Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Utilisez les modèles de EC2 lancement Amazon pour contrôler le lancement EC2 des instances Amazon
Vous pouvez contrôler la configuration de vos EC2 instances Amazon en spécifiant que les utilisateurs ne peuvent lancer des instances que s'ils utilisent un modèle de lancement, et qu'ils ne peuvent utiliser qu'un modèle de lancement spécifique. Vous pouvez également contrôler qui peut créer, modifier, décrire et supprimer les modèles de lancement et les versions du modèle de lancement.
Utiliser des modèles de lancement pour contrôler les paramètres de lancement
Un modèle de lancement peut contenir tout ou partie des paramètres permettant de configurer une instance au lancement. Toutefois, lorsque vous lancez une instance à l'aide d'un modèle de lancement, vous pouvez remplacer les paramètres spécifiés dans le modèle de lancement. Vous pouvez également spécifier d’autres paramètres qui ne figurent pas dans le modèle de lancement.
Note
Vous ne pouvez pas supprimer les paramètres du modèle de lancement lors du lancement (par exemple, vous ne pouvez pas spécifier de valeur nulle pour le paramètre). Pour supprimer un paramètre, créez une nouvelle version du modèle de lancement sans ce paramètre, puis utilisez cette version pour lancer l’instance.
Pour lancer des instances, les utilisateurs doivent être autorisés à utiliser l'ec2:RunInstancesaction. Les utilisateurs doivent également être autorisés à créer ou à utiliser les ressources créées ou associées à l’instance. Vous pouvez utiliser des autorisations au niveau des ressources pour l’action ec2:RunInstances afin de contrôler les paramètres de lancement pouvant être spécifiés par les utilisateurs. Vous pouvez également autoriser les utilisateurs à lancer une instance à l’aide d’un modèle de lancement. Cela vous permet de gérer les paramètres de lancement dans un modèle de lancement plutôt que dans une IAM politique, et d'utiliser un modèle de lancement comme véhicule d'autorisation pour le lancement d'instances. Par exemple, vous pouvez spécifier que les utilisateurs peuvent uniquement lancer des instances à l’aide d’un modèle de lancement et qu’ils peuvent uniquement utiliser un modèle de lancement spécifique. Vous pouvez également contrôler les paramètres de lancement que les utilisateurs peuvent remplacer dans le modèle de lancement. Pour obtenir des exemples de politiques, consultez Modèles de lancement.
Contrôler l’utilisation des modèles de lancement
Par défaut, les utilisateurs d’ ne sont pas autorisés à utiliser des modèles de lancement. Vous pouvez créer une stratégie qui autorise les utilisateurs à créer, modifier, décrire et supprimer des modèles de lancement et leurs versions. Vous pouvez également appliquer des autorisations au niveau des ressources à certaines actions de modèle de lancement pour contrôler la capacité d’un utilisateur à utiliser des ressources spécifiques pour ces actions. Pour plus d’informations, consultez Exemple : Utiliser des modèles de lancement.
Soyez vigilant lorsque vous autorisez des utilisateurs à effectuer les actions ec2:CreateLaunchTemplate et ec2:CreateLaunchTemplateVersion. Vous ne pouvez pas utiliser les autorisations au niveau des ressources pour contrôler les ressources que les utilisateurs peuvent spécifier dans le modèle de lancement. Pour limiter les ressources utilisées pour lancer une instance, veillez à autoriser uniquement les administrateurs appropriés à créer des modèles de lancement et des versions de modèles de lancement.
Problèmes de sécurité importants lors de l'utilisation de modèles de lancement avec EC2 Fleet ou Spot Fleet
Pour utiliser les modèles de lancement, vous devez accorder à vos utilisateurs des autorisations pour créer, modifier, décrire et supprimer des modèles de lancement et leurs versions. Vous pouvez contrôler qui peut créer des modèles de lancement et des versions de modèles en contrôlant l’accès aux actions ec2:CreateLaunchTemplate et ec2:CreateLaunchTemplateVersion. Vous pouvez également contrôler qui peut modifier les modèles de lancement en contrôlant l’accès à l’action ec2:ModifyLaunchTemplate.
Important
Si une EC2 flotte ou une flotte ponctuelle est configurée pour utiliser la version la plus récente ou la version par défaut du modèle de lancement, la flotte ne sait pas si la version la plus récente ou la version par défaut sont modifiées ultérieurement pour pointer vers une autre version du modèle de lancement. Lorsqu'une version différente du modèle de lancement est utilisée pour Latest ou Default, Amazon EC2 ne revérifie pas les autorisations relatives aux actions à effectuer lors du lancement de nouvelles instances afin d'atteindre la capacité cible de la flotte. Il s’agit d’une considération importante lorsque vous accordez des autorisations aux personnes qui peuvent créer et gérer des versions de modèles de lancement, en particulier l’action ec2:ModifyLaunchTemplate qui permet à un utilisateur de modifier la version de modèle de lancement « Par défaut ».
En accordant à un utilisateur l'autorisation d'utiliser les EC2 actions du modèle de lancementAPIs, l'utilisateur obtient également l'iam:PassRoleautorisation s'il crée ou met à jour une EC2 flotte ou une flotte ponctuelle afin de pointer vers une autre version du modèle de lancement contenant un profil d'instance (un conteneur pour un IAM rôle). Cela signifie qu'un utilisateur peut potentiellement mettre à jour un modèle de lancement pour transmettre un IAM rôle à une instance même s'il n'en a pas l'iam:PassRoleautorisation. Pour plus d'informations et un exemple de IAM politique, consultez la section Utilisation d'un IAM rôle pour accorder des autorisations aux applications exécutées sur des EC2 instances Amazon dans le Guide de IAM l'utilisateur.
Pour plus d’informations, consultez Contrôler l’utilisation des modèles de lancement et Exemple : Utiliser des modèles de lancement.
