Suppression de rôles ou de profils d'instance - AWS Identity and Access Management

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Suppression de rôles ou de profils d'instance

Si vous n'avez plus besoin d'un rôle, nous vous recommandons de supprimer le rôle et ses autorisations associées. De cette façon, vous n'avez aucune entité inutilisée qui n'est pas surveillée ou gérée activement.

Si le rôle était associé à une instance EC2, vous pouvez également le supprimer du profil d'instance, puis supprimer ce dernier.

Avertissement

Vérifiez qu'aucune instance Amazon EC2 n'est en cours d'exécution avec le rôle ou le profil d'instance que vous êtes sur le point de supprimer. La suppression d'un rôle ou d'un profil d'instance associé à une instance en cours d'exécution arrêtera toutes les applications qui s'exécutent sur l'instance.

Si vous préférez ne pas supprimer définitivement un rôle, vous pouvez le désactiver. Pour ce faire, modifiez les politiques du rôle, puis révoquez toutes les sessions en cours. Par exemple, vous pouvez ajouter une politique au rôle qui a refusé l'accès à l'ensemble d' AWS. Vous pouvez également modifier la politique d'approbation pour refuser l'accès à toute personne qui tente d'endosser le rôle. Pour en savoir plus sur la révocation des sessions, consultez Révocation des informations d'identification de sécurité temporaires d'un rôle IAM.

Afficher l'accès au rôle

Avant de supprimer un rôle, nous vous recommandons de vérifier la date de sa dernière utilisation. Vous pouvez effectuer cette opération à l'aide de l'AWS Management Console, l'AWS CLI ou l'API AWS. Vous devriez consulter ces informations, car vous ne voulez pas retirer l'accès à une personne utilisant ce rôle.

La date de la dernière activité du rôle peut ne pas correspondre à la dernière date indiquée dans l'onglet Access Advisor. L'onglet Access Advisor signale l'activité uniquement pour les services autorisés par les politiques d'autorisations du rôle. La date de la dernière activité du rôle inclut la dernière tentative d'accès à un service dans AWS.

Note

La période de suivi de la dernière activité d'un rôle et des données Access Advisor correspond aux 400 jours précédents. Cette période peut être plus courte si votre région a commencé à prendre en charge ces fonctionnalités au cours de la dernière année. Le rôle aurait pu être utilisé il y a plus de 400 jours. Pour de plus amples informations sur la période de suivi, veuillez consulter Emplacements à partir desquels AWS suit les dernières informations consultées.

Pour afficher la date à laquelle un rôle a été utilisé pour la dernière fois (console)
  1. Connectez-vous à l’outil AWS Management Console, puis ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, sélectionnez Rôles.

  3. Recherchez la ligne du rôle dont vous souhaitez afficher l'activité. Vous pouvez utiliser le champ de recherche pour affiner les résultats. Affichez la colonne Dernière activité pour voir le nombre de jours écoulés depuis la dernière utilisation du rôle. Si le rôle n'a pas été utilisé pendant la période de suivi, le tableau affiche Aucun.

  4. Choisissez le nom du rôle pour afficher plus d'informations. La page Summary (Résumé) du rôle inclut également Last activity (Dernière activité), qui affiche la date à laquelle le rôle a été utilisé pour la dernière fois. Si le rôle n'a pas été utilisé au cours des 400 derniers jours, la Dernière activité affiche Non consulté pendant la période de suivi.

Pour voir quand un rôle a été utilisé pour la dernière fois (AWS CLI)

aws iam get-role - Exécutez cette commande pour renvoyer des informations sur un rôle, y compris l'objet RoleLastUsed. Cet objet contient la LastUsedDate et la Region dans laquelle le rôle a été utilisé pour la dernière fois. Si RoleLastUsed est présent mais ne contient pas de valeur, le rôle n'a pas été utilisé pendant la période de suivi.

Pour afficher la date à laquelle un rôle a été utilisé pour la dernière fois (API AWS)

GetRole - Appelez cette opération pour renvoyer des informations sur un rôle, y compris l'objet RoleLastUsed. Cet objet contient la LastUsedDate et la Region dans laquelle le rôle a été utilisé pour la dernière fois. Si RoleLastUsed est présent mais ne contient pas de valeur, le rôle n'a pas été utilisé pendant la période de suivi.

Suppression d'un rôle lié à un service

Si le rôle est un rôle lié à un service, consultez la documentation du service lié afin de savoir comment supprimer le rôle. Pour afficher les rôles liés à un service de votre compte, allez sur la page IAM Roles (Rôles IAM) de la console. Les rôles liés à un service s'affichent avec (Rôle lié à un service) mentionné dans la colonne Entités de confiance du tableau. Une bannière sur la page Summary (Résumé) d'un rôle indique aussi que le rôle est lié à un service.

Si le service ne comprend pas de documentation pour supprimer le rôle lié à un service, vous pouvez alors utiliser la console IAM, la AWS CLI ou l'API pour supprimer le rôle. Pour plus d’informations, veuillez consulter Suppression d'un rôle lié à un service.

Suppression d'un rôle IAM (console)

Lorsque vous utilisez la AWS Management Console pour supprimer un rôle, IAM détache automatiquement les politiques gérées associées au rôle. Il supprime aussi automatiquement toute politique en ligne associée au rôle, ainsi que tout profil d'instance Amazon EC2 qui contient le rôle.

Important

Dans certains cas, un rôle peut être associé à un profil d'instance Amazon EC2, et le rôle et le profil d'instance peuvent porter exactement le même nom. Dans ce cas, vous pouvez utiliser la console AWS Management Console pour supprimer le rôle et le profil d'instance. Ce lient se fait automatiquement pour les rôles et les profils d'instance que vous créez dans la console. Si vous avez créé le rôle à partir de la AWS CLI, de Tools for Windows PowerShell ou de l'API AWS, le rôle et le profil d'instance peuvent porter des noms différents. Dans ce cas, vous ne pouvez pas utiliser la console pour les supprimer. Vous devez plutôt utiliser la AWS CLI, Tools for Windows PowerShell ou l'API AWS pour supprimer d'abord le rôle du profil d'instance. Vous devez ensuite réaliser une étape distincte pour supprimer le rôle.

Pour supprimer un rôle (console)
  1. Connectez-vous à l’outil AWS Management Console, puis ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez Rôles, puis cochez la case en regard du rôle à supprimer.

  3. En haut de la page, sélectionnez Delete (Supprimer).

  4. Dans la boîte de dialogue de confirmation, vérifiez les dernières informations consultées, qui indiquent le moment où chacun des rôles sélectionnés a accédé en dernier à un service AWS. Cela vous permet de confirmer si le rôle est actif actuellement. Pour poursuivre, saisissez le nom du rôle dans le champ de saisie de texte et choisissez Delete (Supprimer). Si vous êtes sûr, procédez à la suppression même si les dernières informations consultées sont toujours en cours de chargement.

Note

Vous ne pouvez pas utiliser la console pour supprimer un profil d'instance, sauf lorsqu'elle porte le même nom que le rôle. Le profil d'instance est supprimé dans le cadre du processus de suppression d'un rôle comme décrit dans la procédure précédente. Pour supprimer un profil d'instance sans supprimer également le rôle, vous devez utiliser l’interface AWS CLI ou l'API AWS. Pour plus d'informations, consultez les sections suivantes.

Suppression d'un rôle IAM (AWS CLI)

Lorsque vous utilisez l'AWS CLI pour supprimer un rôle, vous devez d'abord supprimer les politiques en ligne associées au rôle. Vous devez également détacher les politiques gérées associées au rôle. Si vous voulez supprimer le profil d'instance associé contenant le rôle, vous devez le supprimer séparément.

Pour supprimer un rôle (AWS CLI)
  1. Si vous ne connaissez pas le nom du rôle que vous souhaitez supprimer, tapez la commande suivante pour répertorier les rôles dans votre compte :

    aws iam list-roles

    La liste inclut l'Amazon Resource Name (ARN) de chaque rôle. Utilisez le nom du rôle, pas l'ARN, pour faire référence aux rôles avec les commandes CLI. Par exemple, si un rôle a l'ARN : arn:aws:iam::123456789012:role/myrole, vous faites référence au rôle en tant que myrole.

  2. Supprimez le rôle de tous les profils d'instance auxquels il est associé.

    1. Pour répertorier tous les profils d'instance auxquels un rôle est associé, tapez la commande suivante :

      aws iam list-instance-profiles-for-role --role-name role-name
    2. Pour supprimer le rôle d'un profil d'instance, saisissez la commande suivante pour chaque profil instance :

      aws iam remove-role-from-instance-profile --instance-profile-name instance-profile-name --role-name role-name
  3. Supprimez toutes les politiques associées au rôle.

    1. Pour répertorier toutes les politiques en ligne que contient le rôle, saisissez la commande suivante :

      aws iam list-role-policies --role-name role-name
    2. Pour supprimer chaque politique en ligne du rôle, saisissez la commande suivante pour chaque politique :

      aws iam delete-role-policy --role-name role-name --policy-name policy-name
    3. Pour répertorier toutes les politiques gérées attachées au rôle, saisissez la commande suivante :

      aws iam list-attached-role-policies --role-name role-name
    4. Pour détacher chaque politique gérée du rôle, saisissez la commande suivante pour chaque politique :

      aws iam detach-role-policy --role-name role-name --policy-arn policy-arn
  4. Tapez la commande suivante pour supprimer le rôle :

    aws iam delete-role --role-name role-name
  5. Si vous ne prévoyez pas de réutiliser les profils d'instance associés au rôle, vous pouvez saisir la commande suivante pour les supprimer :

    aws iam delete-instance-profile --instance-profile-name instance-profile-name

Suppression d'un rôle IAM (API AWS)

Lorsque vous utilisez l'API IAM pour supprimer un rôle, vous devez d'abord supprimer les politiques en ligne associées au rôle. Vous devez également détacher les politiques gérées associées au rôle. Si vous voulez supprimer le profil d'instance associé contenant le rôle, vous devez le supprimer séparément.

Pour supprimer un rôle (API AWS)
  1. Pour répertorier tous les profils d'instance auxquels un rôle est associé, appelez ListInstanceProfilesForRole.

    Pour supprimer le rôle d'un profil d'instance, appelez RemoveRoleFromInstanceProfile. Vous devez transmettre le nom du rôle et le nom du profil d'instance.

    Si vous ne prévoyez pas de réutiliser un profil d'instance associé au rôle, vous appelez DeleteInstanceProfile pour le supprimer.

  2. Pour répertorier toutes les politiques en ligne d'un rôle, appelez ListRolePolicies.

    Pour supprimer les politiques en ligne associées au rôle, appelez DeleteRolePolicy. Vous devez transmettre le nom du rôle et le nom de la politique en ligne.

  3. Pour répertorier toutes les politiques gérées qui sont attachées à un rôle, appelez ListAttachedRolePolicies.

    Pour détacher les politiques gérées qui sont attachées au rôle, appelez DetachRolePolicy. Vous devez transmettre le nom du rôle et l'ARN de la politique gérée.

  4. Appelez DeleteRole pour supprimer le rôle.

Pour obtenir des informations générales sur les profils d'instance, consultez Utilisation de profils d'instance.

Pour obtenir des informations générales sur les rôles liés à un service, veuillez consulter Utilisation des rôles liés à un service.