Utilisation de rôles liés au service pour API Gateway - APIPasserelle Amazon
Autorisations des rôles liés à un service pour API GatewayCréation d'un rôle lié à un service pour API GatewayModification d'un rôle lié à un service pour API GatewaySuppression d'un rôle lié à un service pour API GatewayRégions prises en charge pour les rôles liés au service API GatewayMises à jour des politiques

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation de rôles liés au service pour API Gateway

Amazon API Gateway utilise des rôles AWS Identity and Access Management liés à un service (IAM). Un rôle lié à un service est un type unique de rôle IAM lié directement à API Gateway. Les rôles liés à un service sont prédéfinis par API Gateway et incluent toutes les autorisations dont le service a besoin pour appeler d'autres AWS services en votre nom.

Un rôle lié à un service simplifie la configuration d'API Gateway, car vous n'avez pas besoin d'ajouter manuellement les autorisations requises. API Gateway définit les autorisations de ses rôles liés à un service et, sauf définition contraire, seul API Gateway peut endosser ses rôles. Les autorisations définies comprennent la stratégie d'approbation et la stratégie d'autorisation. De plus, cette stratégie d'autorisation ne peut pas être attachée à une autre entité IAM.

Vous pouvez supprimer un rôle lié à un service uniquement après la suppression préalable des ressources connexes. Vos ressources API Gateway sont ainsi protégées, car vous ne pouvez pas involontairement supprimer l'autorisation d'accès aux ressources.

Pour plus d'informations sur les autres services qui prennent en charge les rôles liés à un service, consultez Services AWS qui fonctionnent avec IAM et recherchez les services avec un Oui dans la colonne Rôle lié au service. Choisissez un Oui ayant un lien permettant de consulter la documentation du rôle lié à un service, pour ce service.

Autorisations des rôles liés à un service pour API Gateway

API Gateway utilise le rôle lié au service nommé AWSServiceRoleForAPIGateway— Permet à API Gateway d'accéder à Elastic Load Balancing, Amazon Data Firehose et à d'autres ressources de service en votre nom.

Le rôle AWSServiceRoleForAPIGateway lié à un service fait confiance aux services suivants pour assumer le rôle :

  • ops.apigateway.amazonaws.com

La stratégie d'autorisations liée au rôle permet à API Gateway de réaliser les actions suivantes sur les ressources spécifiées :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "elasticloadbalancing:AddListenerCertificates",
                "elasticloadbalancing:RemoveListenerCertificates",
                "elasticloadbalancing:ModifyListener",
                "elasticloadbalancing:DescribeListeners",
                "elasticloadbalancing:DescribeLoadBalancers",
                "xray:PutTraceSegments",
                "xray:PutTelemetryRecords",
                "xray:GetSamplingTargets",
                "xray:GetSamplingRules",
                "logs:CreateLogDelivery",
                "logs:GetLogDelivery",
                "logs:UpdateLogDelivery",
                "logs:DeleteLogDelivery",
                "logs:ListLogDeliveries",
                "servicediscovery:DiscoverInstances"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "firehose:DescribeDeliveryStream",
                "firehose:PutRecord",
                "firehose:PutRecordBatch"
            ],
            "Resource": "arn:aws:firehose:*:*:deliverystream/amazon-apigateway-*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "acm:DescribeCertificate",
                "acm:GetCertificate"
            ],
            "Resource": "arn:aws:acm:*:*:certificate/*"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateNetworkInterfacePermission",
            "Resource": "arn:aws:ec2:*:*:network-interface/*"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateTags",
            "Resource": "arn:aws:ec2:*:*:network-interface/*",
            "Condition": {
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": [
                        "Owner",
                        "VpcLinkId"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:ModifyNetworkInterfaceAttribute",
                "ec2:DeleteNetworkInterface",
                "ec2:AssignPrivateIpAddresses",
                "ec2:CreateNetworkInterface",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeNetworkInterfaceAttribute",
                "ec2:DescribeVpcs",
                "ec2:DescribeNetworkInterfacePermissions",
                "ec2:UnassignPrivateIpAddresses",
                "ec2:DescribeSubnets",
                "ec2:DescribeRouteTables",
                "ec2:DescribeSecurityGroups"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "servicediscovery:GetNamespace",
            "Resource": "arn:aws:servicediscovery:*:*:namespace/*"
        },
        {
            "Effect": "Allow",
            "Action": "servicediscovery:GetService",
            "Resource": "arn:aws:servicediscovery:*:*:service/*"
        }
    ]
}

Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur, unn groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour plus d'informations, consultez Service-Linked Role Permissions (autorisations du rôle lié à un service) dans le IAM User Guide (guide de l'utilisateur IAM).

Création d'un rôle lié à un service pour API Gateway

Vous n’avez pas besoin de créer manuellement un rôle lié à un service. Lorsque vous créez une API, un nom de domaine personnalisé ou un lien VPC dans l' AWS Management Console AWS API AWS CLI, API Gateway crée le rôle lié au service pour vous.

Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte. Lorsque vous créez une API, un nom de domaine personnalisé ou un lien VPC, API Gateway crée à nouveau le rôle lié au service pour vous.

Modification d'un rôle lié à un service pour API Gateway

API Gateway ne vous permet pas de modifier le rôle AWSServiceRoleForAPIGateway lié au service. Une fois que vous avez créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence au rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d'informations, consultez Editing a Service-Linked Role (Modification d'un rôle lié à un service) dans le Guide de l'utilisateur IAM.

Suppression d'un rôle lié à un service pour API Gateway

Si vous n'avez plus besoin d'utiliser une fonction ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n'avez aucune entité inutilisée qui n'est pas surveillée ou gérée activement. Cependant, vous devez nettoyer les ressources de votre rôle lié à un service avant de pouvoir les supprimer manuellement.

Note

Si le service API Gateway utilise le rôle lorsque vous essayez de supprimer les ressources, la suppression peut échouer. Si cela se produit, patientez quelques minutes et réessayez.

Pour supprimer les ressources API Gateway utilisées par AWSServiceRoleForAPIGateway

  1. Ouvrez la console API Gateway à l'adresse https://console.aws.amazon.com/apigateway.

  2. Accédez à l'API, au nom de domaine personnalisé ou au lien VPC qui utilise le rôle lié au service.

  3. Utilisez la console pour supprimer la ressource.

  4. Répétez la procédure pour supprimer toutes les API, les noms de domaine personnalisés ou les liens VPC qui utilisent le rôle lié au service.

Pour supprimer manuellement le rôle lié à un service à l'aide d'IAM

Utilisez la console IAM, le AWS CLI, ou l' AWS API pour supprimer le rôle lié au AWSServiceRoleForAPIGateway service. Pour de plus amples informations, veuillez consulter Suppression d'un rôle lié à un service dans le Guide de l'utilisateur IAM.

Régions prises en charge pour les rôles liés au service API Gateway

API Gateway prend en charge l'utilisation des rôles liés à un service dans toutes les régions où le service est disponible. Pour plus d'informations, consultez Points de terminaison du service AWS.

Mises à jour des politiques AWS gérées par API Gateway

Consultez les détails des mises à jour apportées aux politiques AWS gérées pour API Gateway depuis que ce service a commencé à suivre ces modifications. Pour obtenir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS de la page d'historique API Gateway Document.

Modification Description Date

Ajout de la prise en charge de acm:GetCertificate à la stratégie AWSServiceRoleForAPIGateway.

La stratégie AWSServiceRoleForAPIGateway inclut désormais l’autorisation d’appeler l’action d’API GetCertificate ACM.

 12 Juillet 2021

API Gateway a commencé à suivre les modifications

API Gateway a commencé à suivre les modifications apportées AWS à ses politiques gérées.

 12 Juillet 2021