Я новичок в технологии облачного формирования Amazon. Я пытаюсь запустить экземпляр ec2 вместе с ролями IAM.
Для этого у меня есть облачный скрипт. Но проблема, с которой я сталкиваюсь, заключается в том, что роли IAM и экземпляры Ec2 создаются, но не связаны друг с другом.
Я создал IAM-роли, используя AWS::IAM::Role и AWS::IAM::InstanceProfile.
Есть ли еще какая-нибудь команда, которую я должен использовать?
Заранее спасибо.
Самый простой способ решить такие проблемы - использовать CloudFormer. CloudFormer - это инструмент, который создает шаблон начальной точки из ресурсов AWS, которые у вас уже есть в вашей среде.
Инструмент CloudFormer упакован как отдельное приложение, которое можно запустить в среде AWS. Приложение запускается на инстансе t1.micro Amazon EC2 через AWS CloudFormation.
После запуска Cloud Former вы получите веб-интерфейс (проверьте URL-адрес в разделе «Вывод» запущенного стека), который сможет описывать все ваши ресурсы в определенном регионе. Он укажет вам, какие ресурсы вы хотите в каждой категории (DNS, сеть, вычислительные ресурсы ...). В конце вы можете увидеть шаблон и скопировать его или сохранить в S3.
Но если вы хотите сделать это вручную, вам нужно добавить созданный вами AWS::IAM::InstanceProfile в Properties AWS::EC2::Instance как IamInstanceProfile
{
"Type" : "AWS::EC2::Instance",
"Properties" : {
"AvailabilityZone" : String,
"BlockDeviceMappings" : [ EC2 Block Device Mapping, ... ],
"DisableApiTermination" : Boolean,
"EbsOptimized" : Boolean,
"IamInstanceProfile" : String,
"ImageId" : String,
"InstanceType" : String,
...
"UserData" : String,
"Volumes" : [ EC2 MountPoint, ... ]
}
}
Дополнительные сведения см. AWS::EC2::Instance здесь
Пришлось покопаться, чтобы получить окончательный результат, но вот пример
Определение профиля экземпляра (на который ссылается экземпляр EC2 и для которого назначена роль доступа)
"S3AccessRole" : {
"Type" : "AWS::IAM::Role",
"Properties" : {
"AssumeRolePolicyDocument" : {
"Statement" : [ {
"Effect" : "Allow",
"Principal" : {
"Service" : [ "ec2.amazonaws.com" ]
},
"Action" : [ "sts:AssumeRole" ]
} ]
},
"Path" : "/"
}
},
"S3RolePolicies" : {
"Type" : "AWS::IAM::Policy",
"Properties" : {
"PolicyName" : "s3access",
"PolicyDocument" : {
"Statement" : [ {
"Effect" : "Allow",
"Action" : "s3:*",
"Resource" : "*"
}]
},
"Roles" : [ { "Ref" : "S3AccessRole" } ]
}
},
"S3InstanceProfile" : {
"Type" : "AWS::IAM::InstanceProfile",
"Properties" : {
"Path" : "/",
"Roles" : [ { "Ref" : "S3AccessRole" } ]
}
}
Вышеупомянутая политика разрешает любой доступ к ресурсам s3. Отрегулируйте в соответствии с вашими потребностями. Ссылка IamInstanceProfile в свойствах экземпляра EC2 будет означать { "Ref" : "S3InstanceProfile" }
Обратите внимание, что с мая 2015 года при создании стека, который создает роли IAM, вам необходимо установить флажок, подтверждающий такое создание, иначе вы получите ошибку "Stack creation error: Requires capabilities : [CAPABILITY_IAM]".
Предположим, что созданный вами ресурс AWS :: IAM :: InstanceProfile называется MyNewRole. Чтобы создать экземпляр с этой ролью (в том же шаблоне CloudFormation), установите для свойства IamInstanceProfile ресурса EC2 значение Ref для этого ресурса. Вот пример (без множества других деталей):
"Resources": {
"MyNewRole": {
"Type": "AWS::IAM::InstanceProfile",
... more stuff here
},
"MyNewEc2Instance": {
"Type": "AWS::EC2::Instance",
"Properties": {
"IamInstanceProfile": { "Ref": "MyNewRole" },
... more stuff here
}
}
}
