Supprimer des rôles ou des profils d'instance - AWS Identity and Access Management

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Supprimer des rôles ou des profils d'instance

Si vous n'avez plus besoin d'un rôle, nous vous recommandons de supprimer le rôle et ses autorisations associées. De cette façon, vous n’avez aucune entité inutilisée qui n’est pas surveillée ou gérée activement.

Si le rôle était associé à une EC2 instance, vous pouvez également supprimer le rôle du profil d'instance, puis supprimer le profil d'instance.

Avertissement

Assurez-vous qu'aucune instance Amazon EC2 n'est en cours d'exécution avec le rôle ou le profil d'instance que vous êtes sur le point de supprimer. La suppression d'un rôle ou d'un profil d'instance associé à une instance en cours d'exécution arrêtera toutes les applications qui s'exécutent sur l'instance.

Si vous préférez ne pas supprimer définitivement un rôle, vous pouvez le désactiver. Pour ce faire, modifiez les politiques du rôle, puis révoquez toutes les sessions en cours. Par exemple, vous pouvez ajouter une politique au rôle qui refuse l'accès à tous AWS. Vous pouvez également modifier la politique d'approbation pour refuser l'accès à toute personne qui tente d'endosser le rôle. Pour en savoir plus sur la révocation des sessions, consultez Révocation des informations d'identification de sécurité temporaires d'un IAM rôle.

Afficher l'accès aux rôles

Avant de supprimer un rôle, nous vous recommandons de vérifier la date de sa dernière utilisation. Vous pouvez le faire en utilisant le AWS Management Console AWS CLI, le ou le AWS API. Vous devriez consulter ces informations, car vous ne voulez pas retirer l'accès à une personne utilisant ce rôle.

La date de la dernière activité du rôle peut ne pas correspondre à la dernière date indiquée dans l'onglet Dernier accès. L'onglet Dernier accès indique l'activité uniquement pour les services autorisés par les politiques d'autorisation des rôles. La date de la dernière activité du rôle inclut la dernière tentative d'accès à un service dans lequel le rôle a été créé AWS.

Note

La période de suivi pour la dernière activité d'un rôle et les données du dernier accès s'étendent sur les 400 derniers jours. Cette période peut être plus courte si votre région a commencé à prendre en charge ces fonctionnalités au cours de la dernière année. Le rôle aurait pu être utilisé il y a plus de 400 jours. Pour de plus amples informations sur la période de suivi, veuillez consulter Où AWS suit les dernières informations consultées.

Pour afficher la date à laquelle un rôle a été utilisé pour la dernière fois (console)
  1. Connectez-vous à la IAM console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez Roles (Rôles).

  3. Recherchez la ligne du rôle dont vous souhaitez afficher l'activité. Vous pouvez utiliser le champ de recherche pour affiner les résultats. Affichez la colonne Dernière activité pour voir le nombre de jours écoulés depuis la dernière utilisation du rôle. Si le rôle n'a pas été utilisé pendant la période de suivi, le tableau affiche Aucun.

  4. Choisissez le nom du rôle pour afficher plus d'informations. La page Summary (Résumé) du rôle inclut également Last activity (Dernière activité), qui affiche la date à laquelle le rôle a été utilisé pour la dernière fois. Si le rôle n'a pas été utilisé au cours des 400 derniers jours, la Dernière activité affiche Non consulté pendant la période de suivi.

Pour voir quand un rôle a été utilisé pour la dernière fois (AWS CLI)

aws iam get-role - Exécutez cette commande pour renvoyer des informations sur un rôle, y compris l'objet RoleLastUsed. Cet objet contient la LastUsedDate et la Region dans laquelle le rôle a été utilisé pour la dernière fois. Si RoleLastUsed est présent mais ne contient pas de valeur, le rôle n'a pas été utilisé pendant la période de suivi.

Pour voir quand un rôle a été utilisé pour la dernière fois (AWS API)

GetRole - Appelez cette opération pour renvoyer des informations sur un rôle, y compris l'objet RoleLastUsed. Cet objet contient la LastUsedDate et la Region dans laquelle le rôle a été utilisé pour la dernière fois. Si RoleLastUsed est présent mais ne contient pas de valeur, le rôle n'a pas été utilisé pendant la période de suivi.

Suppression d'un rôle lié à un service

La méthode que vous utilisez pour supprimer un rôle lié à un service dépend du service. Dans certains cas, vous n'avez pas besoin de supprimer manuellement un rôle lié à un service. Par exemple, lorsque vous terminez une action donnée (comme supprimer une ressource) dans le service, le service peut supprimer le rôle lié au service à votre place. Dans d'autres cas, le service peut prendre en charge la suppression manuelle d'un rôle lié à un service depuis la console de serviceAPI, ou. AWS CLI

Consultez la documentation relative au rôle lié à un service dans le service lié pour savoir comment le supprimer. Vous pouvez consulter les rôles liés aux services de votre compte en accédant à la page IAM Rôles de la console. Les rôles liés à un service s'affichent avec (Rôle lié à un service) mentionné dans la colonne Entités de confiance du tableau. Une bannière sur la page Summary (Résumé) d'un rôle indique aussi que le rôle est lié à un service.

Si le service ne contient pas de documentation pour supprimer le rôle lié au service, vous pouvez utiliser la IAM console ou API pour supprimer le rôle. AWS CLI

Supprimer un IAM rôle (console)

Lorsque vous utilisez le AWS Management Console pour supprimer un rôle, détache IAM automatiquement les politiques gérées associées au rôle. Il supprime également automatiquement toutes les politiques intégrées associées au rôle, ainsi que tout profil d'EC2instance Amazon contenant le rôle.

Important

Dans certains cas, un rôle peut être associé à un profil d'EC2instance Amazon, et le rôle et le profil d'instance peuvent porter le même nom. Dans ce cas, vous pouvez utiliser le AWS Management Console pour supprimer le rôle et le profil d'instance. Ce lient se fait automatiquement pour les rôles et les profils d'instance que vous créez dans la console. Si vous avez créé le rôle à partir des outils pour Windows PowerShell ou du AWS API, le rôle et le profil d'instance peuvent porter des noms différents. AWS CLI Dans ce cas, vous ne pouvez pas utiliser la console pour les supprimer. Vous devez plutôt utiliser les AWS CLI Outils pour Windows PowerShell ou pour supprimer AWS API d'abord le rôle du profil d'instance. Vous devez ensuite réaliser une étape distincte pour supprimer le rôle.

Pour supprimer un rôle (console)
  1. Connectez-vous à la IAM console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez Rôles, puis cochez la case en regard du rôle à supprimer.

  3. En haut de la page, sélectionnez Delete (Supprimer).

  4. Dans la boîte de dialogue de confirmation, passez en revue les dernières informations consultées, qui indiquent la date à laquelle chacun des rôles sélectionnés a accédé pour la dernière fois à un AWS service. Cela vous permet de confirmer si le rôle est actif actuellement. Pour poursuivre, saisissez le nom du rôle dans le champ de saisie de texte et choisissez Delete (Supprimer). Si vous êtes sûr, procédez à la suppression même si les dernières informations consultées sont toujours en cours de chargement.

Note

Vous ne pouvez pas utiliser la console pour supprimer un profil d'instance, sauf lorsqu'elle porte le même nom que le rôle. Le profil d'instance est supprimé dans le cadre du processus de suppression d'un rôle comme décrit dans la procédure précédente. Pour supprimer un profil d'instance sans supprimer également le rôle, vous devez utiliser le AWS CLI ou AWS API. Pour plus d'informations, consultez les sections suivantes.

Supprimer un IAM rôle (AWS CLI)

Lorsque vous utilisez le AWS CLI pour supprimer un rôle, vous devez d'abord supprimer les politiques intégrées associées au rôle. Vous devez également détacher les politiques gérées associées au rôle. Si vous voulez supprimer le profil d'instance associé contenant le rôle, vous devez le supprimer séparément.

Pour supprimer un rôle (AWS CLI)
  1. Si vous ne connaissez pas le nom du rôle que vous souhaitez supprimer, tapez la commande suivante pour répertorier les rôles dans votre compte :

    aws iam list-roles

    La liste inclut le nom de ressource Amazon (ARN) de chaque rôle. Utilisez le nom du rôle, et non leARN, pour faire référence aux rôles associés aux CLI commandes. Par exemple, si un rôle présente les caractéristiques suivantes ARN :arn:aws:iam::123456789012:role/myrole, vous le qualifiez demyrole.

  2. Supprimez le rôle de tous les profils d'instance auxquels il est associé.

    1. Pour répertorier tous les profils d'instance auxquels un rôle est associé, tapez la commande suivante :

      aws iam list-instance-profiles-for-role --role-name role-name
    2. Pour supprimer le rôle d'un profil d'instance, saisissez la commande suivante pour chaque profil instance :

      aws iam remove-role-from-instance-profile --instance-profile-name instance-profile-name --role-name role-name
  3. Supprimez toutes les politiques associées au rôle.

    1. Pour répertorier toutes les politiques en ligne que contient le rôle, saisissez la commande suivante :

      aws iam list-role-policies --role-name role-name
    2. Pour supprimer chaque politique en ligne du rôle, saisissez la commande suivante pour chaque politique :

      aws iam delete-role-policy --role-name role-name --policy-name policy-name
    3. Pour répertorier toutes les politiques gérées attachées au rôle, saisissez la commande suivante :

      aws iam list-attached-role-policies --role-name role-name
    4. Pour détacher chaque politique gérée du rôle, saisissez la commande suivante pour chaque politique :

      aws iam detach-role-policy --role-name role-name --policy-arn policy-arn
  4. Tapez la commande suivante pour supprimer le rôle :

    aws iam delete-role --role-name role-name
  5. Si vous ne prévoyez pas de réutiliser les profils d'instance associés au rôle, vous pouvez saisir la commande suivante pour les supprimer :

    aws iam delete-instance-profile --instance-profile-name instance-profile-name

Supprimer un IAM rôle (AWS API)

Lorsque vous utilisez le IAM API pour supprimer un rôle, vous devez d'abord supprimer les politiques intégrées associées au rôle. Vous devez également détacher les politiques gérées associées au rôle. Si vous voulez supprimer le profil d'instance associé contenant le rôle, vous devez le supprimer séparément.

Pour supprimer un rôle (AWS API)
  1. Pour répertorier tous les profils d'instance auxquels un rôle est associé, appelez ListInstanceProfilesForRole.

    Pour supprimer le rôle d'un profil d'instance, appelez RemoveRoleFromInstanceProfile. Vous devez transmettre le nom du rôle et le nom du profil d'instance.

    Si vous ne comptez pas réutiliser un profil d'instance associé au rôle, appelez DeleteInstanceProfilepour le supprimer.

  2. Pour répertorier toutes les politiques intégrées à un rôle, appelez ListRolePolicies.

    Pour supprimer les politiques intégrées associées au rôle, appelez DeleteRolePolicy. Vous devez transmettre le nom du rôle et le nom de la politique en ligne.

  3. Pour répertorier toutes les politiques gérées associées à un rôle, appelez ListAttachedRolePolicies.

    Pour détacher les politiques gérées associées au rôle, appelez DetachRolePolicy. Vous devez transmettre le nom du rôle et la politique géréeARN.

  4. Appelez DeleteRolepour supprimer le rôle.

Pour obtenir des informations générales sur les profils d'instance, consultez Utiliser des profils d'instance.

Pour obtenir des informations générales sur les rôles liés à un service, veuillez consulter Créer un rôle lié à un service.