Rôles IAM pour Amazon EC2 - Amazon Elastic Compute Cloud
Profils d’instanceExtraire les informations d’identification de sécurité à partir des métadonnées d’instanceOctroi à un utilisateur de l’autorisation de transmettre un rôle IAM à une instanceUtiliser les rôles IAM

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Rôles IAM pour Amazon EC2

Les applications doivent signer leurs demandes d'API avec des AWS informations d'identification. Par conséquent, si vous êtes un développeur d’applications, vous avez besoin d’une stratégie pour gérer les informations d’identification de vos applications qui s’exécutent sur les instances EC2. Par exemple, vous pouvez distribuer en toute sécurité vos informations d’identification AWS aux instances, en permettant ainsi aux applications de ces instances d’utiliser vos informations d’identification pour signer des demandes, tout en les protégeant des autres utilisateurs. Cependant, il est difficile de distribuer en toute sécurité les informations d'identification à chaque instance, en particulier celles AWS créées en votre nom, telles que les instances Spot ou les instances de groupes Auto Scaling. Vous devez également être en mesure de mettre à jour les informations d'identification sur chaque instance lorsque vous effectuez une rotation de vos AWS informations d'identification.

Note

Pour vos charges de travail Amazon EC2, nous vous recommandons de récupérer les informations d’identification de session en utilisant la méthode décrite ci-dessous. Ces informations d’identification devraient permettre à votre charge de travail d’effectuer des requêtes d’API AWS , sans avoir besoin d’utiliser sts:AssumeRole pour assumer le rôle déjà associé à l’instance. À moins que vous ne deviez transmettre des balises de session pour le contrôle d’accès par attributs (ABAC) ou adopter une politique de session pour restreindre davantage les autorisations du rôle, ces appels de prise en charge de rôle sont inutiles, car ils créent un nouveau jeu des mêmes informations d’identification de session de rôle temporaire.

Si votre charge de travail utilise un rôle pour s’assumer elle-même, vous devez créer une politique de confiance qui autorise explicitement ce rôle à s’assumer lui-même. Si vous ne créez pas la politique de confiance, vous obtenez l’erreur AccessDenied. Pour de plus amples informations, veuillez consulter la rubrique Modifying a role trust policy (Modification d’une politique d’approbation de rôle) dans le Guide de l’utilisateur IAM.

Nous avons conçu les rôles IAM de telle sorte que vos applications puissent créer des demandes d’API en toute sécurité depuis vos instances, sans requérir que vous gériez les informations d’identification de sécurité que les applications utilisent. Au lieu de créer et de distribuer vos AWS informations d'identification, vous pouvez déléguer l'autorisation d'effectuer des demandes d'API à l'aide des rôles IAM comme suit :

  1. Créez un rôle IAM.

  2. Définissez quels comptes ou AWS services peuvent assumer le rôle.

  3. Définissez les actions d’API et les ressources que l’application peut utiliser en assumant le rôle.

  4. Spécifiez le rôle au lancement de votre instance ou attachez-le à une instance existante.

  5. Demandez à l’application d’extraire un ensemble d’informations d’identification temporaires et utilisez-les.

Par exemple, vous pouvez utiliser des rôles IAM pour accorder l’autorisation aux applications de s’exécuter sur vos instances qui ont besoin d’utiliser un compartiment dans Amazon S3. Vous pouvez spécifier des permissions pour les rôles IAM en créant une politique au format JSON. Ces politiques sont similaires à celles que vous créez pour les utilisateurs . Si vous modifiez un rôle, la modification est répercutée sur toutes les instances.

Note

Les informations d'identification du rôle Amazon EC2 IAM ne sont pas soumises aux durées de session maximales configurées dans le rôle. Pour de plus amples informations, veuillez consulter Utilisation de rôles IAM dans le Guide de l'utilisateur IAM.

Vous ne pouvez attacher qu’un rôle IAM à une instance, mais vous pouvez attacher le même rôle à de nombreuses instances. Pour plus d’informations sur la création et l’utilisation des rôles IAM, consultez Rôles dans le IAM Guide de l’utilisateur.

Vous pouvez appliquer des autorisations au niveau des ressources à vos politiques IAM pour contrôler la possibilité pour les utilisateurs d’attacher, de remplacer ou de détacher des rôles IAM pour une instance. Pour plus d’informations, consultez Autorisations au niveau des ressources prises en charge pour les opérations d’API Amazon EC2 et l’exemple suivant : Exemple : Utiliser des rôles IAM.

Profils d’instance

Amazon EC2 utilise un profil d’instance comme conteneur d’un rôle IAM. Lorsque vous créez un rôle IAM à l’aide de la console IAM, celle-ci crée automatiquement un profil d’instance et lui attribue le même nom qu’au rôle auquel il correspond. Si vous utilisez la console Amazon EC2 pour lancer une instance avec un rôle IAM ou pour attacher un rôle IAM à une instance, vous devez choisir le rôle en vous basant sur une liste de noms de profils d’instance.

Si vous utilisez l' AWS CLI API ou un AWS SDK pour créer un rôle, vous créez le rôle et le profil d'instance en tant qu'actions distinctes, avec des noms potentiellement différents. Si vous utilisez ensuite l' AWS CLI API ou un AWS SDK pour lancer une instance avec un rôle IAM ou pour attacher un rôle IAM à une instance, spécifiez le nom du profil d'instance.

Un profil d’instance ne peut contenir qu’un seul rôle IAM. Cette limite ne peut pas être augmentée.

Pour plus d’informations, consultez Profils d’instance dans le IAM Guide de l’utilisateur.

Extraire les informations d’identification de sécurité à partir des métadonnées d’instance

Une application de l’instance extrait les informations d’identification de sécurité fournies par le rôle à partir de l’élément iam/security-credentials/nom-rôle des métadonnées d’instance. L’application reçoit les autorisations pour les actions et les ressources que vous avez définies pour le rôle via les informations d’identification de sécurité associées au rôle. Ces informations de sécurité sont temporaires et nous les faisons tourner automatiquement. Nous rendons disponibles de nouvelles informations d’identification au moins cinq minutes avant l’expiration des anciennes informations d’identification.

Avertissement

Si vous utilisez des services qui emploient les métadonnées d’instance avec les rôles IAM, assurez-vous de ne pas exposer vos informations d’identification quand les services effectuent des appels HTTP en votre nom. Les types de services qui peuvent exposer vos informations d’identification incluent les proxys HTTP, les services de validation HTML/CSS et les processeurs XML qui prennent en charge l’inclusion XML.

La commande suivante extrait les informations de sécurité pour un rôle IAM intitulé s3access.

IMDSv2
PS C:\> [string]$token = Invoke-RestMethod -Headers @{"X-aws-ec2-metadata-token-ttl-seconds" = "21600"} -Method PUT -Uri http://169.254.169.254/latest/api/token
PS C:\> Invoke-RestMethod -Headers @{"X-aws-ec2-metadata-token" = $token} -Method GET -Uri http://169.254.169.254/latest/meta-data/iam/security-credentials/s3access
IMDSv1
PS C:\> Invoke-RestMethod -uri http://169.254.169.254/latest/meta-data/iam/security-credentials/s3access

Voici un exemple de sortie.

{
  "Code" : "Success",
  "LastUpdated" : "2012-04-26T16:39:16Z",
  "Type" : "AWS-HMAC",
  "AccessKeyId" : "ASIAIOSFODNN7EXAMPLE",
  "SecretAccessKey" : "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY",
  "Token" : "token",
  "Expiration" : "2017-05-17T15:09:54Z"
}

Pour les applications et PowerShell les commandes Tools for Windows qui s'exécutent sur l'instance, il n'est pas nécessaire d'obtenir explicitement les informations d'identification de sécurité temporaires : AWS les SDK et les outils pour Windows obtiennent PowerShell automatiquement les informations d'identification du service de métadonnées d'instance EC2 et les utilisent. AWS CLI AWS CLI Pour effectuer un appel en dehors de l’instance à l’aide d’informations d’identification de sécurité temporaires (par exemple, pour tester les politiques IAM), vous devez fournir la clé d’accès, la clé secrète et le jeton de session. Pour plus d'informations, consultez la section Utilisation d'informations d'identification de sécurité temporaires pour demander l'accès aux AWS ressources dans le guide de l'utilisateur IAM.

Pour obtenir plus d’informations sur les métadonnées d’instance, consultez Métadonnées d’instance et données utilisateur. Pour plus d’informations sur l’adresse IP des métadonnées d’instance, consultez Récupérer des métadonnées d’instance.

Octroi à un utilisateur de l’autorisation de transmettre un rôle IAM à une instance

Pour permettre à un utilisateur de lancer une instance avec un rôle IAM, ou d’attacher ou remplacer un rôle IAM pour une instance existante, vous devez accorder à l’utilisateur l’autorisation d’utiliser les actions d’API suivantes :

  • iam:PassRole

  • ec2:AssociateIamInstanceProfile

  • ec2:ReplaceIamInstanceProfileAssociation

Par exemple, la politique IAM suivante accorde aux utilisateurs l’autorisation de lancer des instances avec un rôle IAM, ou d’attacher ou remplacer un rôle IAM pour une instance existante à l’aide de la AWS CLI.

Note

Si vous voulez que la politique accorde aux utilisateurs l’accès à tous vos rôles, spécifiez la ressource comme * dans la politique. Cependant, veuillez considérer le principe du moindre privilège comme une bonne pratique.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
         "ec2:RunInstances",
         "ec2:AssociateIamInstanceProfile",
         "ec2:ReplaceIamInstanceProfileAssociation"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": "iam:PassRole",
      "Resource": "arn:aws:iam::123456789012:role/DevTeam*"
    }
  ]
}

Pour autoriser les utilisateurs à lancer des instances avec un rôle IAM, ou à attacher ou remplacer un rôle IAM pour une instance existante, à l’aide de la console Amazon EC2, vous devez leur accorder l’autorisation d’utiliser iam:ListInstanceProfiles, iam:PassRole, ec2:AssociateIamInstanceProfile, et ec2:ReplaceIamInstanceProfileAssociation en plus de toutes les autres autorisations dont ils pourraient avoir besoin. Pour obtenir des exemples de politiques, consultez Exemples de politiques à utiliser sur la console Amazon EC2.

Utiliser les rôles IAM

Vous pouvez créer un rôle IAM et l’attacher à une instance pendant ou après le lancement. Vous pouvez aussi remplacer ou détacher un rôle IAM pour une instance.

créer un rôle IAM ;

Vous devez créer un rôle IAM avant de pouvoir lancer une instance avec ce rôle ou attacher celui-ci à une instance.

Console
Pour créer un rôle IAM avec la console IAM

  1. Ouvrez la console IAM à l’adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez Rôles, puis Créer un rôle.

  3. Sur la page Sélectionner une entité sécurisée, choisissez Service AWS, puis sélectionnez le cas d’utilisation EC2. Choisissez Suivant.

  4. Sur la page Ajouter des autorisations, sélectionnez les politiques qui accordent à vos instances l’accès aux ressources dont elles ont besoin. Choisissez Suivant.

  5. Sur la page Nommer, vérifier et créer, saisissez un nom et une description pour le rôle. Vous pouvez également ajouter des balises au rôle. Sélectionnez Créer un rôle.

Command line

L’exemple suivant crée un rôle IAM avec une politique qui lui permet d’utiliser un compartiment Amazon S3.

Pour créer un rôle IAM et un profil d’instance (AWS CLI)

  1. Créez la stratégie d’approbation suivante et enregistrez-la dans un fichier texte intitulé ec2-role-trust-policy.json.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": { "Service": "ec2.amazonaws.com"},
      "Action": "sts:AssumeRole"
    }
  ]
}

  2. Créez le rôle s3access et spécifiez la stratégie d’approbation que vous avez créée à l’aide de la commande create-role .

    aws iam create-role \
    --role-name s3access \
    --assume-role-policy-document file://ec2-role-trust-policy.json

    Exemple de réponse

    {
    "Role": {
        "AssumeRolePolicyDocument": {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Action": "sts:AssumeRole",
                    "Effect": "Allow",
                    "Principal": {
                        "Service": "ec2.amazonaws.com"
                    }
                }
            ]
        },
        "RoleId": "AROAIIZKPBKS2LEXAMPLE",
        "CreateDate": "2013-12-12T23:46:37.247Z",
        "RoleName": "s3access",
        "Path": "/",
        "Arn": "arn:aws:iam::123456789012:role/s3access"
    }
}

  3. Créez une stratégie d’accès et enregistrez-la dans un fichier texte intitulé ec2-role-access-policy.json. Par exemple, cette politique d’accès accorde des permissions administratives pour Amazon S3 aux applications s’exécutant sur l’instance.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["s3:*"],
      "Resource": ["*"]
    }
  ]
}

  4. Attachez la politique d'accès au rôle à l'aide de la put-role-policycommande.

    aws iam put-role-policy \
    --role-name s3access \
    --policy-name S3-Permissions \
    --policy-document file://ec2-role-access-policy.json

  5. Créez un profil d'instance nommé s3access-profile à l'aide de la create-instance-profilecommande.

    aws iam create-instance-profile --instance-profile-name s3access-profile

    Exemple de réponse

    {
    "InstanceProfile": {
        "InstanceProfileId": "AIPAJTLBPJLEGREXAMPLE",
        "Roles": [],
        "CreateDate": "2013-12-12T23:53:34.093Z",
        "InstanceProfileName": "s3access-profile",
        "Path": "/",
        "Arn": "arn:aws:iam::123456789012:instance-profile/s3access-profile"
    }
}

  6. Ajoutez le rôle s3access au profil d’instance s3access-profile.

    aws iam add-role-to-instance-profile \
    --instance-profile-name s3access-profile \
    --role-name s3access

Vous pouvez également utiliser les AWS Tools for Windows PowerShell commandes suivantes :

Lancer une instance avec un rôle IAM

Après avoir créé un rôle IAM, vous pouvez lancer une instance et associer le rôle à l’instance durant le lancement.

Important

Après que vous avez créé un rôle IAM, la propagation des permissions peut prendre plusieurs secondes. En cas d’échec de votre première tentative de lancer une instance avec un rôle, attendez quelques secondes avant de recommencer. Pour plus d’informations, consultez Résolution des problèmes liés aux rôles IAM dans le guide de l’utilisateur IAM.

New console
Pour lancer une instance avec un rôle IAM (console)

  1. Suivez la procédure pour lancer une instance.

  2. Développez Advanced details (Détails avancés), et pour IAM instance profile (Profil d’instance IAM), sélectionnez le rôle IAM que vous avez créé.

    Note

    La liste IAM instance profile (Profil d’instance IAM) affiche le nom du profil d’instance que vous avez créé lorsque vous avez créé votre rôle IAM. Si vous avez créé votre rôle IAM à l’aide de la console, le profil d’instance a été créé automatiquement et reçu le même nom que le rôle. Si vous avez créé votre rôle IAM à l' AWS CLI aide de l'API ou d'un AWS SDK, vous avez peut-être nommé votre profil d'instance différemment.

  3. Configurez tous les autres détails dont vous avez besoin pour votre instance ou acceptez les valeurs par défaut, puis sélectionnez une paire de clés. Pour plus d’informations sur les champs de l’assistant de lancement d’instance, consultez Lancer une instance à l’aide de paramètres définis.

  4. Dans le panneau Summary (Résumé), vérifiez la configuration de votre instance, puis choisissez Launch instance (Lancer l’instance).

  5. Si vous utilisez les actions de l'API Amazon EC2 dans votre application, récupérez les informations d'identification AWS de sécurité mises à disposition sur l'instance et utilisez-les pour signer les demandes. Le AWS SDK le fait pour vous.

    IMDSv2IMDSv1
    IMDSv2
    PS C:\> [string]$token = Invoke-RestMethod -Headers @{"X-aws-ec2-metadata-token-ttl-seconds" = "21600"} -Method PUT -Uri http://169.254.169.254/latest/api/token
    PS C:\> Invoke-RestMethod -Headers @{"X-aws-ec2-metadata-token" = $token} -Method GET -Uri http://169.254.169.254/latest/meta-data/iam/security-credentials/role_name
    IMDSv1
    PS C:\> Invoke-RestMethod -uri http://169.254.169.254/latest/meta-data/iam/security-credentials/role_name
Old console
Pour lancer une instance avec un rôle IAM (console)

  1. Ouvrez la console Amazon EC2 à l’adresse https://console.aws.amazon.com/ec2/.

  2. Sur le tableau de bord, choisissez Lancer une instance.

  3. Sélectionnez une AMI et un type d’instance et choisissez ensuite Next: Configure Instance Details (Suivant : Configurer les détails de l’instance).

  4. Sur la page Configurer les détails de l’instance, pour Rôle IAM, sélectionnez le rôle IAM que vous avez créé.

    Note

    La liste Rôle IAM affiche le nom du profil d’instance que vous avez créé lorsque vous avez créé votre rôle IAM. Si vous avez créé votre rôle IAM à l’aide de la console, le profil d’instance a été créé automatiquement et reçu le même nom que le rôle. Si vous avez créé votre rôle IAM à l' AWS CLI aide de l'API ou d'un AWS SDK, vous avez peut-être nommé votre profil d'instance différemment.

  5. Configurez les autres détails, puis suivez les déclarations restantes de l’assistant, ou choisissez Vérifier et lancer pour accepter les paramètres par défaut et accéder directement à la page Examiner le lancement de l’instance.

  6. Vérifiez vos paramètres, puis sélectionnez Lancer pour choisir une paire de clés et démarrer votre instance.

  7. Si vous utilisez les actions de l'API Amazon EC2 dans votre application, récupérez les informations d'identification AWS de sécurité mises à disposition sur l'instance et utilisez-les pour signer les demandes. Le AWS SDK le fait pour vous.

    IMDSv2IMDSv1
    IMDSv2
    PS C:\> [string]$token = Invoke-RestMethod -Headers @{"X-aws-ec2-metadata-token-ttl-seconds" = "21600"} -Method PUT -Uri http://169.254.169.254/latest/api/token
    PS C:\> Invoke-RestMethod -Headers @{"X-aws-ec2-metadata-token" = $token} -Method GET -Uri http://169.254.169.254/latest/meta-data/iam/security-credentials/role_name
    IMDSv1
    PS C:\> Invoke-RestMethod -uri http://169.254.169.254/latest/meta-data/iam/security-credentials/role_name
Command line

Vous pouvez utiliser le AWS CLI pour associer un rôle à une instance lors du lancement. Vous devez spécifier le profil d’instance dans la commande.

Pour lancer une instance avec un rôle IAM (AWS CLI)

  1. Utilisez la commande run-instances pour lancer une instance à l’aide du profil d’instance. L’exemple suivant montre comment lancer une instance avec le profil d’instance. 

    aws ec2 run-instances \
    --image-id ami-11aa22bb \
    --iam-instance-profile Name="s3access-profile" \
    --key-name my-key-pair \
    --security-groups my-security-group \
    --subnet-id subnet-1a2b3c4d

    Vous pouvez également utiliser la PowerShell commande New-EC2InstanceOutils pour Windows.

  2. Si vous utilisez les actions de l'API Amazon EC2 dans votre application, récupérez les informations d'identification AWS de sécurité mises à disposition sur l'instance et utilisez-les pour signer les demandes. Le AWS SDK le fait pour vous.

    curl http://169.254.169.254/latest/meta-data/iam/security-credentials/role_name

Attacher un rôle IAM à une instance

Pour attacher un IAM à une instance qui n’a pas de rôle, l’instance doit être en état stopped ou running.

Console
Pour attacher un rôle IAM à une instance

  1. Ouvrez la console Amazon EC2 à l’adresse https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, choisissez Instances.

  3. Sélectionnez l’instance, puis Actions, Security (Sécurité), Modify IAM role (Modifier le rôle IAM).

  4. Sélectionnez le rôle IAM à attacher à votre instance et choisissez Save (Enregistrer).

Command line
Pour attacher un rôle IAM à une instance (AWS CLI)

  1. Si nécessaire, décrivez vos instances pour obtenir l’ID de l’instance à laquelle attacher le rôle.

    aws ec2 describe-instances

  2. Utilisez la associate-iam-instance-profilecommande pour associer le rôle IAM à l'instance en spécifiant le profil de l'instance. Vous pouvez utiliser l’Amazon Resource Name (ARN) du profil d’instance ou le nom du profil d’instance.

    aws ec2 associate-iam-instance-profile \
    --instance-id i-1234567890abcdef0 \
    --iam-instance-profile Name="TestRole-1"

    Exemple de réponse

    {
    "IamInstanceProfileAssociation": {
        "InstanceId": "i-1234567890abcdef0", 
        "State": "associating", 
        "AssociationId": "iip-assoc-0dbd8529a48294120", 
        "IamInstanceProfile": {
            "Id": "AIPAJLNLDX3AMYZNWYYAY", 
            "Arn": "arn:aws:iam::123456789012:instance-profile/TestRole-1"
        }
    }
}

Vous pouvez également utiliser les PowerShell commandes Outils pour Windows suivantes :

Remplacer un rôle IAM

Pour remplacer le rôle IAM sur une instance qui a déjà un rôle IAM, l’instance doit être en état running. Vous pouvez le faire si vous souhaitez modifier le rôle IAM pour une instance sans commencer par détacher le rôle existant. Pour exemple, vous pouvez le faire pour veiller à ce que les actions d’API effectuées par les applications exécutées sur l’instance ne soient pas interrompues.

Console
Pour remplacer un rôle IAM pour une instance

  1. Ouvrez la console Amazon EC2 à l’adresse https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, choisissez Instances.

  3. Sélectionnez l’instance, puis Actions, Security (Sécurité), Modify IAM role (Modifier le rôle IAM).

  4. Sélectionnez le rôle IAM à attacher à votre instance et choisissez Save (Enregistrer).

Command line
Pour remplacer un rôle IAM pour une instance (AWS CLI)

  1. Si nécessaire, décrivez vos associations de profils d’instance IAM pour obtenir l’ID d’association du profil d’instance IAM à remplacer.

    aws ec2 describe-iam-instance-profile-associations

  2. Utilisez la commande replace-iam-instance-profile-association pour remplacer le profil d'instance IAM en spécifiant l'ID d'association pour le profil d'instance existant et l'ARN ou le nom du profil d'instance qui doit le remplacer.

    aws ec2 replace-iam-instance-profile-association \
    --association-id iip-assoc-0044d817db6c0a4ba \
    --iam-instance-profile Name="TestRole-2"

    Exemple de réponse

    {
    "IamInstanceProfileAssociation": {
        "InstanceId": "i-087711ddaf98f9489", 
        "State": "associating", 
        "AssociationId": "iip-assoc-09654be48e33b91e0", 
        "IamInstanceProfile": {
            "Id": "AIPAJCJEDKX7QYHWYK7GS", 
            "Arn": "arn:aws:iam::123456789012:instance-profile/TestRole-2"
        }
    }
}

Vous pouvez également utiliser les PowerShell commandes Outils pour Windows suivantes :

Détacher un rôle IAM

Vous ne pouvez pas détacher un rôle IAM d’une instance en cours d’exécution ou arrêtée.

Console
Pour détacher un rôle IAM d’une instance

  1. Ouvrez la console Amazon EC2 à l’adresse https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, choisissez Instances.

  3. Sélectionnez l’instance, puis Actions, Security (Sécurité), Modify IAM role (Modifier le rôle IAM).

  4. Pour IAM role (Rôle IAM), choisissez No IAM Role (Aucun rôle IAM). Choisissez Enregistrer.

  5. Dans la boîte de dialogue de confirmation, entrez Detach (Détacher), puis choisissez Detach (Détacher).

Command line
Pour détacher un rôle IAM d’une instance (AWS CLI)

  1. Si nécessaire, utilisez describe-iam-instance-profile-associations pour décrire les associations de vos profils d'instance IAM et obtenir l'ID d'association du profil d'instance IAM à détacher.

    aws ec2 describe-iam-instance-profile-associations

    Exemple de réponse

    {
    "IamInstanceProfileAssociations": [
        {
            "InstanceId": "i-088ce778fbfeb4361", 
            "State": "associated", 
            "AssociationId": "iip-assoc-0044d817db6c0a4ba", 
            "IamInstanceProfile": {
                "Id": "AIPAJEDNCAA64SSD265D6", 
                "Arn": "arn:aws:iam::123456789012:instance-profile/TestRole-2"
            }
        }
    ]
}

  2. Utilisez la disassociate-iam-instance-profilecommande pour détacher le profil d'instance IAM à l'aide de son ID d'association.

    aws ec2 disassociate-iam-instance-profile --association-id iip-assoc-0044d817db6c0a4ba

    Exemple de réponse

    {
    "IamInstanceProfileAssociation": {
        "InstanceId": "i-087711ddaf98f9489", 
        "State": "disassociating", 
        "AssociationId": "iip-assoc-0044d817db6c0a4ba", 
        "IamInstanceProfile": {
            "Id": "AIPAJEDNCAA64SSD265D6", 
            "Arn": "arn:aws:iam::123456789012:instance-profile/TestRole-2"
        }
    }
}

Vous pouvez également utiliser les PowerShell commandes Outils pour Windows suivantes :

Générer une politique pour votre rôle IAM en fonction de l’activité d’accès

Lorsque vous créez un rôle IAM pour vos applications, vous pouvez parfois accorder plus d’autorisations que nécessaire. Avant de lancer votre application dans votre environnement de production, vous pouvez générer une politique IAM basée sur l’activité d’accès pour un rôle IAM. IAM Access Analyzer examine vos AWS CloudTrail journaux et génère un modèle de politique contenant les autorisations qui ont été utilisées par le rôle dans la plage de dates que vous avez spécifiée. Vous pouvez utiliser le modèle pour créer une politique gérée avec des autorisations affinées, puis l’attacher au rôle IAM. Ainsi, vous accordez uniquement les autorisations dont le rôle a besoin pour interagir avec les AWS ressources correspondant à votre cas d'utilisation spécifique. Cela vous permet de mieux respecter la bonne pratique qui consiste à appliquer le principe du moindre privilège. Pour en savoir plus, consultez Générer des stratégies basées sur l’activité d’accès dans le Guide IAM de l’utilisateur.