Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Utilisation de rôles liés à un service pour AWS Config
AWS Config utilise AWS Identity and Access Management (IAM) des rôles liés à un service. Un rôle lié à un service est un type unique de IAM rôle directement lié à. AWS Config Les rôles liés au service sont prédéfinis par AWS Config et incluent toutes les autorisations dont le service a besoin pour appeler d'autres AWS services en votre nom.
Un rôle lié à un service facilite la configuration AWS Config car vous n'avez pas à ajouter manuellement les autorisations nécessaires. AWS Config définit les autorisations associées à ses rôles liés aux services et, sauf indication contraire, seul AWS Config peut assumer ses rôles. Les autorisations définies incluent la politique de confiance et la politique d'autorisations, et cette politique d'autorisations ne peut être attachée à aucune autre IAM entité.
Pour plus d'informations sur les autres services qui prennent en charge les rôles liés à un service, consultez la section AWS Services compatibles avec IAM et recherchez les services dont la valeur est Oui dans la colonne Rôle lié au service. Choisissez un Oui ayant un lien permettant de consulter les détails du rôle pour ce service.
Autorisations de rôle liées à un service pour AWS Config
AWS Config utilise le rôle lié au service nommé AWSServiceRoleForConfig: AWS Config utilise ce rôle lié au service pour appeler d'autres AWS services en votre nom.
Le rôle AWSServiceRoleForConfiglié au service fait confiance au config.amazonaws.com
service pour assumer le rôle.
La politique d'autorisations pour le AWSServiceRoleForConfig
rôle contient des autorisations en lecture seule et en écriture seule pour les ressources et des autorisations en lecture seule pour les AWS Config ressources des autres services pris en charge. AWS Config Pour consulter la stratégie gérée AWSServiceRoleForConfig, consultez la section stratégies AWS gérées pour AWS Config. Pour de plus amples informations, veuillez consulter Types de ressource pris en charge.
Vous devez configurer les autorisations pour autoriser une IAM entité (telle qu'un utilisateur, un groupe ou un rôle) à créer, modifier ou supprimer un rôle lié à un service. Pour plus d'informations, consultez la section Autorisations relatives aux rôles liés à un service dans le guide de l'IAMutilisateur.
Pour utiliser un rôle lié à un service avec AWS Config, vous devez configurer les autorisations sur votre compartiment Amazon S3 et sur votre rubrique AmazonSNS. Pour plus d’informations, consultez Autorisations requises pour le compartiment Amazon S3 lors de l'utilisation de rôles liés à un service, Autorisations requises pour la AWS KMS clé lors de l'utilisation de rôles liés à un service (livraison du compartiment S3) et Autorisations requises pour le SNS sujet Amazon lors de l'utilisation de rôles liés à un service.
Création d'un rôle lié à un service pour AWS Config
Dans le IAM CLI ou le IAMAPI, créez un rôle lié au service avec le nom du config.amazonaws.com
service. Pour plus d'informations, consultez la section Création d'un rôle lié à un service dans le guide de l'IAMutilisateur. Si vous supprimez ce rôle lié à un service, vous pouvez utiliser ce même processus pour créer le rôle à nouveau.
Modification d'un rôle lié à un service pour AWS Config
AWS Config ne vous permet pas de modifier le rôle AWSServiceRoleForConfiglié au service. Une fois que vous avez créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence à ce rôle. Vous pouvez toutefois modifier la description du rôle à l'aide deIAM. Pour plus d'informations, consultez la section Modification d'un rôle lié à un service dans le guide de l'IAMutilisateur.
Supprimer un rôle lié à un service pour AWS Config
Si vous n’avez plus besoin d’utiliser une fonctionnalité ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n’avez aucune entité inutilisée qui n’est pas surveillée ou gérée activement. Cependant, vous devez nettoyer les ressources de votre rôle lié à un service avant de pouvoir les supprimer manuellement.
Note
Si le AWS Config service utilise le rôle lorsque vous essayez de supprimer les ressources, la suppression risque d'échouer. Si cela se produit, patientez quelques minutes et réessayez.
Pour supprimer AWS Config les ressources utilisées par AWSServiceRoleForConfig
Assurez-vous que ConfigurationRecorders
n'utilise pas ce rôle lié à un service. Vous pouvez utiliser la AWS Config console pour arrêter l'enregistreur de configuration. Pour arrêter l'enregistrement, sous L'enregistrement est activé, choisissez Désactiver.
Vous pouvez supprimer l'ConfigurationRecorder
utilisation AWS Config API. Pour procéder à la suppression, utilisez la commande delete-configuration-recorder
.
$ aws configservice delete-configuration-recorder --configuration-recorder-name
default
Pour supprimer manuellement le rôle lié à un service à l'aide de IAM
Utilisez la IAM console IAMCLI, le ou le IAM API pour supprimer le rôle AWSServiceRoleForConfig lié au service. Pour plus d'informations, consultez la section Suppression d'un rôle lié à un service dans le guide de l'IAMutilisateur.