Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
IAMrôles pour Amazon EC2
Les candidatures doivent signer leurs API demandes avec des AWS informations d'identification. Par conséquent, si vous êtes développeur d'applications, vous avez besoin d'une stratégie pour gérer les informations d'identification de vos applications qui s'exécutent sur EC2 des instances. Par exemple, vous pouvez distribuer en toute sécurité vos informations d’identification AWS aux instances, en permettant ainsi aux applications de ces instances d’utiliser vos informations d’identification pour signer des demandes, tout en les protégeant des autres utilisateurs. Cependant, il est difficile de distribuer en toute sécurité les informations d'identification à chaque instance, en particulier celles AWS créées en votre nom, telles que les instances Spot ou les instances de groupes Auto Scaling. Vous devez également être en mesure de mettre à jour les informations d'identification sur chaque instance lorsque vous effectuez une rotation de vos AWS informations d'identification.
Nous avons conçu IAM des rôles pour que vos applications puissent envoyer des API demandes en toute sécurité à partir de vos instances, sans que vous ayez à gérer les informations d'identification de sécurité utilisées par les applications. Au lieu de créer et de distribuer vos AWS informations d'identification, vous pouvez déléguer l'autorisation de faire des API demandes en utilisant IAM les rôles suivants :
-
Créez un IAM rôle.
-
Définissez quels comptes ou AWS services peuvent assumer le rôle.
-
Définissez les API actions et les ressources que l'application peut utiliser après avoir assumé le rôle.
-
Spécifiez le rôle au lancement de votre instance ou attachez-le à une instance existante.
-
Demandez à l’application d’extraire un ensemble d’informations d’identification temporaires et utilisez-les.
Par exemple, vous pouvez utiliser IAM des rôles pour accorder des autorisations aux applications exécutées sur vos instances qui doivent utiliser un compartiment dans Amazon S3. Vous pouvez spécifier des autorisations pour IAM les rôles en créant une politique au JSON format. Ces politiques sont similaires à celles que vous créez pour les utilisateurs . Si vous modifiez un rôle, la modification est répercutée sur toutes les instances.
Note
Les informations d'identification du EC2 IAM rôle Amazon ne sont pas soumises à la durée maximale de session configurée dans le rôle. Pour plus d'informations, consultez la section Utilisation IAM des rôles dans le Guide de IAM l'utilisateur.
Lorsque vous créez IAM des rôles, associez des IAM politiques de moindre privilège qui limitent l'accès aux API appels spécifiques requis par l'application. Pour la communication Windows vers Windows, utilisez des groupes et des rôles Windows bien définis et bien documentés pour accorder un accès au niveau de l’application entre les instances Windows. Les groupes et les rôles permettent aux clients de définir les autorisations au NTFS niveau des applications et des dossiers avec le moindre privilège afin de limiter l'accès aux exigences spécifiques à l'application.
Vous ne pouvez associer qu'un seul IAM rôle à une instance, mais vous pouvez associer le même rôle à de nombreuses instances. Pour plus d'informations sur la création et l'utilisation IAM des rôles, consultez la section Rôles du guide de IAM l'utilisateur.
Vous pouvez appliquer des autorisations au niveau des ressources à vos IAM politiques afin de contrôler la capacité des utilisateurs à associer, remplacer ou détacher IAM des rôles pour une instance. Pour plus d’informations, consultez Autorisations prises en charge au niveau des ressources pour les actions Amazon EC2 API et l’exemple suivant : Exemple : Utiliser des rôles IAM.
Sommaire
Profils d’instance
Amazon EC2 utilise un profil d'instance comme conteneur pour un IAM rôle. Lorsque vous créez un IAM rôle à l'aide de la IAM console, celle-ci crée automatiquement un profil d'instance et lui donne le même nom que le rôle auquel il correspond. Si vous utilisez la EC2 console Amazon pour lancer une instance dotée d'un IAM rôle ou pour associer un IAM rôle à une instance, vous choisissez le rôle en fonction d'une liste de noms de profils d'instance.
Si vous utilisez le AWS CLI API, ou an AWS SDK pour créer un rôle, vous créez le rôle et le profil d'instance en tant qu'actions distinctes, avec des noms potentiellement différents. Si vous utilisez ensuite le AWS CLI API, ou an AWS SDK pour lancer une instance avec un IAM rôle ou pour attacher un IAM rôle à une instance, spécifiez le nom du profil de l'instance.
Un profil d'instance ne peut contenir qu'un seul IAM rôle. Cette limite ne peut pas être augmentée.
Pour plus d'informations, consultez la section Profils d'instance dans le guide de IAM l'utilisateur.
Autorisations pour votre cas d'utilisation
Lorsque vous créez un IAM rôle pour vos applications pour la première fois, vous pouvez parfois accorder des autorisations allant au-delà de ce qui est requis. Avant de lancer votre application dans votre environnement de production, vous pouvez générer une IAM politique basée sur l'activité d'accès à un IAM rôle. IAMAccess Analyzer examine vos AWS CloudTrail journaux et génère un modèle de politique contenant les autorisations utilisées par le rôle dans la plage de dates spécifiée. Vous pouvez utiliser le modèle pour créer une politique gérée avec des autorisations détaillées, puis l'associer au IAM rôle. Ainsi, vous accordez uniquement les autorisations dont le rôle a besoin pour interagir avec les AWS ressources correspondant à votre cas d'utilisation spécifique. Cela vous permet de mieux respecter la bonne pratique qui consiste à appliquer le principe du moindre privilège. Pour plus d'informations, consultez la section Génération de politiques IAM Access Analyzer dans le guide de l'IAMutilisateur.
