Créer et utiliser un profil d'instance pour gérer les informations d'identification temporaires Création et stockage des informations d'identification d'accès permanentes dans un environnement.

Téléphoner Services AWS depuis un environnement dans AWS Cloud9

Vous pouvez appeler Services AWS depuis un environnement AWS Cloud9 de développement. Par exemple, vous pouvez effectuer les actions suivantes :

Charger et télécharger des données vers des compartiments Amazon Simple Storage Service (Amazon S3).
Envoyez des notifications de diffusion via les rubriques Amazon Simple Notification Service (AmazonSNS).
Lire et écrire des données dans des bases de données Amazon DynamoDB (DynamoDB).

Vous pouvez appeler Services AWS depuis votre environnement de plusieurs manières. Par exemple, vous pouvez utiliser le AWS Command Line Interface (AWS CLI) ou le AWS CloudShell pour exécuter des commandes depuis une session de terminal. Vous pouvez également appeler les Services AWS à partir du code que vous exécutez dans votre environnement. Vous pouvez le faire en utilisant AWS SDKs pour les langages de programmation tels que JavaScript, Python, Ruby, PHP, Go, et C++. Pour plus d'informations, consultez l'exemple AWS CLI and aws-shell, le guide de l'AWS Command Line Interface utilisateur et le. AWS SDKs

Chaque fois que le AWS CLI AWS CloudShell, le ou votre code appelle Service AWS, un AWS CLI AWS CloudShell, le ou votre code doit fournir un ensemble d'informations d'identification d' AWS accès avec l'appel. Ces informations d'identification déterminent si l'appelant possède les autorisations appropriées pour effectuer l'appel. Si les informations d'identification ne sont pas associées aux autorisations nécessaires, l'appel échoue.

Vous pouvez fournir les informations d'identification à votre environnement de plusieurs manières. Le tableau suivant décrit les différentes approches possibles.

Type d'environnement	Approche
EC2	Utilisez des informations d'identification temporaires AWS gérées. Nous recommandons cette approche pour un EC2 environnement. AWS les informations d'identification temporaires gérées gèrent les informations d' AWS accès dans un EC2 environnement en votre nom, tout en respectant les meilleures pratiques en matière AWS de sécurité. Si vous utilisez un EC2 environnement, vous pouvez ignorer le reste de cette rubrique. Cela est dû au fait que les informations d'identification temporaires AWS gérées sont déjà configurées pour vous dans l'environnement. Pour plus d'informations, consultez Informations d'identification temporaires gérées par AWS.
EC2	Attachez un profil d'IAMinstance à l'instance. N'utilisez cette approche que si, pour une raison ou une autre, vous ne pouvez pas utiliser d'informations d'identification temporaires AWS gérées. À l'instar des informations d'identification temporaires AWS gérées, un profil d'instance gère les informations d' AWS accès en votre nom. Cependant, vous devez créer, gérer et associer vous-même le profil d'instance à l'EC2instance Amazon. Pour connaître les instructions, consultez Création et utilisation d'un profil d'instance pour gérer les informations d'identification temporaires.
EC2ou SSH	Stockez vos informations d' AWS accès permanentes dans l'environnement. Cette approche est moins sûre que l'utilisation d'identifiants d' AWS accès temporaires. Cependant, il s'agit de la seule approche prise en charge pour un SSH environnement. Pour connaître les instructions, consultez Création et stockage des informations d'identification d'accès permanente dans un environnement.
EC2ou SSH	Insérez vos identifiants d' AWS accès permanents directement dans votre code. Nous déconseillons cette approche car elle ne respecte pas les meilleures pratiques en AWS matière de sécurité. Comme nous ne conseillons pas cette approche, elle n'est pas traitée dans cette rubrique.

Créer et utiliser un profil d'instance pour gérer les informations d'identification temporaires

Note

Vous ne pouvez pas utiliser cette procédure pour un environnement AWS Cloud9 SSH de développement. Passez directement à Création et stockage des informations d'identification d'accès permanentes dans un environnement.

Nous vous recommandons d'utiliser des informations d'identification temporaires AWS gérées plutôt qu'un profil d'instance. Suivez ces instructions uniquement si, pour une quelconque raison, vous ne pouvez pas utiliser les informations d'identification temporaires AWS gérées. Pour plus d'informations, consultez Informations d'identification temporaires gérées par AWS.

Cette procédure utilise IAM Amazon EC2 pour créer et associer un profil d'IAMinstance à l'EC2instance Amazon qui se connecte à votre environnement. Ce profil d'instance gère les informations d'identification temporaires en votre nom. Cette procédure suppose que vous avez déjà créé un environnement dans AWS Cloud9. Pour créer un environnement, consultez Création d'un environnement.

Vous pouvez effectuer ces tâches à l'aide des EC2consoles IAM et Amazon ou de l'interface de ligne de AWS commande (AWS CLI).

Création d'un profil d'instance avec la IAM console

Note

Si vous avez déjà un IAM rôle contenant un profil d'instance, passez directement à Attacher un profil d'instance à une instance avec la EC2 console Amazon.

Connectez-vous à la IAM console à l'adresse https://console.aws.amazon.com/iam.

Pour cette étape, nous vous recommandons de vous connecter à l'aide des informations d'identification de niveau administrateur de votre Compte AWS. Si vous ne pouvez pas le faire, contactez l'administrateur de votre Compte AWS .
Dans la barre de navigation, choisissez Rôles.

Note
Vous ne pouvez pas utiliser la IAM console pour créer un profil d'instance par elle-même. Vous devez créer un IAM rôle contenant un profil d'instance.
Sélectionnez Créer un rôle.
Sur la page Sélectionner le type d'entité de confiance, avec Service AWSdéjà sélectionné, pour Choisir le service qui utilisera ce rôle, choisissez EC2.
Pour Sélectionnez votre cas d'utilisation, choisissez EC2.
Sélectionnez Next: Permissions (Étape suivante : autorisations).
Sur la page Joindre des politiques d'autorisation, dans la liste des politiques, cochez la case à côté AdministratorAccess, puis choisissez Suivant : Réviser.

Note
La AdministratorAccesspolitique permet un accès illimité à toutes les AWS actions et ressources de votre Compte AWS entreprise. Utilisez-la uniquement à des fins d'expérimentation. Pour plus d'informations, consultez la section IAMPolitiques du guide de IAM l'utilisateur.
Sur la page Review (Vérifier), pour Role Name (Nom du rôle), saisissez le nom du rôle (par exemple, my-demo-cloud9-instance-profile).
Choisissez Create Role (Créer le rôle).

Passez directement à l'étape suivante pour associer un profil d'instance à une instance avec la EC2 console Amazon.

Création d'un profil d'instance avec la AWS CLI

Note

Si vous avez déjà un IAM rôle contenant un profil d'instance, passez directement à Attacher un profil d'instance à une instance avec le AWS CLI.

Pour cette rubrique, nous vous recommandons de configurer l' AWS CLI utilisation des informations d'identification de niveau administrateur dans votre. Compte AWS Si vous ne pouvez pas le faire, contactez l'administrateur de votre Compte AWS .

Note

Si vous utilisez des informations d'identification temporaires AWS gérées, vous ne pouvez pas utiliser de session de terminal AWS Cloud9 IDE pour exécuter certaines ou toutes les commandes de cette section. Pour répondre aux meilleures pratiques en matière de AWS sécurité, les informations d'identification temporaires AWS gérées n'autorisent pas l'exécution de certaines commandes. Au lieu de cela, vous pouvez exécuter ces commandes à partir d'une installation séparée de AWS Command Line Interface (AWS CLI).

Définissez une relation de confiance AWS pour le IAM rôle requis du profil d'instance. Pour ce faire, créez et enregistrez un fichier avec le contenu suivant (par exemple, my-demo-cloud9-instance-profile-role-trust.json).


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "ec2.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

À l'aide du terminal ou d'une invite de commande, basculez vers le répertoire où vous venez d'enregistrer ce fichier.
Créez un IAM rôle pour le profil d'instance. Pour ce faire, exécutez la IAM create-role commande. Lorsque vous le faites, spécifiez le nom du nouveau IAM rôle (par exemple,my-demo-cloud9-instance-profile-role) et le nom du fichier que vous venez d'enregistrer.
```
aws iam create-role --role-name my-demo-cloud9-instance-profile-role --assume-role-policy-document file://my-demo-cloud9-instance-profile-role-trust.json
```
Attachez des autorisations d' AWS accès au IAM rôle de profil d'instance. Pour ce faire, exécutez la IAM attach-role-policy commande. Spécifiez le nom du IAM rôle existant et le nom de ressource Amazon (ARN) de la politique AWS gérée nomméeAdministratorAccess.
```
aws iam attach-role-policy --role-name my-demo-cloud9-instance-profile-role --policy-arn arn:aws:iam::aws:policy/AdministratorAccess
```
Note
La AdministratorAccesspolitique permet un accès illimité à toutes les AWS actions et ressources de votre Compte AWS entreprise. Utilisez-la uniquement à des fins d'expérimentation. Pour plus d'informations, consultez la section IAMPolitiques du guide de IAM l'utilisateur.
Créez le profil d'instance. Pour ce faire, exécutez la IAM create-instance-profile commande en spécifiant le nom du nouveau profil d'instance (par exemple,my-demo-cloud9-instance-profile).
```
aws iam create-instance-profile --instance-profile-name my-demo-cloud9-instance-profile
```
Attachez le IAM rôle au profil de l'instance. Pour ce faire, exécutez le IAMadd-role-to-instance-profile, en spécifiant les noms du IAM rôle et du profil d'instance existants.
```
aws iam add-role-to-instance-profile --role-name my-demo-cloud9-instance-profile-role --instance-profile-name my-demo-cloud9-instance-profile
```

Passez directement à Création d'un profil d'instance avec la AWS CLI.

Associer un profil d'instance à une instance avec la EC2 console Amazon

Connectez-vous à la EC2 console Amazon, sur https://console.aws.amazon.com/ec2.

Pour cette étape, nous vous recommandons de vous connecter à l'aide des informations d'identification d'administrateur de votre Compte AWS. Si vous ne pouvez pas le faire, contactez l'administrateur de votre Compte AWS .
Dans la barre de navigation, assurez-vous que le sélecteur de région affiche la Région AWS qui correspond à celle de votre environnement. Par exemple, si vous avez créé votre environnement dans la région USA Est (Ohio), sélectionnez USA Est (Ohio) dans le sélecteur de région ici.
Choisissez le lien Instances en cours d'exécution ou, dans le panneau de navigation, développez Instances, puis choisissez Instances.
Dans la liste des instances, choisissez celle dont le nom contient celui de votre environnement. Par exemple, si le nom de votre environnement estmy-demo-environment, choisissez l'instance dont le nom inclut my-demo-environment.
Choisissez Actions, Sécurité, Modifier IAM le rôle.

Note
Bien que vous attachiez un rôle à l'instance, le rôle contient un profil d'instance.
Sur la page Modifier le IAM rôle, pour IAMrôle, choisissez le nom du rôle que vous avez identifié ou que vous avez créé lors de la procédure précédente, puis choisissez Appliquer.
De retour dans l'environnement, utilisez le AWS CLI pour exécuter la aws configure commande ou le AWS CloudShell pour exécuter la configure commande. Ne spécifiez aucune valeur pour AWS l'ID de clé d'accès ou la clé d'accès AWS secrète (appuyez Enter après chacune de ces instructions). Pour le nom de la région par défaut, spécifiez la région la Région AWS plus proche de vous ou la région où se trouvent vos AWS ressources. Par exemple, indiquez us-east-2 pour la région USA Est (Ohio). Pour obtenir la liste des régions, reportez-vous à la section Régions AWS et Points de terminaison dans le Référence générale d'Amazon Web Services. Vous pouvez également spécifier une valeur pour Format de sortie par défaut (par exemple, json).

Vous pouvez désormais commencer à appeler Services AWS depuis votre environnement. Pour utiliser le AWS CLI, le aws-shell, ou les deux pour appeler Services AWS, consultez le AWS CLI et aws-shell Sample. Pour appeler les Services AWS à partir de votre code, consultez nos autres tutoriels et exemples.

Attachez un profil d'instance à une instance à l'aide du AWS CLI

Note

Exécutez la EC2 associate-iam-instance-profile commande Amazon. Spécifiez le nom du profil d'instance ainsi que l'ID et l' Région AWS ID de l'EC2instance Amazon pour l'environnement.
```
aws ec2 associate-iam-instance-profile --iam-instance-profile Name=my-demo-cloud9-instance-profile --region us-east-2 --instance-id i-12a3b45678cdef9a0
```
Dans la commande précédente, remplacez us-east-2 par l'ID de Région AWS pour l'instance et i-12a3b45678cdef9a0 par l'ID de l'instance.

Pour obtenir l'ID de l'instance, vous pouvez, par exemple, exécuter la EC2 describe-instances commande Amazon en spécifiant le nom et l' Région AWS ID de l'environnement.
```
aws ec2 describe-instances --region us-east-2 --filters Name=tag:Name,Values=*my-environment* --query "Reservations[*].Instances[*].InstanceId" --output text
```
Dans la commande précédente, remplacez us-east-2 par l'ID de Région AWS pour l'instance et my-environment par le nom de l'environnement.
De retour dans l'environnement, utilisez le AWS CLI pour exécuter la aws configure commande ou aws-shell pour exécuter la configure commande. Ne spécifiez aucune valeur pour l'ID de cléAWS d'accès ou la clé d'accès AWS secrète. Appuyez sur Enter après chacune de ces invites. Pour le nom de la région par défaut, spécifiez la région la Région AWS plus proche de vous ou la région où se trouvent vos AWS ressources. Par exemple, indiquez us-east-2 pour la région USA Est (Ohio). Pour obtenir la liste des régions, voir AWS Régions et points de terminaison dans le Référence générale d'Amazon Web Services. Vous pouvez également spécifier une valeur pour Format de sortie par défaut (par exemple, json).

Création et stockage des informations d'identification d'accès permanentes dans un environnement.

Note

Si vous utilisez un environnement de AWS Cloud9 EC2 développement, nous vous recommandons d'utiliser des informations d'identification temporaires AWS gérées plutôt que des informations d'accès AWS permanentes. Pour utiliser des informations d'identification temporaires AWS gérées, voirAWS informations d'identification temporaires gérées.

Dans cette section, vous utilisez AWS Identity and Access Management (IAM) pour générer un ensemble d'informations d'identification permanentes. Le AWS CLI, le aws-shell, ou votre code peut utiliser cet ensemble d'informations d'identification lors de l'appel Services AWS. Cet ensemble comprend un identifiant de clé d' AWS accès et une clé d'accès AWS secrète, qui sont uniques à votre utilisateur dans votre Compte AWS. Si vous possédez déjà un identifiant de clé d' AWS accès et une clé d'accès AWS secrète, notez ces informations d'identification, puis passez à la section Stocker les informations d'accès permanentes dans un environnement.

Vous pouvez créer un ensemble d'informations d'identification permanentes à l'aide de la IAMconsole ou du AWS CLI.

Octroi d’un accès par programmation

Les utilisateurs ont besoin d'un accès programmatique s'ils souhaitent interagir avec AWS l'extérieur du AWS Management Console. La manière d'accorder un accès programmatique dépend du type d'utilisateur qui y accède AWS.

Pour accorder aux utilisateurs un accès programmatique, choisissez l’une des options suivantes.

Quel utilisateur a besoin d’un accès programmatique ?	Pour	Par
Identité de la main-d’œuvre (Utilisateurs gérés dans IAM Identity Center)	Utilisez des informations d'identification temporaires pour signer les demandes programmatiques adressées au AWS CLI AWS SDKs, ou AWS APIs.	Suivez les instructions de l’interface que vous souhaitez utiliser. Pour le AWS CLI, voir Configuration du AWS CLI à utiliser AWS IAM Identity Center dans le guide de AWS Command Line Interface l'utilisateur. Pour AWS SDKs, outils, et AWS APIs, voir Authentification IAM Identity Center dans le guide de référence AWS SDKs et Tools.
IAM	Utilisez des informations d'identification temporaires pour signer les demandes programmatiques adressées au AWS CLI AWS SDKs, ou AWS APIs.	Suivez les instructions de la section Utilisation d'informations d'identification temporaires avec les AWS ressources du Guide de IAM l'utilisateur.
IAM	(Non recommandé) Utilisez des informations d'identification à long terme pour signer des demandes programmatiques adressées au AWS CLI AWS SDKs, ou AWS APIs.	Suivez les instructions de l’interface que vous souhaitez utiliser. Pour le AWS CLI, voir Authentification à l'aide des informations IAM d'identification utilisateur dans le Guide de AWS Command Line Interface l'utilisateur. Pour les outils AWS SDKs et, voir Authentifier à l'aide d'informations d'identification à long terme dans le guide de référence des outils AWS SDKs et. Pour AWS APIs, voir Gestion des clés d'accès pour IAM les utilisateurs dans le Guide de IAM l'utilisateur.

Quel utilisateur a besoin d’un accès programmatique ?

Pour

Par

Identité de la main-d’œuvre

(Utilisateurs gérés dans IAM Identity Center)

Utilisez des informations d'identification temporaires pour signer les demandes programmatiques adressées au AWS CLI AWS SDKs, ou AWS APIs.

Suivez les instructions de l’interface que vous souhaitez utiliser.

Pour le AWS CLI, voir Configuration du AWS CLI à utiliser AWS IAM Identity Center dans le guide de AWS Command Line Interface l'utilisateur.
Pour AWS SDKs, outils, et AWS APIs, voir Authentification IAM Identity Center dans le guide de référence AWS SDKs et Tools.

IAM

Utilisez des informations d'identification temporaires pour signer les demandes programmatiques adressées au AWS CLI AWS SDKs, ou AWS APIs.

Suivez les instructions de la section Utilisation d'informations d'identification temporaires avec les AWS ressources du Guide de IAM l'utilisateur.

IAM

(Non recommandé)

Utilisez des informations d'identification à long terme pour signer des demandes programmatiques adressées au AWS CLI AWS SDKs, ou AWS APIs.

Suivez les instructions de l’interface que vous souhaitez utiliser.

Pour le AWS CLI, voir Authentification à l'aide des informations IAM d'identification utilisateur dans le Guide de AWS Command Line Interface l'utilisateur.
Pour les outils AWS SDKs et, voir Authentifier à l'aide d'informations d'identification à long terme dans le guide de référence des outils AWS SDKs et.
Pour AWS APIs, voir Gestion des clés d'accès pour IAM les utilisateurs dans le Guide de IAM l'utilisateur.

Créez des identifiants d'accès permanents à l'aide du AWS CLI

Note

Pour cette section, nous vous recommandons de configurer l' AWS CLI utilisation des informations d'identification de niveau administrateur dans votre. Compte AWS Si vous ne pouvez pas le faire, contactez votre Compte AWS administrateur.

Note

Exécutez la IAM create-access-key commande pour créer une nouvelle clé AWS d'accès et la clé d'accès AWS secrète correspondante pour l'utilisateur.


aws iam create-access-key --user-name MyUser

Dans la commande précédente, remplacez MyUser par le nom de l'utilisateur.

Dans un emplacement sécurisé, enregistrez les valeurs AccessKeyId et SecretAccessKey affichées. Après avoir exécuté la IAM create-access-key commande, c'est la seule fois que vous pouvez utiliser le AWS CLI pour afficher la clé d'accès AWS secrète de l'utilisateur. Pour générer ultérieurement une nouvelle clé d'accès AWS secrète pour l'utilisateur, voir Création, modification et affichage des clés d'accès (API,CLI, PowerShell) dans le guide de IAM l'utilisateur.

Stockage les informations d'identification d'accès permanentes dans un environnement

Dans cette procédure, vous utilisez le AWS Cloud9 IDE pour stocker vos informations d' AWS accès permanentes dans votre environnement. Cette procédure suppose que vous avez déjà créé un environnement dans AWS Cloud9, que vous l'avez ouvert et que vous l'affichez AWS Cloud9 IDE dans votre navigateur Web. Pour plus d'informations, consultez Création d'un environnement et Ouverture d'un environnement.

Note

La procédure suivante explique comment stocker vos informations d'identification d'accès permanentes à l'aide de variables d'environnement. Si vous avez le AWS CLI ou le aws-shell installé dans votre environnement, vous pouvez utiliser la aws configurecommande pour le AWS CLI ou la configurecommande pour aws-shell pour stocker vos informations d'accès permanentes à la place. Pour obtenir les instructions, veuillez consulter Configuration rapide dans le guide de l'utilisateur AWS Command Line Interface .

Lorsque votre environnement est ouvert AWS Cloud9 IDE, lancez une nouvelle session de terminal, si ce n'est déjà fait. Pour démarrer une nouvelle séance de terminal, dans la barre de menus, choisissez Fenêtre, Nouveau terminal.
Exécutez chacune des commandes suivantes, une commande à la fois, pour définir les variables d'environnement locales représentant vos informations d'identification d'accès permanentes. Dans ces commandesAWS_ACCESS_KEY_ID:, entrez ensuite votre identifiant de clé AWS d'accès. EnsuiteAWS_SECRET_ACCESS_KEY, entrez votre clé d'accès AWS secrète. EnsuiteAWS_DEFAULT_REGION_ID, entrez l' Région AWS identifiant associé au Région AWS plus proche de vous (ou à votre préféré Région AWS). Pour obtenir la liste des identifiants disponibles, reportez-vous à la section Régions AWS et Points de terminaison dans le. Référence générale d'Amazon Web Services Par exemple, pour la région USA Est (Ohio), vous utilisez us-east-2.
```
export AWS_ACCESS_KEY_ID=
export AWS_SECRET_ACCESS_KEY=
export AWS_DEFAULT_REGION=
```
Notez que les variables d'environnement précédentes sont valides uniquement pour la séance de terminal actuelle. Pour rendre ces variables d'environnement disponibles dans toutes les séances de terminal, vous devez les ajouter à votre fichier de profil shell en tant que variables d'environnement utilisateur, comme suit.
1. Dans la fenêtre Environnement duIDE, choisissez l'icône représentant un engrenage, puis choisissez Afficher la page d'accueil dans les favoris. Répétez cette étape et choisissez Afficher les fichiers masqués.
2. Ouvrez le fichier ~/.bashrc.
3. Saisissez ou collez le code suivant à la fin du fichier. Dans ces commandesAWS_ACCESS_KEY_ID:, entrez ensuite votre identifiant de clé AWS d'accès. EnsuiteAWS_SECRET_ACCESS_KEY, entrez votre clé d'accès AWS secrète. EnsuiteAWS_DEFAULT_REGION_ID, entrez l' Région AWS identifiant associé au Région AWS plus proche de vous (ou à votre préféré Région AWS). Pour obtenir la liste des identifiants disponibles, reportez-vous à la section Régions AWS et Points de terminaison dans le. Référence générale d'Amazon Web Services Par exemple, pour la région USA Est (Ohio), vous utilisez us-east-2.
```
export AWS_ACCESS_KEY_ID=
export AWS_SECRET_ACCESS_KEY=
export AWS_DEFAULT_REGION=
```
4. Enregistrez le fichier.
5. Définissez le fichier ~/.bashrc en tant que source pour charger ces nouvelles variables d'environnement.
```
. ~/.bashrc
```

Vous pouvez désormais commencer à appeler Services AWS depuis votre environnement. Pour utiliser le AWS CLI ou le aws-shell pour appeler Services AWS, consultez l'exemple AWS CLI and aws-shell. Pour appeler les Services AWS à partir de votre code, consultez nos autres tutoriels et exemples.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Ouverture d'un environnement

Modification des paramètres de l'environnement