Prérequis Création d’un modèle de lancement Consultez aussi

Rôle IAM pour les applications qui s'exécutent sur des instances Amazon EC2

Les applications qui s'exécutent sur les instances Amazon EC2 requièrent des informations d'identification afin d'accéder aux autres Services AWS. Pour fournir ces informations d'identification en toute sécurité, utilisez un rôle IAM. Le rôle fournit des autorisations temporaires que l'application peut utiliser lorsqu'elle accède à d'autres ressources AWS . Les autorisations du rôle déterminent ce que l'application est autorisée à faire.

Pour les instances d'un groupe Auto Scaling, vous devez créer une configuration ou un modèle de lancement et choisir un profil d'instance à associer aux instances. Un profil d'instance est un conteneur pour un rôle IAM qui permet à Amazon EC2 de transmettre le rôle IAM à une instance lors du lancement de l'instance. Créez d'abord un rôle IAM doté de toutes les autorisations requises pour accéder aux AWS ressources. Créez ensuite le profil d'instance et affectez-lui le rôle.

Note

En tant que bonne pratique, nous vous recommandons vivement de créer le rôle de manière à ce qu'il dispose des autorisations minimales nécessaires pour accéder aux autres Services AWS rôles requis par votre application.

Table des matières

Prérequis

Créez le rôle IAM que votre application s'exécutant sur Amazon EC2 peut endosser. Choisissez les autorisations appropriées, de manière à ce que l'application à laquelle est accordée par la suite le rôle puisse procéder aux appels d'API dont elle a besoin.

Si vous utilisez la console IAM au lieu du AWS CLI ou de l'un des AWS SDK, la console crée automatiquement un profil d'instance et lui donne le même nom que le rôle auquel il correspond.

Pour créer un rôle IAM (console)

Ouvrez la console IAM à l’adresse https://console.aws.amazon.com/iam/.
Dans le panneau de navigation de gauche, sélectionnez Roles (Rôles).
Sélectionnez Create role (Créer un rôle).
Pour Select trusted entity (Sélectionner une entité de confiance), choisissez service AWS .
Pour votre cas d'utilisation, sélectionnez EC2, puis Next (Suivant).
Si possible, sélectionnez la politique à utiliser pour la politique d'autorisations ou choisissez Create policy (Créer une politique) pour ouvrir un nouvel onglet de navigateur et créer une nouvelle politique de bout en bout. Pour plus d’informations, consultez Création de politiques IAM dans le Guide de l’utilisateur IAM. Une fois la politique créée, fermez cet onglet et revenez à l'onglet initial. Cochez la case en regard des stratégies d'autorisations que vous souhaitez octroyer au service.
(Facultatif) Définissez une limite d'autorisations. Il s'agit d'une fonctionnalité avancée disponible pour les rôles de service. Pour plus d'informations, consultez Limites d'autorisations pour des entités IAM dans le Guide de l'utilisateur IAM.
Choisissez Suivant.
Sur la page Name, review, and create (Nommer, réviser et créer), pour Role name (Nom de rôle), saisissez un nom de rôle vous permettant d'identifier l'objectif de ce rôle. Ce nom doit être unique au sein de votre Compte AWS. Étant donné que d'autres AWS ressources peuvent faire référence au rôle, vous ne pouvez pas modifier le nom du rôle une fois celui-ci créé.
Passez en revue les informations du rôle, puis choisissez Create role (Créer un rôle).

Autorisations IAM

Utilisez une politique basée sur l'identité IAM pour contrôler l'accès à votre nouveau rôle IAM. L’autorisation iam:PassRole est requise pour l’utilisateur IAM (utilisateur ou rôle) qui crée ou met à jour un groupe Auto Scaling à l’aide d’un modèle de lancement qui spécifie un profil d’instance.

L'exemple de politique suivant accorde les autorisations de transmettre uniquement des rôles IAM dont le nom commence par qateam-.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::account-id:role/qateam-*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "ec2.amazonaws.com",
                        "ec2.amazonaws.com.rproxy.goskope.com.cn"
                    ]
                }
            }
        }
    ]
}

Important

Pour obtenir des informations sur la manière dont Amazon EC2 Auto Scaling valide les autorisations pour l’action iam:PassRole d’un groupe Auto Scaling qui utilise un modèle de lancement, consultez Validation des autorisations pour ec2:RunInstances et iam:PassRole.

Création d’un modèle de lancement

Lorsque vous créez le modèle de lancement à l' AWS Management Console aide de la section Détails avancés, sélectionnez le rôle dans le profil d'instance IAM. Pour plus d’informations, consultez Créer un modèle de lancement à l’aide de paramètres avancés.

Lorsque vous créez le modèle de lancement à l'aide de la commande create-launch-template du AWS CLI, spécifiez le nom du profil d'instance de votre rôle IAM, comme indiqué dans l'exemple suivant.


aws ec2 create-launch-template --launch-template-name my-lt-with-instance-profile --version-description version1 \
--launch-template-data '{"ImageId":"ami-04d5cc9b88example","InstanceType":"t2.micro","IamInstanceProfile":{"Name":"my-instance-profile"}}'

Consultez aussi

Pour plus d'informations permettant de découvrir et d'utiliser les rôles IAM pour Amazon EC2, consultez :

Rôles IAM pour Amazon EC2 dans le guide de l'utilisateur Amazon EC2
Utilisation de profils d'instance et Utilisation d'un rôle IAM pour accorder des autorisations à des applications s'exécutant sur des instances Amazon EC2 dans le Guide de l'utilisateur IAM

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Support de modèle de lancement

Validation de conformité