Associer un rôle IAM existant à une instance EC2 dans CloudFormation

Comment puis-je utiliser un rôle IAM pour une instance EC2, par opposition à la création d'un nouveau dans mon modèle CloudFormation?

Par exemple, j'ai créé un rôle dans la Console AWS et je veux juste l'utiliser.

source d'informationauteur Bevan

  1. 16

    Vous avez besoin d'un exemple de profil, un rôle, et l'instance d'infos (ou de la configuration de lancement).

    Votre profil d'instance devrait ressembler à ceci:

    "Resources" : {
  "InstanceProfile" : {
    "Type" : "AWS::IAM::InstanceProfile",
    "Properties" : {
      "Path" : "/",
      "Roles" : ["MyExistingRole"]
    }
  },

  "Instance" : {
    "Type" : "AWS::EC2::Instance",
    "Properties" : {
      "IamInstanceProfile" : {"Ref" : "InstanceProfile"}
      ...
    }
  }

    En particulier de noter que la référence à l'Instance de profil est à une RoleName

    Aussi - J'ai écrit au sujet de l'amorçage des instances qui utilise l'exemple des profils et des rôles pour s'assurer que nous ne sommes pas la persistance de la sécurité.

    La clé, c'est plutôt que d'utiliser le {"Ref" : RoleName} etc, utiliser le nom du rôle.

  2. 21

    Vous pouvez utiliser une InstanceProfile au lieu de créer un nouveau à partir de l'intérieur de la pile. En fait, on peut déjà être créé pour vous - à partir de les docs:

    Si vous utilisez AWS Management Console pour créer un rôle pour Amazon EC2, la console crée automatiquement un exemple de profil et lui donne le même nom que le rôle.

    Cela signifie que vous pourriez ne pas avoir à créer un AWS::IAM::InstanceProfile des ressources dans la pile. Toutefois, notez que:

    La console ne pas créer un exemple de profil pour un rôle qui n'est pas associé avec Amazon EC2.

    Dans ce cas, vous pouvez le faire manuellement à partir d'AWS CLI à l'aide de ces 2 commandes:

    aws iam create-instance-profile --instance-profile-name MyExistingRole
aws iam add-role-to-instance-profile --instance-profile-name MyExistingRole --role-name MyExistingRole

    Puis, à la condition que vous avez défini un rôle dans l'INTERFACE utilisateur nommé MyExistingRolece sera suffisant:

    "Resources" : {

  "Instance" : {
    "Type" : "AWS::EC2::Instance",
    ...
    "Properties" : {
      "IamInstanceProfile" : "MyExistingRole",
      ...
    }
  }
}
  3. 0

    Ce que vous essayez de faire avec le rôle IAM?

    J'ai un cfn script a besoin d'accéder à un ensemble restreint compartiment S3. Mon exemple de bloc ressemble à ceci - bucketName et RoleName sont les deux paramètres, avec les paramètres par défaut:

    "Resources" : {
    "myInstance" : {
        "Type" : "AWS::EC2::Instance",

        "Metadata" : {
            "Comment1" : "My Instance stuff here",     

            "AWS::CloudFormation::Authentication": {
                "default" : {
                    "type": "s3",
                    "buckets": [ { "Ref" : "bucketName" } ],
                    "roleName": { "Ref" : "RoleName" }
                }
            },
...snip...

    Edit: j'ai également le rôle dans le cadre de l'propriétés lors de la création de l'instance:

            "Properties" : {
            "ImageId"             : { "Fn::FindInMap" : [ "RegionMap", { "Ref" : "AWS::Region" }, "64"] },
            "InstanceType"        : { "Ref" : "InstanceType" },
            "SecurityGroups"      : [ {"Ref" : "SecurityGroup"} ],
            "IamInstanceProfile"  : { "Ref" : "RoleName" },
            "KeyName"             : { "Ref" : "KeyName" },

            "BlockDeviceMappings" : [
                {
                    "DeviceName" : "/dev/sda1",
                    "Ebs" : { "VolumeSize" : "10" } 
                }
            ],

            "UserData"            : { "Fn::Base64" : { "Fn::Join" : ["", [
                "#!/bin/bash -v\n",
...snip...
            ] ] } }

    Et la RoleName est définie dans mon article sur les Paramètres:

    "Parameters" : {

    "RoleName" : {
        "Description" : "Role description",
        "Type" : "String",
        "Default" : "my-default-role",
        "ConstraintDescription" : "Must be a valid IAM Role"
    }
  }