Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Utilisation de rôles liés à un service pour VPC
Amazon VPC utilise des rôles liés à un AWS Identity and Access Management service (IAM). Un rôle lié à un service est un type unique de rôle IAM directement lié au VPC. Les rôles liés à un service sont prédéfinis par le VPC et incluent toutes les autorisations dont le service a besoin pour appeler d'autres AWS services en votre nom.
Un rôle lié à un service facilite la configuration du VPC, car il n'est pas nécessaire d'ajouter manuellement les autorisations nécessaires. Le VPC définit les autorisations associées à ses rôles liés aux services et, sauf indication contraire, seul le VPC peut assumer ses rôles. Les autorisations définies comprennent la politique de confiance et la politique d’autorisation. De plus, cette politique d’autorisation ne peut pas être attachée à une autre entité IAM.
Vous pouvez supprimer un rôle lié à un service uniquement après la suppression préalable de ses ressources connexes. Cela protège vos ressources VPC car vous ne pouvez pas supprimer par inadvertance l'autorisation d'accès aux ressources.
Pour plus d'informations sur les autres services qui prennent en charge les rôles liés à un service, consultez la section AWS Services qui fonctionnent avec IAM et recherchez les services dont la valeur est Oui dans la colonne Rôles liés à un service. Sélectionnez un Oui ayant un lien pour consulter la documentation du rôle lié à un service, pour ce service.
Autorisations de rôle liées à un service pour VPC
Le VPC utilise le rôle lié au service nommé AWSServiceRoleForNATGateway— Ce rôle lié au service permet à Amazon VPC d'attribuer des adresses IP élastiques en votre nom afin de dimensionner automatiquement les passerelles NAT régionales, d'associer et de dissocier vos passerelles IPs Elastic existantes aux passerelles NAT régionales à votre demande, et de décrire les interfaces réseau pour identifier votre infrastructure existante afin de l'étendre automatiquement à de nouvelles zones de disponibilité.
Le rôle AWSService RoleFor NATGateway lié à un service fait confiance aux services suivants pour assumer le rôle :
-
ec2-nat-gateway.amazonaws.com
La politique d'autorisations de rôle nommée AWSNATGateway ServiceRolePolicy permet au VPC d'effectuer les actions suivantes sur les ressources spécifiées :
-
Action :
AllocateAddresssur Service Managed EIPs pour allouer EIPs en votre nom. Service Managed EIPs gère le balisage ultérieur avec des balises gérées par le service et ReleaseAddress automatiquement. -
Action :
AssociateAddresssur vos adresses IP Elastic préexistantes pour les associer manuellement à votre passerelle NAT régionale à votre demande. -
Action :
DisassociateAddresssur vos adresses IP Elastic préexistantes pour les supprimer de la passerelle NAT régionale à votre demande. -
Action :
DescribeAddressesobtenir les informations d'adresse IP publique fournies par le client EIPs sur l'associé. -
Action :
DescribeNetworkInterfacesur vos interfaces réseau existantes pour identifier automatiquement les zones de disponibilité dans lesquelles se trouve votre infrastructure afin de l'étendre automatiquement à de nouvelles zones.
Vous devez configurer les autorisations de manière à permettre à vos utilisateurs, groupes ou rôles de créer, modifier ou supprimer un rôle lié à un service. Pour plus d’informations, consultez Autorisations de rôles liés à un service dans le Guide de l’utilisateur IAM.
Création d'un rôle lié à un service pour VPC
Vous n’avez pas besoin de créer manuellement un rôle lié à un service. Lorsque vous créez une passerelle NAT avec un mode de disponibilité « régional » dans l'API AWS Management Console, le ou l' AWS API AWS CLI, le VPC crée le rôle lié au service pour vous.
Important
Ce rôle lié à un service peut apparaître dans votre compte si vous avez effectué une action dans un autre service qui utilise les fonctions prises en charge par ce rôle. En outre, si vous utilisiez le service VPC avant le 1er janvier 2017, date à laquelle il a commencé à prendre en charge les rôles liés au service, VPC a créé le rôle dans votre compte. AWSService RoleFor NATGateway Pour en savoir plus, voir Un nouveau rôle est apparu dans mon Compte AWS.
Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte. Lorsque vous créez une passerelle NAT avec un mode de disponibilité « régional », le VPC crée à nouveau le rôle lié au service pour vous.
Vous pouvez également utiliser la console IAM pour créer un rôle lié à un service avec le AWSServiceRoleForNATGatewaycas d'utilisation. Dans l'API AWS CLI ou dans l' AWS API, créez un rôle lié à un service avec le nom du ec2-nat-gateway.amazonaws.com service. Pour plus d’informations, consultez Création d’un rôle lié à un service dans le Guide de l’utilisateur IAM. Si vous supprimez ce rôle lié à un service, vous pouvez utiliser ce même processus pour créer le rôle à nouveau.
Modification d'un rôle lié à un service pour un VPC
Le VPC ne vous permet pas de modifier le rôle lié au AWSService RoleFor NATGateway service. Après avoir créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence à ce rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d’informations, consultez Modification d’un rôle lié à un service dans le Guide de l’utilisateur IAM.
Supprimer un rôle lié à un service pour un VPC
Si vous n’avez plus besoin d’utiliser une fonction ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n’avez aucune entité inutilisée qui n’est pas surveillée ou gérée activement. Cependant, vous devez nettoyer les ressources de votre rôle lié à un service avant de pouvoir les supprimer manuellement.
Note
Si le service VPC utilise le rôle lorsque vous essayez de supprimer les ressources, la suppression risque d'échouer. Si cela se produit, patientez quelques minutes et réessayez.
Pour supprimer les ressources VPC utilisées par AWSService RoleFor NATGateway
-
Supprimez toutes les passerelles NAT régionales dans toutes les régions dans lesquelles elles ont été déployées.
Pour supprimer manuellement le rôle lié au service à l’aide d’IAM
Utilisez la console IAM, le AWS CLI, ou l' AWS API pour supprimer le rôle lié au AWSService RoleFor NATGateway service. Pour plus d’informations, consultez la section Suppression d’un rôle lié à un service dans le Guide de l’utilisateur IAM.
Régions prises en charge pour les rôles liés aux services VPC
Le VPC prend en charge l'utilisation de rôles liés au service dans toutes les régions où le service est disponible. Pour plus d’informations, consultez AWS Régions et points de terminaison.
Le VPC ne prend pas en charge l'utilisation de rôles liés à un service dans toutes les régions où le service est disponible. Vous pouvez utiliser le AWSService RoleFor NATGateway rôle dans les régions suivantes.
| Nom de la région | Identité de la région | Support en VPC |
|---|---|---|
| USA Est (Virginie du Nord) | us-east-1 | Oui |
| USA Est (Ohio) | us-east-2 | Oui |
| USA Ouest (Californie du Nord) | us-west-1 | Oui |
| USA Ouest (Oregon) | us-west-2 | Oui |
| Afrique (Le Cap) | af-south-1 | Oui |
| Asie-Pacifique (Hong Kong) | ap-east-1 | Oui |
| Asie-Pacifique (Taipei) | ap-east-2 | Oui |
| Asie-Pacifique (Jakarta) | ap-southeast-3 | Oui |
| Asie-Pacifique (Mumbai) | ap-south-1 | Oui |
| Asie-Pacifique (Hyderabad) | ap-south-2 | Oui |
| Asie-Pacifique (Osaka) | ap-northeast-3 | Oui |
| Asie-Pacifique (Séoul) | ap-northeast-2 | Oui |
| Asie-Pacifique (Singapour) | ap-southeast-1 | Oui |
| Asie-Pacifique (Sydney) | ap-southeast-2 | Oui |
| Asie-Pacifique (Tokyo) | ap-northeast-1 | Oui |
| Asie-Pacifique (Melbourne) | ap-southeast-4 | Oui |
| Asie-Pacifique (Malaisie) | ap-southeast-5 | Oui |
| Asie-Pacifique (Nouvelle Zélande) | ap-southeast-6 | Oui |
| Asie-Pacifique (Thaïlande) | ap-southeast-7 | Oui |
| Canada (Centre) | ca-central-1 | Oui |
| Canada-Ouest (Calgary) | ca-west-1 | Oui |
| Europe (Francfort) | eu-central-1 | Oui |
| Europe (Zurich) | eu-central-2 | Oui |
| Europe (Irlande) | eu-west-1 | Oui |
| Europe (Londres) | eu-west-2 | Oui |
| Europe (Milan) | eu-south-1 | Oui |
| Europe (Espagne) | eu-south-2 | Oui |
| Europe (Paris) | eu-west-3 | Oui |
| Europe (Stockholm) | eu-north-1 | Oui |
| Israël (Tel Aviv) | il-central-1 | Oui |
| Moyen-Orient (Bahreïn) | me-south-1 | Oui |
| Moyen-Orient (EAU) | me-central-1 | Oui |
| Moyen-Orient (Arabie saoudite) | me-west-1 | Oui |
| Mexique (Centre) | mx-central-1 | Oui |
| Amérique du Sud (São Paulo) | sa-east-1 | Oui |
| AWS GovCloud (USA Est) | us-gov-east-1 | Non |
| AWS GovCloud (US-Ouest) | us-gov-west-1 | Non |
