在執行個體上執行的應用程式，而不是登入執行個體的使用者。如果您想要授予執行個體對某個物件的存取權，您可能想要修改預設執行個體描述檔，或建立新的設定檔，也不要授予其他執行個體的存取權。您可以使用 管理 | 應用程式 | IAM 執行個體描述檔 | 建立變更類型 (ct-0ixp4ch2tiu04) 來請求新的 IAM 執行個體描述檔。提交 RFC 時，您可以建立自己的執行個體描述檔，並將其納入為 InstanceProfileDescription，也可以直接通知 AMS （使用相同的欄位） 您想要的變更。由於這是手動 CT，AMS 必須核准變更，並將與您聯絡。

如果您不熟悉 Amazon IAM 政策，請參閱 IAM 政策概觀以取得重要資訊。還有一個很好的部落格文章：Demystifying Amazon EC2 Resource-Level Permissions。請注意，AMS 目前不支援以資源為基礎的存取控制，但支援使用 IAM 角色政策的資源層級控制 （如需差異的說明，請參閱AWS 使用 IAM 的 服務。

單一帳戶登陸區域 AMS：

若要查看預設 AMS IAM 執行個體描述檔授予的許可表，請前往 EC2 IAM 執行個體描述檔。