Afficher l'accès aux rôles Suppression d'un rôle lié à un service Supprimer un IAM rôle (console)Supprimer un IAM rôle (AWS CLI)Supprimer un IAM rôle (AWS API)Informations connexes

Supprimer des rôles ou des profils d'instance

Si vous n'avez plus besoin d'un rôle, nous vous recommandons de supprimer le rôle et ses autorisations associées. De cette façon, vous n’avez aucune entité inutilisée qui n’est pas surveillée ou gérée activement.

Si le rôle était associé à une EC2 instance, vous pouvez également supprimer le rôle du profil d'instance, puis supprimer le profil d'instance.

Avertissement

Assurez-vous qu'aucune instance Amazon EC2 n'est en cours d'exécution avec le rôle ou le profil d'instance que vous êtes sur le point de supprimer. La suppression d'un rôle ou d'un profil d'instance associé à une instance en cours d'exécution arrêtera toutes les applications qui s'exécutent sur l'instance.

Si vous préférez ne pas supprimer définitivement un rôle, vous pouvez le désactiver. Pour ce faire, modifiez les politiques du rôle, puis révoquez toutes les sessions en cours. Par exemple, vous pouvez ajouter une politique au rôle qui refuse l'accès à tous AWS. Vous pouvez également modifier la politique d'approbation pour refuser l'accès à toute personne qui tente d'endosser le rôle. Pour en savoir plus sur la révocation des sessions, consultez Révoquer les informations d'identification de sécurité temporaires du IAM rôle.

Afficher l'accès aux rôles

Avant de supprimer un rôle, nous vous recommandons de vérifier la date de sa dernière utilisation. Vous pouvez le faire en utilisant le AWS Management Console AWS CLI, le ou le AWS API. Vous devriez consulter ces informations, car vous ne voulez pas retirer l'accès à une personne utilisant ce rôle.

La date de la dernière activité du rôle peut ne pas correspondre à la dernière date indiquée dans l'onglet Access Advisor. L'onglet Access Advisor signale l'activité uniquement pour les services autorisés par les politiques d'autorisations du rôle. La date de la dernière activité du rôle inclut la dernière tentative d'accès à un service dans lequel le rôle a été créé AWS.

Note

La période de suivi de la dernière activité d'un rôle et des données Access Advisor correspond aux 400 jours précédents. Cette période peut être plus courte si votre région a commencé à prendre en charge ces fonctionnalités au cours de la dernière année. Le rôle aurait pu être utilisé il y a plus de 400 jours. Pour de plus amples informations sur la période de suivi, veuillez consulter Où AWS suit les dernières informations consultées.

Pour afficher la date à laquelle un rôle a été utilisé pour la dernière fois (console)

Connectez-vous à la IAM console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.
Dans le panneau de navigation, choisissez Roles (Rôles).
Recherchez la ligne du rôle dont vous souhaitez afficher l'activité. Vous pouvez utiliser le champ de recherche pour affiner les résultats. Affichez la colonne Dernière activité pour voir le nombre de jours écoulés depuis la dernière utilisation du rôle. Si le rôle n'a pas été utilisé pendant la période de suivi, le tableau affiche Aucun.
Choisissez le nom du rôle pour afficher plus d'informations. La page Summary (Résumé) du rôle inclut également Last activity (Dernière activité), qui affiche la date à laquelle le rôle a été utilisé pour la dernière fois. Si le rôle n'a pas été utilisé au cours des 400 derniers jours, la Dernière activité affiche Non consulté pendant la période de suivi.

Pour voir quand un rôle a été utilisé pour la dernière fois (AWS CLI)

aws iam get-role - Exécutez cette commande pour renvoyer des informations sur un rôle, y compris l'objet RoleLastUsed. Cet objet contient la LastUsedDate et la Region dans laquelle le rôle a été utilisé pour la dernière fois. Si RoleLastUsed est présent mais ne contient pas de valeur, le rôle n'a pas été utilisé pendant la période de suivi.

Pour voir quand un rôle a été utilisé pour la dernière fois (AWS API)

GetRole - Appelez cette opération pour renvoyer des informations sur un rôle, y compris l'objet RoleLastUsed. Cet objet contient la LastUsedDate et la Region dans laquelle le rôle a été utilisé pour la dernière fois. Si RoleLastUsed est présent mais ne contient pas de valeur, le rôle n'a pas été utilisé pendant la période de suivi.

Suppression d'un rôle lié à un service

La méthode que vous utilisez pour supprimer un rôle lié à un service dépend du service. Dans certains cas, vous n'avez pas besoin de supprimer manuellement un rôle lié à un service. Par exemple, lorsque vous terminez une action donnée (comme supprimer une ressource) dans le service, le service peut supprimer le rôle lié au service à votre place. Dans d'autres cas, le service peut prendre en charge la suppression manuelle d'un rôle lié à un service depuis la console de serviceAPI, ou. AWS CLI

Consultez la documentation relative au rôle lié à un service dans le service lié pour savoir comment le supprimer. Vous pouvez consulter les rôles liés aux services de votre compte en accédant à la page IAM Rôles de la console. Les rôles liés à un service s'affichent avec (Rôle lié à un service) mentionné dans la colonne Entités de confiance du tableau. Une bannière sur la page Summary (Résumé) d'un rôle indique aussi que le rôle est lié à un service.

Si le service ne contient pas de documentation pour supprimer le rôle lié au service, vous pouvez utiliser la IAM console ou API pour supprimer le rôle. AWS CLI

Supprimer un IAM rôle (console)

Lorsque vous utilisez le AWS Management Console pour supprimer un rôle, détache IAM automatiquement les politiques gérées associées au rôle. Il supprime également automatiquement toutes les politiques intégrées associées au rôle, ainsi que tout profil d'EC2instance Amazon contenant le rôle.

Important

Dans certains cas, un rôle peut être associé à un profil d'EC2instance Amazon, et le rôle et le profil d'instance peuvent porter le même nom. Dans ce cas, vous pouvez utiliser le AWS Management Console pour supprimer le rôle et le profil d'instance. Ce lient se fait automatiquement pour les rôles et les profils d'instance que vous créez dans la console. Si vous avez créé le rôle à partir des outils pour Windows PowerShell ou du AWS API, le rôle et le profil d'instance peuvent porter des noms différents. AWS CLI Dans ce cas, vous ne pouvez pas utiliser la console pour les supprimer. Vous devez plutôt utiliser les AWS CLI Outils pour Windows PowerShell ou pour supprimer AWS API d'abord le rôle du profil d'instance. Vous devez ensuite réaliser une étape distincte pour supprimer le rôle.

Pour supprimer un rôle (console)

Connectez-vous à la IAM console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.
Dans le panneau de navigation, choisissez Rôles, puis cochez la case en regard du rôle à supprimer.
En haut de la page, sélectionnez Delete (Supprimer).
Dans la boîte de dialogue de confirmation, passez en revue les dernières informations consultées, qui indiquent la date à laquelle chacun des rôles sélectionnés a accédé pour la dernière fois à un AWS service. Cela vous permet de confirmer si le rôle est actif actuellement. Pour poursuivre, saisissez le nom du rôle dans le champ de saisie de texte et choisissez Delete (Supprimer). Si vous êtes sûr, procédez à la suppression même si les dernières informations consultées sont toujours en cours de chargement.

Note

Vous ne pouvez pas utiliser la console pour supprimer un profil d'instance, sauf lorsqu'elle porte le même nom que le rôle. Le profil d'instance est supprimé dans le cadre du processus de suppression d'un rôle comme décrit dans la procédure précédente. Pour supprimer un profil d'instance sans supprimer également le rôle, vous devez utiliser le AWS CLI ou AWS API. Pour plus d'informations, consultez les sections suivantes.

Supprimer un IAM rôle (AWS CLI)

Lorsque vous utilisez le AWS CLI pour supprimer un rôle, vous devez d'abord supprimer les politiques intégrées associées au rôle. Vous devez également détacher les politiques gérées associées au rôle. Si vous voulez supprimer le profil d'instance associé contenant le rôle, vous devez le supprimer séparément.

Pour supprimer un rôle (AWS CLI)

Si vous ne connaissez pas le nom du rôle que vous souhaitez supprimer, tapez la commande suivante pour répertorier les rôles dans votre compte :
```
aws iam list-roles
```
La liste inclut le nom de ressource Amazon (ARN) de chaque rôle. Utilisez le nom du rôle, et non leARN, pour faire référence aux rôles associés aux CLI commandes. Par exemple, si un rôle présente les caractéristiques suivantes ARN :arn:aws:iam::123456789012:role/myrole, vous le qualifiez demyrole.
Supprimez le rôle de tous les profils d'instance auxquels il est associé.
1. Pour répertorier tous les profils d'instance auxquels un rôle est associé, tapez la commande suivante :
```
aws iam list-instance-profiles-for-role --role-name role-name
```
2. Pour supprimer le rôle d'un profil d'instance, saisissez la commande suivante pour chaque profil instance :
```
aws iam remove-role-from-instance-profile --instance-profile-name instance-profile-name --role-name role-name
```
Supprimez toutes les politiques associées au rôle.
1. Pour répertorier toutes les politiques en ligne que contient le rôle, saisissez la commande suivante :
```
aws iam list-role-policies --role-name role-name
```
2. Pour supprimer chaque politique en ligne du rôle, saisissez la commande suivante pour chaque politique :
```
aws iam delete-role-policy --role-name role-name --policy-name policy-name
```
3. Pour répertorier toutes les politiques gérées attachées au rôle, saisissez la commande suivante :
```
aws iam list-attached-role-policies --role-name role-name
```
4. Pour détacher chaque politique gérée du rôle, saisissez la commande suivante pour chaque politique :
```
aws iam detach-role-policy --role-name role-name --policy-arn policy-arn
```
Tapez la commande suivante pour supprimer le rôle :
```
aws iam delete-role --role-name role-name
```
Si vous ne prévoyez pas de réutiliser les profils d'instance associés au rôle, vous pouvez saisir la commande suivante pour les supprimer :
```
aws iam delete-instance-profile --instance-profile-name instance-profile-name
```

Supprimer un IAM rôle (AWS API)

Lorsque vous utilisez le IAM API pour supprimer un rôle, vous devez d'abord supprimer les politiques intégrées associées au rôle. Vous devez également détacher les politiques gérées associées au rôle. Si vous voulez supprimer le profil d'instance associé contenant le rôle, vous devez le supprimer séparément.

Pour supprimer un rôle (AWS API)

Pour répertorier tous les profils d'instance auxquels un rôle est associé, appelez ListInstanceProfilesForRole.

Pour supprimer le rôle d'un profil d'instance, appelez RemoveRoleFromInstanceProfile. Vous devez transmettre le nom du rôle et le nom du profil d'instance.

Si vous ne comptez pas réutiliser un profil d'instance associé au rôle, appelez DeleteInstanceProfilepour le supprimer.
Pour répertorier toutes les politiques intégrées à un rôle, appelez ListRolePolicies.

Pour supprimer les politiques intégrées associées au rôle, appelez DeleteRolePolicy. Vous devez transmettre le nom du rôle et le nom de la politique en ligne.
Pour répertorier toutes les politiques gérées associées à un rôle, appelez ListAttachedRolePolicies.

Pour détacher les politiques gérées associées au rôle, appelez DetachRolePolicy. Vous devez transmettre le nom du rôle et la politique géréeARN.
Appelez DeleteRolepour supprimer le rôle.

Pour obtenir des informations générales sur les profils d'instance, consultez Utiliser des profils d'instance.

Pour obtenir des informations générales sur les rôles liés à un service, veuillez consulter Créer un rôle lié à un service.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Mettre à jour les paramètres des rôles

Méthodes pour assumer un rôle