Rôles liés à un service pour Amazon Auto Scaling EC2 - Amazon EC2 Auto Scaling
PrésentationAutorisations accordées par le rôle lié à un serviceRégions prises en charge pour les rôles liés au service Amazon EC2 Auto ScalingCréation, modification et suppression d'un rôle lié à un service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Rôles liés à un service pour Amazon Auto Scaling EC2

Amazon EC2 Auto Scaling utilise des rôles liés à un service pour obtenir les autorisations dont il a besoin pour appeler d'autres personnes en votre Services AWS nom. Un rôle lié à un service est un type unique de rôle IAM directement lié à un. Service AWS

Les rôles liés à un service offrent une manière sécurisée d'accorder des autorisations aux autres Services AWS , car seul le service lié peut assumer un rôle lié à un service. Pour plus d'informations, consultez la section Créer un rôle lié à un service dans le guide de l'utilisateur IAM. Les rôles liés à un service permettent également à tous les appels d'API d'être visibles. AWS CloudTrail Cela permet de répondre aux exigences de surveillance et d'audit, car vous pouvez suivre toutes les actions effectuées par Amazon EC2 Auto Scaling en votre nom. Pour de plus amples informations, veuillez consulter Enregistrez les API appels Amazon EC2 Auto Scaling avec AWS CloudTrail.

Les sections suivantes décrivent comment créer et gérer des rôles liés à un service Amazon EC2 Auto Scaling. Commencez par configurer les autorisations de manière à permettre à une identité IAM (comme un utilisateur ou un rôle) de créer, modifier ou supprimer un rôle lié à un service.

Présentation

Il existe deux types de rôles liés au service Amazon EC2 Auto Scaling :

  • Le rôle lié au service par défaut pour votre compte, nommé AWSServiceRoleForAutoScaling. Ce rôle est automatiquement attribué à vos groupes Auto Scaling, sauf si vous spécifiez un autre rôle lié à un service.

  • Un rôle lié à un service avec un suffixe personnalisé que vous spécifiez lors de la création du rôle, par exemple, AWSServiceRoleForAutoScaling_mysuffix.

Les autorisations d'un rôle lié à un service avec suffixe personnalisé sont identiques à ceux du rôle lié à un service par défaut. Dans les deux cas, vous ne pouvez pas modifier les rôles, et vous ne pouvez pas les supprimer s'ils sont toujours en cours d'utilisation par un groupe Auto Scaling. La seule différence est le suffixe de nom de rôle.

Vous pouvez spécifier l'un ou l'autre rôle lorsque vous modifiez vos politiques AWS Key Management Service clés pour permettre aux instances lancées par Amazon EC2 Auto Scaling d'être chiffrées avec votre clé gérée par le client. Toutefois, si vous prévoyez d'accorder un accès granulaire à une clé spécifique gérée par le client, vous devez utiliser un rôle lié à un service avec suffixe personnalisé. L'utilisation d'un rôle lié à un service avec suffixe personnalisé vous permet les actions suivantes :

  • Renforcer le contrôle sur la clé gérée par le client

  • La possibilité de savoir quel groupe Auto Scaling a effectué un appel d'API dans vos CloudTrail journaux

Si vous créez des clés gérées par le client auxquelles tous les utilisateurs n'ont pas accès, procédez comme suit pour autoriser le suffixe personnalisé à l'utilisation d'un rôle lié à un service :

  1. Crée un rôle lié à un service avec un suffixe personnalisé. Pour de plus amples informations, veuillez consulter Créer un rôle lié à un service (manuel).

  2. Attribuer au rôle lié à un service l'accès à une clé gérée par le client. Pour plus d'informations sur la politique de clé qui autorise la clé à être utilisée par un rôle lié à un service, consultez Politique de AWS KMS clé requise pour une utilisation avec des volumes chiffrés.

  3. Donnez aux utilisateurs accès au rôle lié au service que vous avez créé. Pour plus d'informations sur la création d'une politique IAM, consultez Contrôler quel rôle lié à un service peut être transmis (en utilisant) PassRole. Si les utilisateurs essaient de spécifier un rôle lié au service sans autorisation de transmettre ce rôle au service, ils reçoivent une erreur.

Autorisations accordées par le rôle lié à un service

Amazon EC2 Auto Scaling utilise le rôle lié à un service nommé AWSServiceRoleForAutoScaling ou votre rôle lié au service avec votre suffixe personnalisé.

Le rôle lié à un service approuve le fait que le service suivant endosse le rôle :

  • autoscaling.amazonaws.com

La politique d'autorisation des rôles, AutoScalingServiceRolePolicy, permet à Amazon EC2 Auto Scaling d'effectuer les actions suivantes :

  • ec2— Créez, décrivez, modifiez, démarrez/arrêtez et arrêtez des instances. EC2

  • iamTransférez les rôles IAM aux EC2 instances afin que les applications exécutées sur les instances puissent accéder aux informations d'identification temporaires pour le rôle.

  • iam— Créez le rôle lié au service AWSServiceRoleForEC2Spot pour permettre à Amazon EC2 Auto Scaling de lancer des instances Spot en votre nom.

  • elasticloadbalancing— Enregistrez et désenregistrez des instances avec Elastic Load Balancing et vérifiez l'état de santé des cibles enregistrées.

  • cloudwatch— Créez, décrivez, modifiez et supprimez des CloudWatch alarmes pour les politiques de dimensionnement et récupérez les métriques utilisées pour le dimensionnement prédictif.

  • sns— Publiez des notifications sur Amazon SNS lorsque des instances sont lancées ou mises hors service.

  • events— Créez, décrivez, mettez à jour et supprimez EventBridge des règles en votre nom.

  • ssm— Lit les paramètres depuis le Parameter Store lorsque vous utilisez un paramètre Systems Manager comme alias pour un ID d'AMI dans un modèle de lancement.

  • vpc-lattice— Enregistrez et désenregistrez les instances avec VPC Lattice et vérifiez l'état de santé des cibles enregistrées.

  • resource-groups— Récupère tous les noms de ressources (ARNs) des ressources membres d'un groupe de ressources spécifié.

Régions prises en charge pour les rôles liés au service Amazon EC2 Auto Scaling

Amazon EC2 Auto Scaling prend en charge l'utilisation de rôles liés à un service partout Régions AWS où le service est disponible.

Création, modification et suppression d'un rôle lié à un service

Créer un rôle lié à un service (automatique)

Amazon EC2 Auto Scaling crée le AWSServiceRoleForAutoScaling un rôle lié à un service pour vous la première fois que vous créez un groupe Auto Scaling, sauf si vous créez manuellement un rôle lié au service avec un suffixe personnalisé et que vous le spécifiez lors de la création du groupe.

Vous devez disposer des autorisations IAM de création du rôle lié au service. Dans le cas contraire, la création automatique échoue. Pour plus d'informations, consultez Autorisations de rôles liés à un service dans le Guide de l'utilisateur IAM et Créer un rôle lié à un service dans ce guide.

Créer un rôle lié à un service (manuel)

Pour créer un rôle lié à un service (console)

  1. Ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez Roles (Rôles), puis Create role (Créer un rôle).

  3. Pour Select trusted entity (Sélectionner une entité de confiance), choisissez service AWS .

  4. Pour Choisir le service qui utilisera ce rôle, choisissez EC2 Auto Scaling et le cas d'utilisation EC2 Auto Scaling.

  5. Sélectionnez Next: Permissions (Suivant : autorisations), Next: Tags (Suivant : balises), puis Next: Review (Suivant : vérifier). Remarque : vous ne pouvez pas attacher des balises à des rôles liés à un service lors de la création.

  6. Sur la page de révision, laissez le champ Nom du rôle vide pour créer un rôle lié au service portant le nom AWSServiceRoleForAutoScaling, ou entrez un suffixe pour créer un rôle lié à un service avec le nom AWSServiceRoleForAutoScaling_suffix.

  7. (Facultatif) Dans le champ Role description (Description du rôle), modifiez la description du nouveau rôle lié à un service.

  8. Sélectionnez Create role (Créer un rôle).

Pour créer un rôle lié à un service (AWS CLI)

Utilisez la commande create-service-linked-roleCLI suivante pour créer un rôle lié à un service pour Amazon EC2 Auto Scaling avec le nom AWSServiceRoleForAutoScaling_suffix. 

aws iam create-service-linked-role --aws-service-name autoscaling.amazonaws.com --custom-suffix suffix

La sortie de cette commande contient l'ARN du rôle lié à un service, que vous pouvez utiliser pour accorder au rôle lié à un service l'accès à vos clés gérées par le client. 

{
    "Role": {
        "RoleId": "ABCDEF0123456789ABCDEF",
        "CreateDate": "2018-08-30T21:59:18Z",
        "RoleName": "AWSServiceRoleForAutoScaling_suffix",
        "Arn": "arn:aws:iam::123456789012:role/aws-service-role/autoscaling.amazonaws.com/AWSServiceRoleForAutoScaling_suffix",
        "Path": "/aws-service-role/autoscaling.amazonaws.com/",
        "AssumeRolePolicyDocument": {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Action": [
                        "sts:AssumeRole"
                    ],
                    "Principal": {
                        "Service": [
                            "autoscaling.amazonaws.com"
                        ]
                    },
                    "Effect": "Allow"
                }
            ]
        }
    }
}

Pour plus d'informations, consultez la section Créer un rôle lié à un service dans le guide de l'utilisateur IAM.

Modifier le rôle lié à un service

Vous ne pouvez pas modifier les rôles liés à un service créés pour Amazon EC2 Auto Scaling. Une fois que vous avez créé un rôle lié à un service, vous ne pouvez pas modifier le nom du rôle ou ses autorisations. Néanmoins, vous pouvez modifier la description du rôle. Pour plus d'informations, voir Modifier la description d'un rôle lié à un service dans le Guide de l'utilisateur IAM.

Supprimer le rôle lié à un service

Si vous n'utilisez pas un groupe Auto Scaling, nous vous recommandons de supprimer son rôle lié à un service. La suppression du rôle vous évite d'avoir une entité qui n'est pas utilisée, ou surveillée et gérée activement.

Vous pouvez supprimer un rôle lié à un service uniquement après la suppression préalable des ressources dépendantes connexes. Cela vous empêche de révoquer par inadvertance les autorisations Amazon EC2 Auto Scaling sur vos ressources. Si un rôle lié à un service est utilisé avec plusieurs groupes Auto Scaling, vous devez supprimer tous les groupes Auto Scaling qui utilisent le rôle lié à un service avant de pouvoir le supprimer. Pour de plus amples informations, veuillez consulter Supprimer votre infrastructure Auto Scaling.

Vous pouvez utiliser IAM pour supprimer le rôle lié à un service. Pour plus d'informations, voir Supprimer un rôle lié à un service dans le Guide de l'utilisateur IAM.

Si vous supprimez le AWSServiceRoleForAutoScaling rôle lié à un service, Amazon EC2 Auto Scaling le crée à nouveau lorsque vous créez un groupe Auto Scaling et que vous ne spécifiez aucun autre rôle lié à un service.