Запустите узлы EC2 из группы Autoscaling с ролью Iam

Question

Я настраиваю группу Autoscaling в CloudFormation и пытаюсь запустить все узлы ec2 с прикрепленной к ним ролью IAM (например, той, которая может разрешить доступ к s3).

Я знаю, что в CloudFormation есть ключ ServiceLinkedRoleARN. Согласно документации, этот ключ по умолчанию использует роль AutoScalingServiceRolePolicy и не имеет доступа к S3. Я не могу создать настраиваемую роль, которая содержит как роль S3, так и роль AutoScalingServiceRole, потому что я получаю сообщение об ошибке:

Cannot attach a Service Role Policy to a Customer Role.

Итак, следует ли мне присоединять к группе масштабирования только настраиваемую роль s3? Как лучше всего это сделать?

Answer 1

Вы указываете роль экземпляра для экземпляров в своей ASG в LaunchConfiguration (L C) или LaunchTemplate (LT):

• L C: IamInstanceProfile :

  Предоставляет имя или имя ресурса Amazon (ARN) профиля экземпляра, связанного с ролью IAM для экземпляра. Профиль экземпляра содержит роль IAM.

• LT: IamInstanceProfile

  Профиль экземпляра IAM.

Answer 2

Я обнаружил, что в AWS::AutoScaling::LaunchConfiguration есть свойство под названием IamInstanceProfile, которое можно использовать именно для этого.

Обратите внимание, на странице роли есть 2 arns: profile-role-arn и role-arn. Сначала я этого не заметил и использовал role-arn. Правильный вариант использования - это profile-arn.