Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Attacher un rôle IAM à une instance
<a name="attach-iam-role"></a>

Vous pouvez créer un rôle IAM et l’attacher à une instance pendant ou après le lancement. Vous pouvez aussi remplacer ou détacher des rôles IAM.

**Création et attachement d'un rôle IAM lors du lancement de l'instance (recommandé)**

1. Lors du lancement de l'instance EC2, développez les **détails avancés**.

1. Dans la section **Profil d'instance IAM**, choisissez **Create new IAM role**.

1. Un formulaire de création de rôle intégré s'ouvre, vous permettant de :
   + Spécifiez **le nom du rôle** (par exemple,`EC2-S3-Access-Role`)
   + Définissez les autorisations en sélectionnant des politiques AWS gérées ou en créant des politiques personnalisées pour votre instance

     Par exemple, pour accorder l'accès à S3, sélectionnez la politique `AmazonS3ReadOnlyAccess` gérée
   + Passez en revue la politique de confiance qui `ec2.amazonaws.com` permet d'assumer le rôle
   + Ajouter des balises facultatives pour les métadonnées

1. Choisissez **Créer un rôle**.

   Le rôle nouvellement créé est automatiquement sélectionné et sera attaché à votre instance via un profil d'instance lors du lancement de l'instance.

**Note**  
Lorsque vous créez un rôle à l'aide de la console lors du lancement de l'instance, un profil d'instance portant le même nom que le rôle est automatiquement créé. Le profil d'instance est un conteneur qui transmet les informations du rôle IAM à l'instance lors du lancement.

**Important**  
Vous ne pouvez attacher qu’un rôle IAM à une instance, mais vous pouvez attacher le même rôle à de nombreuses instances.
Associez les politiques IAM du moindre privilège qui limitent l'accès aux appels d'API spécifiques requis par l'application.

Pour plus d’informations sur la création et l’utilisation des rôles IAM, consultez [Rôles](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) dans le *IAM Guide de l’utilisateur*.

**Associer un rôle IAM existant lors du lancement de l'instance**  
Pour associer un rôle IAM existant à une instance lors du lancement à l'aide de la console Amazon EC2, consultez la section Détails avancés**.** Pour le **profil d'instance IAM**, sélectionnez le rôle IAM dans la liste déroulante.

**Note**  
Si vous avez créé votre rôle IAM à l’aide de la console IAM, le profil d’instance a été créé pour vous et porte le même nom que le rôle. Si vous avez créé votre rôle IAM à l' AWS CLI aide de l'API ou d'un AWS SDK, vous avez peut-être donné à votre profil d'instance un nom différent de celui du rôle.

Vous pouvez attacher un rôle IAM à une instance en cours d’exécution ou arrêtée. Si un rôle IAM est déjà attaché à l’instance, vous devez le remplacer par le nouveau rôle IAM.

------
#### [ Console ]<a name="attach-iam-role-console"></a>

**Pour attacher un rôle IAM à une instance**

1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Dans le panneau de navigation, choisissez **Instances**.

1. Sélectionnez l’instance.

1. Choisissez **Actions**, **Security (Sécurité)**, **Modify IAM role (Modifier le rôle IAM)**.

1. Pour le **rôle IAM**, sélectionnez le profil d’instance IAM.

1. Choisissez **Mettre le rôle IAM à jour**.

------
#### [ AWS CLI ]
<a name="attach-iam-role-instance-cli"></a>
**Pour attacher un rôle IAM à une instance**  
Utilisez la [associate-iam-instance-profile](https://docs.aws.amazon.com/cli/latest/reference/ec2/associate-iam-instance-profile.html)commande pour associer le rôle IAM à l'instance. Lorsque vous spécifiez le profil d’instance, vous pouvez utiliser soit l’Amazon Resource Name (ARN) du profil d’instance, soit son nom.

```
aws ec2 associate-iam-instance-profile \
    --instance-id i-1234567890abcdef0 \
    --iam-instance-profile Name="TestRole-1"
```

------
#### [ PowerShell ]

**Pour attacher un rôle IAM à une instance**  
Utilisez l’applet de commande [Register-EC2IamInstanceProfile](https://docs.aws.amazon.com/powershell/latest/reference/items/Register-EC2IamInstanceProfile.html).

```
Register-EC2IamInstanceProfile `
    -InstanceId i-1234567890abcdef0 `
    -IamInstanceProfile_Name TestRole-1
```

------

Pour remplacer le rôle IAM sur une instance à laquelle un rôle IAM est déjà associé, l’instance doit être en cours d’exécution. Vous pouvez le faire si vous souhaitez modifier le rôle IAM pour une instance sans commencer par détacher le rôle existant. Pour exemple, vous pouvez le faire pour veiller à ce que les actions d’API effectuées par les applications exécutées sur l’instance ne soient pas interrompues.

------
#### [ Console ]<a name="replace-iam-role-console"></a>

**Pour remplacer un rôle IAM pour une instance**

1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Dans le panneau de navigation, choisissez **Instances**.

1. Sélectionnez l’instance.

1. Choisissez **Actions**, **Security (Sécurité)**, **Modify IAM role (Modifier le rôle IAM)**.

1. Pour le **rôle IAM**, sélectionnez le profil d’instance IAM.

1. Choisissez **Mettre le rôle IAM à jour**.

------
#### [ AWS CLI ]<a name="replace-iam-role-cli"></a>

**Pour remplacer un rôle IAM pour une instance**

1. Si nécessaire, utilisez la commande [describe-iam-instance-profile-associations](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-iam-instance-profile-associations.html) pour obtenir l'ID de l'association.

   ```
   aws ec2 describe-iam-instance-profile-associations \
       --filters Name=instance-id,Values=i-1234567890abcdef0 \
       --query IamInstanceProfileAssociations.AssociationId
   ```

1. Utilisez la commande [replace-iam-instance-profile-association](https://docs.aws.amazon.com/cli/latest/reference/ec2/replace-iam-instance-profile-association.html). Spécifiez l’ID d’association pour le profil d’instance existant et l’ARN ou le nom du nouveau profil d’instance.

   ```
   aws ec2 replace-iam-instance-profile-association \
       --association-id iip-assoc-0044d817db6c0a4ba \
       --iam-instance-profile Name="TestRole-2"
   ```

------
#### [ PowerShell ]

**Pour remplacer un rôle IAM pour une instance**

1. Si nécessaire, utilisez l'[Get-EC2IamInstanceProfileAssociation](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2IamInstanceProfileAssociation.html)applet de commande pour obtenir l'ID d'association.

   ```
   (Get-EC2IamInstanceProfileAssociation -Filter @{Name="instance-id"; Values="i-0636508011d8e966a"}).AssociationId
   ```

1. Utilisez l’applet de commande [Set-EC2IamInstanceProfileAssociation](https://docs.aws.amazon.com/powershell/latest/reference/items/Set-EC2IamInstanceProfileAssociation.html). Spécifiez l’ID d’association pour le profil d’instance existant et l’ARN ou le nom du nouveau profil d’instance.

   ```
   Set-EC2IamInstanceProfileAssociation `
       -AssociationId iip-assoc-0044d817db6c0a4ba `
       -IamInstanceProfile_Name TestRole-2
   ```

------

Vous ne pouvez pas détacher un rôle IAM d’une instance en cours d’exécution ou arrêtée.

------
#### [ Console ]<a name="detach-iam-role-console"></a>

**Pour détacher un rôle IAM d’une instance**

1. Ouvrez la console Amazon EC2 à l’adresse [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).

1. Dans le panneau de navigation, choisissez **Instances**.

1. Sélectionnez l’instance.

1. Choisissez **Actions**, **Security (Sécurité)**, **Modify IAM role (Modifier le rôle IAM)**.

1. Pour **IAM role (Rôle IAM)**, choisissez **No IAM Role (Aucun rôle IAM)**.

1. Choisissez **Mettre le rôle IAM à jour**.

1. Lorsque vous êtes invité à confirmer, saisissez **Détacher**, puis sélectionnez **Détacher**.

------
#### [ AWS CLI ]<a name="detach-iam-role-cli"></a>

**Pour détacher un rôle IAM d’une instance**

1. Si nécessaire, utilisez [describe-iam-instance-profile-associations](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-iam-instance-profile-associations.html) pour obtenir l'ID d'association du profil d'instance IAM à détacher.

   ```
   aws ec2 describe-iam-instance-profile-associations \
       --filters Name=instance-id,Values=i-1234567890abcdef0 \
       --query IamInstanceProfileAssociations.AssociationId
   ```

1. Utilisez la commande [disassociate-iam-instance-profile](https://docs.aws.amazon.com/cli/latest/reference/ec2/disassociate-iam-instance-profile.html).

   ```
   aws ec2 disassociate-iam-instance-profile --association-id iip-assoc-0044d817db6c0a4ba
   ```

------
#### [ PowerShell ]

**Pour détacher un rôle IAM d’une instance**

1. Si nécessaire, utilisez-le [Get-EC2IamInstanceProfileAssociation](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2IamInstanceProfileAssociation.html)pour obtenir l'ID d'association pour le profil d'instance IAM à détacher.

   ```
   (Get-EC2IamInstanceProfileAssociation -Filter @{Name="instance-id"; Values="i-0636508011d8e966a"}).AssociationId
   ```

1. Utilisez l’applet de commande [Unregister-EC2IamInstanceProfile](https://docs.aws.amazon.com/powershell/latest/reference/items/Unregister-EC2IamInstanceProfile.html).

   ```
   Unregister-EC2IamInstanceProfile -AssociationId iip-assoc-0044d817db6c0a4ba
   ```

------