如何以用户身份在本地切换到 EC2 实例角色？

要允许您的帐户担任服务角色，您需要编辑该角色并将您的帐户添加到Principal. 为此：

在IAM-> Roles->Your Service Role中转到Trust relationship选项卡并单击Edit trust relationship. 您的信任关系将是这样的：

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "ec2.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

您需要添加类似这样的 AWS 账户：

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "ec2.amazonaws.com",
        "AWS": "arn:aws:iam::<your AWS account number>:root"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

然后，您将能够通过sts.

获得所需结果的另一种方法是使用Policy Simulator

在角色Permissions选项卡中，单击策略左侧的箭头，它将显示一个按钮Simulate policy：

笔记

无法将 IAM 组用作Principal.

请注意，组并不是真正的身份，因为它不能在基于资源或信任的策略中被识别为委托人。这只是一次将策略附加到多个用户的一种方式。

参考

• 访问策略测试
• 修改角色（控制台）
• IAM 用户指南

您可以从实例中获取凭证并在get-instance-credentials脚本的帮助下在本地使用它。

1. 使用所需的 EC2 角色启动您的实例

2. 跑get-instance-credentials

   [ec2-user@ip-...] aws-utils $ ./get-instance-credentials
   export AWS_ACCESS_KEY_ID="ASIA5G...ERJGI"
   export AWS_SECRET_ACCESS_KEY="8rTXu4R1...IM2"
   export AWS_SESSION_TOKEN="IQoJb3JpZ2luX2VjEE4aD...4zw=="
   

3. 将 3 行复制并粘贴export AWS_*到笔记本电脑上的本地 shell

   me@my-laptop ~ $ export AWS_ACCESS_KEY_ID="ASIA5G...ERJGI"
   me@my-laptop ~ $ export AWS_SECRET_ACCESS_KEY="8rTXu4R1...IM2"
   me@my-laptop ~ $ export AWS_SESSION_TOKEN="IQoJb3JpZ2luX2VjEE4aD...4zw=="
   

4. 验证凭据

   me@my-laptop ~ $ aws sts get-caller-identity
   {
       "UserId": "AROAXYZABC1234:i-0a1b2c3d",
       "Account": "123456789012",
       "Arn": "arn:aws:sts::123456789012:assumed-role/test-ec2-role/i-0a1b2c3d"
   }
   

正如您所看到的，即使是me@my-laptop ，我现在也可以使用test-ec2-role的凭据访问 AWS 。

通过这种方式，您可以轻松测试 IAM 角色配置、测试您的应用程序等。

希望有帮助:)