Amazon web services 向IAM角色添加权限_Amazon Web Services_Amazon Iam

Amazon web services 向IAM角色添加权限

amazon-web-services

Amazon web services 向IAM角色添加权限,amazon-web-services,amazon-iam,Amazon Web Services,Amazon Iam,我想向实例的IAM角色添加权限，以允许使用Cloudwatch日志服务。在查看有关服务的详细信息后，我看到以下段落： The CloudWatch Logs agent supports IAM roles and users. If your instance already has an IAM role associated with it, make sure that you include the IAM policy below. If you don't already ha

我想向实例的IAM角色添加权限，以允许使用Cloudwatch日志服务。在查看有关服务的详细信息后，我看到以下段落：

The CloudWatch Logs agent supports IAM roles and users. 
If your instance already has an IAM role associated with it, make sure that you include the IAM policy below. 
If you don't already have an IAM role assigned to your instance, 
  you'll need to use your IAM credentials for the next steps because you cannot assign an IAM role to an existing instance; 
  you can only specify a role when you launch a new instance.

我很难弄清楚这到底意味着什么。创建新实例时，我使用

CloudWatchLogsFullAccess

策略创建了一个IAM角色，配置指南告诉您要添加一个内联策略：

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents",
        "logs:DescribeLogStreams"
    ],
      "Resource": [
        "arn:aws:logs:*:*:*"
    ]
  }
 ]
}

这是针对一个新实例的，但是上面的文章让我对向现有实例添加权限感到困惑。我是否可以将

CloudWatchLogsFullAccess

策略添加到现有实例的角色以及该内联策略中

虽然IAM角色确实只能在实例启动期间分配给实例，但AWS在2017年2月宣布，现在可以将IAM角色替换或附加到现有实例

使用AWS控制台：

使用AWS CLI：

虽然IAM角色确实只能在实例启动期间分配给实例，但AWS在2017年2月宣布，现在可以将IAM角色替换或附加到现有实例

使用AWS控制台：

使用AWS CLI：

准确吗？我有一个脚本，它在其中创建一个RDS群集，然后分配一个角色（在本例中，添加S3访问）

add RDSRoleToDBCluster

-DBClusterIdentifier$cluster.DBClusterIdentifier`-RoleArn$RoleArn`-Credential$credentials`-Region$paramHash.Region；不过值得一提的是，这是RDS，如果不使用Lambda（IIRC），它无法正常继承角色。@mbourgon回答时（2016年8月26日）这是准确的。AWS在2017年增加了对为运行中的实例分配角色的支持。这准确吗？我有一个脚本，它在其中创建一个RDS群集，然后分配一个角色（在本例中，添加S3访问）

add RDSRoleToDBCluster