Autorisations des rôles liés à un service pour API Gateway Création d’un rôle lié à un service pour API Gateway Modification d’un rôle lié à un service pour API Gateway Suppression d’un rôle lié à un service pour API Gateway Régions prises en charge pour les rôles liés à un service API Gateway Mises à jour des politiques

Utilisation de rôles liés à un service pour API Gateway

Amazon API Gateway utilise des rôles liés à un service IAM AWS Identity and Access Management. Un rôle lié à un service est un type unique de rôle IAM lié directement à API Gateway. Les rôles liés à un service sont prédéfinis par API Gateway et incluent toutes les autorisations requises par le service pour appeler d’autres services AWS en votre nom.

Un rôle lié à un service simplifie la configuration d’API Gateway, car vous n’avez pas besoin d’ajouter manuellement les autorisations requises. API Gateway définit les autorisations de ses rôles liés à un service et, sauf définition contraire, seul API Gateway peut endosser ses rôles. Les autorisations définies comprennent la politique d’approbation et la politique d’autorisation. De plus, cette politique d’autorisation ne peut pas être attachée à une autre entité IAM.

Vous pouvez supprimer un rôle lié à un service uniquement après la suppression préalable des ressources connexes. Vos ressources API Gateway sont ainsi protégées, car vous ne pouvez pas involontairement supprimer l’autorisation d’accès aux ressources.

Pour plus d’informations sur les autres services qui prennent en charge les rôles liés à un service, consultez Services AWS qui fonctionnent avec IAM et recherchez les services avec un Oui dans la colonne Rôle lié à un service. Choisissez un Oui ayant un lien permettant de consulter la documentation du rôle lié à un service, pour ce service.

Autorisations des rôles liés à un service pour API Gateway

API Gateway utilise le rôle lié à un service nommé AWSServiceRoleForAPIGateway, qui permet à API Gateway d’accéder à Elastic Load Balancing, à Amazon Data Firehose et à d’autres ressources de service en votre nom.

Le rôle lié à un service AWSServiceRoleForAPI Gateway approuve les services suivants pour assumer le rôle :

ops.apigateway.amazonaws.com

La politique d’autorisations liée au rôle permet à API Gateway de réaliser les actions suivantes sur les ressources spécifiées :


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "elasticloadbalancing:AddListenerCertificates",
                "elasticloadbalancing:RemoveListenerCertificates",
                "elasticloadbalancing:ModifyListener",
                "elasticloadbalancing:DescribeListeners",
                "elasticloadbalancing:DescribeLoadBalancers",
                "xray:PutTraceSegments",
                "xray:PutTelemetryRecords",
                "xray:GetSamplingTargets",
                "xray:GetSamplingRules",
                "logs:CreateLogDelivery",
                "logs:GetLogDelivery",
                "logs:UpdateLogDelivery",
                "logs:DeleteLogDelivery",
                "logs:ListLogDeliveries",
                "servicediscovery:DiscoverInstances"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "firehose:DescribeDeliveryStream",
                "firehose:PutRecord",
                "firehose:PutRecordBatch"
            ],
            "Resource": "arn:aws:firehose:*:*:deliverystream/amazon-apigateway-*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "acm:DescribeCertificate",
                "acm:GetCertificate"
            ],
            "Resource": "arn:aws:acm:*:*:certificate/*"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateNetworkInterfacePermission",
            "Resource": "arn:aws:ec2:*:*:network-interface/*"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateTags",
            "Resource": "arn:aws:ec2:*:*:network-interface/*",
            "Condition": {
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": [
                        "Owner",
                        "VpcLinkId"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:ModifyNetworkInterfaceAttribute",
                "ec2:DeleteNetworkInterface",
                "ec2:AssignPrivateIpAddresses",
                "ec2:CreateNetworkInterface",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeNetworkInterfaceAttribute",
                "ec2:DescribeVpcs",
                "ec2:DescribeNetworkInterfacePermissions",
                "ec2:UnassignPrivateIpAddresses",
                "ec2:DescribeSubnets",
                "ec2:DescribeRouteTables",
                "ec2:DescribeSecurityGroups"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "servicediscovery:GetNamespace",
            "Resource": "arn:aws:servicediscovery:*:*:namespace/*"
        },
        {
            "Effect": "Allow",
            "Action": "servicediscovery:GetService",
            "Resource": "arn:aws:servicediscovery:*:*:service/*"
        }
    ]
}

Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour plus d’informations, consultez Service-Linked Role Permissions (autorisations du rôle lié à un service) dans le Guide de l’utilisateur IAM.

Création d’un rôle lié à un service pour API Gateway

Vous n’avez pas besoin de créer manuellement un rôle lié à un service. Lorsque vous créez une API, un nom de domaine personnalisé ou un lien VPC dans l’AWS Management Console, l’AWS CLI ou l’API AWS, API Gateway crée le rôle lié à un service pour vous.

Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte. Lorsque vous créez une API, un nom de domaine personnalisé ou un lien VPC, API Gateway crée à nouveau le rôle lié à un service pour vous.

Modification d’un rôle lié à un service pour API Gateway

API Gateway ne vous permet pas de modifier le rôle lié à un service AWSServiceRoleForAPIGateway. Une fois que vous avez créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence au rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d’informations, consultez Modification d’un rôle lié à un service dans le Guide de l’utilisateur IAM.

Suppression d’un rôle lié à un service pour API Gateway

Si vous n’avez plus besoin d’utiliser une fonction ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n’avez aucune entité inutilisée qui n’est pas surveillée ou gérée activement. Cependant, vous devez nettoyer les ressources de votre rôle lié à un service avant de pouvoir les supprimer manuellement.

Note

Si le service API Gateway utilise le rôle lorsque vous essayez de supprimer les ressources, la suppression peut échouer. Si cela se produit, patientez quelques minutes et réessayez.

Pour supprimer les ressources API Gateway utilisées par AWSServiceRoleForAPIGateway

Ouvrez la console API Gateway à l’adresse https://console.aws.amazon.com/apigateway.
Accédez à l’API, au nom de domaine personnalisé ou au lien VPC qui utilise le rôle lié à un service.
Utilisez la console pour supprimer la ressource.
Répétez la procédure pour supprimer toutes les API, les noms de domaine personnalisés ou les liens VPC qui utilisent le rôle lié à un service.

Pour supprimer manuellement le rôle lié à un service à l’aide d’IAM

Utilisez la console IAM, l’AWS CLI ou l’API AWS pour supprimer le rôle lié à un service AWSServiceRoleForApigateWay. Pour plus d’informations, consultez Suppression d’un rôle lié à un service dans le Guide de l’utilisateur IAM.

Régions prises en charge pour les rôles liés à un service API Gateway

API Gateway prend en charge l’utilisation des rôles liés à un service dans toutes les régions où le service est disponible. Pour plus d’informations, consultez Points de terminaison du service AWS.

Mises à jour des politiques gérées par AWS pour API Gateway

Affiche des détails sur les mises à jour des politiques gérées par AWS pour API Gateway depuis que ce service a commencé à suivre ces modifications. Pour obtenir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS de la page d’historique API Gateway Document.

Modification	Description	Date
Ajout de la prise en charge de `acm:GetCertificate` à la politique `AWSServiceRoleForAPIGateway`.	La politique `AWSServiceRoleForAPIGateway` inclut désormais l’autorisation d’appeler l’action d’API `GetCertificate` ACM.	12 Juillet 2021
API Gateway a commencé à suivre les modifications	API Gateway a commencé à suivre les modifications pour ses politiques gérées par AWS.	12 Juillet 2021

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Dépannage

Journalisation et surveillance