AWS 实例配置文件与 IAM 角色？ 为什么不直接分配角色？

Question

根据官方 AWS 文档：

• 您使用实例配置文件将角色与 EC2 实例相关联
• 一个配置文件只能有一个角色
• 而且（大概 - 文档没有明确说明）一个实例只能有一个配置文件。

为什么 AWS 发明了实例配置文件的概念？ 如果一个实例只能有一个配置文件，而一个配置文件只能有一个角色，为什么不直接为实例分配一个角色呢？ 那不是更简单吗？

多年来，我遇到了各种问题，例如忘记创建配置文件、尝试将角色直接分配给实例或忘记将角色与配置文件关联。 我认为，如果我能更好地理解档案存在的理由，角色与档案之间的区别会更令人难忘，而且我不会经常遇到问题。

Answer 1

https://medium.com/devops-dudes/the-difference-between-an-aws-role-and-an-instance-profile-ae81abd700d （作者Tj Blogumas ）

有一篇非常好的博客文章可以回答您的问题，我将其放在顶部。

总而言之，让我为您分解一些想法：

• 实例配置文件represents EC2 instances 。
  • 基本上，该术语仅由EC2 实例设计和使用
  • 您可以删除现有角色，然后向配置文件添加不同的角色，使其与 IAM 角色分开，因为当您为 EC2 创建 IAM 角色时，它会自动创建这两个角色，这会让您感到困惑。
• IAM 角色是为who am I? 并且可以由AWS 服务委托人承担（可以是 IAM 用户、EC2 实例、API 网关）
  • 例如，我们为API 网关服务提供了一个 IAM 角色，它可以承担该角色，因此它可以拥有足够的权限将访问日志推送到我们的CloudWatch 日志组。

参考：

• https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2_instance-profiles.html