Rôle lié à un service pour Global Accelerator - AWS Global Accelerator
Autorisations des rôles liés à un service pour Global AcceleratorCréation du rôle lié à un service pour Global AcceleratorModification du rôle lié à un service Global AcceleratorSuppression du rôle lié à un service Global AcceleratorMises à jour liées à un serviceRégions prises en charge pour les rôles liés à un service Global Accelerator

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Rôle lié à un service pour Global Accelerator

AWS Global Accelerator utilise un AWS Identity and Access Management (IAM)Rôle lié à un service. Un rôle lié à un service est un type unique de rôle IAM lié directement à un service. Les rôles liés à un service sont prédéfinis par le service et comprennent toutes les autorisations nécessaires au service pour appeler d'autres services AWS en votre nom.

Global Accelerator utilise le rôle lié à un service IAM suivant :

  • AWSServiceRoleForGlobalAccelerator : Global Accelerator utilise ce rôle pour permettre à Global Accelerator de créer et de gérer les ressources nécessaires à la préservation des adresses IP du client.

Global Accelerator crée automatiquement un rôle nommé AWSServiceRoleForGlobalAccelerator lorsque le rôle est nécessaire pour prendre en charge une opération API Global Accelerator. Le rôle AWSServiceRoleForGlobalAccelerator permet à Global Accelerator de créer et de gérer les ressources nécessaires à la préservation des adresses IP du client. Ce rôle est requis pour utiliser des accélérateurs dans Global Accelerator. L'ARN du rôle AWSServiceRoleForGlobalAccelerator se présente sous la forme suivante :

arn:aws:iam::123456789012:role/aws-service-role/globalaccelerator.amazonaws.com/AWSServiceRoleForGlobalAccelerator

Un rôle lié à un service simplifie la configuration et l'utilisation de l'accélérateur mondial, car vous n'avez pas besoin d'ajouter manuellement les autorisations requises. Global Accelerator définit les autorisations de son rôle lié un service et seul l'Accélérateur mondial peut endosser ces rôles. Les autorisations définies comprennent la stratégie d'approbation et la stratégie d'autorisations. La stratégie d'autorisations ne peut pas être attachée à une autre entité IAM.

Vous devez supprimer toute ressource Global Accelerator associée pour pouvoir supprimer un rôle lié à un service. Cela vous aide à protéger vos ressources Global Accelator en assurant que vous ne supprimez pas un rôle lié à un service qui est toujours exigé pour accéder aux ressources actives.

Pour de plus amples informations sur les autres services qui prennent en charge les rôles liés à un service, veuillez consulter Services AWS qui fonctionnent avec IAM et recherchez les services qui comportent Oui dans la colonne Rôle lié à un service.

Autorisations des rôles liés à un service pour Global Accelerator

Global Accelerator utilise un rôle lié à un service nomméAWSServiceRoleForGlobalAccelerator. Les sections suivantes décrivent comment gérer les autorisations pour le rôle.

Autorisations de rôles liés à un service

Ce rôle lié au service permet à Global Accelerator de gérer les interfaces réseau Elastic EC2 et les groupes de sécurité, et de vous aider à diagnostiquer les erreurs.

Le rôle lié à un service AWSServiceRoleForGlobalAccelerator approuve le service suivant pour assumer le rôle :

  • globalaccelerator.amazonaws.com

La stratégie d'autorisations liée au rôle permet à Global Accelerator d'effectuer les actions suivantes sur les ressources spécifiées, comme indiqué dans la stratégie :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeInstances",
                "ec2:DescribeInternetGateways",
                "ec2:DescribeSubnets",
                "ec2:DescribeRegions",
                "ec2:ModifyNetworkInterfaceAttribute",
                "ec2:DeleteNetworkInterface"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:DeleteSecurityGroup",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ec2:ResourceTag/AWSServiceName": "GlobalAccelerator"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateSecurityGroup",
                "ec2:DescribeSecurityGroups"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "elasticloadbalancing:DescribeLoadBalancers",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateTags",
            "Resource": [
                "arn:aws:ec2:*:*:security-group/*",
                "arn:aws:ec2:*:*:network-interface/*"
            ]
        }
    ]
}

Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur, groupe ou rôle) de supprimer le rôle lié à un service Global Accelerator. Pour de plus amples informations, veuillez consulter Autorisations de rôles liés à un service dans le Guide de l'utilisateur IAM

Création du rôle lié à un service pour Global Accelerator

Vous ne créez pas manuellement le rôle lié à un service pour Global Accelerator. Le service crée le rôle pour vous automatiquement la première fois que vous créez un accélérateur. Si vous supprimez vos ressources Global Accelator et supprimez le rôle lié à un service, le service crée de nouveau automatiquement le rôle lorsque vous créez un nouvel accélérateur.

Modification du rôle lié à un service Global Accelerator

Global Accelerator ne vous permet pas de modifier le rôle lié à un service AWSServiceRoleForGlobalAccelerator. Une fois que vous avez créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent y faire référence. Néanmoins, vous pouvez modifier la description d'un rôle à l'aide d'IAM. Pour de plus amples informations, veuillez consulter Modification d'un rôle lié à un service dans le Guide de l’utilisateur IAM.

Suppression du rôle lié à un service Global Accelerator

Si vous n'avez plus besoin d'utiliser Global Accelerator, nous vous recommandons de supprimer le rôle lié à un service. De cette façon, vous n'avez aucune entité inutilisée qui n'est pas surveillée ou gérée activement. Cependant, vous devez nettoyer les ressources Global Accelerator dans votre compte pour pouvoir supprimer manuellement les rôles.

Une fois que vous avez désactivé et supprimé vos accélérateurs, vous pouvez supprimer le rôle lié à un service. Pour plus d'informations sur la suppression des accélérateurs, consultez Création ou mise à jour d'un accélérateur standard.

Note

Si vous avez désactivé et supprimé vos accélérateurs mais que Global Accelator n'a pas terminé la mise à jour, la suppression du rôle lié à un service peut échouer. Si cela se produit, patientez quelques minutes, puis réessayez.

Pour supprimer manuellement le rôle lié au service AWSServiceRoleForGlobalAccelerator

  1. Connectez-vous à AWS Management Console et ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le volet de navigation de la console IAM, choisissez Rôles. Cochez ensuite la case en regard du nom du rôle que vous souhaitez supprimer, sans sélectionner le nom ou la ligne.

  3. Pour les actions sur les Rôle en haut de la page, sélectionnez Supprimer.

  4. Dans la boîte de dialogue de confirmation, vérifiez les dernières données consultées dans le service. Elles indiquent quels rôles, parmi ceux sélectionnés, ont accédé en dernier à un service AWS. Cela vous permet de confirmer si le rôle est actif actuellement. Si vous souhaitez continuer, sélectionnez Oui, supprimer pour lancer la tâche de suppression du rôle.

  5. Consultez les notifications de la console IAM pour surveiller la progression de la suppression du rôle lié à un service. Dans la mesure où la suppression du rôle lié à un service IAM est asynchrone, une fois que vous soumettez le rôle afin qu'il soit supprimé, la suppression peut réussir ou échouer. Pour de plus amples informations, veuillez consulter Suppression d'un rôle lié à un service dans le Guide de l'utilisateur IAM.

Mises à jour du rôle lié au service Global Accelerator (stratégie gérée par AWS)

Consultez les détails sur les mises à jour du rôle lié au service depuis que ce service a commencé à suivre ces modifications. Pour obtenir des alertes automatiques sur les modifications apportées à cette page, abonnez-vous au flux RSS sur AWS Global AcceleratorHistorique du document.

Modification Description Date

AWSServiceRoleForGlobalAccelerator— Stratégie mise à jour

Global Accelerator a ajouté une nouvelle autorisation pour aider Global Accelerator à diagnostiquer les erreurs.

Global Accelerator utiliseec2:DescribeRegionspour déterminer la région AWS dans laquelle se trouve un client, ce qui peut aider Global Accelerator à résoudre les erreurs.

 18 mai 2021

Global Accelerator a commencé à suivre les modifications

Global Accelerator a commencé à suivre les modifications de ses stratégies gérées par AWS.

 18 mai 2021

Régions prises en charge pour les rôles liés à un service Global Accelerator

Global Accelerator prend en charge l'utilisation des rôles liés à un service dans les régions AWS où Global Accelerator est pris en charge.

Pour obtenir la liste des régions AWS dans lesquelles Global Accelerator et d'autres services sont actuellement pris en charge, consultez laTable des régions AWS.