Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Créer un rôle lié à un service
Un rôle lié à un service est un type unique de IAM rôle directement lié à un AWS service. Les rôles liés au service sont prédéfinis par le service et incluent toutes les autorisations dont le service a besoin pour appeler d'autres AWS services en votre nom. Le service lié définit aussi la manière dont vous créez, modifiez et supprimez un rôle lié à un service. Un service peut créer ou supprimer automatiquement le rôle. Il peut vous permettre de créer, modifier ou supprimer le rôle dans le cadre des opérations d'un assistant ou d'un processus du service. Il se peut également que vous deviez l'utiliser IAM pour créer ou supprimer le rôle. Quelle que soit la méthode, les rôles liés à un service simplifient le processus de configuration d'un service étant donné que vous n'avez pas besoin d'ajouter manuellement les autorisations requises pour que le service effectue des actions en votre nom.
Note
N'oubliez pas que les fonctions du service sont différentes des rôles liés à un service. Un rôle de service est un IAMrôle qu'un service assume pour effectuer des actions en votre nom. Un IAM administrateur peut créer, modifier et supprimer un rôle de service de l'intérieurIAM. Pour plus d'informations, consultez la section Création d'un rôle auquel déléguer des autorisations Service AWS dans le Guide de IAM l'utilisateur. Un rôle lié à un service est un type de rôle de service lié à un. Service AWS Le service peut endosser le rôle afin d’effectuer une action en votre nom. Les rôles liés au service apparaissent dans votre Compte AWS fichier et appartiennent au service. Un IAM administrateur peut consulter, mais pas modifier les autorisations pour les rôles liés à un service.
Le service lié définit les autorisations de ses rôles liés à un service et, sauf définition contraire, seul ce service peut endosser les rôles. Les autorisations définies incluent la politique de confiance et la politique d'autorisations, et cette politique d'autorisations ne peut être attachée à aucune autre IAM entité.
Avant que vous ne puissiez supprimer les rôles, vous devez d'abord supprimer les ressources qui leur sont associées. Vos ressources sont ainsi protégées, car vous ne pouvez pas involontairement supprimer l'autorisation d'accéder aux ressources.
Astuce
Pour plus d'informations concernant la prise en charge par les services des rôles liés à un service, consultez AWS des services qui fonctionnent avec IAM et recherchez les services affichant Oui dans la colonne Rôle lié à un service. Choisissez un Yes (Oui) ayant un lien permettant de consulter les détails du rôle pour ce service.
Autorisations de rôles liés à un service
Vous devez configurer les autorisations pour une IAM entité (utilisateur ou rôle) afin de permettre à l'utilisateur ou au rôle de créer ou de modifier le rôle lié au service.
Note
ARNPour un rôle lié à un service, il y a un principal de service, qui est indiqué dans les politiques ci-dessous sous la forme.
N'essayez pas de deviner le principal du service, car il distingue les majuscules et minuscules et le format peut varier d'un AWS service à l'autre. Pour afficher le principal de service d'un service, consultez la documentation de son rôle lié à un service.SERVICE-NAME
.amazonaws.com
Pour autoriser une IAM entité à créer un rôle spécifique lié à un service
Ajoutez la politique suivante à l'IAMentité qui doit créer le rôle lié au service.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/
SERVICE-NAME
.amazonaws.com/SERVICE-LINKED-ROLE-NAME-PREFIX
*", "Condition": {"StringLike": {"iam:AWSServiceName": "SERVICE-NAME
.amazonaws.com"}} }, { "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:PutRolePolicy" ], "Resource": "arn:aws:iam::*:role/aws-service-role/SERVICE-NAME
.amazonaws.com/SERVICE-LINKED-ROLE-NAME-PREFIX
*" } ] }
Pour autoriser une IAM entité à créer un rôle lié à un service
Ajoutez la déclaration suivante à la politique d'autorisations pour l'IAMentité qui doit créer un rôle lié à un service, ou à tout rôle de service incluant les politiques nécessaires. Cette déclaration de politique n'autorise pas l'IAMentité à associer une politique au rôle.
{ "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/*" }
Pour autoriser une IAM entité à modifier la description de tous les rôles de service
Ajoutez la déclaration suivante à la politique d'autorisations pour l'IAMentité qui doit modifier la description d'un rôle lié à un service, ou de tout autre rôle de service.
{ "Effect": "Allow", "Action": "iam:UpdateRoleDescription", "Resource": "arn:aws:iam::*:role/aws-service-role/*" }
Pour autoriser une IAM entité à supprimer un rôle spécifique lié à un service
Ajoutez l'instruction suivante à la politique d'autorisation pour l'IAMentité qui doit supprimer le rôle lié au service.
{ "Effect": "Allow", "Action": [ "iam:DeleteServiceLinkedRole", "iam:GetServiceLinkedRoleDeletionStatus" ], "Resource": "arn:aws:iam::*:role/aws-service-role/
SERVICE-NAME
.amazonaws.com/SERVICE-LINKED-ROLE-NAME-PREFIX
*" }
Pour autoriser une IAM entité à supprimer tout rôle lié à un service
Ajoutez l'instruction suivante à la politique d'autorisation pour l'IAMentité qui doit supprimer un rôle lié à un service, mais pas un rôle de service.
{ "Effect": "Allow", "Action": [ "iam:DeleteServiceLinkedRole", "iam:GetServiceLinkedRoleDeletionStatus" ], "Resource": "arn:aws:iam::*:role/aws-service-role/*" }
Pour autoriser une IAM entité à transmettre un rôle existant au service
Certains AWS services vous permettent de transmettre un rôle existant au service, au lieu de créer un nouveau rôle lié au service. Pour ce faire, un utilisateur doit disposer des autorisations nécessaires pour transmettre le rôle au service. Ajoutez l'instruction suivante à la politique d'autorisation pour l'IAMentité qui doit transmettre un rôle. Cette instruction de politique autorise également l'entité à afficher une liste des rôles à partir de laquelle ils peuvent choisir le rôle à transmettre. Pour de plus amples informations, veuillez consulter Accorder à un utilisateur l'autorisation de transmettre un rôle à un AWS service.
{ "Sid": "PolicyStatementToAllowUserToListRoles", "Effect": "Allow", "Action": ["iam:ListRoles"], "Resource": "*" }, { "Sid": "PolicyStatementToAllowUserToPassOneSpecificRole", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::
account-id
:role/my-role-for-XYZ
" }
Autorisations indirectes avec rôles liés à un service
Les autorisations accordées par un rôle lié à un service peuvent être transférées indirectement à d'autres utilisateurs et rôles. Lorsqu'un rôle lié à un service est utilisé par un AWS service, ce rôle lié au service peut utiliser ses propres autorisations pour appeler d'autres services. AWS Cela signifie que les utilisateurs et les rôles ayant l'autorisation d'appeler un service qui utilise un rôle lié à un service peuvent avoir un accès indirect aux services auxquels ce rôle lié à un service peut accéder.
Par exemple, lorsque vous créez une RDS instance de base de données Amazon, un rôle lié à un service RDS est automatiquement créé s'il n'en existe pas déjà un. Ce rôle lié au service permet d'RDSappeler Amazon, EC2 Amazon, SNS Amazon CloudWatch Logs et Amazon Kinesis en votre nom. Si vous autorisez les utilisateurs et les rôles de votre compte à modifier ou à créer des RDS bases de données, ils seront peut-être en mesure d'interagir indirectement avec les CloudWatch journaux AmazonEC2, AmazonSNS, Amazon Logs et les ressources Amazon Kinesis en les appelantRDS, tout comme ils RDS utiliseraient leur rôle lié au service pour accéder à ces ressources.
Création d'un rôle lié à un service
La méthode que vous utilisez pour créer un rôle lié à un service dépend dudit service. Dans certains cas, vous n'avez pas besoin de créer manuellement un rôle lié à un service. Par exemple, lorsque vous terminez une action donnée (comme créer une ressource) dans le service, le service peut créer le rôle lié au service à votre place. Ou, si vous utilisiez un service avant qu'il ne prenne en charge les rôles liés à un service, alors le service peut avoir créé automatiquement le rôle dans votre compte. Pour en savoir plus, consultez Un nouveau rôle est apparu dans mon compte AWS.
Dans d'autres cas, le service peut prendre en charge la création manuelle d'un rôle lié à un service à l'aide de la console de serviceAPI, ou. CLI Pour plus d'informations concernant la prise en charge par les services des rôles liés à un service, consultez AWS des services qui fonctionnent avec IAM et recherchez les services affichant Oui dans la colonne Rôle lié à un service. Pour savoir si le service prend en charge la création du rôle lié à un service, choisissez le lien Oui pour afficher la documentation du rôle lié à ce service.
Si le service ne prend pas en charge la création du rôle, vous pouvez l'utiliser IAM pour créer le rôle lié au service.
Important
Les rôles liés à un service sont pris en compte dans le calcul de vos IAM rôles dans une certaine Compte AWS limite, mais si vous avez atteint votre limite, vous pouvez toujours créer des rôles liés à un service dans votre compte. Seuls les rôles liés à un service peuvent dépasser la limite sans conséquence.
Création d'un rôle lié à un service (console)
Avant de créer un rôle lié à un service dansIAM, déterminez si le service lié crée automatiquement des rôles liés au service. En outre, découvrez si vous pouvez créer le rôle depuis la console du service, ou. API CLI
Pour créer un rôle lié à un service (console)
Connectez-vous à la IAM console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/
. -
Dans le volet de navigation de la IAM console, sélectionnez Rôles. Puis, choisissez Create role (Créer un rôle).
-
Choisissez le type de fonction du service AWS .
-
Choisissez le cas d'utilisation de votre service. Les cas d'utilisation sont définis par le service pour inclure la politique d'approbation requise par le service. Ensuite, choisissez Suivant.
-
Choisissez une ou plusieurs politiques d'autorisation à attacher au rôle. En fonction du cas d'utilisation sélectionné, le service peut effectuer n'importe laquelle des options suivantes :
-
Définissez les autorisations utilisées par le rôle.
-
Vous permet de choisir parmi un ensemble limité d'autorisations.
-
Vous permet de choisir parmi toutes les autorisations.
-
Vous permet de choisir de ne sélectionner aucune stratégie pour le moment, mais de créer les politiques plus tard et de les attacher au rôle.
Cochez la case en regard de la politique qui affecte les autorisations que vous voulez octroyer au rôle, puis choisissez Next (Suivant).
Note
Les autorisations que vous spécifiez sont disponibles à toutes les entités qui utilisent le rôle. Par défaut, un rôle ne dispose d'aucune autorisation.
-
-
Pour Nom du rôle, le degré de la personnalisation du nom du rôle est défini par le service. Si le service définit le nom du rôle, alors cette option n'est pas modifiable. Dans d'autres cas, le service peut définir un préfixe pour le rôle ou vous laisser saisir un suffixe facultatif.
Si possible, saisissez un suffixe de nom de rôle à ajouter au nom par défaut. Ce suffixe vous aide à identifier l'objectif de ce rôle. Les noms de rôle de votre compte AWS doivent être uniques. Ils ne sont pas sensibles à la casse. Par exemple, vous ne pouvez pas créer deux rôles nommés
<service-linked-role-name>_SAMPLE
et<service-linked-role-name>_sample
. Différentes entités peuvent référencer le rôle et il n'est donc pas possible de modifier son nom après sa création. -
(Facultatif) Dans le champ Description, modifiez la description du nouveau rôle lié à un service.
-
Vous ne pouvez pas attacher des balises à des rôles liés à un service lors de la création. Pour plus d'informations sur l'utilisation de balises dansIAM, consultezTags pour les AWS Identity and Access Management ressources.
-
Passez en revue les informations du rôle, puis choisissez Créer un rôle.
Création d'un rôle lié à un service (AWS CLI)
Avant de créer un rôle lié à un service dansIAM, déterminez si le service lié crée automatiquement des rôles liés au service et si vous pouvez créer le rôle à partir de celui du service. CLI Si le service n'CLIest pas pris en charge, vous pouvez utiliser des IAM commandes pour créer un rôle lié au service avec la politique de confiance et les politiques intégrées dont le service a besoin pour assumer ce rôle.
Pour créer un rôle lié à un service (AWS CLI)
Exécutez la commande suivante :
aws iam create-service-linked-role --aws-service-name
SERVICE-NAME
.amazonaws.com
Création d'un rôle lié à un service ()AWS API
Avant de créer un rôle lié à un service dansIAM, déterminez si le service lié crée automatiquement des rôles liés au service et si vous pouvez créer le rôle à partir de celui du service. API Si le service n'APIest pas pris en charge, vous pouvez utiliser le AWS API pour créer un rôle lié au service avec la politique de confiance et les politiques intégrées dont le service a besoin pour assumer le rôle.
Pour créer un rôle lié à un service ()AWS API
Utilisez l'CreateServiceLinkedRoleAPIappel. Dans la demande, spécifiez un nom de service sous la forme
. SERVICE_NAME_URL
.amazonaws.com
Par exemple, pour créer le rôle lié à un service Robots Lex, utilisez lex.amazonaws.com
.