Mantenha tudo organizado com as coleções
Salve e categorize o conteúdo com base nas suas preferências.
Esta página explica o que é um perfil de instância do AWS IAM, por que ele é importante no contexto do GKE na AWS e como atualizar o perfil de instância.
O que é um perfil de instância do AWS IAM?
Um perfil de instância é um conceito específico da AWS. Consiste em um conjunto de credenciais que uma instância do Amazon EC2 usa para acessar vários recursos da AWS. Mais especificamente, um perfil de instância é um tipo de contêiner para uma função do IAM que pode ser anexada a uma instância do EC2. Um perfil de instância confere permissões à instância do EC2, permitindo que ela interaja com vários serviços da AWS sob as permissões definidas. Para obter mais informações, consulte Usando perfis de instância .
Como os perfis de instância são usados no GKE na AWS?
Cada plano de controle e cada pool de nós em um cluster do GKE na AWS está associado a um perfil de instância exclusivo da AWS. Os perfis de instância no GKE na AWS têm uma dupla finalidade:
Um perfil de instância concede ao GKE na AWS as permissões necessárias para gerenciar recursos da AWS. Por exemplo, ele concede ao dimensionador automático de cluster as permissões necessárias para escalonar o cluster adicionando ou removendo instâncias do EC2 com base nas demandas da carga de trabalho.
Um perfil de instância concede às instâncias do EC2 acesso a Google Cloud serviços. Por exemplo, o kubelet , em execução em uma máquina AWS, requer permissões específicas para fornecer credenciais de extração de imagens para containerd . Essas credenciais são necessárias para acessar e extrair imagens do Artifact Registry privado do Google ou do Container Registry. No contexto do GKE na AWS, o perfil de instância do EC2 associado ao cluster é configurado para representar os Agentes de Serviço de Máquina do Google (como o Agente de Serviço de Máquina do Pool de Nós ou o Agente de Serviço de Máquina do Plano de Controle). Essa representação permite que as instâncias do EC2 do cluster se autentiquem automaticamente com o Artifact Registry ou o Container Registry do Google.
Atualizar perfil de instância
Atualizar o perfil da instância envolve criar um novo perfil de instância na AWS com permissões específicas e, em seguida, associá-lo ao seu cluster ou pool de nós do GKE na AWS.
Para atualizar corretamente o perfil da instância do seu cluster ou pool de nós, siga estas etapas:
Crie um perfil de instância do IAM para suas instâncias do Amazon EC2 e adicione a função do IAM necessária ao perfil. Para obter mais detalhes, consulte Usando perfis de instância .
Vincule o novo perfil de instância ao seu cluster ou pool de nós do GKE na AWS executando o seguinte comando na sua Google Cloud CLI:
NEW_INSTANCE_PROFILE_NAME : o nome do novo perfil de instância da AWS que você criou
Esses comandos mostram apenas os sinalizadores relevantes para atualizar o perfil da instância, mas você precisa fornecer sinalizadores adicionais para executar o comando update . Para obter detalhes, consulte Atualizar os parâmetros do cluster da AWS ou Atualizar um pool de nós .
O método de atualização incorreto
É importante entender a maneira errada de atualizar um perfil de instância, porque é um erro fácil de cometer e que pode causar falhas no cluster.
A maneira errada de atualizar um perfil de instância é modificar diretamente um perfil de instância existente usando o Console de Gerenciamento da AWS ou a CLI da AWS. Essas alterações podem interromper a interação do GKE na AWS com os recursos da AWS. O GKE na AWS espera que os perfis de instância permaneçam como estavam quando vinculados pela primeira vez ao cluster ou pool de nós. Alterá-los fora das ferramentas de gerenciamento do GKE na AWS pode criar uma incompatibilidade com o ID da função do IAM presente no perfil da instância. Essa incompatibilidade pode causar uma falha no cluster.
A abordagem descrita na seção anterior garante que as atualizações sejam feitas sem interromper a integração do GKE na AWS com a AWS.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-06-12 UTC."],[],[],null,["# Update AWS IAM instance profile\n\nThis page explains what an AWS IAM instance profile is, why it's important in\nthe context of GKE on AWS, and how to update the instance profile.\n\nWhat is an AWS IAM instance profile?\n------------------------------------\n\nAn instance profile is an AWS-specific concept. It consists of a set of\ncredentials that an Amazon EC2 instance uses to access various AWS resources.\nMore specifically, an instance profile is a kind of container for an IAM role\nthat can be attached to an EC2 instance. An instance profile confers permissions\nto the EC2 instance, allowing the instance to interact with various AWS services\nunder the defined permissions. For more information, see\n[Using instance profiles](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2_instance-profiles.html).\n\nHow are instance profiles used in GKE on AWS?\n---------------------------------------------\n\nEach control plane and each node pool within a GKE on AWS cluster\nis associated with a unique AWS instance profile. Instance profiles in\nGKE on AWS serve a dual purpose:\n\n1. An instance profile grants GKE on AWS the permissions needed to manage AWS resources. For example, they give the cluster autoscaler the necessary permissions to scale the cluster by adding or removing EC2 instances based on workload demands.\n2. An instance profile grants EC2 instances access to Google Cloud services. For example the `kubelet`, running on an AWS machine, requires specific permissions to supply image pull credentials to `containerd`. These credentials are necessary for accessing and pulling images from Google's private Artifact Registry or from Container Registry. In the context of GKE on AWS, the EC2 instance profile associated with the cluster is configured to impersonate Google's Machine Service Agents (such as the Node Pool Machine Service Agent or the Control Plane Machine Service Agent). This impersonation allows the cluster's EC2 instances to automatically authenticate with Google's Artifact Registry or Container Registry.\n\nUpdate instance profile\n-----------------------\n\nUpdating the instance profile involves creating a new instance profile in AWS\nwith specific permissions, and then associating it with your\nGKE on AWS cluster or node pool.\n\nTo correctly update the instance profile for your cluster or node pool, follow\nthese steps:\n\n1. Create an IAM instance profile for your Amazon EC2 instances and add the IAM role you need to the instance profile. For details, see [Using instance profiles](https://docs.aws.amazon.com/codedeploy/latest/userguide/getting-started-create-iam-instance-profile.html).\n2. Link the new instance profile to your GKE on AWS cluster or node\n pool by running the following command in your Google Cloud CLI:\n\n ### Link profile to cluster\n\n gcloud container aws clusters update \u003cvar translate=\"no\"\u003eCLUSTER_NAME\u003c/var\u003e \\\n --update-instance-profile \\\n --instance-profile-name \u003cvar translate=\"no\"\u003eNEW_INSTANCE_PROFILE_NAME\u003c/var\u003e \\\n ...\n\n Replace the following:\n - \u003cvar translate=\"no\"\u003eCLUSTER_NAME\u003c/var\u003e: the name of your cluster\n - \u003cvar translate=\"no\"\u003eNEW_INSTANCE_PROFILE_NAME\u003c/var\u003e: the name of the new AWS instance profile you created\n\n ### Link profile to node pool\n\n gcloud container aws node-pools update \u003cvar translate=\"no\"\u003eNODE_POOL_NAME\u003c/var\u003e \\\n --update-instance-profile \\\n --instance-profile-name \u003cvar translate=\"no\"\u003eNEW_INSTANCE_PROFILE_NAME\u003c/var\u003e \\\n ...\n\n Replace the following:\n - \u003cvar translate=\"no\"\u003eNODE_POOL_NAME\u003c/var\u003e: the name of your node pool\n - \u003cvar translate=\"no\"\u003eNEW_INSTANCE_PROFILE_NAME\u003c/var\u003e: the name of the new AWS instance profile you created\n\n These commands show only the relevant flags for updating the instance\n profile, but you need to provide additional flags in order to run the\n `update` command. For details, see\n [Update your AWS cluster parameters](/kubernetes-engine/multi-cloud/docs/aws/how-to/update-cluster) or\n [Update a node pool](/kubernetes-engine/multi-cloud/docs/aws/how-to/update-node-pool).\n\n### The incorrect update method\n\nUnderstanding the wrong way to update an instance profile is important, because\nit's an easy mistake to make that can cause cluster failures.\n\nThe wrong way to update an instance profile is to directly modify an existing\ninstance profile using the AWS Management Console or AWS CLI. Such changes can\ndisrupt GKE on AWS interaction with AWS resources. GKE on AWS\nexpects instance profiles to remain as they were when first linked to the\ncluster or node pool. Altering them outside of GKE on AWS's management\ntools can create a mismatch with the ID of the IAM role that's in the instance\nprofile. This mismatch can create a cluster failure.\n\nThe approach described in the preceding section ensures that updates are made\nwithout disrupting GKE on AWS's integration with AWS."]]
