AWS associate-iam-instance-profile 函数，实例需要什么 IAM 角色？答案

【问题标题】：AWS associate-iam-instance-profile function, what IAM role is required for the instance?AWS associate-iam-instance-profile 函数，实例需要什么 IAM 角色？
【发布时间】：2022-02-04 03:33:45
【问题描述】：

我目前正在尝试通过 AWS CLI 将 IAM 角色分配给我的一个实例。 CLI 正在一个 Linux 实例上运行，该实例当前具有 EC2 的管理员权限（AmazonEC2FullAccess 策略）。

我正在尝试运行以下命令：

aws ec2 associate-iam-instance-profile --instance-id i-0xxxxxxxxxxx4 --iam-instance-profile Name=AmazonSSMRoleForInstancesQuickSetup

但我收到以下错误：

An error occurred (UnauthorizedOperation) when calling the AssociateIamInstanceProfile operation: You are not authorized to perform this operation. Encoded authorization failure message: <hash>

我很难找到允许从我的 AWS CLI 实例执行此操作所需的策略。我什至尝试给它核IAMFullAccess 政策，但我仍然被拒绝。

我已经尝试google了一段时间，但我自己无法解决这个问题，请帮助。

您能否告诉我需要什么策略才能让我的实例运行aws ec2 associate-iam-instance-profile？

此外，是否有一种快速/简单的方法可以找出使用某些 aws cli 功能所需的权限？

【问题讨论】：

可能相关：docs.aws.amazon.com/IAM/latest/UserGuide/…stackoverflow.com/questions/63148108/understanding-iam-passrole

标签： amazon-web-services amazon-ec2 amazon-iam

【解决方案1】：

感谢@luk2302 发布的文章，我能够解决这个问题。我希望它在未来至少能帮助一个人！

我能够通过 IAM 向我的机器角色添加内联策略来解决这个问题。我指的是附加到我运行 AWS Cli 的机器上的角色。

内嵌策略 json：

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::00000000000:role/AmazonSSMRoleForInstancesQuickSetup"
        }
    ]
}

这个内联策略允许我将AmazonSSMRoleForInstancesQuickSetup 角色（并且只有这个角色）分配给我通过 terraform 创建的实例。

【讨论】：