Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Accorder des autorisations pour attacher un IAM rôle à une instance
Vos identités Compte AWS, telles que IAM les utilisateurs, doivent disposer d'autorisations spécifiques pour lancer une EC2 instance Amazon avec un IAM rôle, attacher un IAM rôle à une instance, remplacer le IAM rôle par une instance ou détacher un IAM rôle d'une instance. Vous devez autoriser l'utilisation des API actions suivantes selon les besoins :
-
iam:PassRole -
ec2:AssociateIamInstanceProfile -
ec2:DisassociateIamInstanceProfile -
ec2:ReplaceIamInstanceProfileAssociation
Note
Si vous spécifiez la ressource pour iam:PassRole as*, cela vous accordera l'accès pour transmettre n'importe lequel de vos IAM rôles à une instance. Pour suivre la meilleure pratique du moindre privilège, spécifiez les ARNs IAM rôles spécifiques aveciam:PassRole, comme indiqué dans l'exemple de politique ci-dessous.
Exemple de politique d'accès programmatique
La IAM politique suivante autorise le lancement d'instances dotées d'un IAM rôle, l'attachement d'un IAM rôle à une instance ou le remplacement du IAM rôle par une instance à l'aide de AWS CLI ou d'Amazon EC2API.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:RunInstances", "ec2:AssociateIamInstanceProfile", "ec2:DisassociateIamInstanceProfile", "ec2:ReplaceIamInstanceProfileAssociation" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::123456789012:role/DevTeam*" } ] }
Exigence supplémentaire pour l'accès à la console
Pour accorder l'autorisation d'effectuer les mêmes tâches à l'aide de la EC2 console Amazon, vous devez également inclure l'iam:ListInstanceProfilesAPIaction.
