

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Rôle IAM pour les applications qui s'exécutent sur des instances Amazon EC2
<a name="us-iam-role"></a>

Les applications qui s'exécutent sur les instances Amazon EC2 requièrent des informations d'identification afin d'accéder aux autres Services AWS. Pour fournir ces informations d'identification en toute sécurité, utilisez un rôle IAM. Le rôle fournit des autorisations temporaires que l'application peut utiliser lorsqu'elle accède à d'autres ressources AWS . Les autorisations du rôle déterminent ce que l'application est autorisée à faire.

Pour les instances d'un groupe Auto Scaling, vous devez créer une configuration ou un modèle de lancement et choisir un profil d'instance à associer aux instances. Un profil d'instance est un conteneur pour un rôle IAM qui permet à Amazon EC2 de transmettre le rôle IAM à une instance lors du lancement de l'instance. Créez d'abord un rôle IAM doté de toutes les autorisations requises pour accéder aux AWS ressources. Créez ensuite le profil d'instance et affectez-lui le rôle.

**Note**  
En tant que bonne pratique, nous vous recommandons vivement de créer le rôle de manière à ce qu'il dispose des autorisations minimales nécessaires pour accéder aux autres Services AWS rôles requis par votre application. 

**Contents**
+ [

## Conditions préalables
](#us-iam-role-prereq)
+ [

## Création d’un modèle de lancement
](#us-iam-role-create-lt)
+ [

## Consultez aussi
](#iam-role-see-also)

## Conditions préalables
<a name="us-iam-role-prereq"></a>

Créez le rôle IAM que votre application s'exécutant sur Amazon EC2 peut endosser. Choisissez les autorisations appropriées, de manière à ce que l'application à laquelle est accordée par la suite le rôle puisse procéder aux appels d'API dont elle a besoin. 

Si vous utilisez la console IAM au lieu de la AWS CLI ou de l'une des AWS SDKs, la console crée automatiquement un profil d'instance et lui donne le même nom que le rôle auquel il correspond. <a name="create-iam-role-console"></a>

**Pour créer un rôle IAM (console)**

1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Dans le panneau de navigation de gauche, sélectionnez **Roles** (Rôles).

1. Sélectionnez **Create role** (Créer un rôle).

1. Pour **Select trusted entity** (Sélectionner une entité de confiance), choisissez **service AWS **. 

1. Pour votre cas d'utilisation, sélectionnez **EC2**, puis **Next** (Suivant). 

1. Si possible, sélectionnez la politique à utiliser pour la politique d'autorisations ou choisissez **Create policy** (Créer une politique) pour ouvrir un nouvel onglet de navigateur et créer une nouvelle politique de bout en bout. Pour plus d’informations, consultez [Création de politiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html#access_policies_create-start) dans le *Guide de l’utilisateur IAM*. Une fois la politique créée, fermez cet onglet et revenez à l'onglet initial. Cochez la case en regard des stratégies d'autorisations que vous souhaitez octroyer au service.

1. (Facultatif) Définissez une limite d'autorisations. Il s'agit d'une fonctionnalité avancée disponible pour les rôles de service. Pour plus d'informations, consultez [Limites d'autorisations pour des entités IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) dans le *Guide de l'utilisateur IAM*.

1. Choisissez **Suivant**.

1. Sur la page **Name, review, and create** (Nommer, réviser et créer), pour **Role name** (Nom de rôle), saisissez un nom de rôle vous permettant d'identifier l'objectif de ce rôle. Ce nom doit être unique au sein de votre Compte AWS. Comme d'autres AWS ressources peuvent faire référence au rôle, vous ne pouvez pas modifier le nom du rôle une fois celui-ci créé. 

1. Passez en revue les informations du rôle, puis choisissez **Create role** (Créer un rôle). 

**Autorisations IAM**  
Utilisez une politique basée sur l'identité IAM pour contrôler l'accès à votre nouveau rôle IAM. L’autorisation `iam:PassRole` est requise pour l’utilisateur IAM (utilisateur ou rôle) qui crée ou met à jour un groupe Auto Scaling à l’aide d’un modèle de lancement qui spécifie un profil d’instance.

L'exemple de politique suivant accorde les autorisations de transmettre uniquement des rôles IAM dont le nom commence par **`qateam-`**. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::111122223333:role/qateam-*",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": [
                        "ec2.amazonaws.com",
                        "ec2.amazonaws.com.rproxy.govskope.ca.cn"
                    ]
                }
            }
        }
    ]
}
```

------

**Important**  
Pour obtenir des informations sur la manière dont Amazon EC2 Auto Scaling valide les autorisations pour l’action `iam:PassRole` d’un groupe Auto Scaling qui utilise un modèle de lancement, consultez [Validation des autorisations pour `ec2:RunInstances` et `iam:PassRole`](ec2-auto-scaling-launch-template-permissions.md#runinstances-permissions-validation).

## Création d’un modèle de lancement
<a name="us-iam-role-create-lt"></a>

Lorsque vous créez le modèle de lancement à l' AWS Management Console aide de la section **Détails avancés**, sélectionnez le rôle dans le **profil d'instance IAM**. Pour de plus amples informations, veuillez consulter [Créer un modèle de lancement à l’aide de paramètres avancés](advanced-settings-for-your-launch-template.md).

Lorsque vous créez le modèle de lancement à l'aide de la [create-launch-template](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/create-launch-template.html)commande du AWS CLI, spécifiez le nom du profil d'instance de votre rôle IAM, comme indiqué dans l'exemple suivant.

```
aws ec2 create-launch-template --launch-template-name my-lt-with-instance-profile --version-description version1 \
--launch-template-data '{"ImageId":"ami-04d5cc9b88example","InstanceType":"t2.micro","IamInstanceProfile":{"Name":"my-instance-profile"}}'
```

## Consultez aussi
<a name="iam-role-see-also"></a>

Pour plus d'informations permettant de découvrir et d'utiliser les rôles IAM pour Amazon EC2, consultez : 
+ [Rôles IAM pour Amazon](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html) EC2 dans le guide de l'utilisateur Amazon *EC2*
+ [Utilisation de profils d'instance](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2_instance-profiles.html) et [Utilisation d'un rôle IAM pour accorder des autorisations à des applications s'exécutant sur des instances Amazon EC2](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html) dans le *Guide de l'utilisateur IAM*