Rôles liés à un service pour Amazon EC2 Auto Scaling - Amazon EC2 Auto Scaling

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Rôles liés à un service pour Amazon EC2 Auto Scaling

Amazon EC2 Auto Scaling utilise des rôles liés à un service pour les autorisations qui lui sont nécessaires pour l'appel d'autres Services AWS en votre compte. Un rôle lié à un service est un type unique de rôle IAM directement lié à un. Service AWS

Les rôles liés à un service offrent une manière sécurisée d'accorder des autorisations aux autres Services AWS , car seul le service lié peut assumer un rôle lié à un service. Pour plus d’informations, consultez Utilisation des rôles liés à un service dans le Guide de l’utilisateur IAM. Les rôles liés à un service permettent également à tous les appels d'API d'être visibles. AWS CloudTrail Cela facilite le suivi et la vérification des exigences, car vous pouvez suivre toutes les actions exécutées par Amazon EC2 Auto Scaling en votre nom. Pour plus d’informations, consultez Enregistrez les API appels Amazon EC2 Auto Scaling avec AWS CloudTrail.

Les sections suivantes décrivent comment créer et gérer des rôles liés à un service Amazon EC2 Auto Scaling. Commencez par configurer les autorisations de manière à permettre à une identité IAM (comme un utilisateur ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour plus d’informations, consultez Utilisation des rôles liés à un service dans le Guide de l’utilisateur IAM.

Présentation

Il existe deux types de rôles Amazon EC2 Auto Scaling liés à un service :

  • Le rôle lié au service par défaut pour votre compte, nommé. AWSServiceRoleForAutoScaling Ce rôle est automatiquement affecté à vos groupes Auto Scaling, sauf si vous désignez un autre rôle lié à un service.

  • Rôle lié à un service avec un suffixe personnalisé que vous spécifiez lors de la création du rôle, AWSServiceRoleForAutoScaling par exemple _ mysuffix.

Les autorisations d'un rôle lié à un service avec suffixe personnalisé sont identiques à ceux du rôle lié à un service par défaut. Dans les deux cas, vous ne pouvez pas modifier les rôles, et vous ne pouvez pas les supprimer s'ils sont toujours en cours d'utilisation par un groupe Auto Scaling. La seule différence est le suffixe de nom de rôle.

Vous pouvez spécifier l'un ou l'autre rôle lorsque vous modifiez vos politiques AWS Key Management Service clés pour permettre aux instances lancées par Amazon EC2 Auto Scaling d'être chiffrées avec votre clé gérée par le client. Toutefois, si vous prévoyez d'accorder un accès granulaire à une clé spécifique gérée par le client, vous devez utiliser un rôle lié à un service avec suffixe personnalisé. L'utilisation d'un rôle lié à un service avec suffixe personnalisé vous permet les actions suivantes :

  • Renforcer le contrôle sur la clé gérée par le client

  • La possibilité de savoir quel groupe Auto Scaling a effectué un appel d'API dans vos CloudTrail journaux

Si vous créez des clés gérées par le client auxquelles tous les utilisateurs n'ont pas accès, procédez comme suit pour autoriser le suffixe personnalisé à l'utilisation d'un rôle lié à un service :

  1. Crée un rôle lié à un service avec un suffixe personnalisé. Pour plus d’informations, consultez Créer un rôle lié à un service (manuel).

  2. Attribuer au rôle lié à un service l'accès à une clé gérée par le client. Pour plus d'informations sur la politique de clé qui autorise la clé à être utilisée par un rôle lié à un service, consultez Politique de AWS KMS clé requise pour une utilisation avec des volumes chiffrés.

  3. Donnez aux utilisateurs accès au rôle lié au service que vous avez créé. Pour plus d'informations sur la création d'une politique IAM, consultez Contrôler quel rôle lié à un service peut être transmis (en utilisant) PassRole. Si les utilisateurs essaient de spécifier un rôle lié au service sans autorisation de transmettre ce rôle au service, ils reçoivent une erreur.

Autorisations accordées par le rôle lié à un service

Amazon EC2 Auto Scaling utilise le rôle lié au service nommé AWSServiceRoleForAutoScalingou votre suffixe personnalisé lié au service.

Le rôle lié à un service approuve le fait que le service suivant endosse le rôle :

  • autoscaling.amazonaws.com

La politique d'autorisation des rôles permet à Amazon EC2 Auto Scaling d'effectuer les actions suivantes : AutoScalingServiceRolePolicy

  • ec2— Créez, décrivez, modifiez, démarrez/arrêtez et arrêtez des instances EC2.

  • iamTransférez les rôles IAM aux instances EC2 afin que les applications exécutées sur les instances puissent accéder aux informations d'identification temporaires pour le rôle.

  • iam— Créez le rôle AWSServiceRoleForEC2Spotlié au service pour permettre à Amazon EC2 Auto Scaling de lancer des instances Spot en votre nom.

  • elasticloadbalancing— Enregistrez et désenregistrez des instances avec Elastic Load Balancing et vérifiez l'état de santé des cibles enregistrées.

  • cloudwatch— Créez, décrivez, modifiez et supprimez des CloudWatch alarmes pour les politiques de dimensionnement et récupérez les métriques utilisées pour le dimensionnement prédictif.

  • sns— Publiez des notifications sur Amazon SNS lorsque des instances sont lancées ou mises hors service.

  • events— Créez, décrivez, mettez à jour et supprimez EventBridge des règles en votre nom.

  • ssm— Lit les paramètres depuis le Parameter Store lorsque vous utilisez un paramètre Systems Manager comme alias pour un ID d'AMI dans un modèle de lancement.

  • vpc-lattice— Enregistrez et désenregistrez les instances avec VPC Lattice et vérifiez l'état de santé des cibles enregistrées.

Régions prises en charge pour les rôles liés à un service Amazon EC2 Auto Scaling

Amazon EC2 Auto Scaling prend en charge l'utilisation de rôles liés à un service partout Régions AWS où le service est disponible.

Création, modification et suppression d'un rôle lié à un service

Créer un rôle lié à un service (automatique)

Amazon EC2 Auto Scaling crée le rôle AWSServiceRoleForAutoScalinglié au service pour vous la première fois que vous créez un groupe Auto Scaling, sauf si vous créez manuellement un rôle lié au service avec un suffixe personnalisé et que vous le spécifiez lors de la création du groupe.

Important

Vous devez disposer des autorisations IAM de création du rôle lié au service. Dans le cas contraire, la création automatique échoue. Pour plus d'informations, consultez Autorisations de rôles liés à un service dans le Guide de l'utilisateur IAM et Créer un rôle lié à un service dans ce guide.

Amazon EC2 Auto Scaling a commencé à prendre en charge les rôles liés à un service en mars 2018. Si vous avez créé un groupe Auto Scaling avant cette date, Amazon EC2 Auto Scaling a créé le AWSServiceRoleForAutoScalingrôle dans votre compte. Pour plus d'informations, consultez Un nouveau rôle est apparu dans mon Compte AWS dans le Guide de l'utilisateur IAM.

Créer un rôle lié à un service (manuel)

Pour créer un rôle lié à un service (console)
  1. Ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez Roles (Rôles), puis Create role (Créer un rôle).

  3. Pour Select trusted entity (Sélectionner une entité de confiance), choisissez service AWS .

  4. Pour Choose the service that will use this role (Choisir le service qui utilisera ce rôle), choisissez EC2 Auto Scaling et le cas d'utilisation EC2 Auto Scaling.

  5. Sélectionnez Next: Permissions (Suivant : autorisations), Next: Tags (Suivant : balises), puis Next: Review (Suivant : vérifier). Remarque : vous ne pouvez pas attacher des balises à des rôles liés à un service lors de la création.

  6. Sur la page Révision, laissez le champ Nom du rôle vide pour créer un rôle lié au service portant ce nom AWSServiceRoleForAutoScaling, ou entrez un suffixe pour créer un rôle lié au service avec le suffixe _. AWSServiceRoleForAutoScaling

  7. (Facultatif) Dans le champ Role description (Description du rôle), modifiez la description du nouveau rôle lié à un service.

  8. Sélectionnez Create role (Créer un rôle).

Pour créer un rôle lié à un service (AWS CLI)

Utilisez la commande create-service-linked-roleCLI suivante pour créer un rôle lié à un service pour Amazon EC2 Auto Scaling avec AWSServiceRoleForAutoScalingle suffixe _.

aws iam create-service-linked-role --aws-service-name autoscaling.amazonaws.com --custom-suffix suffix

La sortie de cette commande contient l'ARN du rôle lié à un service, que vous pouvez utiliser pour accorder au rôle lié à un service l'accès à vos clés gérées par le client.

{ "Role": { "RoleId": "ABCDEF0123456789ABCDEF", "CreateDate": "2018-08-30T21:59:18Z", "RoleName": "AWSServiceRoleForAutoScaling_suffix", "Arn": "arn:aws:iam::123456789012:role/aws-service-role/autoscaling.amazonaws.com/AWSServiceRoleForAutoScaling_suffix", "Path": "/aws-service-role/autoscaling.amazonaws.com/", "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Action": [ "sts:AssumeRole" ], "Principal": { "Service": [ "autoscaling.amazonaws.com" ] }, "Effect": "Allow" } ] } } }

Pour plus d'informations, consultez Création d'un rôle lié à un service dans le Guide de l'utilisateur IAM.

Modifier le rôle lié à un service

Vous ne pouvez pas modifier les rôles liés à un service qui sont créés pour Amazon EC2 Auto Scaling. Une fois que vous avez créé un rôle lié à un service, vous ne pouvez pas modifier le nom du rôle ou ses autorisations. Néanmoins, vous pouvez modifier la description du rôle. Pour plus d'informations, consultez Modification d'un rôle lié à un service dans le Guide de l'utilisateur IAM.

Suppression du rôle lié à un service

Si vous n'utilisez pas un groupe Auto Scaling, nous vous recommandons de supprimer son rôle lié à un service. La suppression du rôle vous évite d'avoir une entité qui n'est pas utilisée, ou surveillée et gérée activement.

Vous pouvez supprimer un rôle lié à un service uniquement après la suppression préalable des ressources dépendantes connexes. Cela vous évite de révoquer involontairement les autorisations Amazon EC2 Auto Scaling sur vos ressources. Si un rôle lié à un service est utilisé avec plusieurs groupes Auto Scaling, vous devez supprimer tous les groupes Auto Scaling qui utilisent le rôle lié à un service avant de pouvoir le supprimer. Pour plus d’informations, consultez Supprimer votre infrastructure Auto Scaling.

Vous pouvez utiliser IAM pour supprimer le rôle lié à un service. Pour plus d'informations, veuillez consulter Suppression d'un rôle lié à un service dans le Guide de l'utilisateur IAM.

Si vous supprimez le rôle AWSServiceRoleForAutoScalinglié à un service, Amazon EC2 Auto Scaling le crée à nouveau lorsque vous créez un groupe Auto Scaling et ne spécifiez aucun autre rôle lié au service.