Utilisation des rôles liés aux services pour Systems Manager
AWS Systems Manager utilise des rôles AWS Identity and Access Management (IAM) liés à un service. Un rôle lié à un service est un type unique de rôle IAM lié directement à Systems Manager. Les rôles liés à un service sont prédéfinis par Systems Manager et incluent toutes les autorisations requises par le service pour appeler d'autres Services AWS en votre nom.
Note
Une fonction de service est différente d'un rôle lié à un service. Une fonction de service est un type de rôle (IAM) AWS Identity and Access Management qui accorde des autorisations à un Service AWS afin que ce dernier puisse accéder aux ressources AWS. Seuls quelques scénarios Systems Manager nécessitent un rôle de service. Lorsque vous créez une fonction du service pour Systems Manager, vous choisissez les autorisations à accorder pour qu'il puisse accéder aux autres ressources AWS ou interagir avec ces dernières.
Un rôle lié à un service permet d'utiliser Systems Manager plus facilement, car vous n'avez pas besoin d'ajouter manuellement les autorisations requises. Systems Manager définit les autorisations de ses rôles liés à un service et, sauf définition contraire, seul Systems Manager peut endosser ses rôles. Les autorisations définies comprennent la politique d'approbation et la politique d'autorisation. De plus, cette politique d'autorisation ne peut pas être attachée à une autre entité IAM.
Vous pouvez supprimer un rôle lié à un service uniquement après la suppression préalable de ses ressources connexes. Vos ressources Systems Manager sont ainsi protégées, car vous ne pouvez pas involontairement supprimer l'autorisation d'accéder aux ressources.
Note
Pour les nœuds non EC2 dans un environnement hybride et multicloud, vous avez besoin d'un rôle IAM supplémentaire qui permet à ces machines de communiquer avec le service Systems Manager. Il s'agit du rôle de service IAM pour Systems Manager. Ce rôle accorde à AWS Security Token Service (AWS STS) le droit AssumeRole sur le service Systems Manager. L'action AssumeRole renvoie un ensemble d'informations d'identification de sécurité temporaires (composé d'un ID de clé d'accès, d'une clé d'accès secrète et d'un jeton de sécurité). Vous utilisez ces informations d'identification temporaires pour accéder aux ressources AWS auxquelles vous n'avez normalement pas accès. Pour plus d’informations, consultez les sections Créer le rôle de service IAM requis pour Systems Manager dans les environnements hybrides et multicloud et AssumeRole de la référence d’API AWS Security Token Service.
Pour plus d'informations sur les autres services prenant en charge les rôles liés à un service, reportez-vous aux Services AWS opérationnels avec IAM et recherchez les services présentant la mention Yes (Oui) dans la colonne Service-linked roles (Rôles liés à un service). Choisissez un Oui ayant un lien permettant de consulter les détails du rôle pour ce service.
Rubriques
- Utilisation de rôles pour collecter l'inventaire et afficher les OpsData
- Utilisation de rôles pour collecter des informations sur les Compte AWS pour OpsCenter et Explorer
- Utilisation de rôles pour créer des OpsData et des OpsItems pour Explorer
- L’utilisation des rôles pour la création d'informations opérationnelles d'OpsItems dans l'OpsCenter de Systems Manager
- Utilisation de rôles pour maintenir l’état et la cohérence des ressources provisionnées par Quick Setup
- Utilisation de rôles pour exporter des OpsData Explorer
