Créer un rôle lié à un service - AWS Identity and Access Management
Autorisations de rôles liés à un serviceAutorisations indirectesCréation d'un rôle lié à un service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Créer un rôle lié à un service

Un rôle lié à un service est un type unique de IAM rôle directement lié à un AWS service. Les rôles liés à un service sont prédéfinis par le service et comprennent toutes les autorisations nécessaires au service pour appeler d'autres AWS services en votre nom. Le service lié définit aussi la manière dont vous créez, modifiez et supprimez un rôle lié à un service. Un service peut créer ou supprimer automatiquement le rôle. Il peut vous permettre de créer, modifier ou supprimer le rôle dans le cadre des opérations d'un assistant ou d'un processus du service. Ou il peut vous demander d'utiliser IAM pour créer ou supprimer le rôle. Quelle que soit la méthode, les rôles liés à un service simplifient le processus de configuration d'un service étant donné que vous n'avez pas besoin d'ajouter manuellement les autorisations requises pour que le service effectue des actions en votre nom.

Note

N'oubliez pas que les fonctions du service sont différentes des rôles liés à un service. Un rôle de service est un IAMrôle qu'un service endosse pour accomplir des actions en votre nom. Un IAM administrateur peut créer, modifier et supprimer un rôle de service à partir de l'intérieurIAM. Pour plus d'informations, consultez la section Créer un rôle pour déléguer des autorisations à un Service AWS dans le guide de IAM l'utilisateur. Un rôle lié à un service est un type de fonction du service lié à un. Service AWS Le service peut endosser le rôle afin d’effectuer une action en votre nom. Les rôles liés à un service s'affichent dans votre Compte AWS et sont la propriété du service. Un IAM administrateur peut consulter, mais ne peut pas modifier, les autorisations concernant les rôles liés à un service.

Le service lié définit les autorisations de ses rôles liés à un service et, sauf définition contraire, seul ce service peut endosser les rôles. Les autorisations définies comprennent la stratégie d'approbation et la stratégie d'autorisation. De plus, cette stratégie d'autorisation ne peut pas être attachée à IAM une autre entité.

Avant que vous ne puissiez supprimer les rôles, vous devez d'abord supprimer les ressources qui leur sont associées. Vos ressources sont ainsi protégées, car vous ne pouvez pas involontairement supprimer l'autorisation d'accéder aux ressources.

Astuce

Pour plus d'informations concernant la prise en charge par les services des rôles liés à un service, consultez AWS des services qui fonctionnent avec IAM et recherchez les services affichant Oui dans la colonne Rôle lié à un service. Choisissez un Yes (Oui) ayant un lien permettant de consulter les détails du rôle pour ce service.

Autorisations de rôles liés à un service

Vous devez configurer les autorisations d'une IAM entité (utilisateur ou rôle) de manière à permettre à l'utilisateur ou au rôle de créer ou modifier le rôle lié à un service.

Note

ARNPour un rôle lié à un service, il comprend un principal de service indiqué dans les stratégies ci-dessous comme. SERVICE-NAME.amazonaws.com N'essayez pas de deviner le principal de service, car il est sensible à la casse et le format peut varier entre les AWS services. Pour afficher le principal de service d'un service, consultez la documentation de son rôle lié à un service.

Pour permettre à une IAM entité de créer un rôle spécifique lié à un service

Ajoutez la politique suivante à l'IAMentité qui doit créer le rôle lié à un service.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "arn:aws:iam::*:role/aws-service-role/SERVICE-NAME.amazonaws.com/SERVICE-LINKED-ROLE-NAME-PREFIX*",
            "Condition": {"StringLike": {"iam:AWSServiceName": "SERVICE-NAME.amazonaws.com"}}
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:AttachRolePolicy",
                "iam:PutRolePolicy"
            ],
            "Resource": "arn:aws:iam::*:role/aws-service-role/SERVICE-NAME.amazonaws.com/SERVICE-LINKED-ROLE-NAME-PREFIX*"
        }
    ]
}

Pour permettre à une IAM entité de créer un rôle lié à un service

Ajoutez l'instruction suivante à la stratégie d'autorisation de l'IAMentité qui doit créer un rôle lié à un service, ou un rôle de service incluant les stratégies requises : Cette déclaration de stratégie n'autorise pas l'IAMentité à attacher une politique à ce rôle.

{
    "Effect": "Allow",
    "Action": "iam:CreateServiceLinkedRole",
    "Resource": "arn:aws:iam::*:role/aws-service-role/*"
}

Pour permettre à une IAM entité de modifier la description de rôles liés à un service

Ajoutez l'instruction suivante à la politique d'autorisation de l'IAMentité qui doit modifier la description d'un rôle lié à un service ou d'un rôle de service.

{
    "Effect": "Allow",
    "Action": "iam:UpdateRoleDescription",
    "Resource": "arn:aws:iam::*:role/aws-service-role/*"
}

Pour permettre à une IAM entité de supprimer un rôle spécifique lié à un service

Ajoutez l'instruction suivante à la politique d'autorisation de l'IAMentité qui doit supprimer le rôle lié à un service.

{
    "Effect": "Allow",
    "Action": [
        "iam:DeleteServiceLinkedRole",
        "iam:GetServiceLinkedRoleDeletionStatus"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/SERVICE-NAME.amazonaws.com/SERVICE-LINKED-ROLE-NAME-PREFIX*"
}

Pour permettre à une IAM entité de supprimer un rôle lié à un service

Ajoutez l'instruction suivante à la politique d'autorisation de l'IAMentité qui doit supprimer un rôle lié à un service, mais pas le rôle de service.

{
    "Effect": "Allow",
    "Action": [
        "iam:DeleteServiceLinkedRole",
        "iam:GetServiceLinkedRoleDeletionStatus"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/*"
}

Pour permettre à une IAM entité de transmettre un rôle existant au service

Certains AWS services vous permettent de transmettre un rôle existant au service, au lieu de créer un nouveau rôle lié à un service. Pour ce faire, un utilisateur doit disposer des autorisations nécessaires pour transmettre le rôle au service. Ajoutez l'instruction suivante à la politique d'autorisation de l'IAMentité qui doit transmettre un rôle. Cette instruction de politique autorise également l'entité à afficher une liste des rôles à partir de laquelle ils peuvent choisir le rôle à transmettre. Pour de plus amples informations, veuillez consulter Accorder à un utilisateur l'autorisation de transmettre un rôle à un AWS service.

{
  "Sid": "PolicyStatementToAllowUserToListRoles",
  "Effect": "Allow",
  "Action": ["iam:ListRoles"],
  "Resource": "*"
},
{
  "Sid": "PolicyStatementToAllowUserToPassOneSpecificRole",
  "Effect": "Allow",
  "Action": [ "iam:PassRole" ],
  "Resource": "arn:aws:iam::account-id:role/my-role-for-XYZ"
}

Autorisations indirectes avec rôles liés à un service

Les autorisations accordées par un rôle lié à un service peuvent être transférées indirectement à d'autres utilisateurs et rôles. Lorsqu'un rôle lié à un service est utilisé par un AWS service, ce rôle lié à un service peut utiliser ses propres autorisations pour appeler d'autres services. AWS Cela signifie que les utilisateurs et les rôles ayant l'autorisation d'appeler un service qui utilise un rôle lié à un service peuvent avoir un accès indirect aux services auxquels ce rôle lié à un service peut accéder.

Par exemple, lorsque vous créez une RDS instance de base données Amazon, un rôle lié à un service pour RDS est automatiquement créé s'il n'existe pas déjà. Ce rôle lié à un service permet RDS d'appeler Amazon, EC2 SNS Amazon CloudWatch Logs et Amazon Kinesis en votre nom. Si vous autorisez les utilisateurs et les rôles de votre compte à modifier ou à créer des RDS bases de données, ils peuvent alors interagir indirectement avec Amazon EC2SNS, Amazon CloudWatch Logs et les ressources Amazon Kinesis en appelantRDS, comme RDS ils utilisent leur rôle lié à un service pour accéder à ces ressources.

Création d'un rôle lié à un service

La méthode que vous utilisez pour créer un rôle lié à un service dépend dudit service. Dans certains cas, vous n'avez pas besoin de créer manuellement un rôle lié à un service. Par exemple, lorsque vous terminez une action donnée (comme créer une ressource) dans le service, le service peut créer le rôle lié au service à votre place. Ou, si vous utilisiez un service avant qu'il ne prenne en charge les rôles liés à un service, alors le service peut avoir créé automatiquement le rôle dans votre compte. Pour en savoir plus, consultez Un nouveau rôle est apparu dans mon compte AWS.

Dans d'autres cas, le service peut prendre en charge la création manuelle d'un rôle lié à un service à l'aide la consoleAPI, ou. CLI Pour plus d'informations concernant la prise en charge par les services des rôles liés à un service, consultez AWS des services qui fonctionnent avec IAM et recherchez les services affichant Oui dans la colonne Rôle lié à un service. Pour savoir si le service prend en charge la création du rôle lié à un service, choisissez le lien Oui pour afficher la documentation du rôle lié à ce service.

Si le service ne prend pas en charge la création du rôle, alors vous pouvez utiliser IAM pour créer le rôle lié à un service.

Important

Les rôles liés à un service comptent dans votre Compte AWS limite de IAMrôles dans un, mais si vous avez atteint cette limite, vous pouvez toujours créer des rôles liés à un service dans votre compte. Seuls les rôles liés à un service peuvent dépasser la limite sans conséquence.

Création d'un rôle lié à un service (console)

Avant de créer un rôle lié à un service dansIAM, sachez si le service lié crée automatiquement des rôles liés au service et si vous pouvez créer le rôle depuis la console du service, ou si vous pouvez créer le rôle depuis la console du service, ou. API CLI

Pour créer un rôle lié à un service (console)

  1. Connectez-vous à la IAM console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le volet de navigation de la IAM console, choisissez Rôles. Puis, choisissez Create role (Créer un rôle).

  3. Choisissez le type de fonction du service AWS .

  4. Choisissez le cas d'utilisation de votre service. Les cas d'utilisation sont définis par le service pour inclure la politique d'approbation requise par le service. Ensuite, choisissez Suivant.

  5. Choisissez une ou plusieurs politiques d'autorisation à attacher au rôle. En fonction du cas d'utilisation sélectionné, le service peut effectuer n'importe laquelle des options suivantes :

    • Définissez les autorisations utilisées par le rôle.

    • Vous permet de choisir parmi un ensemble limité d'autorisations.

    • Vous permet de choisir parmi toutes les autorisations.

    • Vous permet de choisir de ne sélectionner aucune stratégie pour le moment, mais de créer les politiques plus tard et de les attacher au rôle.

    Cochez la case en regard de la politique qui affecte les autorisations que vous voulez octroyer au rôle, puis choisissez Next (Suivant).

    Note

    Les autorisations que vous spécifiez sont disponibles à toutes les entités qui utilisent le rôle. Par défaut, un rôle ne dispose d'aucune autorisation.

  6. Pour Nom du rôle, le degré de la personnalisation du nom du rôle est défini par le service. Si le service définit le nom du rôle, alors cette option n'est pas modifiable. Dans d'autres cas, le service peut définir un préfixe pour le rôle ou vous laisser saisir un suffixe facultatif.

    Si possible, saisissez un suffixe de nom de rôle à ajouter au nom par défaut. Ce suffixe vous aide à identifier l'objectif de ce rôle. Les noms de rôle de votre compte AWS doivent être uniques. Ils ne sont pas sensibles à la casse. Par exemple, vous ne pouvez pas créer deux rôles nommés <service-linked-role-name>_SAMPLE et <service-linked-role-name>_sample. Différentes entités peuvent référencer le rôle et il n'est donc pas possible de modifier son nom après sa création.

  7. (Facultatif) Dans le champ Description, modifiez la description du nouveau rôle lié à un service.

  8. Vous ne pouvez pas attacher des balises à des rôles liés à un service lors de la création. Pour plus d'informations sur l'utilisation de balises dansIAM, consultezTags pour les AWS Identity and Access Management ressources.

  9. Passez en revue les informations du rôle, puis choisissez Créer un rôle.

Création d'un rôle lié à un service (AWS CLI)

Avant de créer un rôle lié à un service dansIAM, sachez si le service lié crée automatiquement des rôles liés au service et si vous pouvez créer le rôle depuis celui du service. CLI Si le service n'CLIest pas pris en charge, vous pouvez employer IAM les commandes pour créer un rôle lié à un service avec la stratégie d'approbation et les stratégies en ligne dont le service a besoin pour assumer le rôle.

Pour créer un rôle lié à un service (AWS CLI)

Exécutez la commande suivante :

aws iam create-service-linked-role --aws-service-name SERVICE-NAME.amazonaws.com

Création d'un rôle lié à un service ()AWS API

Avant de créer un rôle lié à un service dansIAM, sachez si le service lié crée automatiquement des rôles liés au service et si vous pouvez créer le rôle depuis celui du service. API Si le service n'APIest pas pris en charge, vous pouvez employer le AWS API pour créer un rôle lié à un service avec la stratégie d'approbation et les stratégies en ligne dont le service a besoin pour assumer le rôle.

Pour créer un rôle lié à un service ()AWS API

Utilisez l'CreateServiceLinkedRoleAPIappel. Dans la demande, spécifiez un nom de service sous la forme SERVICE_NAME_URL.amazonaws.com.

Par exemple, pour créer le rôle lié à un service Robots Lex, utilisez lex.amazonaws.com.