Appel des AWS services à partir d'un environnement dans AWS Cloud9 - AWS Cloud9
Créer et utiliser un profil d'instance pour gérer les informations d'identification temporairesCréation et stockage des informations d'identification d'accès permanentes dans un environnement.

AWS Cloud9 n'est plus disponible pour les nouveaux clients. Les clients existants de AWS Cloud9 peuvent continuer à utiliser le service normalement. En savoir plus »

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Appel des AWS services à partir d'un environnement dans AWS Cloud9

Vous pouvez appeler les AWS services à partir d'un environnement de développement AWS Cloud9. Par exemple, vous pouvez effectuer les actions suivantes :

  • Charger et télécharger des données vers des compartiments Amazon Simple Storage Service (Amazon S3).

  • Envoyer des notifications de diffusion via des rubriques Amazon Simple Notification Service (Amazon SNS).

  • Lire et écrire des données dans des bases de données Amazon DynamoDB (DynamoDB).

Vous pouvez appeler les AWS services depuis votre environnement de différentes manières. Par exemple, vous pouvez utiliser la AWS Command Line Interface (AWS CLI) ou le AWS CloudShell pour exécuter des commandes à partir d'une session de terminal. Vous pouvez également appeler les AWS services à partir du code que vous exécutez dans votre environnement. Vous pouvez le faire en utilisant des AWS SDK pour des langages de programmation tels que JavaScript, Python, Ruby, PHP, Go et C++. Pour plus d'informations, consultez la section Exemple utilisant la AWS CLI et aws-shell, le guide de l'utilisateur d'AWS Command Line Interface et les kits SDK AWS.

Chaque fois que l'AWS CLI, AWS CloudShell ou votre code appelle un AWS service, l'AWS CLI, AWS CloudShell ou votre code doit fournir un ensemble d'informations d'identification d'accès à AWS avec l'appel. Ces informations d'identification déterminent si l'appelant possède les autorisations appropriées pour effectuer l'appel. Si les informations d'identification ne sont pas associées aux autorisations nécessaires, l'appel échoue.

Vous pouvez fournir les informations d'identification à votre environnement de plusieurs manières. Le tableau suivant décrit les différentes approches possibles.

Type d'environnement Approche

EC2

Utiliser des informations d'identification temporaires gérées par AWS

Nous recommandons cette approche pour un environnement EC2. Les informations d'identification temporaires gérées par AWS gèrent les informations d'identification d'accès AWS dans un environnement EC2 en votre nom, tout en respectant les bonnes pratiques de sécurité AWS suivantes.

Si vous utilisez un environnement EC2, vous pouvez ignorer le reste de cette rubrique du fait que les informations d'identification temporaires gérées par AWS sont déjà configurées pour vous dans l'environnement.

Pour plus d'informations, consultez Informations d'identification temporaires gérées par AWS.

EC2

Attacher un profil d'instance IAM à l'instance.

Utilisez uniquement cette approche si, pour une quelconque raison, vous ne pouvez pas utiliser les informations d'identification temporaires gérées par AWS. À l'instar des informations d'identification temporaires gérées par AWS, un profil d'instance gère les informations d'identification d'accès AWS en votre nom. Toutefois, vous devez créer, gérer et attacher le profil d'instance à l'instance Amazon EC2 vous-même.

Pour plus d'informations, consultez Création et utilisation d'un profil d'instance pour gérer les informations d'identification temporaires.

EC2 ou SSH

Stocker vos informations d'identification d'accès AWS permanentes dans l'environnement.

Cette approche est moins sécurisée que l'utilisation d'informations d'identification d'accès AWS temporaires. Toutefois, il s'agit de la seule approche prise en charge pour un environnement.

Pour connaître les instructions, consultez Création et stockage des informations d'identification d'accès permanente dans un environnement.

EC2 ou SSH

Insérer vos informations d'identification d'accès AWS permanentes directement dans votre code.

Nous ne conseillons pas cette approche, car elle n'est pas conforme aux bonnes pratiques de sécurité AWS.

Comme nous ne conseillons pas cette approche, elle n'est pas traitée dans cette rubrique.

Créer et utiliser un profil d'instance pour gérer les informations d'identification temporaires

Note

Vous ne pouvez pas utiliser cette procédure pour un environnement de développement SSH AWS Cloud9. Passez directement à Création et stockage des informations d'identification d'accès permanentes dans un environnement.

Nous vous recommandons d'utiliser les informations d'identification temporaires gérées par AWS au lieu d'un profil d'instance. Suivez ces instructions uniquement si, pour une quelconque raison, vous ne pouvez pas utiliser les informations d'identification temporaires gérées par AWS. Pour plus d'informations, consultez Informations d'identification temporaires gérées par AWS.

Cette procédure utilise IAM et Amazon EC2 pour créer et attacher un profil d'instance IAM à l'instance Amazon EC2 se connectant à votre environnement. Ce profil d'instance gère les informations d'identification temporaires en votre nom. Cette procédure suppose que vous avez déjà créé un environnement dans AWS Cloud9. Pour créer un environnement, consultez Création d'un environnement.

Vous pouvez effectuer ces tâches avec les consoles IAM et Amazon EC2 ou l'AWS Command Line Interface (AWS CLI).

Création d'un profil d'instance avec la console IAM

Note

Si vous possédez déjà un rôle IAM qui contient un profil d'instance, passez directement à Attachement d'un profil d'instance à une instance à l'aide de la console Amazon EC2.

  1. Connectez-vous à la console IAM à l'adresse https://console.aws.amazon.com/iam/.

    Pour cette étape, nous vous recommandons de vous connecter à l'aide des informations d'identification de niveau administrateur de votre Compte AWS. Si vous ne pouvez pas le faire, contactez l'administrateur de votre Compte AWS.

  2. Dans la barre de navigation, choisissez Rôles.

    Note

    Vous ne pouvez pas utiliser la console IAM pour créer un profil d'instance seul. Vous devez créer un rôle IAM contenant un profil d'instance.

  3. Choisissez Créer un rôle.

  4. Sur la page Select type of trusted entity (Sélectionner le type d'entité de confiance), AWS service étant déjà choisi, pour Choose the service that will use this role (Choisir le service qui utilisera ce rôle), sélectionnez EC2.

  5. Pour Sélectionner votre cas, choisissez EC2.

  6. Choisissez Étape suivante : autorisations.

  7. Sur la page Attacher des politiques d'autorisations, dans la liste des politiques, cochez la case en regard d'AdministratorAccessAdministratorAccess, puis choisissez Étape suivante : vérifier.

    Note

    La AdministratorAccesspolitique permet un accès illimité à toutes lesAWS actions et ressources dans votreCompte AWS. Utilisez-la uniquement à des fins d'expérimentation. Pour plus d'informations, consultez Politiques IAM dans le guide de l'utilisateur IAM.

  8. Sur la page Review (Vérifier), pour Role Name (Nom du rôle), saisissez le nom du rôle (par exemple, my-demo-cloud9-instance-profile).

  9. Choisissez Create Role (Créer un rôle).

Passez directement à Attacher un profil d'instance à une instance à l'aide de la console Amazon EC2.

Création d'un profil d'instance avec la AWS CLI

Note

Si vous possédez déjà un rôle IAM qui contient un profil d'instance, passez directement à Attacher un profil d'instance à une instance à l'aide de la AWS CLI.

Pour cette rubrique, nous vous recommandons de configurer l'AWS CLI à l'aide des informations d'identification d'administrateur de votre Compte AWS. Si vous ne pouvez pas le faire, contactez l'administrateur de votre Compte AWS.

Note

Si vous utilisez des informations d'identification temporaires gérées par AWS, vous ne pouvez pas avoir recours à une session de terminal dans l'IDE AWS Cloud9 pour exécuter tout ou partie des commandes dans cette section. Pour respecter les bonnes pratiques AWS en matière de sécurité, les informations d'identification temporaires AWS n'autorisent pas l'exécution de certaines commandes. Dans ce cas, vous pouvez exécuter ces commandes depuis une installation distincte de l'AWS Command Line Interface (AWS CLI).

  1. Définissez une relation d'approbation dans AWS pour le rôle IAM requis du profil d'instance. Pour ce faire, créez et enregistrez un fichier avec le contenu suivant (par exemple, my-demo-cloud9-instance-profile-role-trust.json).

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "ec2.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  2. À l'aide du terminal ou d'une invite de commande, basculez vers le répertoire où vous venez d'enregistrer ce fichier.

  3. Créez un rôle IAM pour le profil d'instance. Pour ce faire, exécutez la commande IAM create-role. Spécifiez un nom pour le nouveau rôle IAM (par exemple, my-demo-cloud9-instance-profile-role) et le nom du fichier que vous venez d'enregistrer.

    aws iam create-role --role-name my-demo-cloud9-instance-profile-role --assume-role-policy-document file://my-demo-cloud9-instance-profile-role-trust.json

  4. Attachez des autorisations d'accès AWS au rôle du profil d'instance. Pour ce faire, exécutez la commande IAM attach-role-policy. Spécifiez le nom du rôle IAM existant et l'Amazon Resource Name (ARN) de la politique gérée par AWS nommée AdministratorAccess.

    aws iam attach-role-policy --role-name my-demo-cloud9-instance-profile-role --policy-arn arn:aws:iam::aws:policy/AdministratorAccess
    Note

    La AdministratorAccesspolitique permet un accès illimité à toutes lesAWS actions et ressources dans votreCompte AWS. Utilisez-la uniquement à des fins d'expérimentation. Pour plus d'informations, consultez Politiques IAM dans le guide de l'utilisateur IAM.

  5. Créez le profil d'instance. Pour ce faire, exécutez la commande create-instance-profile IAM, en spécifiant un nom pour le nouveau profil d'instance (par exemple, my-demo-cloud9-instance-profile).

    aws iam create-instance-profile --instance-profile-name my-demo-cloud9-instance-profile

  6. Attachez le rôle IAM au profil d'instance. Pour ce faire, exécutez la commande add-role-to-instance-profile IAM en spécifiant les noms du rôle IAM et du profil d'instance existants.

    aws iam add-role-to-instance-profile --role-name my-demo-cloud9-instance-profile-role --instance-profile-name my-demo-cloud9-instance-profile

Passez directement à Création d'un profil d'instance avec la AWS CLI.

Attachement d'un profil d'instance à une instance à l'aide de la console Amazon EC2

  1. Connectez-vous à la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2.

    Pour cette étape, nous vous recommandons de vous connecter à l'aide des informations d'identification d'administrateur de votre Compte AWS. Si vous ne pouvez pas le faire, contactez l'administrateur de votre Compte AWS.

  2. Dans la barre de navigation, assurez-vous que le sélecteur de région affiche la Région AWS qui correspond à celle de votre environnement. Par exemple, si vous avez créé votre environnement dans la région USA Est (Ohio), sélectionnez USA Est (Ohio) dans le sélecteur de région ici.

  3. Choisissez le lien Instances en cours d'exécution ou, dans le panneau de navigation, développez Instances, puis choisissez Instances.

  4. Dans la liste des instances, choisissez celle dont le nom contient celui de votre environnement. Par exemple, si le nom de votre environnement estmy-demo-environment, choisissez l'instance dont le nom inclut my-demo-environment.

  5. Choisissez Actions, Security (Sécurité), Modify IAM role (Modifier le rôle IAM).

    Note

    Bien que vous attachiez un rôle à l'instance, le rôle contient un profil d'instance.

  6. Sur la page Modify IAM role (Modifier le rôle IAM), pour IAM role (Rôle IAM), choisissez le nom du rôle que vous avez identifié ou que vous avez créé au cours de la procédure précédente, puis choisissez Apply (Appliquer).

  7. Dans l'environnement, utilisez la AWS CLI pour exécuter la commande aws configure, ou le AWS CloudShell pour exécuter la commande configure. Ne spécifiez aucune valeur pour ID de clé d'accès ou CléAWS d'accès (appuyez sur Enter AWSde clé d'accès) ou Clé d'accès)Enter (appuyez sur Enter de clé d'accès) ou Clé d'accès Pour Default Region name (Nom de région par défaut), indiquez la Région AWS la plus proche de vous ou la région dans laquelle vos ressources AWS sont situées. Par exemple, indiquez us-east-2 pour la région USA Est (Ohio). Pour obtenir la liste des régions, reportez-vous à Régions AWSla section Endpoints du Référence générale d'Amazon Web Services. Vous pouvez également spécifier une valeur pour Format de sortie par défaut (par exemple, json).

Vous pouvez maintenant commencer à appeler les AWS services depuis votre environnement. Pour utiliser l'AWS CLI, aws-shell ou les deux pour appeler les AWS services, consultez Exemple AWS CLI et aws-shell. Pour appeler les AWS services à partir de votre code, consultez nos autres tutoriels et exemples.

Attachement d'un profil d'instance à une instance à l'aide de la AWS CLI

Note

Si vous utilisez des informations d'identification temporaires gérées par AWS, vous ne pouvez pas utiliser une séance de terminal dans l'IDE AWS Cloud9 pour exécuter tout ou partie des commandes dans cette section. Pour respecter les bonnes pratiques AWS en matière de sécurité, les informations d'identification temporaires AWS n'autorisent pas l'exécution de certaines commandes. Dans ce cas, vous pouvez exécuter ces commandes depuis une installation distincte de l'AWS Command Line Interface (AWS CLI).

  1. Exécutez la commande Amazon EC2 associate-iam-instance-profile. Spécifiez le nom du profil d'instance, l'ID et l'ID de Région AWS de l'instance Amazon EC2 pour l'environnement.

    aws ec2 associate-iam-instance-profile --iam-instance-profile Name=my-demo-cloud9-instance-profile --region us-east-2 --instance-id i-12a3b45678cdef9a0

    Dans la commande précédente, remplacez us-east-2 par l'ID de Région AWS pour l'instance et i-12a3b45678cdef9a0 par l'ID de l'instance.

    Pour obtenir l'ID de l'instance, vous pouvez, par exemple, exécuter la commande describe-instances Amazon EC2 en spécifiant le nom et l'ID de Région AWS de l'environnement.

    aws ec2 describe-instances --region us-east-2 --filters Name=tag:Name,Values=*my-environment* --query "Reservations[*].Instances[*].InstanceId" --output text

    Dans la commande précédente, remplacez us-east-2 par l'ID de Région AWS pour l'instance et my-environment par le nom de l'environnement.

  2. Dans l'environnement, utilisez la AWS CLI pour exécuter la commande aws configure, ou le aws-shell pour exécuter la commande configure. Ne spécifiez aucune valeur pour AWSl'ID de clé d'accès ou la clé d'accèsAWS secrète. Appuyez sur Enter après chacune de ces invites. Pour Default Region name (Nom de région par défaut), indiquez la Région AWS la plus proche de vous ou la région dans laquelle vos ressources AWS sont situées. Par exemple, indiquez us-east-2 pour la région USA Est (Ohio). Pour obtenir la liste des régions, consultez la section AWSRégions et points de terminaison dans le Référence générale d'Amazon Web Services. Vous pouvez également spécifier une valeur pour Format de sortie par défaut (par exemple, json).

Vous pouvez maintenant commencer à appeler les AWS services depuis votre environnement. Pour utiliser l'AWS CLI, aws-shell ou les deux pour appeler les AWS services, consultez Exemple AWS CLI et aws-shell. Pour appeler les AWS services à partir de votre code, consultez nos autres tutoriels et exemples.

Création et stockage des informations d'identification d'accès permanentes dans un environnement.

Note

Si vous utilisez un environnement de développement EC2 AWS Cloud9, nous vous recommandons d'utiliser des informations d'identification temporaires gérées par AWS et non pas des informations d'identification d'accès permanentes AWS. Pour utiliser des informations d'identification temporaires gérées par AWS, consultez AWS informations d'identification temporaires gérées.

Dans cette section, vous utilisez AWS Identity and Access Management (IAM) pour générer un jeu d'informations d'identification permanentes. L'AWS CLI, aws-shell ou votre code peuvent utiliser ce jeu d'informations d'identification lors d'un appel aux AWS services. Ce jeu inclut un ID de clé d'accès AWS et une clé d'accès secrète AWS qui sont uniques pour votre utilisateur dans votre Compte AWS. Si vous possédez déjà un ID de clé d'accès AWS et d'une clé d'accès secrète AWS, notez ces informations d'identification, puis passez directement à Stockage des informations d'identification d'accès permanentes dans un environnement.

Vous pouvez créer un ensemble d'informations d'identification permanentes avec la console IAM ou la AWS CLI.

Accorder un accès par programmation

Les utilisateurs ont besoin d'un accès programmatique s'ils souhaitent interagir avec AWS en dehors de la AWS Management Console. La manière d'octroyer un accès par programmation dépend du type d'utilisateur qui accède à AWS.

Pour accorder aux utilisateurs un accès programmatique, choisissez l'une des options suivantes.

Quel utilisateur a besoin d'un accès programmatique ? Pour Bit

Identité de la main-d'œuvre

(Utilisateurs gérés dans IAM Identity Center)

 Utilisez des informations d'identification temporaires pour signer des demandes par programmation destinées à l'AWS CLI, aux kits SDK AWS ou aux API AWS.

Suivez les instructions de l'interface que vous souhaitez utiliser.
IAM Utilisez des informations d'identification temporaires pour signer des demandes par programmation destinées à l'AWS CLI, aux kits SDK AWS ou aux API AWS. Suivez les instructions de la section Utilisation d'informations d'identification temporaires avec des ressources AWS dans le Guide de l'utilisateur IAM.
IAM

(Non recommandé)

Utilisez des informations d'identification à long terme pour signer des demandes par programmation destinées à l'AWS CLI, aux kits SDK AWS ou aux API AWS.

Suivez les instructions de l'interface que vous souhaitez utiliser.

Création d'informations d'identification d'accès permanentes à l'aide de la AWS CLI

Note

Pour cette section, nous vous recommandons de configurer l'AWS CLI à l'aide des informations d'identification d'administrateur dans votre Compte AWS. Si vous ne pouvez pas le faire, contactez l'administrateur de votre Compte AWS.

Note

Si vous utilisez des informations d'identification temporaires gérées par AWS, vous ne pouvez pas avoir recours à une session de terminal dans l'IDE AWS Cloud9 pour exécuter tout ou partie des commandes dans cette section. Pour respecter les bonnes pratiques AWS en matière de sécurité, les informations d'identification temporaires AWS n'autorisent pas l'exécution de certaines commandes. Dans ce cas, exécutez-les depuis une installation distincte de la AWS Command Line Interface (AWS CLI).

Exécutez la commande IAM create-access-key pour créer une clé d'accès AWS et la clé d'accès secrète AWS correspondante de l'utilisateur.

aws iam create-access-key --user-name MyUser

Dans la commande précédente, remplacez MyUser par le nom de l'utilisateur.

Dans un emplacement sécurisé, enregistrez les valeurs AccessKeyId et SecretAccessKey affichées. Après avoir exécuté la commande IAM create-access-key, il s'agit de la seule fois où vous pouvez utiliser la AWS CLI pour afficher la clé d'accès secrète AWS de l'utilisateur. Pour générer ultérieurement une nouvelle clé d'accèsAWS secrète pour l'utilisateur, si nécessaire, consultez Création, modification et fichage des clés d'accès (API, CLIPowerShell) dans le guide de l'utilisateur IAM.

Stockage les informations d'identification d'accès permanentes dans un environnement

Dans cette procédure, vous utilisez l'AWS Cloud9 pour stocker vos informations d'identification d'accès AWS permanentes dans votre environnement. Cette procédure suppose que vous avez déjà créé un environnement dans AWS Cloud9, ouvert l'environnement et que vous affichez l'IDE AWS Cloud9 dans votre navigateur web. Pour plus d'informations, consultez Création d'un environnement et Ouverture d'un environnement.

Note

La procédure suivante explique comment stocker vos informations d'identification d'accès permanentes à l'aide de variables d'environnement. Si vous avez installé l'AWS CLI ou aws-shell dans votre environnement, vous pouvez utiliser la commande aws configure pour l'AWS CLI ou la commande configure pour aws-shell afin de stocker vos informations d'identification d'accès permanentes. Pour obtenir les instructions, veuillez consulter Configuration rapide dans le guide de l'utilisateur AWS Command Line Interface.

  1. Après avoir ouvert votre environnement, dans l'IDE AWS Cloud9, ouvrez une nouvelle séance de terminal, si ce n'est pas déjà fait. Pour démarrer une nouvelle séance de terminal, dans la barre de menus, choisissez Fenêtre, Nouveau terminal.

  2. Exécutez chacune des commandes suivantes, une commande à la fois, pour définir les variables d'environnement locales représentant vos informations d'identification d'accès permanentes. Dans ces commandes, saisissez votre ID de clé d'accès AWS après AWS_ACCESS_KEY_ID:. Après AWS_SECRET_ACCESS_KEY, saisissez votre clé d'accès secrète AWS. Après AWS_DEFAULT_REGION_ID, saisissez l'identifiant Région AWS associé à la Région AWS la plus proche de vous (ou votre Région AWS préférée). Pour obtenir la liste des identifiants disponibles, reportez-vous à Régions AWSla section Endpoints du Référence générale d'Amazon Web Services. Par exemple, pour la région USA Est (Ohio), vous utilisez us-east-2.

    export AWS_ACCESS_KEY_ID=
export AWS_SECRET_ACCESS_KEY=
export AWS_DEFAULT_REGION=

  3. Notez que les variables d'environnement précédentes sont valides uniquement pour la séance de terminal actuelle. Pour rendre ces variables d'environnement disponibles dans toutes les séances de terminal, vous devez les ajouter à votre fichier de profil shell en tant que variables d'environnement utilisateur, comme suit.

    1. Dans la fenêtre Environnement de l'IDE, choisissez l'icône représentant un engrenage, puis Afficher l'origine dans les favoris. Répétez cette étape et choisissez Afficher les fichiers masqués.

    2. Ouvrez le fichier ~/.bashrc.

    3. Saisissez ou collez le code suivant à la fin du fichier. Dans ces commandes, saisissez votre ID de clé d'accès AWS après AWS_ACCESS_KEY_ID:. Après AWS_SECRET_ACCESS_KEY, saisissez votre clé d'accès secrète AWS. Après AWS_DEFAULT_REGION_ID, saisissez l'identifiant Région AWS associé à la Région AWS la plus proche de vous (ou votre Région AWS préférée). Pour obtenir la liste des identifiants disponibles, reportez-vous à Régions AWSla section Endpoints du Référence générale d'Amazon Web Services. Par exemple, pour la région USA Est (Ohio), vous utilisez us-east-2.

      export AWS_ACCESS_KEY_ID=
export AWS_SECRET_ACCESS_KEY=
export AWS_DEFAULT_REGION=

    4. Sauvegardez le fichier.

    5. Définissez le fichier ~/.bashrc en tant que source pour charger ces nouvelles variables d'environnement.

      . ~/.bashrc

Vous pouvez maintenant commencer à appeler les AWS services depuis votre environnement. Pour utiliser l'AWS CLI ou aws-shell pour appeler les AWS services, consultez Exemple AWS CLI et aws-shell. Pour appeler les AWS services à partir de votre code, consultez nos autres tutoriels et exemples.