Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Conditions préalables requises flotte EC2
<a name="ec2-fleet-prerequisites"></a>

**Topics**
+ [Modèle de lancement](#ec2-fleet-prerequisites-launch-template)
+ [Rôle lié à un service pour flotte EC2](#ec2-fleet-service-linked-role)
+ [Accordez l'accès aux clés gérées par le client pour les utiliser avec des instantanés chiffrés AMIs et EBS](#ec2-fleet-service-linked-roles-access-to-cmks)
+ [Autorisations pour les utilisateurs de la flotte d’instances EC2](#ec2-fleet-iam-users)

## Modèle de lancement
<a name="ec2-fleet-prerequisites-launch-template"></a>

Un modèle de lancement spécifie les informations de configuration relatives aux instances à lancer, telles que le type d’instance et la zone de disponibilité. Pour en savoir plus sur l’utilisation des modèles de lancement, consultez [Stocker les paramètres de lancement des instances dans les modèles de lancement Amazon EC2](ec2-launch-templates.md).

## Rôle lié à un service pour flotte EC2
<a name="ec2-fleet-service-linked-role"></a>

Le rôle `AWSServiceRoleForEC2Fleet` accorde à la flotte EC2 l’autorisation de demander, lancer, résilier et étiqueter des instances en votre nom. Amazon EC2 utilise ce rôle lié à un service pour effectuer les actions suivantes :
+ `ec2:RunInstances` – Lancer des instances.
+ `ec2:RequestSpotInstances` – Demander des Instances Spot.
+ `ec2:TerminateInstances` – Résilier des instances.
+ `ec2:DescribeImages`— Décrivez Amazon Machine Images (AMIs) pour les instances.
+ `ec2:DescribeInstanceStatus` - Décrire le statut des instances.
+ `ec2:DescribeSubnets` - Décrire les sous-réseaux des instances.
+ `ec2:CreateTags` – Ajoutez des balises aux Flotte EC2, aux instances et aux volumes.

Assurez-vous que ce rôle existe avant d'utiliser l'API AWS CLI ou une API pour créer une flotte EC2.

**Note**  
Un `instant` Flotte EC2 ne requiert pas ce rôle.

Pour créer le rôle, utilisez la console IAM comme suit.

**Pour créer le AWSServiceRoleForEC2Fleet rôle pour EC2 Fleet**

1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Dans le panneau de navigation, choisissez **Rôles**.

1. Sélectionnez **Create role** (Créer un rôle).

1. Sur la page **Select trusted entity** (Sélectionner une entité de confiance), procédez comme suit :

   1. Pour **Type d’entité de confiance**, choisissez **Service AWS **.

   1. Sous **Cas d’utilisation**, pour **Service ou cas d’utilisation**, choisissez **EC2 - Flotte**.
**Astuce**  
Assurez-vous de choisir **EC2 - Flotte**. Si vous choisissez **EC2**, le cas d’utilisation **EC2 - Flotte** n’apparaît pas dans la liste des **cas d’utilisation**. Le cas d'utilisation **EC2 - Fleet** créera automatiquement une politique avec les autorisations IAM requises et suggérera **AWSServiceRoleForEC2Fleet comme nom** de rôle.

   1. Choisissez **Suivant**.

1. Sur la page **Ajouter des autorisations**, sélectionnez **Suivant**.

1. Sur la page **Nommer, vérifier et créer**, choisissez **Créer un rôle**.

Si vous n'avez plus besoin d'utiliser EC2 Fleet, nous vous recommandons de supprimer le rôle **AWSServiceRoleForEC2Fleet**. Après la suppression de ce rôle de votre compte, vous pouvez créer de nouveau le rôle si vous créez une autre flotte

Pour plus d’informations, consultez la section [Rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html) dans le *Guide de l’utilisateur IAM*.

## Accordez l'accès aux clés gérées par le client pour les utiliser avec des instantanés chiffrés AMIs et EBS
<a name="ec2-fleet-service-linked-roles-access-to-cmks"></a>

Si vous spécifiez une [AMI chiffrée](AMIEncryption.md) ou un instantané Amazon EBS chiffré dans votre flotte EC2 et que vous utilisez une AWS KMS clé pour le chiffrement, vous devez autoriser le rôle **AWSServiceRoleForEC2Fleet** à utiliser la clé gérée par le client afin qu'Amazon EC2 puisse lancer des instances en votre nom. Pour cela, vous devez ajouter une autorisation à la clé gérée par le client, comme indiqué dans la procédure suivante.

Lorsque vous définissez les autorisations, les octrois constituent une alternative aux politiques de clé. Pour plus d’informations, consultez les rubriques [Utilisation des octrois](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) et [Utilisation des politiques de clé dans AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) dans le *Guide du développeur AWS Key Management Service *.

**Pour accorder au rôle AWSService RoleFor EC2 Fleet l'autorisation d'utiliser la clé gérée par le client**
+ Utilisez la commande [create-grant](https://docs.aws.amazon.com/cli/latest/reference/kms/create-grant.html) pour ajouter une subvention à la clé gérée par le client et pour spécifier le principal (le rôle lié au service **AWSServiceRoleForEC2Fleet**) autorisé à effectuer les opérations autorisées par l'autorisation. La clé gérée par le client est spécifiée par le paramètre `key-id` et l’ARN de la clé gérée par le client. Le principal est spécifié par le `grantee-principal` paramètre et l'ARN du rôle lié au service **AWSServiceRoleForEC2Fleet**.

  ```
  aws kms create-grant \
      --region us-east-1 \
      --key-id arn:aws:kms:us-east-1:444455556666:key/1234abcd-12ab-34cd-56ef-1234567890ab \
      --grantee-principal arn:aws:iam::111122223333:role/AWSServiceRoleForEC2Fleet \
      --operations "Decrypt" "Encrypt" "GenerateDataKey" "GenerateDataKeyWithoutPlaintext" "CreateGrant" "DescribeKey" "ReEncryptFrom" "ReEncryptTo"
  ```

## Autorisations pour les utilisateurs de la flotte d’instances EC2
<a name="ec2-fleet-iam-users"></a>

Si vos utilisateurs sont appelés à créer ou à gérer une flotte EC2, veillez à leur accorder les autorisations nécessaires.

**Pour créer une politique pour la flotte d’instances EC2**

1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Dans le panneau de navigation, choisissez **Politiques**.

1. Choisissez **Create Policy** (Créer une politique).

1. Sur la page **Créer une stratégie**, choisissez l’onglet **JSON**, remplacez le texte par le suivant, puis choisissez **Examiner une stratégie**.

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "ec2:*"
               ],
               "Resource": "*"
           },
           {
               "Effect": "Allow",
               "Action": [
                 "iam:ListRoles",
                 "iam:PassRole",
                 "iam:ListInstanceProfiles"
               ],
               "Resource":"arn:aws:iam::123456789012:role/DevTeam*"
           }
       ]
   }
   ```

------

   La fonction `ec2:*` accorde à un utilisateur l’autorisation d’appeler toutes les actions d’API Amazon EC2. Pour limiter les actions API Amazon EC2 susceptibles d’être effectuées par l’utilisateur, spécifiez celles qui sont autorisées.

   L’utilisateur doit être autorisé à appeler l’action `iam:ListRoles` pour énumérer les rôles IAM existants, l’action `iam:PassRole` pour spécifier le rôle de flotte EC2 et l’action `iam:ListInstanceProfiles` pour énumérer les profils d’instance existants.

   (Facultatif) Pour autoriser un utilisateur à créer des rôles ou des profils d’instances à l’aide de la console IAM, vous devez aussi ajouter les actions suivantes à la politique :
   + `iam:AddRoleToInstanceProfile`
   + `iam:AttachRolePolicy`
   + `iam:CreateInstanceProfile`
   + `iam:CreateRole`
   + `iam:GetRole`
   + `iam:ListPolicies`

1. Sur la page **Review Policy (Vérifier la stratégie)**, saisissez un nom et une description pour la stratégie, puis choisissez **Create policy (Créer une stratégie)**.

1. Pour activer l’accès, ajoutez des autorisations à vos utilisateurs, groupes ou rôles :
   + Utilisateurs et groupes dans AWS IAM Identity Center :

     Créez un jeu d’autorisations. Suivez les instructions de la rubrique [Création d’un jeu d’autorisations](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) du *Guide de l’utilisateur AWS IAM Identity Center *.
   + Utilisateurs gérés dans IAM par un fournisseur d’identité :

     Créez un rôle pour la fédération d’identité. Suivez les instructions de la rubrique [Création d’un rôle pour un fournisseur d’identité tiers (fédération)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) dans le *Guide de l’utilisateur IAM*.
   + Utilisateurs IAM :
     + Créez un rôle que votre utilisateur peut assumer. Suivez les instructions de la rubrique [Création d’un rôle pour un utilisateur IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) dans le *Guide de l’utilisateur IAM*.
     + (Non recommandé) Attachez une politique directement à un utilisateur ou ajoutez un utilisateur à un groupe d’utilisateurs. Suivez les instructions de la rubrique [Ajout d’autorisations à un utilisateur (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) du *Guide de l’utilisateur IAM*.