Attacher un rôle IAM à une instance - Amazon Elastic Compute Cloud

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Attacher un rôle IAM à une instance

Vous pouvez créer un rôle IAM et l’attacher à une instance pendant ou après le lancement. Vous pouvez aussi remplacer ou détacher des rôles IAM.

Création et attachement d'un rôle IAM lors du lancement de l'instance (recommandé)

  1. Lors du lancement de l'instance EC2, développez les détails avancés.

  2. Dans la section Profil d'instance IAM, choisissez Create new IAM role.

  3. Un formulaire de création de rôle intégré s'ouvre, vous permettant de :

    • Spécifiez le nom du rôle (par exemple,EC2-S3-Access-Role)

    • Définissez les autorisations en sélectionnant des politiques AWS gérées ou en créant des politiques personnalisées pour votre instance

      Par exemple, pour accorder l'accès à S3, sélectionnez la politique AmazonS3ReadOnlyAccess gérée

    • Passez en revue la politique de confiance qui ec2.amazonaws.com permet d'assumer le rôle

    • Ajouter des balises facultatives pour les métadonnées

  4. Choisissez Créer un rôle.

    Le rôle nouvellement créé est automatiquement sélectionné et sera attaché à votre instance via un profil d'instance lors du lancement de l'instance.

Note

Lorsque vous créez un rôle à l'aide de la console lors du lancement de l'instance, un profil d'instance portant le même nom que le rôle est automatiquement créé. Le profil d'instance est un conteneur qui transmet les informations du rôle IAM à l'instance lors du lancement.

Important

  • Vous ne pouvez attacher qu’un rôle IAM à une instance, mais vous pouvez attacher le même rôle à de nombreuses instances.

  • Associez les politiques IAM du moindre privilège qui limitent l'accès aux appels d'API spécifiques requis par l'application.

Pour plus d’informations sur la création et l’utilisation des rôles IAM, consultez Rôles dans le IAM Guide de l’utilisateur.

Associer un rôle IAM existant lors du lancement de l'instance

Pour associer un rôle IAM existant à une instance lors du lancement à l'aide de la console Amazon EC2, consultez la section Détails avancés. Pour le profil d'instance IAM, sélectionnez le rôle IAM dans la liste déroulante.

Note

Si vous avez créé votre rôle IAM à l’aide de la console IAM, le profil d’instance a été créé pour vous et porte le même nom que le rôle. Si vous avez créé votre rôle IAM à l' AWS CLI aide de l'API ou d'un AWS SDK, vous avez peut-être donné à votre profil d'instance un nom différent de celui du rôle.

Vous pouvez attacher un rôle IAM à une instance en cours d’exécution ou arrêtée. Si un rôle IAM est déjà attaché à l’instance, vous devez le remplacer par le nouveau rôle IAM.

Console
Pour attacher un rôle IAM à une instance

  1. Ouvrez la console Amazon EC2 à l’adresse https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, choisissez Instances.

  3. Sélectionnez l’instance.

  4. Choisissez Actions, Security (Sécurité), Modify IAM role (Modifier le rôle IAM).

  5. Pour le rôle IAM, sélectionnez le profil d’instance IAM.

  6. Choisissez Mettre le rôle IAM à jour.

AWS CLI
Pour attacher un rôle IAM à une instance

Utilisez la associate-iam-instance-profilecommande pour associer le rôle IAM à l'instance. Lorsque vous spécifiez le profil d’instance, vous pouvez utiliser soit l’Amazon Resource Name (ARN) du profil d’instance, soit son nom.

aws ec2 associate-iam-instance-profile \
    --instance-id i-1234567890abcdef0 \
    --iam-instance-profile Name="TestRole-1"
PowerShell
Pour attacher un rôle IAM à une instance

Utilisez l’applet de commande Register-EC2IamInstanceProfile.

Register-EC2IamInstanceProfile `
    -InstanceId i-1234567890abcdef0 `
    -IamInstanceProfile_Name TestRole-1

Pour remplacer le rôle IAM sur une instance à laquelle un rôle IAM est déjà associé, l’instance doit être en cours d’exécution. Vous pouvez le faire si vous souhaitez modifier le rôle IAM pour une instance sans commencer par détacher le rôle existant. Pour exemple, vous pouvez le faire pour veiller à ce que les actions d’API effectuées par les applications exécutées sur l’instance ne soient pas interrompues.

Console
Pour remplacer un rôle IAM pour une instance

  1. Ouvrez la console Amazon EC2 à l’adresse https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, choisissez Instances.

  3. Sélectionnez l’instance.

  4. Choisissez Actions, Security (Sécurité), Modify IAM role (Modifier le rôle IAM).

  5. Pour le rôle IAM, sélectionnez le profil d’instance IAM.

  6. Choisissez Mettre le rôle IAM à jour.

AWS CLI
Pour remplacer un rôle IAM pour une instance

  1. Si nécessaire, utilisez la commande describe-iam-instance-profile-associations pour obtenir l'ID de l'association.

    aws ec2 describe-iam-instance-profile-associations \
    --filters Name=instance-id,Values=i-1234567890abcdef0 \
    --query IamInstanceProfileAssociations.AssociationId

  2. Utilisez la commande replace-iam-instance-profile-association. Spécifiez l’ID d’association pour le profil d’instance existant et l’ARN ou le nom du nouveau profil d’instance.

    aws ec2 replace-iam-instance-profile-association \
    --association-id iip-assoc-0044d817db6c0a4ba \
    --iam-instance-profile Name="TestRole-2"
PowerShell
Pour remplacer un rôle IAM pour une instance

  1. Si nécessaire, utilisez l'Get-EC2IamInstanceProfileAssociationapplet de commande pour obtenir l'ID d'association.

    (Get-EC2IamInstanceProfileAssociation -Filter @{Name="instance-id"; Values="i-0636508011d8e966a"}).AssociationId

  2. Utilisez l’applet de commande Set-EC2IamInstanceProfileAssociation. Spécifiez l’ID d’association pour le profil d’instance existant et l’ARN ou le nom du nouveau profil d’instance.

    Set-EC2IamInstanceProfileAssociation `
    -AssociationId iip-assoc-0044d817db6c0a4ba `
    -IamInstanceProfile_Name TestRole-2

Vous ne pouvez pas détacher un rôle IAM d’une instance en cours d’exécution ou arrêtée.

Console
Pour détacher un rôle IAM d’une instance

  1. Ouvrez la console Amazon EC2 à l’adresse https://console.aws.amazon.com/ec2/.

  2. Dans le panneau de navigation, choisissez Instances.

  3. Sélectionnez l’instance.

  4. Choisissez Actions, Security (Sécurité), Modify IAM role (Modifier le rôle IAM).

  5. Pour IAM role (Rôle IAM), choisissez No IAM Role (Aucun rôle IAM).

  6. Choisissez Mettre le rôle IAM à jour.

  7. Lorsque vous êtes invité à confirmer, saisissez Détacher, puis sélectionnez Détacher.

AWS CLI
Pour détacher un rôle IAM d’une instance

  1. Si nécessaire, utilisez describe-iam-instance-profile-associations pour obtenir l'ID d'association du profil d'instance IAM à détacher.

    aws ec2 describe-iam-instance-profile-associations \
    --filters Name=instance-id,Values=i-1234567890abcdef0 \
    --query IamInstanceProfileAssociations.AssociationId

  2. Utilisez la commande disassociate-iam-instance-profile.

    aws ec2 disassociate-iam-instance-profile --association-id iip-assoc-0044d817db6c0a4ba
PowerShell
Pour détacher un rôle IAM d’une instance

  1. Si nécessaire, utilisez-le Get-EC2IamInstanceProfileAssociationpour obtenir l'ID d'association pour le profil d'instance IAM à détacher.

    (Get-EC2IamInstanceProfileAssociation -Filter @{Name="instance-id"; Values="i-0636508011d8e966a"}).AssociationId

  2. Utilisez l’applet de commande Unregister-EC2IamInstanceProfile.

    Unregister-EC2IamInstanceProfile -AssociationId iip-assoc-0044d817db6c0a4ba