Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Vos identités Compte AWS, telles que les utilisateurs IAM, doivent disposer d'autorisations spécifiques pour lancer une EC2 instance Amazon avec un rôle IAM, attacher un rôle IAM à une instance, remplacer le rôle IAM par une instance ou détacher un rôle IAM d'une instance. Vous devez accorder l’autorisation d’utiliser les actions d’API suivantes selon les besoins :
-
iam:PassRole -
ec2:AssociateIamInstanceProfile -
ec2:DisassociateIamInstanceProfile -
ec2:ReplaceIamInstanceProfileAssociation
Note
Si vous spécifiez la ressource pour iam:PassRole comme *, cela accordera l’accès pour transmettre n’importe lequel de vos rôles IAM à une instance. Pour suivre la meilleure pratique du moindre privilège, spécifiez les ARNs rôles IAM spécifiques aveciam:PassRole, comme indiqué dans l'exemple de politique ci-dessous.
Exemple de politique d’accès programmatique
La politique IAM suivante autorise le lancement d'instances dotées d'un rôle IAM, l'attachement d'un rôle IAM à une instance ou le remplacement du rôle IAM par une instance à l'aide de l'API ou de AWS CLI l'API Amazon. EC2
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:RunInstances",
"ec2:AssociateIamInstanceProfile",
"ec2:DisassociateIamInstanceProfile",
"ec2:ReplaceIamInstanceProfileAssociation"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::123456789012:role/DevTeam*"
}
]
}Exigence supplémentaire pour l’accès à la console
Pour accorder les autorisations nécessaires pour effectuer les mêmes tâches à l'aide de la EC2 console Amazon, vous devez également inclure l'action d'iam:ListInstanceProfilesAPI.
