Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Rôle lié à un service pour les demandes d’instance Spot
<a name="service-linked-roles-spot-instance-requests"></a>

Amazon EC2 utilise des rôles liés à un service pour les autorisations requises pour appeler d’autres services AWS en votre nom. Un rôle lié à un service est un type unique de rôle IAM directement lié à un. Service AWS Les rôles liés à un service constituent un moyen sécurisé de déléguer des autorisations, Services AWS car seul le service lié peut assumer un rôle lié au service. Pour plus d’informations, consultez la section [Rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html) dans le *Guide de l’utilisateur IAM*.

Amazon EC2 utilise le rôle lié au service nommé **AWSServiceRoleForEC2Spot** pour lancer et gérer les instances Spot en votre nom.

## Autorisations octroyées par AWSServiceRoleForEC2Spot
<a name="service-linked-role-permissions-granted-by-AWSServiceRoleForEC2Spot"></a>

Amazon EC2 utilise **AWSServiceRoleForEC2Spot** pour effectuer les actions suivantes :
+ `ec2:DescribeInstances` – Décrire les instances Spot
+ `ec2:StopInstances` – Arrêter les instances Spot
+ `ec2:StartInstances` – Démarrer les instances Spot

## Création du rôle lié à un service
<a name="service-linked-role-creating-for-spot"></a>

Dans la plupart des cas, vous n’avez pas besoin de créer manuellement un rôle lié à un service. Amazon EC2 crée le rôle lié au service **AWSServiceRoleForEC2Spot** la première fois que vous demandez une instance Spot à l'aide de la console.

**Si vous avez reçu une demande d'instance Spot active avant octobre 2017, date à laquelle Amazon EC2 a commencé à prendre en charge ce rôle lié à un service, Amazon EC2 a créé le AWSService RoleFor EC2 rôle Spot dans votre compte.** AWS Pour plus d’informations, consultez [Un nouveau rôle est apparu dans mon compte](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared) dans le *IAM Guide de l’utilisateur*.

Si vous utilisez l'API AWS CLI ou une API pour demander une instance Spot, vous devez d'abord vous assurer que ce rôle existe.

**Pour créer **AWSServiceRoleForEC2Spot** à l'aide de la console**

1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Dans le panneau de navigation, choisissez **Rôles**.

1. Sélectionnez **Créer un rôle**.

1. Sur la page **Select type of trusted entity (Sélectionner le type d’entité de confiance)**, choisissez **EC2**, **EC2 - Spot Instances (EC2 - Instances Spot)**, **Suivant : Autorisations**.

1. Sur la page suivante, choisissez **Suivant : Vérification**.

1. Sur la page **Vérification**, choisissez **Create Role (Créer un rôle)**.

**Pour créer **AWSServiceRoleForEC2Spot** à l'aide du AWS CLI**  
Utilisez la commande [create-service-linked-role](https://docs.aws.amazon.com/cli/latest/reference/iam/create-service-linked-role.html) comme suit.

```
aws iam create-service-linked-role --aws-service-name spot.amazonaws.com
```

Si vous n'avez plus besoin d'utiliser des instances Spot, nous vous recommandons de supprimer le rôle **AWSServiceRoleForEC2Spot**. Une fois ce rôle supprimé de votre compte, Amazon EC2 crée de nouveau le rôle si vous effectuez une demande d’instances Spot.

## Accordez l'accès aux clés gérées par le client pour les utiliser avec des instantanés chiffrés AMIs et EBS
<a name="spot-instance-service-linked-roles-access-to-cmks"></a>

Si vous spécifiez une [AMI chiffrée](AMIEncryption.md) ou un instantané Amazon EBS chiffré pour vos instances Spot et que vous utilisez une clé gérée par le client pour le chiffrement, vous devez accorder au rôle **AWSServiceRoleForEC2Spot** l'autorisation d'utiliser la clé gérée par le client afin qu'Amazon EC2 puisse lancer des instances Spot en votre nom. Pour cela, vous devez ajouter une autorisation à la clé gérée par le client, comme indiqué dans la procédure suivante.

Lorsque vous définissez les autorisations, les octrois constituent une alternative aux politiques de clé. Pour plus d’informations, consultez [Utilisation des octrois](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) et [Utilisation des stratégies de clé dans AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) dans le *Guide du développeur AWS Key Management Service *.

**Pour accorder au rôle **AWSServiceRoleForEC2Spot** l'autorisation d'utiliser la clé gérée par le client**
+ Utilisez la commande [create-grant](https://docs.aws.amazon.com/cli/latest/reference/kms/create-grant.html) pour ajouter une autorisation à la clé gérée par le client et pour spécifier le principal (le rôle lié au service **AWSServiceRoleForEC2Spot**) autorisé à effectuer les opérations autorisées par l'autorisation. La clé gérée par le client est spécifiée par le paramètre `key-id` et l’ARN de la clé gérée par le client. Le principal est spécifié par le `grantee-principal` paramètre et l'ARN du rôle lié au service **AWSServiceRoleForEC2Spot**.

  ```
  aws kms create-grant \
      --region {{us-east-1}} \
      --key-id arn:aws:kms:{{us-east-1}}:{{444455556666}}:key/{{1234abcd-12ab-34cd-56ef-1234567890ab}} \
      --grantee-principal arn:aws:iam::{{111122223333}}:role/aws-service-role/spot.amazonaws.com/AWSServiceRoleForEC2Spot \
      --operations "Decrypt" "Encrypt" "GenerateDataKey" "GenerateDataKeyWithoutPlaintext" "CreateGrant" "DescribeKey" "ReEncryptFrom" "ReEncryptTo"
  ```