Rôles liés à un service pour Amazon Auto Scaling EC2 - Amazon EC2 Auto Scaling
PrésentationAutorisations accordées par le rôle lié à un serviceRégions prises en charge pour les rôles liés au service Amazon EC2 Auto ScalingCréation, modification et suppression d'un rôle lié à un service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Rôles liés à un service pour Amazon Auto Scaling EC2

Amazon EC2 Auto Scaling utilise des rôles liés à un service pour obtenir les autorisations dont il a besoin pour appeler d'autres personnes en votre Services AWS nom. Un rôle lié à un service est un type unique de IAM rôle directement lié à un. Service AWS

Les rôles liés à un service offrent une manière sécurisée d'accorder des autorisations aux autres Services AWS , car seul le service lié peut assumer un rôle lié à un service. Pour plus d'informations, consultez la section Utilisation des rôles liés à un service dans le Guide de l'IAMutilisateur. Les rôles liés au service permettent également de API visualiser tous les appels. AWS CloudTrail Cela permet de répondre aux exigences de surveillance et d'audit, car vous pouvez suivre toutes les actions effectuées par Amazon EC2 Auto Scaling en votre nom. Pour de plus amples informations, veuillez consulter Enregistrez les API appels Amazon EC2 Auto Scaling avec AWS CloudTrail.

Les sections suivantes décrivent comment créer et gérer des rôles liés à un service Amazon EC2 Auto Scaling. Commencez par configurer les autorisations pour permettre à une IAM identité (telle qu'un utilisateur ou un rôle) de créer, de modifier ou de supprimer un rôle lié à un service. Pour plus d'informations, consultez la section Utilisation des rôles liés à un service dans le Guide de l'IAMutilisateur.

Présentation

Il existe deux types de rôles liés au service Amazon EC2 Auto Scaling :

  • Le rôle lié au service par défaut pour votre compte, nommé. AWSServiceRoleForAutoScaling Ce rôle est automatiquement affecté à vos groupes Auto Scaling, sauf si vous désignez un autre rôle lié à un service.

  • Un rôle lié à un service avec un suffixe personnalisé que vous spécifiez lors de la création du rôle, par exemple, _ AWSServiceRoleForAutoScalingmysuffix.

Les autorisations d'un rôle lié à un service avec suffixe personnalisé sont identiques à ceux du rôle lié à un service par défaut. Dans les deux cas, vous ne pouvez pas modifier les rôles, et vous ne pouvez pas les supprimer s'ils sont toujours en cours d'utilisation par un groupe Auto Scaling. La seule différence est le suffixe de nom de rôle.

Vous pouvez spécifier l'un ou l'autre rôle lorsque vous modifiez vos politiques AWS Key Management Service clés pour permettre aux instances lancées par Amazon EC2 Auto Scaling d'être chiffrées avec votre clé gérée par le client. Toutefois, si vous prévoyez d'accorder un accès granulaire à une clé spécifique gérée par le client, vous devez utiliser un rôle lié à un service avec suffixe personnalisé. L'utilisation d'un rôle lié à un service avec suffixe personnalisé vous permet les actions suivantes :

  • Renforcer le contrôle sur la clé gérée par le client

  • La possibilité de suivre quel groupe Auto Scaling a effectué un API appel dans vos CloudTrail journaux

Si vous créez des clés gérées par le client auxquelles tous les utilisateurs n'ont pas accès, procédez comme suit pour autoriser le suffixe personnalisé à l'utilisation d'un rôle lié à un service :

  1. Crée un rôle lié à un service avec un suffixe personnalisé. Pour de plus amples informations, veuillez consulter Créer un rôle lié à un service (manuel).

  2. Attribuer au rôle lié à un service l'accès à une clé gérée par le client. Pour plus d'informations sur la politique de clé qui autorise la clé à être utilisée par un rôle lié à un service, consultez Politique de AWS KMS clé requise pour une utilisation avec des volumes chiffrés.

  3. Donnez aux utilisateurs accès au rôle lié au service que vous avez créé. Pour plus d'informations sur la création de la IAM politique, consultezContrôler quel rôle lié à un service peut être transmis (en utilisant) PassRole. Si les utilisateurs essaient de spécifier un rôle lié au service sans autorisation de transmettre ce rôle au service, ils reçoivent une erreur.

Autorisations accordées par le rôle lié à un service

Amazon EC2 Auto Scaling utilise le rôle lié au service nommé AWSServiceRoleForAutoScalingou le rôle lié au service associé à votre suffixe personnalisé.

Le rôle lié à un service approuve le fait que le service suivant endosse le rôle :

  • autoscaling.amazonaws.com

La politique d'autorisation des rôles, AutoScalingServiceRolePolicy, permet à Amazon EC2 Auto Scaling d'effectuer les actions suivantes :

  • ec2— Créez, décrivez, modifiez, démarrez/arrêtez et arrêtez des instances. EC2

  • iamIAMTransférez les rôles aux EC2 instances afin que les applications exécutées sur les instances puissent accéder aux informations d'identification temporaires pour le rôle.

  • iam— Créez le rôle AWSServiceRoleForEC2Spotlié au service pour permettre à Amazon EC2 Auto Scaling de lancer des instances Spot en votre nom.

  • elasticloadbalancing— Enregistrez et désenregistrez des instances avec Elastic Load Balancing et vérifiez l'état de santé des cibles enregistrées.

  • cloudwatch— Créez, décrivez, modifiez et supprimez des CloudWatch alarmes pour les politiques de dimensionnement et récupérez les métriques utilisées pour le dimensionnement prédictif.

  • sns— Publiez des notifications sur Amazon SNS lorsque les instances sont lancées ou se terminent.

  • events— Créez, décrivez, mettez à jour et supprimez EventBridge des règles en votre nom.

  • ssm— Lit les paramètres depuis le Parameter Store lorsque vous utilisez un paramètre Systems Manager comme alias pour un AMI ID dans un modèle de lancement.

  • vpc-lattice— Enregistrez et désenregistrez des instances auprès de VPC Lattice et vérifiez l'état de santé des cibles enregistrées.

  • resource-groups— Récupère tous les noms de ressources (ARNs) des ressources membres d'un groupe de ressources spécifié.

Régions prises en charge pour les rôles liés au service Amazon EC2 Auto Scaling

Amazon EC2 Auto Scaling prend en charge l'utilisation de rôles liés à un service partout Régions AWS où le service est disponible.

Création, modification et suppression d'un rôle lié à un service

Créer un rôle lié à un service (automatique)

Amazon EC2 Auto Scaling crée le rôle AWSServiceRoleForAutoScalinglié au service pour vous la première fois que vous créez un groupe Auto Scaling, sauf si vous créez manuellement un rôle lié au service avec un suffixe personnalisé et que vous le spécifiez lors de la création du groupe.

Important

Vous devez disposer des IAM autorisations nécessaires pour créer le rôle lié au service. Dans le cas contraire, la création automatique échoue. Pour plus d'informations, consultez la section Autorisations relatives aux rôles liés à un service dans le guide de IAM l'utilisateur et Créer un rôle lié à un service dans ce guide.

Amazon EC2 Auto Scaling a commencé à prendre en charge les rôles liés aux services en mars 2018. Si vous avez créé un groupe Auto Scaling avant cette date, Amazon EC2 Auto Scaling a créé le AWSServiceRoleForAutoScalingrôle dans votre compte. Pour plus d'informations, voir Un nouveau rôle est apparu Compte AWS dans mon guide de l'IAMutilisateur.

Créer un rôle lié à un service (manuel)

Pour créer un rôle lié à un service (console)

  1. Ouvrez la IAM console à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez Roles (Rôles), puis Create role (Créer un rôle).

  3. Pour Select trusted entity (Sélectionner une entité de confiance), choisissez service AWS .

  4. Pour Choisir le service qui utilisera ce rôle, choisissez EC2Auto Scaling et le cas d'utilisation EC2Auto Scaling.

  5. Sélectionnez Next: Permissions (Suivant : autorisations), Next: Tags (Suivant : balises), puis Next: Review (Suivant : vérifier). Remarque : vous ne pouvez pas attacher des balises à des rôles liés à un service lors de la création.

  6. Sur la page de révision, laissez le champ Nom du rôle vide pour créer un rôle lié au service portant le nom AWSServiceRoleForAutoScaling, ou entrez un suffixe pour créer un rôle lié au service avec le nom _ AWSServiceRoleForAutoScalingsuffix.

  7. (Facultatif) Dans le champ Role description (Description du rôle), modifiez la description du nouveau rôle lié à un service.

  8. Sélectionnez Create role (Créer un rôle).

Pour créer un rôle lié à un service (AWS CLI)

Utilisez la create-service-linked-roleCLIcommande suivante pour créer un rôle lié à un service pour Amazon EC2 Auto Scaling avec le nom _ AWSServiceRoleForAutoScalingsuffix. 

aws iam create-service-linked-role --aws-service-name autoscaling.amazonaws.com --custom-suffix suffix

La sortie de cette commande inclut le ARN rôle lié au service, que vous pouvez utiliser pour donner au rôle lié au service l'accès à votre clé gérée par le client. 

{
    "Role": {
        "RoleId": "ABCDEF0123456789ABCDEF",
        "CreateDate": "2018-08-30T21:59:18Z",
        "RoleName": "AWSServiceRoleForAutoScaling_suffix",
        "Arn": "arn:aws:iam::123456789012:role/aws-service-role/autoscaling.amazonaws.com/AWSServiceRoleForAutoScaling_suffix",
        "Path": "/aws-service-role/autoscaling.amazonaws.com/",
        "AssumeRolePolicyDocument": {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Action": [
                        "sts:AssumeRole"
                    ],
                    "Principal": {
                        "Service": [
                            "autoscaling.amazonaws.com"
                        ]
                    },
                    "Effect": "Allow"
                }
            ]
        }
    }
}

Pour plus d'informations, consultez la section Création d'un rôle lié à un service dans le Guide de l'IAMutilisateur.

Modifier le rôle lié à un service

Vous ne pouvez pas modifier les rôles liés à un service créés pour Amazon EC2 Auto Scaling. Une fois que vous avez créé un rôle lié à un service, vous ne pouvez pas modifier le nom du rôle ou ses autorisations. Néanmoins, vous pouvez modifier la description du rôle. Pour plus d'informations, consultez la section Modification d'un rôle lié à un service dans le Guide de l'IAMutilisateur.

Supprimer le rôle lié à un service

Si vous n'utilisez pas un groupe Auto Scaling, nous vous recommandons de supprimer son rôle lié à un service. La suppression du rôle vous évite d'avoir une entité qui n'est pas utilisée, ou surveillée et gérée activement.

Vous pouvez supprimer un rôle lié à un service uniquement après la suppression préalable des ressources dépendantes connexes. Cela vous empêche de révoquer par inadvertance les autorisations Amazon EC2 Auto Scaling sur vos ressources. Si un rôle lié à un service est utilisé avec plusieurs groupes Auto Scaling, vous devez supprimer tous les groupes Auto Scaling qui utilisent le rôle lié à un service avant de pouvoir le supprimer. Pour de plus amples informations, veuillez consulter Supprimer votre infrastructure Auto Scaling.

Vous pouvez l'utiliser IAM pour supprimer un rôle lié à un service. Pour plus d'informations, consultez la section Suppression d'un rôle lié à un service dans le Guide de l'IAMutilisateur.

Si vous supprimez le rôle AWSServiceRoleForAutoScalinglié à un service, Amazon EC2 Auto Scaling le crée à nouveau lorsque vous créez un groupe Auto Scaling et ne spécifiez aucun autre rôle lié au service.