IAMrôles pour Amazon EC2 - Amazon Elastic Compute Cloud
Profils d’instanceAutorisations pour votre cas d'utilisationRôles d’identité d’instance

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

IAMrôles pour Amazon EC2

Les applications doivent signer leurs API demandes avec les AWS informations d'identification. Par conséquent, si vous êtes un développeur d'applications, vous avez besoin d'une stratégie pour gérer les informations d'identification de vos applications qui s'exécutent sur EC2 les instances. Par exemple, vous pouvez distribuer en toute sécurité vos informations d’identification AWS aux instances, en permettant ainsi aux applications de ces instances d’utiliser vos informations d’identification pour signer des demandes, tout en les protégeant des autres utilisateurs. Cependant, il est difficile de distribuer en toute sécurité les informations d'identification à chaque instance, particulièrement celles qu' AWS crée en votre nom, par exemple les instances Spot ou les instances des groupes Auto Scaling. Vous devez aussi pouvoir mettre à jour les informations d'identification de chaque instance lorsque vous faites tourner vos AWS informations d'identification.

Nous avons conçu IAM les rôles de telle sorte que vos applications puissent créer des API demandes en toute sécurité depuis vos instances, sans requérir que vous gériez les informations d'identification de sécurité que les applications utilisent. Au lieu de créer et de distribuer vos AWS informations d'identification, vous pouvez déléguer la permission pour créer des API demandes à l'aide IAM des rôles comme suit :

  1. Créez un IAM rôle.

  2. Définissez les comptes ou AWS services qui peuvent assumer le rôle.

  3. Définissez les API actions et ressources que l'application peut utiliser en assumant le rôle.

  4. Spécifiez le rôle au lancement de votre instance ou attachez-le à une instance existante.

  5. Demandez à l’application d’extraire un ensemble d’informations d’identification temporaires et utilisez-les.

Par exemple, vous pouvez utiliser IAM des rôles pour accorder l'autorisation aux applications de s'exécuter sur vos instances qui ont besoin d'utiliser un compartiment dans Amazon S3. Vous pouvez spécifier des permissions pour IAM les rôles en créant une stratégie au JSON format. Ces politiques sont similaires à celles que vous créez pour les utilisateurs . Si vous modifiez un rôle, la modification est répercutée sur toutes les instances.

Note

Les informations d'identification du EC2 IAM rôle Amazon ne sont pas soumises à la durée maximale de session configurée dans le rôle. Pour plus d'informations, consultez la section Utilisation IAM des rôles dans le Guide de IAM l'utilisateur.

Lors de la création de IAM rôles, associez des IAM stratégies de moindre privilège qui restreignent l'accès aux API appels spécifiques requis par l'application. Pour Windows-to-Windows la communication, utilisez des groupes et des rôles Windows bien définis et bien documentés pour accorder un accès au niveau de l'application entre les instances Windows. Les groupes et les rôles permettent aux clients de définir des autorisations au NTFS niveau des applications et des dossiers à moindre privilège pour limiter l'accès aux exigences spécifiques de l'application.

Vous ne pouvez attacher qu'un IAM rôle à une instance, mais vous pouvez attacher le même rôle à de nombreuses instances. Pour plus d'informations sur la création et l'utilisation IAM des rôles, consultez la section Rôles du guide de IAM l'utilisateur.

Vous pouvez appliquer des autorisations au niveau des ressources à vos IAM stratégies pour contrôler la possibilité pour les utilisateurs d'attacher, de remplacer ou de détacher IAM des rôles pour une instance. Pour plus d’informations, consultez Autorisations au niveau des ressources prises en charge pour les opérations Amazon EC2 API et l’exemple suivant : Exemple : Utiliser des rôles IAM.

Sommaire

Profils d’instance

Amazon EC2 utilise un profil d'instance comme conteneur pour un IAM rôle. Lorsque vous créez un IAM rôle à l'aide de la IAM console, celle-ci crée automatiquement un profil d'instance et lui attribue le même nom qu'au rôle auquel il correspond. Si vous utilisez la EC2 console Amazon pour lancer une instance avec un IAM rôle ou pour attacher un IAM rôle à une instance, vous devez choisir le rôle en vous basant sur une liste de noms de profils d'instance.

Si vous utilisez le AWS CLI API, ou un AWS SDK pour créer un rôle, vous devez créer le rôle et le profil d'instance sous la forme d'actions distinctes et leur attribuer éventuellement des noms différents. Si vous utilisez ensuite le AWS CLI API, ou un AWS SDK pour lancer une instance avec un IAM rôle ou pour attacher un IAM rôle à une instance, spécifiez le nom du profil de l'instance.

Un profil d'instance ne peut contenir qu'un seul IAM rôle. Cette limite ne peut pas être augmentée.

Pour plus d'informations, consultez la section Profils d'instance dans le guide de IAM l'utilisateur.

Autorisations pour votre cas d'utilisation

Lorsque vous créez un IAM rôle pour vos applications, vous pouvez parfois accorder plus d'autorisations que nécessaire. Avant de lancer votre application dans votre environnement de production, vous pouvez générer une IAM politique basée sur l'activité d'accès pour un IAM rôle. IAMAccess Analyzer passe en revue vos AWS CloudTrail journaux et génère un modèle de politique contenant les autorisations qui ont été utilisées par le rôle dans la plage de dates spécifiée. Vous pouvez utiliser le modèle pour créer une stratégie gérée avec des autorisations affinées, puis l'attacher au IAM rôle. De cette façon, vous accordez uniquement les autorisations dont le rôle a besoin pour interagir avec les AWS ressources pour votre cas d'utilisation spécifique. Cela vous permet de mieux respecter la bonne pratique qui consiste à appliquer le principe du moindre privilège. Pour plus d'informations, consultez la section Génération de politiques IAM Access Analyzer dans le guide de l'IAMutilisateur.

Rôles d'identité d'instance pour les EC2 instances Amazon

Chaque EC2 instance Amazon que vous lancez est dotée d'un rôle d'identité d'instance qui représente son identité. Un rôle d'identité d'instance est un type de IAM rôle. AWS les services et fonctionnalités intégrés pour utiliser le rôle d'identité d'instance peuvent l'utiliser pour identifier l'instance auprès du service.

Les informations d'identification des rôles d'identité d'instance sont accessibles à partir du service des métadonnées d'instance (IMDS) à l'adresse/identity-credentials/ec2/security-credentials/ec2-instance. Les informations d'identification incluent une paire de clés d'accès AWS temporaires et un jeton de session. Ils sont utilisés pour signer des demandes AWS Sigv4 auprès des AWS services qui utilisent le rôle d'identité d'instance. Les informations d’identification sont présentes dans les métadonnées de l’instance, qu’un service ou une fonctionnalité utilisant les rôles d’identité d’instance soit activé ou non sur l’instance.

Les rôles d’identité d’instance sont automatiquement créés lors du lancement d’une instance, ne font l’objet d’aucun document de politique d’approbation des rôles et ne sont soumis à aucune politique d’identité ou de ressources.

Services pris en charge

Les AWS services suivants utilisent le rôle d'identité d'instance :

  • Amazon EC2EC2Instance Connect utilise le rôle d'identité d'instance pour mettre à jour les clés d'hôte d'une instance Linux.

  • Amazon GuardDutyRuntime Monitoring utilise le rôle d'identité de l'instance pour permettre à l'agent d'exécution d'envoyer des données télémétriques de sécurité au GuardDuty VPC point de terminaison.

  • AWS Security Token Service (AWS STS) — Les informations d'identification du rôle d'identité de l'instance peuvent être utilisées avec l' AWS STS GetCallerIdentityaction.

  • AWS Systems Manager: lorsque vous utilisez la configuration de gestion des hôtes par défaut, AWS Systems Manager utilise l'identité fournie par le rôle d'identité d'instance pour enregistrer EC2 les instances. Après avoir identifié votre instance, Systems Manager peut transmettre votre AWSSystemsManagerDefaultEC2InstanceManagementRole IAM rôle à votre instance.

Les rôles d'identité d'instance ne peuvent pas être utilisés avec d'autres AWS services ou fonctionnalités, car ils ne sont pas intégrés aux rôles d'identité d'instance.

Rôle d'identité d'instance ARN

Le rôle d'identité d'instance ARN a le format suivant :

arn:aws-partition:iam::account-number:assumed-role/aws:ec2-instance/instance-id

Par exemple :

arn:aws:iam::0123456789012:assumed-role/aws:ec2-instance/i-0123456789example

Pour plus d'informationsARNs, consultez Amazon Resource Names (ARNs) dans le guide de IAM l'utilisateur.