Avis de fin de support : le 10 septembre 2025, AWS
le support de AWS RoboMaker. Après le 10 septembre 2025, vous ne pourrez plus accéder à la AWS RoboMaker console ni aux AWS RoboMaker ressources. Pour plus d'informations sur la transition AWS Batch afin de faciliter l'exécution de simulations conteneurisées, consultez ce billet de blog.
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
AWS Identity and Access Management (IAM) est un AWS service qui aide un administrateur à contrôler en toute sécurité l'accès aux AWS RoboMaker ressources. Les administrateurs utilisent IAM pour contrôler qui est authentifié (connecté) et autorisé (autorisé) à utiliser AWS RoboMaker les ressources. L'IAM est une fonctionnalité de votre AWS compte proposée sans frais supplémentaires.
Important
Pour démarrer rapidement, consultez les informations d'introduction de cette page, puis consultezMise en route avec IAM, etQue sont les politiques ?.
Rubriques
Présentation de l'autorisation et du contrôle d'accès
AWS RoboMaker est intégré à AWS Identity and Access Management (IAM), qui offre un large éventail de fonctionnalités :
-
Créez des utilisateurs et des groupes dans votre Compte AWS.
-
Partagez facilement vos AWS ressources entre les utilisateurs de votre Compte AWS.
-
Attribuez des informations de sécurité uniques à chaque utilisateur.
-
Contrôlez l'accès de chaque utilisateur aux services et aux ressources.
-
Obtenez une facture unique pour tous les utilisateurs de votre Compte AWS.
Pour plus d’informations sur IAM, consultez les ressources suivantes :
Autorisations nécessaires
Pour utiliser AWS RoboMaker ou gérer les autorisations et le contrôle d'accès pour vous-même ou pour d'autres personnes, vous devez disposer des autorisations appropriées.
Autorisations requises pour utiliser la console AWS RoboMaker
Pour accéder à la AWS RoboMaker console, vous devez disposer d'un ensemble minimal d'autorisations vous permettant de répertorier et d'afficher les détails AWS RoboMaker des ressources de votre AWS compte. Si vous créez une stratégie d'autorisation basée sur l'identité qui est plus restrictive que l'ensemble minimum d'autorisations requis, la console ne fonctionnera pas comme prévu pour les entités tributaires de cette stratégie.
Pour un accès en lecture seule à la AWS RoboMaker console, utilisez la AWSRoboMakerReadOnlyAccesspolitique.
Si un utilisateur IAM souhaite créer une tâche de simulation, vous devez lui accorder une iam:PassRole autorisation. Pour plus d'informations sur la transmission d'un rôle, consultez Octroi d'autorisations à un utilisateur pour transférer un rôle à un service AWS.
Par exemple, vous pouvez associer la stratégie suivante à un utilisateur. Elle fournit l'autorisation de créer une tâche de simulation :
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::123456789012:role/S3AndCloudWatchAccess"
}
]
}
Il n'est pas nécessaire d'accorder des autorisations de console minimales aux utilisateurs qui appellent uniquement l'API AWS CLI ou l' AWS API. Au lieu de cela, vous avez uniquement besoin des autorisations qui correspondent à l'opération d'API que vous essayez d'exécuter.
Autorisations requises pour visualiser les mondes AWS RoboMaker dans la console
Vous pouvez accorder les autorisations requises pour visualiser AWS RoboMaker des mondes dans la AWS RoboMaker console en attachant la politique suivante à un utilisateur :
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"robomaker: DescribeWorld"
],
"Resource": "*",
"Effect": "Allow"
}
]
}
Autorisations requises pour utiliser les outils AWS RoboMaker de simulation
L'utilisateur ou le rôle IAM utilisé pour créer une simulation sera automatiquement autorisé à accéder aux outils de simulation. S'il s'agit d'un autre utilisateur ou rôle, il doit disposer du privilège robomaker:CreateSimulationJob.
Autorisations requises pour la gestion d'authentification
Pour gérer vos propres informations d'identification, telles que votre mot de passe, vos clés d'accès et vos périphériques d'authentification multi-facteurs (MFA), votre administrateur doit vous accorder les autorisations requises. Pour consulter la stratégie sous-tendant ces autorisations, consultez Permettre aux utilisateurs de gérer eux-mêmes leurs informations d'identification.
En tant qu' AWS administrateur, vous avez besoin d'un accès complet à IAM afin de pouvoir créer et gérer des utilisateurs, des groupes, des rôles et des politiques dans IAM. Vous devez utiliser la politique AdministratorAccess
Avertissement
Seul un utilisateur administrateur doit avoir un accès complet à AWS. Toute personne utilisant cette stratégie est autorisée à gérer l'ensemble du processus d'authentification et de contrôle d'accès, en plus de pouvoir modifier toutes les ressources nécessaires dans AWS. Pour savoir comment créer cet utilisateur, consultez Créez votre utilisateur IAM Admin.
Autorisations requises pour le contrôle d'accès
Si votre administrateur vous a fourni des informations d'identification d'utilisateur IAM, il a associé des politiques à votre utilisateur IAM pour contrôler les ressources auxquelles vous pouvez accéder. Pour consulter les politiques associées à votre utilisateur dans le AWS Management Console, vous devez disposer des autorisations suivantes :
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": [
"arn:aws:iam::*:user/${aws:username}"
]
},
{
"Sid": "ListUsersViewGroupsAndPolicies",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
Si vous avez besoin d'autorisations supplémentaires, demandez à votre administrateur de mettre à jour vos stratégies pour vous permettre d'accéder aux actions nécessaires.
Autorisations requises pour une tâche de simulation
Lorsque vous créez une tâche de simulation, elle doit avoir un rôle IAM avec les autorisations ci-dessous.
-
Remplacez
amzn-s3-demo-source-bucketpar le nom du compartiment contenant les solutions groupées d'applications robotique et de simulation. -
Remplacez
amzn-s3-demo-destination-bucketpour pointer vers le compartiment dans lequel les fichiers de sortie AWS RoboMaker seront écrits. -
Remplacez
account#par votre numéro de compte.
Les tâches ECR publiques nécessitent des autorisations distinctes, telles que ecr-public:GetAuthorizationTokensts:GetServiceBearerToken, et toute autre autorisation requise pour votre mise en œuvre finale. Pour plus d'informations, consultez la section Politiques relatives aux référentiels publics dans le guide de l'utilisateur Amazon ECR.
{
"Version": "2012-10-17",
"Statement": [
{
"Action": "s3:ListBucket",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-source-bucket"
],
"Effect": "Allow"
},
{
"Action": [
"s3:Get*",
"s3:List*"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-source-bucket/*"
],
"Effect": "Allow"
},
{
"Action": "s3:Put*",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-destination-bucket/*"
],
"Effect": "Allow"
},
{
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogStreams"
],
"Resource": [
"arn:aws:logs:*:account#:log-group:/aws/robomaker/SimulationJobs*"
],
"Effect": "Allow"
},
{
"Action": [
"ecr:BatchGetImage",
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer"
],
"Resource": "arn:partition:ecr:region:account#:repository/repository_name",
"Effect": "Allow"
}
]
}
La politique doit être attachée à un rôle doté de la politique de confiance suivante.
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Allow",
"Principal": { "Service": "robomaker.amazonaws.com" },
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "account#" // Account where the simulation job resource is created
},
"StringEquals": {
"aws:SourceArn": "arn:aws:robomaker:region:account#:simulation-job/*"
}
}
}
}
Les clés de condition empêchent qu'un service AWS soit utilisé comme un assistant confus lors de transactions entre services. Consultez SourceAccountet SourceArnpour plus d'informations sur les clés de condition.
Autorisations requises pour utiliser des balises à partir d'une application ROS ou d'une ligne de commande ROS
Vous pouvez baliser, annuler et répertorier les balises de votre tâche de simulation à partir de la ligne de commande ROS ou de votre application ROS pendant qu'elle est en cours d'exécution. Vous devez avoir un rôle IAM avec les autorisations ci-dessous. Remplacez account# par votre numéro de compte.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "robomaker:TagResource", "robomaker:UntagResource", "robomaker:ListTagsForResource", ], "Resource": [ "arn:aws:robomaker:*:account#:simulation-job*" ], "Effect": "Allow" } ] }
La stratégie doit être attachée à un rôle avec la stratégie d'approbation suivante :
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Allow",
"Principal": { "Service": "robomaker.amazonaws.com" },
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "account#" // Account where the simulation job resource is created
},
"StringEquals": {
"aws:SourceArn": "arn:aws:robomaker:region:account#:simulation-job/*"
}
}
}
}
Les clés de condition empêchent qu'un service AWS soit utilisé comme un assistant confus lors de transactions entre services. Consultez SourceAccountet SourceArnpour plus d'informations sur les clés de condition.
Comprendre comment AWS RoboMaker fonctionne l'IAM
Les services peuvent fonctionner avec IAM de plusieurs manières :
-
Actions : AWS RoboMaker permet d'utiliser des actions dans une politique. Cela permet à un administrateur de contrôler si une entité peut effectuer une opération dans AWS RoboMaker. Par exemple, pour permettre à une entité de consulter une politique en effectuant l'opération d'
GetPolicyAWS API, un administrateur doit joindre une politique autorisant l'iam:GetPolicyaction. -
Autorisations au niveau des ressources : AWS RoboMaker ne prend pas en charge les autorisations au niveau des ressources. Les autorisations au niveau des ressources vous permettent de spécifier ARNsdes ressources individuelles dans la politique. Comme cette fonctionnalité AWS RoboMaker n'est pas prise en charge, vous devez sélectionner Toutes les ressources dans l'éditeur visuel des politiques. Dans un document de politique JSON, vous devez utiliser le caractère générique
*dans l'élémentResource. -
Autorisation basée sur les balises : AWS RoboMaker prend en charge les balises basées sur l'autorisation. Cette fonction vous permet d'utiliser des balises de ressource dans la condition d'une stratégie.
-
Informations d'identification temporaires : AWS RoboMaker prend en charge les informations d'identification temporaires. Cette fonctionnalité vous permet de vous connecter avec la fédération, d'assumer un rôle IAM ou d'assumer un rôle entre comptes. Vous obtenez des informations d'identification de sécurité temporaires en appelant des opérations d' AWS STS API telles que AssumeRoleou GetFederationToken.
-
Rôles liés au service : AWS RoboMaker prend en charge les rôles de service. Cette fonction permet à un service d'endosser un rôle lié à un service en votre nom. Ce rôle autorise le service à accéder à des ressources d’autres services pour effectuer une action en votre nom. Les rôles liés à un service apparaissent dans votre compte IAM et appartiennent au service. Un administrateur IAM peut consulter, mais ne peut pas modifier, les autorisations concernant les rôles liés à un service.
-
Rôles de service : AWS RoboMaker prend en charge les rôles de service. Cette fonctionnalité permet à un service d’endosser un rôle de service en votre nom. Ce rôle autorise le service à accéder à des ressources d’autres services pour effectuer une action en votre nom. Les rôles de service apparaissent dans votre compte IAM et sont détenus par le compte. Cela signifie qu’un administrateur IAM peut modifier les autorisations associées à ce rôle. Toutefois, cela peut perturber le bon fonctionnement du service.
Résolution des problèmes d'authentification et de contrôle d'accès
Utilisez les informations suivantes pour vous aider à diagnostiquer et à résoudre les problèmes courants que vous pouvez rencontrer lorsque vous travaillez avec IAM.
Rubriques
Je ne suis pas autorisé à effectuer une action dans AWS RoboMaker
Si vous recevez un message d'erreur AWS Management Console indiquant que vous n'êtes pas autorisé à effectuer une action, vous devez contacter l'administrateur qui vous a fourni votre nom d'utilisateur et votre mot de passe.
L'exemple d'erreur suivant se produit lorsqu'un utilisateur IAM nommé my-user-name essaie d'utiliser la console pour effectuer l' CreateRobotApplication action, mais ne dispose pas des autorisations nécessaires.
User: arn:aws:iam::123456789012:user/my-user-nameis not authorized to perform:aws-robomaker:CreateRobotApplicationon resource:my-example-robot-application
Pour cet exemple, demandez à votre administrateur de mettre à jour vos stratégies pour vous permettre d'accéder à la ressource my-example-robot-application à l'aide de l'action aws-robomaker:CreateRobotApplication.
Je suis administrateur et je souhaite autoriser d'autres personnes à accéder AWS RoboMaker
Pour autoriser d'autres personnes à accéder, AWS RoboMaker vous devez créer une entité IAM (utilisateur ou rôle) pour la personne ou l'application qui a besoin d'un accès. Ils utiliseront les informations d’identification de cette entité pour accéder à AWS. Vous devez ensuite associer une politique à l'entité qui leur accorde les autorisations appropriées dans AWS RoboMaker.
Pour démarrer immédiatement, consultez Mise en route avec IAM.
