Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Rôle IAM d’infrastructure Amazon ECS
<a name="infrastructure_IAM_role"></a>

Un rôle IAM d’infrastructure Amazon ECS permet à Amazon ECS de gérer les ressources d’infrastructure de vos clusters en votre nom. Il est utilisé dans les cas suivants :
+ Vous souhaitez associer des volumes Amazon EBS à vos tâches Amazon ECS dont le type de lancement est Fargate ou EC2. Le rôle d’infrastructure permet à Amazon ECS de gérer les volumes Amazon EBS pour vos tâches.

  Vous pouvez utiliser la politique gérée `AmazonECSInfrastructureRolePolicyForVolumes`
+ Vous souhaitez utiliser le protocole TLS (Transport Layer Security) pour chiffrer le trafic entre vos services Amazon ECS Service Connect.

  Vous pouvez utiliser la politique gérée `AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity`
+ Vous souhaitez créer des groupes cibles Amazon VPC Lattice.

  Vous pouvez utiliser la politique gérée `AmazonECSInfrastructureRolePolicyForVpcLattice`
+ Vous souhaitez utiliser des instances gérées Amazon ECS dans vos clusters Amazon ECS. Le rôle d’infrastructure permet à Amazon ECS de gérer le cycle de vie des instances gérées.

  Vous pouvez utiliser la politique gérée `AmazonECSInfrastructureRolePolicyForManagedInstances`
+ Vous souhaitez utiliser le mode express. Le rôle d'infrastructure permet à Amazon ECS de fournir et de gérer les composants d'infrastructure requis pour les services en mode express, notamment l'équilibrage de charge, les groupes de sécurité, les certificats SSL et les configurations de dimensionnement automatique.

  Vous pouvez utiliser la politique gérée `AmazonECSInfrastructureRoleforExpressGatewayServices`

 Lorsqu’Amazon ECS assume ce rôle pour prendre des mesures en votre nom, les événements seront visibles dans AWS CloudTrail. Si Amazon ECS utilise le rôle pour gérer les volumes Amazon EBS associés à vos tâches, le CloudTrail journal le `roleSessionName` sera`ECSTaskVolumesForEBS`. Si le rôle est utilisé pour chiffrer le trafic entre vos services Service Connect, le CloudTrail journal le `roleSessionName` sera`ECSServiceConnectForTLS`. Si le rôle est utilisé pour créer des groupes cibles pour VPC Lattice, le CloudTrail journal `roleSessionName` le sera. `ECSNetworkingWithVPCLattice` Si le rôle est utilisé pour gérer les instances gérées Amazon ECS, le CloudTrail journal le `roleSessionName` sera`ECSManagedInstancesForCompute`. Vous pouvez utiliser ce nom pour rechercher des événements dans la CloudTrail console en filtrant par **nom d'utilisateur**.

Amazon ECS fournit des politiques gérées qui contiennent les autorisations requises pour l’attachement de volumes, le protocole TLS, VPC Lattice et les instances gérées. Pour plus d'informations, consultez [Amazon ECSInfrastructure RolePolicyForVolumes](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSInfrastructureRolePolicyForVolumes.html), [Amazon ECSInfrastructure RolePolicyForServiceConnectTransportLayerSecurity](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity.html), [Amazon ECSInfrastructure RolePolicyForVpcLattice](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSInfrastructureRolePolicyForVpcLattice.html) ECSInfrastructureRolePolicyForManagedInstances, [Amazon](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSInfrastructureRolePolicyForManagedInstances.html) et [Amazon ECSInfrastructure RoleforExpressGatewayServices](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonECSInfrastructureRoleforExpressGatewayServices.html) dans le *AWS Managed Policy Reference Guide*. 

## Création du rôle d’infrastructure Amazon ECS
<a name="create-infrastructure-role"></a>

Remplacez tout *user input* par vos propres informations.

1. Créez un fichier nommé `ecs-infrastructure-trust-policy.json` contenant la stratégie d'approbation à utiliser pour le rôle IAM. Le fichier doit contenir ce qui suit :

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	  
     "Statement": [ 
       {
         "Sid": "AllowAccessToECSForInfrastructureManagement", 
         "Effect": "Allow", 
         "Principal": {
           "Service": "ecs.amazonaws.com" 
         }, 
         "Action": "sts:AssumeRole" 
       } 
     ] 
   }
   ```

------

1. Utilisez la AWS CLI commande suivante pour créer un rôle nommé `ecsInfrastructureRole` en utilisant la politique de confiance que vous avez créée à l'étape précédente.

   ```
   aws iam create-role \
         --role-name ecsInfrastructureRole \
         --assume-role-policy-document file://ecs-infrastructure-trust-policy.json
   ```

1. En fonction de votre cas d'utilisation, associez la politique gérée au `ecsInfrastructureRole` rôle.
   + Pour associer des volumes Amazon EBS à vos tâches Amazon ECS de type Fargate ou EC2, joignez la politique gérée. `AmazonECSInfrastructureRolePolicyForVolumes`
   + Pour utiliser le protocole TLS (Transport Layer Security) afin de chiffrer le trafic entre vos services Amazon ECS Service Connect, joignez la politique `AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity` gérée.
   + Pour créer des groupes cibles Amazon VPC Lattice, joignez la `AmazonECSInfrastructureRolePolicyForVpcLattice` politique gérée.
   + Vous souhaitez utiliser des instances gérées Amazon ECS dans vos clusters Amazon ECS, joignez la politique `AmazonECSInfrastructureRolePolicyForManagedInstances` gérée.

   ```
   aws iam attach-role-policy \
         --role-name ecsInfrastructureRole \
         --policy-arn arn:aws:iam::aws:policy/service-role/AmazonECSInfrastructureRolePolicyForVolumes
   ```

   ```
   aws iam attach-role-policy \
         --role-name ecsInfrastructureRole \
         --policy-arn arn:aws:iam::aws:policy/service-role/AmazonECSInfrastructureRolePolicyForServiceConnectTransportLayerSecurity
   ```

   ```
   aws iam attach-role-policy \
         --role-name ecsInfrastructureRole \
         --policy-arn arn:aws:iam::aws:policy/AmazonECSInfrastructureRolePolicyForManagedInstances
   ```

Vous pouvez également utiliser le flux de travail **Stratégie d’approbation personnalisée** de la console IAM pour créer le rôle. Pour plus d’informations, reportez-vous à la section [Création d’un rôle à l’aide de politiques de confiance personnalisées (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html) dans le *Guide de l’utilisateur IAM*.

**Important**  
Si le rôle d’infrastructure est utilisé par Amazon ECS pour gérer les volumes Amazon EBS associés à vos tâches, assurez-vous de ce qui suit avant d’arrêter les tâches qui utilisent des volumes Amazon EBS.  
Le rôle n’est pas supprimé.
La stratégie d’approbation associée au rôle n’est pas modifiée pour supprimer l’accès Amazon ECS (`ecs.amazonaws.com`).
La politique gérée `AmazonECSInfrastructureRolePolicyForVolumes` n’est pas supprimée. Si vous devez modifier les autorisations du rôle, conservez au moins `ec2:DetachVolume`, `ec2:DeleteVolume` et `ec2:DescribeVolumes` pour la suppression du volume.
Si vous supprimez ou modifiez le rôle avant d’arrêter les tâches associées à des volumes Amazon EBS, les tâches resteront bloquées en `DEPROVISIONING` et les volumes Amazon EBS associés ne seront pas supprimés. Amazon ECS réessaiera automatiquement à intervalles réguliers d’arrêter la tâche et de supprimer le volume jusqu’à ce que les autorisations nécessaires soient rétablies. Vous pouvez consulter l'état d'attachement au volume d'une tâche et la raison du statut associée à l'aide de l'[DescribeTasks](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_DescribeTasks.html)API.

Une fois le fichier créé, vous devez autoriser votre utilisateur à transmettre le rôle à Amazon ECS.

## Autorisation de transmettre le rôle d’infrastructure à Amazon ECS
<a name="pass_infrastructure_role_to_service"></a>

Pour utiliser un rôle IAM d’infrastructure ECS, vous devez accorder à votre utilisateur l’autorisation de transmettre le rôle à Amazon ECS. Attachez les autorisations `iam:PassRole` suivantes à votre utilisateur. *ecsInfrastructureRole*Remplacez-le par le nom du rôle d'infrastructure que vous avez créé.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
    
        {
            "Action": "iam:PassRole",
            "Effect": "Allow",
            "Resource": ["arn:aws:iam::*:role/ecsInfrastructureRole"],
            "Condition": {
                "StringEquals": {"iam:PassedToService": "ecs.amazonaws.com"}
            }
        }
    ]
}
```

------

Pour plus d'informations sur les autorisations de votre utilisateur `iam:Passrole` et leur mise à jour, consultez les [sections Octroi à un utilisateur des autorisations lui permettant de transférer un rôle à un AWS service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html) et [Modification des autorisations pour un utilisateur IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html) dans le *guide de l'Gestion des identités et des accès AWS utilisateur*.