Organízate con las colecciones
Guarda y clasifica el contenido según tus preferencias.
Esta página explica qué es un perfil de instancia de AWS IAM, por qué es importante en el contexto de GKE en AWS y cómo actualizar el perfil de instancia.
¿Qué es un perfil de instancia de AWS IAM?
Un perfil de instancia es un concepto específico de AWS. Consiste en un conjunto de credenciales que una instancia de Amazon EC2 utiliza para acceder a diversos recursos de AWS. Más específicamente, un perfil de instancia es un tipo de contenedor para un rol de IAM que se puede asociar a una instancia de EC2. Un perfil de instancia otorga permisos a la instancia de EC2, lo que le permite interactuar con diversos servicios de AWS con los permisos definidos. Para obtener más información, consulte Uso de perfiles de instancia .
¿Cómo se utilizan los perfiles de instancia en GKE en AWS?
Cada plano de control y cada grupo de nodos dentro de un clúster de GKE en AWS está asociado a un perfil de instancia de AWS único. Los perfiles de instancia en GKE en AWS tienen una doble función:
Un perfil de instancia otorga a GKE en AWS los permisos necesarios para administrar los recursos de AWS. Por ejemplo, otorga al escalador automático del clúster los permisos necesarios para escalarlo añadiendo o eliminando instancias de EC2 según las demandas de la carga de trabajo.
Un perfil de instancia otorga a las instancias EC2 acceso a Google Cloud Servicios. Por ejemplo, kubelet , que se ejecuta en una máquina de AWS, requiere permisos específicos para proporcionar credenciales de extracción de imágenes a containerd . Estas credenciales son necesarias para acceder y extraer imágenes del Registro de Artefactos privado de Google o del Registro de Contenedores. En el contexto de GKE en AWS, el perfil de instancia de EC2 asociado al clúster está configurado para suplantar a los Agentes de Servicio de Máquina de Google (como el Agente de Servicio de Máquina del Grupo de Nodos o el Agente de Servicio de Máquina del Plano de Control). Esta suplantación permite que las instancias de EC2 del clúster se autentiquen automáticamente con el Registro de Artefactos o el Registro de Contenedores de Google.
Actualizar el perfil de la instancia
Actualizar el perfil de instancia implica crear un nuevo perfil de instancia en AWS con permisos específicos y luego asociarlo con su clúster o grupo de nodos de GKE en AWS.
Para actualizar correctamente el perfil de instancia de su clúster o grupo de nodos, siga estos pasos:
Cree un perfil de instancia de IAM para sus instancias de Amazon EC2 y añada el rol de IAM necesario. Para obtener más información, consulte Uso de perfiles de instancia .
Vincula el nuevo perfil de instancia a tu clúster o grupo de nodos de GKE en AWS ejecutando el siguiente comando en tu CLI de Google Cloud:
NEW_INSTANCE_PROFILE_NAME : el nombre del nuevo perfil de instancia de AWS que creó
Estos comandos solo muestran los indicadores relevantes para actualizar el perfil de instancia, pero es necesario proporcionar indicadores adicionales para ejecutar el comando update . Para obtener más información, consulte Actualizar los parámetros del clúster de AWS o Actualizar un grupo de nodos .
El método de actualización incorrecto
Es importante comprender la forma incorrecta de actualizar un perfil de instancia, porque es un error fácil de cometer que puede causar fallas en el clúster.
La forma incorrecta de actualizar un perfil de instancia es modificarlo directamente mediante la Consola de administración de AWS o la CLI de AWS. Estos cambios pueden interrumpir la interacción de GKE en AWS con los recursos de AWS. GKE en AWS espera que los perfiles de instancia permanezcan como estaban al vincularse inicialmente al clúster o grupo de nodos. Modificarlos fuera de las herramientas de administración de GKE en AWS puede generar una discrepancia con el ID del rol de IAM que se encuentra en el perfil de instancia. Esta discrepancia puede provocar un error en el clúster.
El enfoque descrito en la sección anterior garantiza que las actualizaciones se realicen sin interrumpir la integración de GKE en AWS con AWS.
[[["Es fácil de entender","easyToUnderstand","thumb-up"],["Me ofreció una solución al problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Es difícil de entender","hardToUnderstand","thumb-down"],["La información o el código de muestra no son correctos","incorrectInformationOrSampleCode","thumb-down"],["Me faltan las muestras o la información que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-06-12 (UTC)."],[],[],null,["# Update AWS IAM instance profile\n\nThis page explains what an AWS IAM instance profile is, why it's important in\nthe context of GKE on AWS, and how to update the instance profile.\n\nWhat is an AWS IAM instance profile?\n------------------------------------\n\nAn instance profile is an AWS-specific concept. It consists of a set of\ncredentials that an Amazon EC2 instance uses to access various AWS resources.\nMore specifically, an instance profile is a kind of container for an IAM role\nthat can be attached to an EC2 instance. An instance profile confers permissions\nto the EC2 instance, allowing the instance to interact with various AWS services\nunder the defined permissions. For more information, see\n[Using instance profiles](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2_instance-profiles.html).\n\nHow are instance profiles used in GKE on AWS?\n---------------------------------------------\n\nEach control plane and each node pool within a GKE on AWS cluster\nis associated with a unique AWS instance profile. Instance profiles in\nGKE on AWS serve a dual purpose:\n\n1. An instance profile grants GKE on AWS the permissions needed to manage AWS resources. For example, they give the cluster autoscaler the necessary permissions to scale the cluster by adding or removing EC2 instances based on workload demands.\n2. An instance profile grants EC2 instances access to Google Cloud services. For example the `kubelet`, running on an AWS machine, requires specific permissions to supply image pull credentials to `containerd`. These credentials are necessary for accessing and pulling images from Google's private Artifact Registry or from Container Registry. In the context of GKE on AWS, the EC2 instance profile associated with the cluster is configured to impersonate Google's Machine Service Agents (such as the Node Pool Machine Service Agent or the Control Plane Machine Service Agent). This impersonation allows the cluster's EC2 instances to automatically authenticate with Google's Artifact Registry or Container Registry.\n\nUpdate instance profile\n-----------------------\n\nUpdating the instance profile involves creating a new instance profile in AWS\nwith specific permissions, and then associating it with your\nGKE on AWS cluster or node pool.\n\nTo correctly update the instance profile for your cluster or node pool, follow\nthese steps:\n\n1. Create an IAM instance profile for your Amazon EC2 instances and add the IAM role you need to the instance profile. For details, see [Using instance profiles](https://docs.aws.amazon.com/codedeploy/latest/userguide/getting-started-create-iam-instance-profile.html).\n2. Link the new instance profile to your GKE on AWS cluster or node\n pool by running the following command in your Google Cloud CLI:\n\n ### Link profile to cluster\n\n gcloud container aws clusters update \u003cvar translate=\"no\"\u003eCLUSTER_NAME\u003c/var\u003e \\\n --update-instance-profile \\\n --instance-profile-name \u003cvar translate=\"no\"\u003eNEW_INSTANCE_PROFILE_NAME\u003c/var\u003e \\\n ...\n\n Replace the following:\n - \u003cvar translate=\"no\"\u003eCLUSTER_NAME\u003c/var\u003e: the name of your cluster\n - \u003cvar translate=\"no\"\u003eNEW_INSTANCE_PROFILE_NAME\u003c/var\u003e: the name of the new AWS instance profile you created\n\n ### Link profile to node pool\n\n gcloud container aws node-pools update \u003cvar translate=\"no\"\u003eNODE_POOL_NAME\u003c/var\u003e \\\n --update-instance-profile \\\n --instance-profile-name \u003cvar translate=\"no\"\u003eNEW_INSTANCE_PROFILE_NAME\u003c/var\u003e \\\n ...\n\n Replace the following:\n - \u003cvar translate=\"no\"\u003eNODE_POOL_NAME\u003c/var\u003e: the name of your node pool\n - \u003cvar translate=\"no\"\u003eNEW_INSTANCE_PROFILE_NAME\u003c/var\u003e: the name of the new AWS instance profile you created\n\n These commands show only the relevant flags for updating the instance\n profile, but you need to provide additional flags in order to run the\n `update` command. For details, see\n [Update your AWS cluster parameters](/kubernetes-engine/multi-cloud/docs/aws/how-to/update-cluster) or\n [Update a node pool](/kubernetes-engine/multi-cloud/docs/aws/how-to/update-node-pool).\n\n### The incorrect update method\n\nUnderstanding the wrong way to update an instance profile is important, because\nit's an easy mistake to make that can cause cluster failures.\n\nThe wrong way to update an instance profile is to directly modify an existing\ninstance profile using the AWS Management Console or AWS CLI. Such changes can\ndisrupt GKE on AWS interaction with AWS resources. GKE on AWS\nexpects instance profiles to remain as they were when first linked to the\ncluster or node pool. Altering them outside of GKE on AWS's management\ntools can create a mismatch with the ID of the IAM role that's in the instance\nprofile. This mismatch can create a cluster failure.\n\nThe approach described in the preceding section ensures that updates are made\nwithout disrupting GKE on AWS's integration with AWS."]]
