Rôles d’identité d’instance - Amazon Elastic Compute Cloud

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Rôles d’identité d’instance

Chaque instance que vous lancez est dotée d’un rôle d’identité d’instance qui représente son identité. Un rôle d'identité d'instance est un type de rôle IAM. AWS les services et fonctionnalités intégrés pour utiliser le rôle d'identité d'instance peuvent l'utiliser pour identifier l'instance auprès du service.

Les informations d’identification des rôles d’identité d’instance sont accessibles à partir du service des métadonnées d’instance (IMDS) à l’adresse /identity-credentials/ec2/security-credentials/ec2-instance. Les informations d'identification se composent d'une paire de clés d'accès AWS temporaires et d'un jeton de session. Ils sont utilisés pour signer les demandes AWS Sigv4 adressées aux AWS services qui utilisent le rôle d'identité d'instance. Les informations d’identification sont présentes dans les métadonnées de l’instance, qu’un service ou une fonctionnalité utilisant les rôles d’identité d’instance soit activé ou non sur l’instance.

Les rôles d’identité d’instance sont automatiquement créés lors du lancement d’une instance, ne font l’objet d’aucun document de politique d’approbation des rôles et ne sont soumis à aucune politique d’identité ou de ressources.

Services pris en charge

Les AWS services suivants utilisent le rôle d'identité d'instance :

  • Amazon EC2 : EC2 Instance Connect utilise le rôle d’identité d’instance pour mettre à jour les clés d’hôte d’une instance Linux.

  • Amazon GuardDutyRuntime Monitoring utilise le rôle d'identité de l'instance pour permettre à l'agent d'exécution d'envoyer des données télémétriques de sécurité au point de terminaison du VPC GuardDuty .

  • AWS Security Token Service (AWS STS) — Les informations d'identification du rôle d'identité de l'instance peuvent être utilisées avec l' AWS STS GetCallerIdentityaction.

  • AWS Systems Manager— Lorsque vous utilisez la configuration de gestion d'hôte par défaut, AWS Systems Manager utilise l'identité fournie par le rôle d'identité d'instance pour enregistrer les instances EC2. Après avoir identifié votre instance, Systems Manager peut transmettre votre rôle AWSSystemsManagerDefaultEC2InstanceManagementRole IAM à votre instance.

Les rôles d'identité d'instance ne peuvent pas être utilisés avec d'autres AWS services ou fonctionnalités car ils ne sont pas intégrés aux rôles d'identité d'instance.

ARN des rôles d’identité d’instance

L’ARN du rôle d’identité d’instance a le format suivant :

arn:aws-partition:iam::account-number:assumed-role/aws:ec2-instance/instance-id

Par exemple :

arn:aws:iam::0123456789012:assumed-role/aws:ec2-instance/i-0123456789example

Pour plus d’informations sur les ARN, veuillez consulter la rubrique Amazon Resource Names (ARN) dans le Guide de l’utilisateur IAM.