Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Sécurité dans AWS Batch
La sécurité du cloud AWS est la priorité absolue. En tant que AWS client, vous bénéficiez de centres de données et d'architectures réseau conçus pour répondre aux exigences des entreprises les plus sensibles en matière de sécurité.
La sécurité est une responsabilité partagée entre vous AWS et vous. Le [modèle de responsabilité partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) décrit ceci comme la sécurité *du* cloud et la sécurité *dans* le cloud :
+ **Sécurité du cloud** : AWS est chargée de protéger l'infrastructure qui exécute les AWS services dans le AWS Cloud. AWS vous fournit également des services que vous pouvez utiliser en toute sécurité. Des auditeurs tiers testent et vérifient régulièrement l'efficacité de notre sécurité dans le cadre des programmes de [AWS conformité Programmes](https://aws.amazon.com/compliance/programs/) de de conformité. Pour en savoir plus sur les programmes de conformité qui s'appliquent à AWS Batch, voir [AWS Services concernés par programme de conformitéAWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Sécurité dans le cloud** : votre responsabilité est déterminée par le AWS service que vous utilisez. Vous êtes également responsable d'autres facteurs, y compris la sensibilité de vos données, les exigences de votre entreprise, ainsi que la législation et la réglementation applicables.
Cette documentation vous aide à comprendre comment appliquer le modèle de responsabilité partagée lors de son utilisation AWS Batch. Les rubriques suivantes expliquent comment procéder à la configuration AWS Batch pour atteindre vos objectifs de sécurité et de conformité. Vous apprendrez également à utiliser d'autres AWS services qui vous aident à surveiller et à sécuriser vos AWS Batch ressources.
**Topics**
+ [Identity and Access Management pour AWS Batch](security-iam.md)
+ [AWS Batch Politiques, rôles et autorisations IAM](IAM_policies.md)
+ [AWS Batch Rôle d'exécution IAM](execution-IAM-role.md)
+ [Créer un Virtual Private Cloud](create-public-private-vpc.md)
+ [Utiliser un point de terminaison d'interface pour accéder AWS Batch](vpc-interface-endpoints.md)
+ [Validation de conformité pour AWS Batch](compliance.md)
+ [Sécurité de l'infrastructure dans AWS Batch](infrastructure-security.md)
+ [Prévention du problème de l’adjoint confus entre services](cross-service-confused-deputy-prevention.md)
+ [Journalisation des appels d' AWS Batch API avec AWS CloudTrail](logging-using-cloudtrail.md)
+ [Résoudre les problèmes liés à l'IAM AWS Batch](security_iam_troubleshoot.md)
# Identity and Access Management pour AWS Batch
Gestion des identités et des accès AWS (IAM) est un outil Service AWS qui permet à un administrateur de contrôler en toute sécurité l'accès aux AWS ressources. Les administrateurs IAM contrôlent qui peut être *authentifié* (connecté) et *autorisé (autorisé*) à utiliser AWS Batch les ressources. IAM est un Service AWS outil que vous pouvez utiliser sans frais supplémentaires.
**Topics**
+ [Public ciblé](#security_iam_audience)
+ [Authentification par des identités](#security_iam_authentication)
+ [Gestion de l’accès à l’aide de politiques](#security_iam_access-manage)
+ [Comment AWS Batch fonctionne avec IAM](security_iam_service-with-iam.md)
+ [Exemples de politiques basées sur l'identité pour AWS Batch](security_iam_id-based-policy-examples.md)
+ [AWS politiques gérées pour AWS Batch](security-iam-awsmanpol.md)
## Public ciblé
La façon dont vous utilisez Gestion des identités et des accès AWS (IAM) varie en fonction de votre rôle :
+ **Utilisateur du service** : demandez des autorisations à votre administrateur si vous ne pouvez pas accéder aux fonctionnalités (voir [Résoudre les problèmes liés à l'IAM AWS Batch](security_iam_troubleshoot.md))
+ **Administrateur du service** : déterminez l’accès des utilisateurs et soumettez les demandes d’autorisation (voir [Comment AWS Batch fonctionne avec IAM](security_iam_service-with-iam.md))
+ **Administrateur IAM** : rédigez des politiques pour gérer l’accès (voir [Exemples de politiques basées sur l'identité pour AWS Batch](security_iam_id-based-policy-examples.md))
## Authentification par des identités
L'authentification est la façon dont vous vous connectez à AWS l'aide de vos informations d'identification. Vous devez être authentifié en tant qu'utilisateur IAM ou en assumant un rôle IAM. Utilisateur racine d'un compte AWS
Vous pouvez vous connecter en tant qu'identité fédérée à l'aide d'informations d'identification provenant d'une source d'identité telle que AWS IAM Identity Center (IAM Identity Center), d'une authentification unique ou d'informations d'identification. Google/Facebook Pour plus d’informations sur la connexion, consultez [Connexion à votre Compte AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) dans le *Guide de l’utilisateur Connexion à AWS *.
Pour l'accès par programmation, AWS fournit un SDK et une CLI pour signer les demandes de manière cryptographique. Pour plus d’informations, consultez [Signature AWS Version 4 pour les demandes d’API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) dans le *Guide de l’utilisateur IAM*.
### Compte AWS utilisateur root
Lorsque vous créez un Compte AWS, vous commencez par une seule identité de connexion appelée *utilisateur Compte AWS root* qui dispose d'un accès complet à toutes Services AWS les ressources. Il est vivement déconseillé d’utiliser l’utilisateur racine pour vos tâches quotidiennes. Pour les tâches qui requièrent des informations d’identification de l’utilisateur racine, consultez [Tâches qui requièrent les informations d’identification de l’utilisateur racine](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) dans le *Guide de l’utilisateur IAM*.
### Identité fédérée
Il est recommandé d'obliger les utilisateurs humains à utiliser la fédération avec un fournisseur d'identité pour accéder à Services AWS l'aide d'informations d'identification temporaires.
Une *identité fédérée* est un utilisateur provenant de l'annuaire de votre entreprise, de votre fournisseur d'identité Web ou Directory Service qui y accède à Services AWS l'aide d'informations d'identification provenant d'une source d'identité. Les identités fédérées assument des rôles qui fournissent des informations d’identification temporaires.
Pour une gestion des accès centralisée, nous vous recommandons d’utiliser AWS IAM Identity Center. Pour plus d’informations, consultez [Qu’est-ce que IAM Identity Center ?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) dans le *Guide de l’utilisateur AWS IAM Identity Center *.
### Utilisateurs et groupes IAM
Un *[utilisateur IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* est une identité qui dispose d’autorisations spécifiques pour une seule personne ou application. Nous vous recommandons d’utiliser ces informations d’identification temporaires au lieu des utilisateurs IAM avec des informations d’identification à long terme. Pour plus d'informations, voir [Exiger des utilisateurs humains qu'ils utilisent la fédération avec un fournisseur d'identité pour accéder à AWS l'aide d'informations d'identification temporaires](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) dans le *guide de l'utilisateur IAM*.
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spécifient une collection d’utilisateurs IAM et permettent de gérer plus facilement les autorisations pour de grands ensembles d’utilisateurs. Pour plus d’informations, consultez [Cas d’utilisation pour les utilisateurs IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) dans le *Guide de l’utilisateur IAM*.
### Rôles IAM
Un *[rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* est une identité dotée d’autorisations spécifiques qui fournit des informations d’identification temporaires. Vous pouvez assumer un rôle en [passant d'un rôle d'utilisateur à un rôle IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) ou en appelant une opération d' AWS API AWS CLI ou d'API. Pour plus d’informations, consultez [Méthodes pour endosser un rôle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) dans le *Guide de l’utilisateur IAM*.
Les rôles IAM sont utiles pour l’accès des utilisateurs fédérés, les autorisations temporaires des utilisateurs IAM, les accès intercompte, les accès entre services et les applications exécutées sur Amazon EC2. Pour plus d’informations, consultez [Accès intercompte aux ressources dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dans le *Guide de l’utilisateur IAM*.
## Gestion de l’accès à l’aide de politiques
Vous contrôlez l'accès en AWS créant des politiques et en les associant à AWS des identités ou à des ressources. Une politique définit les autorisations lorsqu'elles sont associées à une identité ou à une ressource. AWS évalue ces politiques lorsqu'un directeur fait une demande. La plupart des politiques sont stockées AWS sous forme de documents JSON. Pour plus d’informations les documents de politique JSON, consultez [Vue d’ensemble des politiques JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) dans le *Guide de l’utilisateur IAM*.
À l’aide de politiques, les administrateurs précisent qui a accès à quoi en définissant quel **principal** peut effectuer des **actions** sur quelles **ressources** et dans quelles **conditions**.
Par défaut, les utilisateurs et les rôles ne disposent d’aucune autorisation. Un administrateur IAM crée des politiques IAM et les ajoute aux rôles, que les utilisateurs peuvent ensuite assumer. Les politiques IAM définissent les autorisations quelle que soit la méthode que vous utilisez pour exécuter l’opération.
### Politiques basées sur l’identité
Les stratégies basées sur l’identité sont des documents de stratégie d’autorisations JSON que vous attachez à une identité (utilisateur, groupe ou rôle). Ces politiques contrôlent les actions que peuvent exécuter ces identités, sur quelles ressources et dans quelles conditions. Pour découvrir comment créer une politique basée sur l’identité, consultez [Définition d’autorisations IAM personnalisées avec des politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dans le *Guide de l’utilisateur IAM*.
Les politiques basées sur l’identité peuvent être des *politiques intégrées* (intégrées directement dans une seule identité) ou des *politiques gérées (politiques* autonomes associées à plusieurs identités). Pour découvrir comment choisir entre des politiques gérées et en ligne, consultez [Choix entre les politiques gérées et les politiques en ligne](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) dans le *Guide de l’utilisateur IAM*.
### Politiques basées sur les ressources
Les politiques basées sur les ressources sont des documents de politique JSON que vous attachez à une ressource. Les exemples incluent *les politiques de confiance de rôle* IAM et les *stratégies de compartiment* Amazon S3. Dans les services qui sont compatibles avec les politiques basées sur les ressources, les administrateurs de service peuvent les utiliser pour contrôler l’accès à une ressource spécifique. Vous devez [spécifier un principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dans une politique basée sur les ressources.
Les politiques basées sur les ressources sont des politiques en ligne situées dans ce service. Vous ne pouvez pas utiliser les politiques AWS gérées par IAM dans une stratégie basée sur les ressources.
### Autres types de politique
AWS prend en charge des types de politiques supplémentaires qui peuvent définir les autorisations maximales accordées par les types de politiques les plus courants :
+ **Limites d’autorisations** : une limite des autorisations définit le nombre maximum d’autorisations qu’une politique basée sur l’identité peut accorder à une entité IAM. Pour plus d’informations, consultez [Limites d’autorisations pour des entités IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) dans le *Guide de l’utilisateur IAM*.
+ **Politiques de contrôle des services (SCPs)** — Spécifiez les autorisations maximales pour une organisation ou une unité organisationnelle dans AWS Organizations. Pour plus d’informations, consultez [Politiques de contrôle de service](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) dans le *Guide de l’utilisateur AWS Organizations *.
+ **Politiques de contrôle des ressources (RCPs)** : définissez le maximum d'autorisations disponibles pour les ressources de vos comptes. Pour plus d'informations, voir [Politiques de contrôle des ressources (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) dans le *guide de AWS Organizations l'utilisateur*.
+ **Politiques de session** : politiques avancées que vous passez en tant que paramètre lorsque vous créez par programmation une session temporaire pour un rôle ou un utilisateur fédéré. Pour plus d’informations, consultez [Politiques de session](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) dans le *Guide de l’utilisateur IAM*.
### Plusieurs types de politique
Lorsque plusieurs types de politiques s’appliquent à la requête, les autorisations en résultant sont plus compliquées à comprendre. Pour savoir comment AWS déterminer s'il faut autoriser une demande lorsque plusieurs types de politiques sont impliqués, consultez la section [Logique d'évaluation des politiques](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) dans le *guide de l'utilisateur IAM*.
# Comment AWS Batch fonctionne avec IAM
Avant d'utiliser IAM pour gérer l'accès à AWS Batch, découvrez les fonctionnalités IAM disponibles. AWS Batch
**Fonctionnalités IAM que vous pouvez utiliser avec AWS Batch**
| Fonctionnalité IAM | AWS Batch soutien |
| --- | --- |
| [Politiques basées sur l’identité](#security_iam_service-with-iam-id-based-policies) | Oui |
| Politiques basées sur les ressources | Non |
| [Actions de politique](#security_iam_service-with-iam-id-based-policies-actions) | Oui |
| [Ressources de politique](#security_iam_service-with-iam-id-based-policies-resources) | Oui |
| [Clés de condition de politique](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Oui |
| ACLs | Non |
| [ABAC (étiquettes dans les politiques)](#security_iam_service-with-iam-tags) | Oui |
| [Informations d’identification temporaires](#security_iam_service-with-iam-roles-tempcreds) | Oui |
| [Autorisations de principal](#security_iam_service-with-iam-principal-permissions) | Oui |
| [Rôles de service](#security_iam_service-with-iam-roles-service) | Oui |
| [Rôles liés à un service](#security_iam_service-with-iam-roles-service-linked) | Oui |
Pour obtenir une vue d'ensemble de la façon dont AWS Batch les autres AWS services fonctionnent avec la plupart des fonctionnalités IAM, consultez la section [AWS Services compatibles avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dans le Guide de l'utilisateur *IAM*.
## Politiques basées sur l'identité pour AWS Batch
**Prend en charge les politiques basées sur l’identité :** oui
Les politiques basées sur l’identité sont des documents de politique d’autorisations JSON que vous pouvez attacher à une identité telle qu’un utilisateur, un groupe d’utilisateurs ou un rôle IAM. Ces politiques contrôlent quel type d’actions des utilisateurs et des rôles peuvent exécuter, sur quelles ressources et dans quelles conditions. Pour découvrir comment créer une politique basée sur l’identité, consultez [Définition d’autorisations IAM personnalisées avec des politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dans le *Guide de l’utilisateur IAM*.
Avec les politiques IAM basées sur l’identité, vous pouvez spécifier des actions et ressources autorisées ou refusées, ainsi que les conditions dans lesquelles les actions sont autorisées ou refusées. Pour découvrir tous les éléments que vous utilisez dans une politique JSON, consultez [Références des éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dans le *Guide de l’utilisateur IAM*.
### Exemples de politiques basées sur l'identité pour AWS Batch
Pour consulter des exemples de politiques AWS Batch basées sur l'identité, consultez. [Exemples de politiques basées sur l'identité pour AWS Batch](security_iam_id-based-policy-examples.md)
## Actions politiques pour AWS Batch
**Prend en charge les actions de politique :** oui
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément `Action` d’une politique JSON décrit les actions que vous pouvez utiliser pour autoriser ou refuser l’accès à une politique. Intégration d’actions dans une politique afin d’accorder l’autorisation d’exécuter les opérations associées.
Pour consulter la liste des AWS Batch actions, reportez-vous à la section [Actions définies par AWS Batch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html#awsbatch-actions-as-permissions) dans la *référence d'autorisation de service*.
Les actions de politique en AWS Batch cours utilisent le préfixe suivant avant l'action :
```
batch
```
Pour indiquer plusieurs actions dans une seule déclaration, séparez-les par des virgules.
```
"Action": [
"batch:action1",
"batch:action2"
]
```
Vous pouvez aussi spécifier plusieurs actions à l’aide de caractères génériques (\$1). Par exemple, pour spécifier toutes les actions qui commencent par le mot `Describe`, incluez l’action suivante :
```
"Action": "batch:Describe*"
```
Pour consulter des exemples de politiques AWS Batch basées sur l'identité, consultez. [Exemples de politiques basées sur l'identité pour AWS Batch](security_iam_id-based-policy-examples.md)
## Ressources politiques pour AWS Batch
**Prend en charge les ressources de politique :** oui
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément de politique JSON `Resource` indique le ou les objets auxquels l’action s’applique. Il est recommandé de définir une ressource à l’aide de son [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Pour les actions qui ne sont pas compatibles avec les autorisations de niveau ressource, utilisez un caractère générique (\$1) afin d’indiquer que l’instruction s’applique à toutes les ressources.
```
"Resource": "*"
```
Pour consulter la liste des types de AWS Batch ressources et leurs caractéristiques ARNs, consultez la section [Ressources définies par AWS Batch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html#awsbatch-resources-for-iam-policies) dans la *référence d'autorisation de service*. Pour savoir grâce à quelles actions vous pouvez spécifier l’ARN de chaque ressource, consultez [Actions définies par AWS Batch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html#awsbatch-actions-as-permissions).
## Clés de conditions de politique pour AWS Batch
**Prend en charge les clés de condition de politique spécifiques au service :** oui
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément `Condition` indique à quel moment les instructions s’exécutent en fonction de critères définis. Vous pouvez créer des expressions conditionnelles qui utilisent des [opérateurs de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tels que les signes égal ou inférieur à, pour faire correspondre la condition de la politique aux valeurs de la demande. Pour voir toutes les clés de condition AWS globales, voir les clés de [contexte de condition AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) dans le *guide de l'utilisateur IAM*.
Pour consulter la liste des clés de AWS Batch condition, reportez-vous à la section [Clés de condition pour AWS Batch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html#awsbatch-policy-keys) la *référence d'autorisation de service*. Pour savoir avec quelles actions et ressources vous pouvez utiliser une clé de condition, consultez la section [Actions définies par AWS Batch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html#awsbatch-actions-as-permissions).
## Contrôle d'accès basé sur les attributs (ABAC) avec AWS Batch
**Prise en charge d’ABAC (balises dans les politiques) :** Oui
Le contrôle d’accès par attributs (ABAC) est une stratégie d’autorisation qui définit les autorisations en fonction des attributs appelés balises. Vous pouvez associer des balises aux entités et aux AWS ressources IAM, puis concevoir des politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de la ressource.
Pour contrôler l’accès basé sur des étiquettes, vous devez fournir les informations d’étiquette dans l’[élément de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) d’une politique utilisant les clés de condition `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` ou `aws:TagKeys`.
Si un service prend en charge les trois clés de condition pour tous les types de ressources, alors la valeur pour ce service est **Oui**. Si un service prend en charge les trois clés de condition pour certains types de ressources uniquement, la valeur est **Partielle**.
Pour plus d’informations sur ABAC, consultez [Définition d’autorisations avec l’autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *Guide de l’utilisateur IAM*. Pour accéder à un didacticiel décrivant les étapes de configuration de l’ABAC, consultez [Utilisation du contrôle d’accès par attributs (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) dans le *Guide de l’utilisateur IAM*.
## Utilisez des informations d'identification temporaires avec AWS Batch
**Prend en charge les informations d’identification temporaires :** oui
Les informations d'identification temporaires fournissent un accès à court terme aux AWS ressources et sont automatiquement créées lorsque vous utilisez la fédération ou que vous changez de rôle. AWS recommande de générer dynamiquement des informations d'identification temporaires au lieu d'utiliser des clés d'accès à long terme. Pour plus d’informations, consultez [Informations d’identification de sécurité temporaires dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) et [Services AWS compatibles avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dans le *Guide de l’utilisateur IAM*.
## Autorisations principales interservices pour AWS Batch
**Prend en charge les sessions d’accès direct (FAS) :** oui
Les sessions d'accès direct (FAS) utilisent les autorisations du principal appelant et Service AWS, combinées Service AWS à la demande d'envoi de demandes aux services en aval. Pour plus de détails sur la politique relative à la transmission de demandes FAS, consultez la section [Sessions de transmission d’accès](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Rôles de service pour AWS Batch
**Prend en charge les rôles de service :** oui
Un rôle de service est un [rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) qu’un service endosse pour accomplir des actions en votre nom. Un administrateur IAM peut créer, modifier et supprimer un rôle de service à partir d’IAM. Pour plus d’informations, consultez [Création d’un rôle pour la délégation d’autorisations à un Service AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) dans le *Guide de l’utilisateur IAM*.
**Avertissement**
La modification des autorisations associées à un rôle de service peut perturber AWS Batch les fonctionnalités. Ne modifiez des rôles de service que quand AWS Batch vous le conseille.
## Rôles liés à un service pour AWS Batch
**Prend en charge les rôles liés à un service :** oui
Un rôle lié à un service est un type de rôle de service lié à un. Service AWS Le service peut endosser le rôle afin d’effectuer une action en votre nom. Les rôles liés à un service apparaissent dans votre Compte AWS répertoire et appartiennent au service. Un administrateur IAM peut consulter, mais ne peut pas modifier, les autorisations concernant les rôles liés à un service.
Pour plus d’informations sur la création ou la gestion des rôles liés à un service, consultez [Services AWS qui fonctionnent avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Recherchez un service dans le tableau qui inclut un `Yes` dans la colonne **Rôle lié à un service**. Choisissez le lien **Oui** pour consulter la documentation du rôle lié à ce service.
# Exemples de politiques basées sur l'identité pour AWS Batch
Par défaut, les utilisateurs et les rôles ne sont pas autorisés à créer ou modifier les ressources AWS Batch . Pour octroyer aux utilisateurs des autorisations d’effectuer des actions sur les ressources dont ils ont besoin, un administrateur IAM peut créer des politiques IAM.
Pour apprendre à créer une politique basée sur l’identité IAM à l’aide de ces exemples de documents de politique JSON, consultez [Création de politiques IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) dans le *Guide de l’utilisateur IAM*.
Pour plus de détails sur les actions et les types de ressources définis par AWS Batch, y compris le format de ARNs pour chacun des types de ressources, voir [Actions, ressources et clés de condition AWS Batch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html) dans la *référence d'autorisation de service*.
**Topics**
+ [Bonnes pratiques en matière de politiques](#security_iam_service-with-iam-policy-best-practices)
+ [Utilisation de la AWS Batch console](#security_iam_id-based-policy-examples-console)
+ [Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations](#security_iam_id-based-policy-examples-view-own-permissions)
## Bonnes pratiques en matière de politiques
Les politiques basées sur l'identité déterminent si quelqu'un peut créer, accéder ou supprimer AWS Batch des ressources dans votre compte. Ces actions peuvent entraîner des frais pour votre Compte AWS. Lorsque vous créez ou modifiez des politiques basées sur l’identité, suivez ces instructions et recommandations :
+ **Commencez AWS par les politiques gérées et passez aux autorisations du moindre privilège : pour commencer à accorder des autorisations** à vos utilisateurs et à vos charges de travail, utilisez les *politiques AWS gérées* qui accordent des autorisations pour de nombreux cas d'utilisation courants. Ils sont disponibles dans votre Compte AWS. Nous vous recommandons de réduire davantage les autorisations en définissant des politiques gérées par les AWS clients spécifiques à vos cas d'utilisation. Pour plus d’informations, consultez [politiques gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [politiques gérées par AWS pour les activités professionnelles](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dans le *Guide de l’utilisateur IAM*.
+ **Accordez les autorisations de moindre privilège** : lorsque vous définissez des autorisations avec des politiques IAM, accordez uniquement les autorisations nécessaires à l’exécution d’une seule tâche. Pour ce faire, vous définissez les actions qui peuvent être entreprises sur des ressources spécifiques dans des conditions spécifiques, également appelées *autorisations de moindre privilège*. Pour plus d’informations sur l’utilisation d’IAM pour appliquer des autorisations, consultez [politiques et autorisations dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dans le *Guide de l’utilisateur IAM*.
+ **Utilisez des conditions dans les politiques IAM pour restreindre davantage l’accès** : vous pouvez ajouter une condition à vos politiques afin de limiter l’accès aux actions et aux ressources. Par exemple, vous pouvez écrire une condition de politique pour spécifier que toutes les demandes doivent être envoyées via SSL. Vous pouvez également utiliser des conditions pour accorder l'accès aux actions de service si elles sont utilisées par le biais d'un service spécifique Service AWS, tel que CloudFormation. Pour plus d’informations, consultez [Conditions pour éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dans le *Guide de l’utilisateur IAM*.
+ **Utilisez l’Analyseur d’accès IAM pour valider vos politiques IAM afin de garantir des autorisations sécurisées et fonctionnelles** : l’Analyseur d’accès IAM valide les politiques nouvelles et existantes de manière à ce que les politiques IAM respectent le langage de politique IAM (JSON) et les bonnes pratiques IAM. IAM Access Analyzer fournit plus de 100 vérifications de politiques et des recommandations exploitables pour vous aider à créer des politiques sécurisées et fonctionnelles. Pour plus d’informations, consultez [Validation de politiques avec IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) dans le *Guide de l’utilisateur IAM*.
+ **Exiger l'authentification multifactorielle (MFA**) : si vous avez un scénario qui nécessite des utilisateurs IAM ou un utilisateur root, activez l'authentification MFA pour une sécurité accrue. Compte AWS Pour exiger la MFA lorsque des opérations d’API sont appelées, ajoutez des conditions MFA à vos politiques. Pour plus d’informations, consultez [Sécurisation de l’accès aux API avec MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) dans le *Guide de l’utilisateur IAM*.
Pour plus d’informations sur les bonnes pratiques dans IAM, consultez [Bonnes pratiques de sécurité dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dans le *Guide de l’utilisateur IAM*.
## Utilisation de la AWS Batch console
Pour accéder à la AWS Batch console, vous devez disposer d'un ensemble minimal d'autorisations. Ces autorisations doivent vous permettre de répertorier et d'afficher les détails AWS Batch des ressources de votre Compte AWS. Si vous créez une politique basée sur l’identité qui est plus restrictive que l’ensemble minimum d’autorisations requis, la console ne fonctionnera pas comme prévu pour les entités (utilisateurs ou rôles) tributaires de cette politique.
Il n'est pas nécessaire d'accorder des autorisations de console minimales aux utilisateurs qui appellent uniquement l'API AWS CLI ou l' AWS API. Autorisez plutôt l’accès à uniquement aux actions qui correspondent à l’opération d’API qu’ils tentent d’effectuer.
Pour garantir que les utilisateurs et les rôles peuvent toujours utiliser la AWS Batch console, associez également la politique AWS Batch `ConsoleAccess` ou la politique `ReadOnly` AWS gérée aux entités. Pour plus d’informations, consultez [Ajout d’autorisations à un utilisateur](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) dans le *Guide de l’utilisateur IAM*.
## Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations
Cet exemple montre comment créer une politique qui permet aux utilisateurs IAM d’afficher les politiques en ligne et gérées attachées à leur identité d’utilisateur. Cette politique inclut les autorisations permettant d'effectuer cette action sur la console ou par programmation à l'aide de l'API AWS CLI or AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# AWS politiques gérées pour AWS Batch
Vous pouvez utiliser des politiques AWS gérées pour simplifier la gestion des identités et des accès pour votre équipe et les AWS ressources allouées. AWS les politiques gérées couvrent une variété de cas d'utilisation courants, sont disponibles par défaut dans votre AWS compte et sont maintenues et mises à jour en votre nom. Vous ne pouvez pas modifier les autorisations dans les politiques AWS gérées. Si vous avez besoin d'une plus grande flexibilité, vous pouvez également choisir de créer des politiques gérées par le client IAM. Ainsi, vous pouvez fournir aux ressources allouées à votre équipe uniquement les autorisations exactes dont elle a besoin.
Pour plus d'informations sur les politiques AWS gérées, voir les [politiques AWS gérées](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dans le *guide de l'utilisateur IAM*.
AWS les services maintiennent et mettent à jour les politiques AWS gérées en votre nom. Régulièrement, les AWS services ajoutent des autorisations supplémentaires à une politique AWS gérée. AWS les politiques gérées sont très probablement mises à jour lorsqu'une nouvelle fonctionnalité est lancée ou qu'une nouvelle opération est disponible. Ces mises à jour affectent automatiquement toutes les identités (utilisateurs, groupes et rôles) auxquelles la politique est attachée. Cependant, ils ne suppriment pas les autorisations et n'enfreignent pas vos autorisations existantes.
En outre, AWS prend en charge les politiques gérées pour les fonctions professionnelles qui couvrent plusieurs services. Par exemple, la politique `ReadOnlyAccess` AWS gérée fournit un accès en lecture seule à tous les AWS services et ressources. Lorsqu'un service lance une nouvelle fonctionnalité, il AWS ajoute des autorisations en lecture seule pour les nouvelles opérations et ressources. Pour obtenir la liste des politiques de fonctions professionnelles et leurs descriptions, consultez la page [politiques gérées par AWS pour les fonctions de tâche](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dans le *Guide de l’utilisateur IAM*.
## AWS politique gérée : **BatchServiceRolePolicy**
La politique IAM **BatchServiceRolePolicy**gérée est utilisée par le rôle lié au [`AWSServiceRoleForBatch`](using-service-linked-roles.md)service. Cela permet AWS Batch d'effectuer des actions en votre nom. Vous ne pouvez pas attacher cette politique à vos entités IAM. Pour de plus amples informations, veuillez consulter [Utilisation de rôles liés à un service pour AWS Batch](using-service-linked-roles.md).
Cette politique permet AWS Batch de réaliser les actions suivantes sur des ressources spécifiques :
+ `autoscaling`— Permet de AWS Batch créer et de gérer des ressources Amazon EC2 Auto Scaling. AWS Batch crée et gère des groupes Amazon EC2 Auto Scaling pour la plupart des environnements informatiques.
+ `ec2`— Permet AWS Batch de contrôler le cycle de vie des instances Amazon EC2 ainsi que de créer et de gérer des modèles et des balises de lancement. AWS Batch crée et gère les demandes EC2 Spot Fleet pour certains environnements informatiques EC2 Spot.
+ `ecs`- Permet AWS Batch de créer et de gérer des clusters Amazon ECS, des définitions de tâches et des tâches pour l'exécution des tâches.
+ `eks`- Permet AWS Batch de décrire la ressource du cluster Amazon EKS pour les validations.
+ `iam`- Permet AWS Batch de valider et de transmettre les rôles fournis par le propriétaire à Amazon EC2, Amazon EC2 Auto Scaling et Amazon ECS.
+ `logs`— Permet AWS Batch de créer et de gérer des groupes de journaux et des flux de journaux pour les AWS Batch tâches.
Pour consulter le JSON de la politique, consultez [BatchServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/BatchServiceRolePolicy.html)le [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html).
## AWS politique gérée : **AWSBatchServiceRolePolicyForSageMaker**
[`AWSServiceRoleForAWSBatchWithSagemaker`](using-service-linked-roles-batch-sagemaker.md)permet AWS Batch d'effectuer des actions en votre nom. Vous ne pouvez pas attacher cette politique à vos entités IAM. Pour de plus amples informations, veuillez consulter [Utilisation de rôles liés à un service pour AWS Batch](using-service-linked-roles.md).
Cette politique permet AWS Batch de réaliser les actions suivantes sur des ressources spécifiques :
+ `sagemaker`— Permet de AWS Batch gérer les tâches de formation SageMaker liées à l'IA et les autres ressources de l' SageMaker IA.
+ `iam:PassRole`— Permet de AWS Batch transmettre des rôles d'exécution définis par le client à l' SageMaker IA pour l'exécution des tâches. La contrainte de ressources permet de transmettre des rôles aux services d' SageMaker IA.
Pour consulter le JSON de la politique, consultez [AWSBatchServiceRolePolicyForSageMaker](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBatchServiceRolePolicyForSageMaker.html)le [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html).
## AWS stratégie gérée : **AWSBatchServiceRole**stratégie
La politique d'autorisations de rôle nommée **AWSBatchServiceRole**permet AWS Batch d'effectuer les actions suivantes sur des ressources spécifiques :
La politique IAM **AWSBatchServiceRole**gérée est souvent utilisée par un rôle nommé **AWSBatchServiceRole**et inclut les autorisations suivantes. Conformément aux conseils de sécurité standard pour accorder le moindre privilège, la stratégie gérée par **AWSBatchServiceRole** peut être utilisée comme guide. Si l'une des autorisations qui sont accordées dans la stratégie gérée n'est pas nécessaire pour votre cas d'utilisation, créez une stratégie personnalisée et ajoutez uniquement les autorisations dont vous avez besoin. Cette politique et ce rôle AWS Batch gérés peuvent être utilisés avec la plupart des types d'environnements informatiques, mais l'utilisation de rôles liés à un service est préférable pour une expérience gérée moins sujette aux erreurs, mieux circonscrite et améliorée.
+ `autoscaling`— Permet de AWS Batch créer et de gérer des ressources Amazon EC2 Auto Scaling. AWS Batch crée et gère des groupes Amazon EC2 Auto Scaling pour la plupart des environnements informatiques.
+ `ec2`— Permet AWS Batch de gérer le cycle de vie des instances Amazon EC2 ainsi que de créer et de gérer des modèles et des balises de lancement. AWS Batch crée et gère les demandes EC2 Spot Fleet pour certains environnements informatiques EC2 Spot.
+ `ecs`- Permet AWS Batch de créer et de gérer des clusters Amazon ECS, des définitions de tâches et des tâches pour l'exécution des tâches.
+ `iam`- Permet AWS Batch de valider et de transmettre les rôles fournis par le propriétaire à Amazon EC2, Amazon EC2 Auto Scaling et Amazon ECS.
+ `logs`— Permet AWS Batch de créer et de gérer des groupes de journaux et des flux de journaux pour les AWS Batch tâches.
Pour consulter le JSON de la politique, consultez [AWSBatchServiceRole](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBatchServiceRole.html)le [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html).
## AWS politique gérée : **AWSBatchFullAccess**
La **AWSBatchFullAccess**politique accorde aux AWS Batch actions un accès complet aux AWS Batch ressources. Il accorde également l'accès aux actions de description et de liste pour les services Amazon EC2, Amazon ECS CloudWatch, Amazon EKS et IAM. Cela permet aux identités IAM, qu'il s'agisse d'utilisateurs ou de rôles, de consulter les ressources AWS Batch gérées créées en leur nom. Enfin, cette politique permet également de transmettre des rôles IAM sélectionnés à ces services.
Vous pouvez les associer **AWSBatchFullAccess**à vos entités IAM. AWS Batch associe également cette politique à un rôle de service qui permet AWS Batch d'effectuer des actions en votre nom.
Pour consulter le JSON de la politique, consultez [AWSBatchFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBatchFullAccess.html)le [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html).
## AWS Batch mises à jour des politiques AWS gérées
Consultez les détails des mises à jour des politiques AWS gérées AWS Batch depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS sur la page Historique du AWS Batch document.
| Modifier | Description | Date |
| --- | --- | --- |
| ****[ AWSBatchServiceRolePolicyForSageMaker](using-service-linked-roles-batch-sagemaker.md)****politique ajoutée | Ajout d'une nouvelle politique AWS gérée pour le rôle ** AWSBatchServiceRolePolicyForSageMaker**lié au service qui permet de AWS Batch gérer l' SageMaker IA en votre nom. | 31 juillet 2025 |
| ****[BatchServiceRolePolicy](#security-iam-awsmanpol-BatchServiceRolePolicy)****politique mise à jour | Mise à jour pour ajouter la prise en charge de la description de l'historique des demandes et des Amazon EC2 Auto Scaling activités de Spot Fleet. | 5 décembre 2023 |
| ****[AWSBatchServiceRole](#security-iam-awsmanpol-AWSBatchServiceRolePolicy)****politique ajoutée | Mis à jour pour ajouter une déclaration IDs, accorder AWS Batch des autorisations à `ec2:DescribeSpotFleetRequestHistory` et`autoscaling:DescribeScalingActivities`. | 5 décembre 2023 |
| **[BatchServiceRolePolicy](#security-iam-awsmanpol-BatchServiceRolePolicy)**politique mise à jour | Mise à jour pour ajouter la prise en charge de la description des clusters Amazon EKS. | 20 octobre 2022 |
| **[AWSBatchFullAccess](#security-iam-awsmanpol-BatchFullAccess)**politique mise à jour | Mise à jour pour ajouter la prise en charge de la liste et de la description des clusters Amazon EKS. | 20 octobre 2022 |
| **[BatchServiceRolePolicy](#security-iam-awsmanpol-BatchServiceRolePolicy)**politique mise à jour | Mise à jour pour ajouter la prise en charge des groupes de réservation de capacité Amazon EC2 gérés par. Groupes de ressources AWS Pour plus d'informations, consultez la section [Travailler avec des groupes de réservation de capacité](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/create-cr-group.html) dans le *guide de l'utilisateur Amazon EC2*. | 18 mai 2022 |
| **[BatchServiceRolePolicy](#security-iam-awsmanpol-BatchServiceRolePolicy)**et **[AWSBatchServiceRole](using-service-linked-roles.md)**politiques mises à jour | Mise à jour pour ajouter la prise en charge de la description de l'état des instances AWS Batch gérées dans Amazon EC2 afin que les instances défectueuses soient remplacées. | 6 décembre 2021 |
| **[BatchServiceRolePolicy](#security-iam-awsmanpol-BatchServiceRolePolicy)**politique mise à jour | Mise à jour pour ajouter la prise en charge des groupes de placement, de la réservation de capacité, du GPU élastique et des ressources Elastic Inference dans Amazon EC2. | 26 mars 2021 |
| **[BatchServiceRolePolicy](#security-iam-awsmanpol-BatchServiceRolePolicy)**politique ajoutée | Avec la politique **BatchServiceRolePolicy**gérée pour le rôle **AWSServiceRoleForBatch**lié à un service, vous pouvez utiliser un rôle lié à un service géré par. AWS Batch Avec cette politique, vous n'avez pas besoin de conserver votre propre rôle à utiliser dans vos environnements informatiques. | 10 mars 2021 |
| **[AWSBatchFullAccess](#security-iam-awsmanpol-BatchFullAccess)**- ajouter l'autorisation d'ajouter un rôle lié à un service | Ajoutez des autorisations IAM pour autoriser l'ajout du rôle **AWSServiceRoleForBatch**lié au service au compte. | 10 mars 2021 |
| AWS Batch a commencé à suivre les modifications | AWS Batch a commencé à suivre les modifications apportées AWS à ses politiques gérées. | 10 mars 2021 |
# AWS Batch Politiques, rôles et autorisations IAM
Par défaut, les utilisateurs ne sont pas autorisés à créer ou à modifier AWS Batch des ressources ou à effectuer des tâches à l'aide de l' AWS Batch API, de la AWS Batch console ou du AWS CLI. Pour permettre aux utilisateurs d'effectuer ces actions, créez des politiques IAM qui accordent aux utilisateurs l'autorisation d'accéder à des ressources et à des opérations d'API spécifiques. Attachez ensuite les politiques aux utilisateurs ou aux groupes qui ont besoin de ces autorisations.
Lorsque vous associez une politique à un utilisateur ou à un groupe d'utilisateurs, elle autorise ou refuse les autorisations d'effectuer des tâches spécifiques sur des ressources spécifiques. Pour plus d'informations, consultez la section [Permissions et politiques](https://docs.aws.amazon.com/IAM/latest/UserGuide/PermissionsAndPolicies.html) du *guide de l'utilisateur IAM*. Pour plus d'informations sur la gestion et la création de stratégies IAM personnalisées, consultez [Gestion des stratégies IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/ManagingPolicies.html).
AWS Batch passe des appels à d'autres Services AWS personnes en votre nom. Par conséquent, vous AWS Batch devez vous authentifier à l'aide de vos informations d'identification. Plus précisément, AWS Batch s'authentifie en créant un rôle et une politique IAM fournissant ces autorisations. Il associe ensuite le rôle à vos environnements informatiques lorsque vous les créez. Pour plus d'informations[Rôle d'instance Amazon ECS](instance_IAM_role.md), consultez les sections Rôles [IAM, Utilisation de rôles](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-toplevel.html) [liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) et [Création d'un rôle pour déléguer des autorisations à un AWS service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) dans le Guide de l'utilisateur *IAM*.
**Topics**
+ [Structure des politiques IAM](iam-policy-structure.md)
+ [Ressource : exemples de politiques pour AWS Batch](ExamplePolicies_BATCH.md)
+ [Ressource : politique AWS Batch gérée](batch_managed_policies.md)
# Structure des politiques IAM
Les rubriques suivantes expliquent la structure d’une politique IAM.
**Topics**
+ [Syntaxe d’une politique](#policy-syntax)
+ [Actions d'API pour AWS Batch](#UsingWithbatch_Actions)
+ [Noms de ressources Amazon pour AWS Batch](#batch_ARN_Format)
+ [Vérifiez que les utilisateurs disposent des autorisations requises](#check-required-permissions)
## Syntaxe d’une politique
Une politique IAM est un document JSON qui se compose d’une ou de plusieurs déclarations. Chaque déclaration est structurée comme suit :
```
{
"Statement":[{
"Effect":"effect",
"Action":"action",
"Resource":"arn",
"Condition":{
"condition":{
"key":"value"
}
}
}
]
}
```
Les quatre éléments principaux d'une déclaration sont les suivants :
+ **Effect :** *effect* peut avoir la valeur `Allow` ou `Deny`. Par défaut, les utilisateurs ne sont pas autorisés à utiliser les ressources et les actions d'API. Toutes les demandes sont donc rejetées. Une autorisation explicite remplace l’autorisation par défaut. Un refus explicite remplace toute autorisation.
+ **Action** : L'*action* est l'action d'API spécifique pour laquelle vous accordez ou refusez l'autorisation. Pour obtenir des instructions sur la manière de spécifier l'*action*, reportez-vous à la section[Actions d'API pour AWS Batch](#UsingWithbatch_Actions).
+ **Resource** : la ressource affectée par l’action. Avec certaines actions d' AWS Batch API, vous pouvez inclure dans votre politique des ressources spécifiques qui peuvent être créées ou modifiées par l'action. Pour spécifier une ressource dans la déclaration, vous utilisez son nom Amazon Resource Name (ARN). Pour plus d’informations, consultez [Autorisations prises en charge au niveau des ressources pour les actions d'API AWS Batch](batch-supported-iam-actions-resources.md) et [Noms de ressources Amazon pour AWS Batch](#batch_ARN_Format). Si l'opération AWS Batch d'API ne prend actuellement pas en charge les autorisations au niveau des ressources, incluez un caractère générique (\$1) pour indiquer que toutes les ressources peuvent être affectées par l'action.
+ **Condition** : les conditions sont facultatives. Elles permettent de contrôler à quel moment votre politique est effective.
Pour plus d'informations sur les exemples de déclarations de politique IAM pour AWS Batch, consultez[Ressource : exemples de politiques pour AWS Batch](ExamplePolicies_BATCH.md).
## Actions d'API pour AWS Batch
Dans une déclaration de politique IAM, vous pouvez spécifier une action d’API à partir de n’importe quel service prenant en charge IAM. Pour AWS Batch, utilisez le préfixe suivant avec le nom de l'action d'API : `batch:` (par exemple, `batch:SubmitJob` et`batch:CreateComputeEnvironment`).
Pour spécifier plusieurs actions dans une seule instruction, séparez-les par une virgule.
```
"Action": ["batch:action1", "batch:action2"]
```
Vous pouvez également spécifier plusieurs actions en incluant un caractère générique (\$1). Par exemple, vous pouvez spécifier toutes les actions avec un nom commençant par le mot « Décrire ».
```
"Action": "batch:Describe*"
```
Pour spécifier toutes les actions AWS Batch d'API, incluez un caractère générique (\$1).
```
"Action": "batch:*"
```
Pour obtenir la liste des AWS Batch actions, consultez la section [Actions](https://docs.aws.amazon.com/batch/latest/APIReference/API_Operations.html) dans la *référence de l'AWS Batch API*.
## Noms de ressources Amazon pour AWS Batch
Chaque déclaration de politique IAM s'applique aux ressources que vous spécifiez à l'aide de leur Amazon Resource Names (ARNs).
La syntaxe générale d'un Amazon Resource Name (ARN) est la suivante :
```
arn:aws:[service]:[region]:[account]:resourceType/resourcePath
```
*web*
Le service (par exemple, `batch`).
*region*
Le Région AWS pour la ressource (par exemple,`us-east-2`).
*account*
L' Compte AWS identifiant, sans tiret (par exemple,`123456789012`).
*resourceType*
Le type de ressource (par exemple, `compute-environment`).
*chemin de la ressource*
Un chemin qui identifie la ressource. Vous pouvez utiliser un caractère générique (\$1) dans vos tracés.
AWS Batch Les opérations d'API prennent actuellement en charge les autorisations au niveau des ressources pour plusieurs opérations d'API. Pour de plus amples informations, veuillez consulter [Autorisations prises en charge au niveau des ressources pour les actions d'API AWS Batch](batch-supported-iam-actions-resources.md). Pour spécifier toutes les ressources, ou si une action d'API spécifique n'est pas prise en charge ARNs, incluez un caractère générique (\$1) dans l'`Resource`élément.
```
"Resource": "*"
```
## Vérifiez que les utilisateurs disposent des autorisations requises
Avant de mettre une politique IAM en production, assurez-vous qu'elle accorde aux utilisateurs les autorisations nécessaires pour utiliser les actions d'API et les ressources spécifiques dont ils ont besoin.
Pour ce faire, créez d'abord un utilisateur à des fins de test et associez la politique IAM à l'utilisateur de test. Ensuite, créez une demande en tant qu’utilisateur test. Vous pouvez tester les demandes dans la console ou avec l' AWS CLI.
**Note**
Vous pouvez également tester vos politiques à l'aide du [simulateur de politiques IAM](https://policysim.aws.amazon.com/home/index.jsp?#). Pour plus d'informations sur le simulateur de politiques, consultez la section [Utilisation du simulateur de politiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/policies_testing-policies.html) dans le guide de l'*utilisateur d'IAM*.
Si la stratégie n'accorde pas à l'utilisateur les autorisations que vous escomptiez, ou si elles sont trop excessives, vous pouvez ajuster la stratégie selon vos besoins. Testez-la à nouveau jusqu'à ce que vous obteniez les résultats souhaités.
**Important**
La propagation des modifications de la politique peut durer plusieurs minutes avant qu’elles ne prennent effet. Par conséquent, nous vous recommandons de laisser passer au moins cinq minutes avant de tester les mises à jour de vos politiques.
Si un contrôle d’autorisation échoue, la demande retourne un message codé avec les informations de diagnostic. Vous pouvez décoder le message à l’aide de l’action `DecodeAuthorizationMessage`. Pour plus d'informations, reportez-vous [DecodeAuthorizationMessage](https://docs.aws.amazon.com/STS/latest/APIReference/API_DecodeAuthorizationMessage.html)à la *référence de l'AWS Security Token Service API* et [decode-authorization-message](https://docs.aws.amazon.com/cli/latest/reference/sts/decode-authorization-message.html)à la *référence des AWS CLI commandes*.
# Ressource : exemples de politiques pour AWS Batch
Vous pouvez créer des politiques IAM spécifiques pour restreindre les appels et les ressources auxquels les utilisateurs de votre compte ont accès. Vous pouvez ensuite associer ces politiques aux utilisateurs.
Lorsque vous associez une politique à un utilisateur ou à un groupe d'utilisateurs, elle autorise ou refuse aux utilisateurs l'autorisation d'exécuter des tâches spécifiques sur des ressources spécifiques. Pour plus d'informations, consultez la section [Permissions et politiques](https://docs.aws.amazon.com/IAM/latest/UserGuide/PermissionsAndPolicies.html) du *guide de l'utilisateur IAM*. Pour obtenir des instructions sur la façon de gérer et de créer des politiques IAM personnalisées, consultez la section [Gestion des politiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/ManagingPolicies.html).
Les exemples suivants présentent des déclarations de politique que vous pouvez utiliser pour contrôler les autorisations accordées aux utilisateurs AWS Batch.
**Topics**
+ [Accès en lecture seule](iam-example-read-only.md)
+ [Ressource : Restreindre l'utilisateur, l'image, les privilèges, le rôle](iam-example-job-def.md)
+ [Restreindre la soumission de tâches](iam-example-restrict-job-submission.md)
+ [Limiter à une file d'attente de tâches](iam-example-restrict-job-queue.md)
+ [Refuser l'action lorsque toutes les conditions correspondent à des chaînes](iam-example-job-def-deny-all-image-logdriver.md)
+ [Ressource : Refuser l'action lorsque des clés de condition correspondent à des chaînes](iam-example-job-def-deny-any-image-logdriver.md)
+ [Utiliser la clé de `batch:ShareIdentifier` condition](iam-example-share-identifier.md)
+ [Gérez les ressources de l' SageMaker IA avec AWS Batch](iam-example-full-access-service-environment.md)
+ [Restreindre la soumission de tâches par des balises de ressources](iam-example-restrict-job-submission-by-tags.md)
# Ressource : Accès en lecture seule pour AWS Batch
La politique suivante autorise les utilisateurs à utiliser toutes les actions d' AWS Batch API dont le nom commence par `Describe` et`List`.
À moins qu'une autre déclaration ne leur accorde l'autorisation de le faire, les utilisateurs ne sont pas autorisés à effectuer des actions sur les ressources. Par défaut, ils ne sont pas autorisés à utiliser les actions de l'API.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:Describe*",
"batch:List*",
"batch:Get*"
],
"Resource": "*"
}
]
}
```
------
# Ressource : Limiter à l'utilisateur POSIX, à l'image Docker, au niveau de privilège et au rôle lors de la soumission des tâches
La politique suivante permet à un utilisateur POSIX de gérer son propre ensemble de définitions de tâches restreintes.
Utilisez les première et deuxième instructions pour enregistrer et désenregistrer tout nom de définition de tâche dont le nom est préfixé par. *JobDefA\$1*
La première instruction utilise également des clés de contexte de condition pour restreindre l'utilisateur POSIX, le statut privilégié et les valeurs d'images de conteneur au sein des `containerProperties` d'une définition de tâche. Pour plus d’informations, consultez [RegisterJobDefinition](https://docs.aws.amazon.com/batch/latest/APIReference/API_RegisterJobDefinition.html) dans la *Référence d’API AWS Batch *. Dans cet exemple, les définitions de tâches ne peuvent être enregistrées que lorsque l'utilisateur POSIX est défini sur. `nobody` Le drapeau privilégié est défini sur`false`. Enfin, l'image est configurée pour figurer `myImage` dans un référentiel Amazon ECR.
**Important**
Docker résout le `user` paramètre pour cet utilisateur `uid` depuis l'image du conteneur. Dans la plupart des cas, cela se trouve dans le `/etc/passwd` fichier contenu dans l'image du conteneur. Cette résolution de noms peut être évitée en utilisant des `uid` valeurs directes à la fois dans la définition de la tâche et dans les politiques IAM associées. Les opérations AWS Batch d'API et les clés conditionnelles `batch:User` IAM prennent en charge les valeurs numériques.
Utilisez la troisième déclaration pour limiter la définition d'une tâche à un rôle spécifique.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:RegisterJobDefinition"
],
"Resource": [
"arn:aws:batch:us-east-2:999999999999:job-definition/JobDefA_*"
],
"Condition": {
"StringEquals": {
"batch:User": [
"nobody"
],
"batch:Image": [
"999999999999.dkr.ecr.us-east-2.amazonaws.com/myImage"
]
},
"Bool": {
"batch:Privileged": "false"
}
}
},
{
"Effect": "Allow",
"Action": [
"batch:DeregisterJobDefinition"
],
"Resource": [
"arn:aws:batch:us-east-2:999999999999:job-definition/JobDefA_*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::999999999999:role/MyBatchJobRole"
]
}
]
}
```
------
# Ressource : Restreindre au préfixe de définition de tâche lors de la soumission de la tâche
Utilisez la politique suivante pour soumettre des tâches à n'importe quelle file d'attente de tâches avec un nom de définition de tâche commençant par*JobDefA*.
**Important**
Lors de la restriction de l'accès au niveau des ressources pour la soumission de tâche, vous devez fournir des types de ressources de file d'attente de tâches et de définition de tâche.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:SubmitJob"
],
"Resource": [
"arn:aws:batch:us-east-2:111122223333:job-definition/JobDefA_*",
"arn:aws:batch:us-east-2:111122223333:job-queue/*"
]
}
]
}
```
------
# Ressource : Restreindre à une file d'attente de tâches
Utilisez la politique suivante pour soumettre des tâches à une file d'attente de tâches spécifique nommée **queue1** avec n'importe quel nom de définition de tâche.
**Important**
Lors de la restriction de l'accès au niveau des ressources pour la soumission de tâche, vous devez fournir des types de ressources de file d'attente de tâches et de définition de tâche.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:SubmitJob"
],
"Resource": [
"arn:aws:batch:us-east-2:888888888888:job-definition/*",
"arn:aws:batch:us-east-2:888888888888:job-queue/queue1"
]
}
]
}
```
------
# Refuser l'action lorsque toutes les conditions correspondent à des chaînes
La politique suivante refuse l'accès à l'opération d'[https://docs.aws.amazon.com/batch/latest/APIReference/API_RegisterJobDefinition.html](https://docs.aws.amazon.com/batch/latest/APIReference/API_RegisterJobDefinition.html)API lorsque la clé de condition `batch:Image` (ID de l'image du conteneur) est « *string1* » et la clé de condition `batch:LogDriver` (pilote du journal du conteneur) est « »*string2*. AWS Batch évalue les clés de condition sur chaque conteneur. Lorsqu'une tâche couvre plusieurs conteneurs, tels qu'une tâche parallèle à nœuds multiples, il est possible que les conteneurs aient des configurations différentes. Si plusieurs clés de condition sont évaluées dans une instruction, elles sont combinées de manière `AND` logique. Ainsi, si l'une des multiples clés de condition ne correspond pas à un conteneur, l'`Deny`effet ne s'applique pas à ce conteneur. Au contraire, un conteneur différent pour la même tâche peut être refusé.
Pour la liste des clés de condition pour AWS Batch, voir [Clés de condition pour AWS Batch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html#awsbatch-policy-keys) dans la *référence d'autorisation de service*. À l'exception de`batch:ShareIdentifier`, toutes les clés de `batch` condition peuvent être utilisées de cette manière. La clé de `batch:ShareIdentifier` condition est définie pour une tâche, et non pour une définition de tâche.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:RegisterJobDefinition"
],
"Resource": [
"*"
]
},
{
"Effect": "Deny",
"Action": "batch:RegisterJobDefinition",
"Resource": "*",
"Condition": {
"StringEquals": {
"batch:Image": "string1",
"batch:LogDriver": "string2"
}
}
}
]
}
```
------
# Ressource : Refuser l'action lorsque des clés de condition correspondent à des chaînes
La politique suivante refuse l'accès à l'opération d'[https://docs.aws.amazon.com/batch/latest/APIReference/API_RegisterJobDefinition.html](https://docs.aws.amazon.com/batch/latest/APIReference/API_RegisterJobDefinition.html)API lorsque la clé de condition `batch:Image` (ID de l'image du conteneur) est « *string1* » ou que la clé de condition `batch:LogDriver` (pilote du journal du conteneur) est « »*string2*. Lorsqu'une tâche couvre plusieurs conteneurs, tels qu'une tâche parallèle à nœuds multiples, il est possible que les conteneurs aient des configurations différentes. Si plusieurs clés de condition sont évaluées dans une instruction, elles sont combinées de manière `AND` logique. Ainsi, si l'une des multiples clés de condition ne correspond pas à un conteneur, l'`Deny`effet ne s'applique pas à ce conteneur. Au contraire, un conteneur différent pour la même tâche peut être refusé.
Pour la liste des clés de condition pour AWS Batch, voir [Clés de condition pour AWS Batch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html#awsbatch-policy-keys) dans la *référence d'autorisation de service*. À l'exception de`batch:ShareIdentifier`, toutes les clés de `batch` condition peuvent être utilisées de cette manière. (La clé de `batch:ShareIdentifier` condition est définie pour une tâche, pas pour une définition de tâche.)
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:RegisterJobDefinition"
],
"Resource": [
"*"
]
},
{
"Effect": "Deny",
"Action": [
"batch:RegisterJobDefinition"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"batch:Image": [
"string1"
]
}
}
},
{
"Effect": "Deny",
"Action": [
"batch:RegisterJobDefinition"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"batch:LogDriver": [
"string2"
]
}
}
}
]
}
```
------
# Ressource : Utiliser la clé de `batch:ShareIdentifier` condition
Utilisez la politique suivante pour soumettre les tâches qui utilisent la définition de `jobDefA` tâche à la file d'attente des `jobqueue1` tâches avec l'identifiant de `lowCpu` partage.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:SubmitJob"
],
"Resource": [
"arn:aws:batch:us-east-2:555555555555:job-definition/JobDefA",
"arn:aws:batch:us-east-2:555555555555:job-queue/jobqueue1"
],
"Condition": {
"StringEquals": {
"batch:ShareIdentifier": [
"lowCpu"
]
}
}
}
]
}
```
------
# Gérez les ressources de l' SageMaker IA avec AWS Batch
Cette politique permet de AWS Batch gérer les ressources de SageMaker l'IA.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAWSBatchWithSagemaker",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "sagemaker-queuing.batch.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"sagemaker.amazonaws.com"
]
}
}
}
]
}
```
------
# Ressource : Restreindre la soumission des tâches par des balises de ressource sur la définition des tâches et dans la file d'attente des tâches
Utilisez la politique suivante pour soumettre des tâches uniquement lorsque la file d'attente de tâches possède la balise `Environment=dev` et que la définition de tâche possède la balise`Project=calc`. Cette politique explique comment utiliser les balises de ressources pour contrôler l'accès aux AWS Batch ressources lors de la soumission des tâches.
**Important**
Lorsque vous soumettez des tâches avec des politiques qui évaluent les balises de ressources de définition de tâche, vous devez soumettre des tâches en utilisant le format de révision des définitions de tâches (`job-definition:revision`). Si vous soumettez des tâches sans spécifier de révision, les balises de définition des tâches ne seront pas évaluées, ce qui peut contourner les contrôles d'accès prévus. Le `*:*` modèle de l'ARN de la ressource impose que les soumissions doivent inclure une révision, afin de garantir que les politiques relatives aux balises sont toujours appliquées efficacement.
Cette politique utilise deux instructions distinctes car elle applique des conditions de balise différentes aux différents types de ressources. Lors de la restriction de l'accès au niveau des ressources pour la soumission de tâche, vous devez fournir des types de ressources de file d'attente de tâches et de définition de tâche.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "batch:SubmitJob",
"Resource": "arn:aws:batch:*:*:job-queue/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Environment": "dev"
}
}
},
{
"Effect": "Allow",
"Action": "batch:SubmitJob",
"Resource": "arn:aws:batch:*:*:job-definition/*:*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Project": "calc"
}
}
}
]
}
```
# Ressource : politique AWS Batch gérée
AWS Batch fournit une politique gérée que vous pouvez associer aux utilisateurs. Cette politique autorise l'utilisation des AWS Batch ressources et des opérations d'API. Vous pouvez appliquer cette stratégie directement ou l'utiliser comme point de départ pour créer vos propres stratégies. Pour plus d'informations sur chaque opération d'API mentionnée dans ces politiques, consultez la section [Actions](https://docs.aws.amazon.com/batch/latest/APIReference/API_Operations.html) de la *référence AWS Batch d'API*.
## AWSBatchFullAccess
Cette politique autorise l'accès complet de l'administrateur à AWS Batch.
Pour consulter le JSON de la politique, consultez [AWSBatchFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBatchFullAccess.html)le [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html).
# AWS Batch Rôle d'exécution IAM
Le rôle d'exécution accorde au conteneur Amazon ECS et aux AWS Fargate agents l'autorisation d'effectuer des appels d' AWS API en votre nom.
**Note**
Le rôle d'exécution est pris en charge par l'agent de conteneur Amazon ECS version 1.16.0 et versions ultérieures.
Le rôle d'exécution IAM est requis en fonction des exigences de votre tâche. Vous pouvez avoir plusieurs rôles d'exécution pour différents objectifs et services associés à votre compte.
**Note**
Pour plus d'informations sur le rôle d'instance Amazon ECS, consultez[Rôle d'instance Amazon ECS](instance_IAM_role.md). Pour plus d'informations sur les rôles de service, consultez[Comment AWS Batch fonctionne avec IAM](security_iam_service-with-iam.md).
Amazon ECS fournit la politique `AmazonECSTaskExecutionRolePolicy` gérée. Cette politique contient les autorisations requises pour les cas d'utilisation courants décrits ci-dessus. Il peut être nécessaire d'ajouter des politiques intégrées à votre rôle d'exécution pour les cas d'utilisation particuliers décrits ci-dessous.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecr:GetAuthorizationToken",
"ecr:BatchCheckLayerAvailability",
"ecr:GetDownloadUrlForLayer",
"ecr:BatchGetImage",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": "*"
}
]
}
```
------
# Autorisations prises en charge au niveau des ressources pour les actions d'API AWS Batch
Le terme *autorisations au niveau des ressources* fait référence à la capacité de spécifier les ressources sur lesquelles les utilisateurs sont autorisés à effectuer des actions. AWS Batch prend partiellement en charge les autorisations au niveau des ressources. Pour certaines AWS Batch actions, vous pouvez contrôler le moment où les utilisateurs sont autorisés à utiliser ces actions en fonction des conditions qui doivent être remplies. Vous pouvez également contrôler en fonction des ressources spécifiques que les utilisateurs sont autorisés à utiliser. Par exemple, vous pouvez autoriser les utilisateurs à soumettre des tâches, mais uniquement à une file d'attente spécifique et uniquement avec une définition de tâche spécifique.
Pour plus de détails sur les actions et les types de ressources définis par AWS Batch, y compris le ARNs format de chaque type de ressource, voir Actions, ressources et clés de condition [AWS Batch](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsbatch.html)dans la *référence d'autorisation de service*.
# Tutoriel : Création du rôle d'exécution IAM
Si votre compte ne possède pas encore de rôle d'exécution IAM, suivez les étapes ci-dessous pour créer le rôle.
1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Dans le panneau de navigation, choisissez **Rôles**.
1. Sélectionnez **Create role** (Créer un rôle).
1. Pour **Type d'entité de confiance**, sélectionnez ** Service AWS**.
1. Pour **Service ou cas d'utilisation**, choisissez **Elastic Container Service**. Choisissez ensuite à nouveau **Elastic Container Service Task**.
1. Choisissez **Suivant**.
1. Pour **les politiques relatives aux autorisations**, recherchez **Amazon ECSTask ExecutionRolePolicy**.
1. Cochez la case située à gauche de la ECSTask ExecutionRolePolicy politique d'**Amazon**, puis choisissez **Next**.
1. Dans **Nom du rôle**, entrez `ecsTaskExecutionRole` puis choisissez **Créer un rôle**.
# Tutoriel : Vérifiez le rôle d'exécution IAM
Utilisez la procédure suivante pour vérifier que votre compte possède déjà le rôle d'exécution IAM et associez la politique IAM gérée, si nécessaire.
1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Dans le panneau de navigation, choisissez **Rôles**.
1. Recherchez dans la liste des rôles `ecsTaskExecutionRole`. Si vous ne trouvez pas le rôle, consultez[Tutoriel : Création du rôle d'exécution IAM](create-execution-role.md). Si vous avez trouvé le rôle, choisissez-le pour afficher les politiques associées.
1. Dans l'onglet **Autorisations**, vérifiez que la politique ECSTask ExecutionRolePolicy gérée par **Amazon** est attachée au rôle. Si la politique est attachée, votre rôle d'exécution est correctement configuré. Sinon, suivez les sous-étapes ci-dessous pour attacher la politique.
1. Choisissez **Ajouter des autorisations**, puis choisissez **Joindre des politiques**.
1. Recherchez **Amazon ECSTask ExecutionRolePolicy**.
1. Cochez la case située à gauche de la ECSTask ExecutionRolePolicy politique d'**Amazon** et choisissez **Joindre les politiques**.
1. Choisissez **Trust Relationships** (Relations d'approbation).
1. Vérifiez que la relation d'approbation contient la politique suivante. Si la relation de confiance correspond à la politique ci-dessous, le rôle est correctement configuré. Si la relation d'approbation ne correspond pas, choisissez **Modifier la politique de confiance**, entrez ce qui suit, puis choisissez **Mettre à jour la politique**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "ecs-tasks.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
# Utilisation de rôles liés à un service pour AWS Batch
AWS Batch utilise des Gestion des identités et des accès AWS rôles liés à un [service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un rôle lié à un service est un type unique de rôle IAM directement lié à. AWS Batch Les rôles liés au service sont prédéfinis par AWS Batch et incluent toutes les autorisations dont le service a besoin pour appeler d'autres AWS services en votre nom.
AWS Batch utilise deux rôles différents liés à un service :
+ [AWSServiceRoleForBatch](using-service-linked-roles-batch-general.md)- Pour les AWS Batch opérations, y compris les environnements informatiques.
+ [AWSServiceRoleForAWSBatchWithSagemaker](using-service-linked-roles-batch-sagemaker.md)- Pour la gestion de la charge de travail de l' SageMaker IA et la mise en file d'attente.
**Topics**
+ [Utilisation de rôles pour AWS Batch](using-service-linked-roles-batch-general.md)
+ [Utiliser les rôles pour utiliser AWS Batch l' SageMaker IA](using-service-linked-roles-batch-sagemaker.md)
# Utilisation de rôles pour AWS Batch
AWS Batch utilise des Gestion des identités et des accès AWS rôles liés à un [service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un rôle lié à un service est un type unique de rôle IAM directement lié à. AWS Batch Les rôles liés au service sont prédéfinis par AWS Batch et incluent toutes les autorisations dont le service a besoin pour appeler d'autres AWS services en votre nom.
Un rôle lié à un service facilite la configuration AWS Batch car vous n'avez pas à ajouter manuellement les autorisations nécessaires. AWS Batch définit les autorisations associées à ses rôles liés aux services et, sauf indication contraire, seul AWS Batch peut assumer ses rôles. Les autorisations définies comprennent la politique de confiance et la politique d’autorisation. De plus, cette politique d’autorisation ne peut pas être attachée à une autre entité IAM.
**Note**
Procédez de l'une des manières suivantes pour spécifier un rôle de service pour un environnement AWS Batch informatique.
Utilisez une chaîne vide pour le rôle de service. Cela permet de AWS Batch créer le rôle de service.
Spécifiez le rôle de service au format suivant :`arn:aws:iam::account_number:role/aws-service-role/batch.amazonaws.com/AWSServiceRoleForBatch`.
Pour plus d'informations, consultez [Nom de rôle ou ARN incorrect](invalid_compute_environment.md#invalid_service_role_arn) le guide de AWS Batch l'utilisateur.
Vous pouvez supprimer un rôle lié à un service uniquement après la suppression préalable de ses ressources connexes. Cela protège vos AWS Batch ressources car vous ne pouvez pas supprimer par inadvertance l'autorisation d'accès aux ressources.
Pour plus d'informations sur les autres services qui prennent en charge les rôles liés à un service, consultez la section [AWS Services qui fonctionnent avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) et recherchez les services dont la valeur est **Oui** dans la colonne Rôles liés à un **service**. Sélectionnez un **Oui** ayant un lien pour consulter la documentation du rôle lié à un service, pour ce service.
## Autorisations de rôle liées à un service pour AWS Batch
AWS Batch utilise le rôle lié au service nommé **AWSServiceRoleForBatch**— Permet de AWS Batch créer et de gérer des AWS ressources en votre nom.
Le rôle AWSService RoleForBatch lié à un service fait confiance aux services suivants pour assumer le rôle :
+ `batch.amazonaws.com`
La politique d'autorisations de rôle nommée [BatchServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-BatchServiceRolePolicy) AWS Batch permet d'effectuer les actions suivantes sur les ressources spécifiées :
+ `autoscaling`— Permet de AWS Batch créer et de gérer des ressources Amazon EC2 Auto Scaling. AWS Batch crée et gère des groupes Amazon EC2 Auto Scaling pour la plupart des environnements informatiques.
+ `ec2`— Permet AWS Batch de contrôler le cycle de vie des instances Amazon EC2 ainsi que de créer et de gérer des modèles et des balises de lancement. AWS Batch crée et gère les demandes EC2 Spot Fleet pour certains environnements informatiques EC2 Spot.
+ `ecs`- Permet AWS Batch de créer et de gérer des clusters Amazon ECS, des définitions de tâches et des tâches pour l'exécution des tâches.
+ `eks`- Permet AWS Batch de décrire la ressource du cluster Amazon EKS pour les validations.
+ `iam`- Permet AWS Batch de valider et de transmettre les rôles fournis par le propriétaire à Amazon EC2, Amazon EC2 Auto Scaling et Amazon ECS.
+ `logs`— Permet AWS Batch de créer et de gérer des groupes de journaux et des flux de journaux pour les AWS Batch tâches.
Vous devez configurer les autorisations de manière à permettre à vos utilisateurs, groupes ou rôles de créer, modifier ou supprimer un rôle lié à un service. Pour plus d’informations, consultez [Autorisations de rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dans le *Guide de l’utilisateur IAM*.
## Création d'un rôle lié à un service pour AWS Batch
Vous n’avez pas besoin de créer manuellement un rôle lié à un service. Lorsque vous créez un environnement informatique dans le AWS Management Console, le ou l' AWS API AWS CLI, vous AWS Batch créez le rôle lié au service pour vous.
**Important**
Ce rôle lié à un service peut apparaître dans votre compte si vous avez effectué une action dans un autre service qui utilise les fonctions prises en charge par ce rôle. Si vous utilisiez le AWS Batch service avant le 10 mars 2021, date à laquelle il a commencé à prendre en charge les rôles liés au service, vous avez AWS Batch créé le AWSService RoleForBatch rôle dans votre compte. Pour en savoir plus, voir [Un nouveau rôle est apparu dans mon Compte AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte. Lorsque vous créez un environnement informatique, il AWS Batch crée à nouveau le rôle lié au service pour vous.
## Modification d'un rôle lié à un service pour AWS Batch
AWS Batch ne vous permet pas de modifier le rôle AWSService RoleForBatch lié au service. Après avoir créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence à ce rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d’informations, consultez [Modification d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le *Guide de l’utilisateur IAM*.
**Pour autoriser une entité IAM à modifier la description du rôle lié à un AWSService RoleForBatch service**
Ajoutez la déclaration suivante à la politique d'autorisation. Cela permet à l'entité IAM de modifier la description d'un rôle lié à un service.
```
{
"Effect": "Allow",
"Action": [
"iam:UpdateRoleDescription"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/batch.amazonaws.com/AWSServiceRoleForBatch",
"Condition": {"StringLike": {"iam:AWSServiceName": "batch.amazonaws.com"}}
}
```
## Supprimer un rôle lié à un service pour AWS Batch
Si vous n’avez plus besoin d’utiliser une fonction ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n’avez aucune entité inutilisée qui n’est pas surveillée ou gérée activement. Cependant, vous devez nettoyer votre rôle lié à un service avant de pouvoir le supprimer manuellement.
**Pour autoriser une entité IAM à supprimer le rôle lié à un AWSService RoleForBatch service**
Ajoutez la déclaration suivante à la politique d'autorisation. Cela permet à l'entité IAM de supprimer un rôle lié à un service.
```
{
"Effect": "Allow",
"Action": [
"iam:DeleteServiceLinkedRole",
"iam:GetServiceLinkedRoleDeletionStatus"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/batch.amazonaws.com/AWSServiceRoleForBatch",
"Condition": {"StringLike": {"iam:AWSServiceName": "batch.amazonaws.com"}}
}
```
### Nettoyage d’un rôle lié à un service
Avant de pouvoir utiliser IAM pour supprimer un rôle lié à un service, vous devez d'abord confirmer que le rôle n'a aucune session active et supprimer tous les environnements AWS Batch informatiques qui utilisent le rôle dans toutes les AWS régions sur une seule partition.
**Pour vérifier si une session est active pour le rôle lié à un service**
1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Dans le volet de navigation, choisissez **Rôles**, puis le AWSService RoleForBatch nom (et non la case à cocher).
1. Sur la page **Résumé**, choisissez **Access Advisor** et consultez l'activité récente pour le rôle lié à un service.
**Note**
Si vous ne savez pas si le AWSService RoleForBatch rôle AWS Batch est utilisé, vous pouvez essayer de le supprimer. Si le service utilise le rôle, le rôle ne sera pas supprimé. Vous pouvez consulter les régions dans lesquelles le rôle est utilisé. Si le rôle est utilisé, vous devez attendre que la session se termine avant de pouvoir le supprimer. Vous ne pouvez pas révoquer la session d'un rôle lié à un service.
**Pour supprimer les AWS Batch ressources utilisées par le rôle lié à AWSService RoleForBatch un service**
Vous devez supprimer tous les environnements AWS Batch informatiques qui utilisent le AWSService RoleForBatch rôle dans toutes les AWS régions avant de pouvoir supprimer le AWSService RoleForBatch rôle.
1. Ouvrez la AWS Batch console à l'adresse [https://console.aws.amazon.com/batch/](https://console.aws.amazon.com/batch/).
1. Dans la barre de navigation, sélectionnez la région à utiliser.
1. Dans le panneau de navigation, choisissez **Environnements de calcul**.
1. Sélectionnez l'environnement informatique.
1. Choisissez **Désactiver**. Attendez que l'**état** passe à **DÉSACTIVÉ**.
1. Sélectionnez l'environnement informatique.
1. Sélectionnez **Delete (Supprimer)**. Confirmez que vous souhaitez supprimer l'environnement de calcul en choisissant **Supprimer l'environnement de calcul**.
1. Répétez les étapes 1 à 7 pour tous les environnements informatiques qui utilisent le rôle lié à un service dans toutes les régions.
### Supprimer un rôle lié à un service dans IAM (console)
Vous pouvez utiliser la console IAM pour supprimer un rôle lié à un service.
**Pour supprimer un rôle lié à un service (console)**
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le panneau de navigation de la console IAM, choisissez **Rôles**. Sélectionnez ensuite la case à cocher située à côté AWSServiceRoleForBatch, et non le nom ou la ligne elle-même.
1. Choisissez **Delete role** (Supprimer le rôle).
1. Dans la boîte de dialogue de confirmation, vérifiez les dernières données consultées dans le service. Elles indiquent quels rôles, parmi ceux sélectionnés, ont accédé en dernier à un service Service AWS. Cela vous permet de confirmer si le rôle est actif actuellement. Si vous souhaitez continuer, sélectionnez **Oui, supprimer** pour lancer la tâche de suppression du rôle.
1. Consultez les notifications de la console IAM pour surveiller la progression de la suppression du rôle lié à un service. Dans la mesure où la suppression du rôle lié à un service IAM est asynchrone, une fois que vous soumettez le rôle afin qu’il soit supprimé, la suppression peut réussir ou échouer.
+ Si la tâche réussit, le rôle est supprimé de la liste et une notification de succès s'affiche en haut de la page.
+ Si la tâche échoue, vous pouvez choisir **View details** (Afficher les détails) ou **View Resources** (Afficher les ressources) à partir des notifications pour connaître le motif de l'échec de la suppression. Si la suppression échoue car le rôle utilise les ressources du service, alors la notification comprend une liste de ressources, à condition que le service renvoie ces informations. Vous pouvez alors [nettoyer les ressources](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-review-before-delete) et lancer à nouveau la tâche de suppression.
**Note**
Vous devrez peut-être répéter ce processus plusieurs fois, en fonction des informations renvoyées par le service. Par exemple, il est possible que votre rôle lié à un service utilise six ressources et que votre service renvoie des informations sur cinq d'entre elles. Si vous nettoyez les cinq ressources et lancez à nouveau la tâche de suppression pour le rôle, la suppression échoue et le service indique la ressource restante. Un service peut renvoyer toutes les ressources, quelques ressources ou n'indiquer aucune ressource.
+ Si la tâche échoue et que la notification n'inclut pas de liste des ressources, le service peut ne pas renvoyer cette information. Pour savoir comment nettoyer les ressources pour ce service, veuillez consulter [Services Services AWS fonctionnant avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Identifiez votre service dans le tableau, puis choisissez le lien **Yes** (Oui) pour afficher la documentation relative au rôle lié à un service pour ce service.
### Supprimer un rôle lié à un service dans IAM ()AWS CLI
Vous pouvez utiliser les commandes IAM depuis le AWS Command Line Interface pour supprimer un rôle lié à un service.
**Pour supprimer un rôle lié à un service (CLI)**
1. Un rôle lié à un service ne pouvant pas être supprimé s’il est utilisé ou si des ressources lui sont associées, vous devez envoyer une demande de suppression. Cette demande peut être refusée si ces conditions ne sont pas remplies. Vous devez capturer le `deletion-task-id` de la réponse afin de vérifier l’état de la tâche de suppression. Saisissez la commande suivante pour envoyer une demande de suppression d’un rôle lié à un service :
```
$ aws iam delete-service-linked-role --role-name AWSServiceRoleForBatch
```
1. Saisissez la commande suivante pour vérifier l’état de la tâche de suppression :
```
$ aws iam get-service-linked-role-deletion-status --deletion-task-id deletion-task-id
```
L’état de la tâche de suppression peut être `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED` ou `FAILED`. Si la suppression échoue, l’appel renvoie le motif de l’échec, afin que vous puissiez apporter une solution. Si la suppression échoue car le rôle utilise les ressources du service, alors la notification comprend une liste de ressources, à condition que le service renvoie ces informations. Vous pouvez alors [nettoyer les ressources](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-review-before-delete) et lancer à nouveau la tâche de suppression.
**Note**
Vous devrez peut-être répéter ce processus plusieurs fois, en fonction des informations renvoyées par le service. Par exemple, il est possible que votre rôle lié à un service utilise six ressources et que votre service renvoie des informations sur cinq d'entre elles. Si vous nettoyez les cinq ressources et lancez à nouveau la tâche de suppression pour le rôle, la suppression échoue et le service indique la ressource restante. Un service peut renvoyer toutes les ressources, certaines d'entre elles. Ou bien, il se peut qu'aucune ressource ne soit signalée. Pour savoir comment nettoyer les ressources d'un service qui ne signale aucune ressource, consultez la section [AWS Services qui fonctionnent avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Identifiez votre service dans le tableau, puis choisissez le lien **Yes** (Oui) pour afficher la documentation relative au rôle lié à un service pour ce service.
### Supprimer un rôle lié à un service dans IAM (API)AWS
Vous pouvez utiliser l'API IAM pour supprimer un rôle lié à un service.
**Pour supprimer un rôle lié à un service (API)**
1. Pour envoyer une demande de suppression pour un rôle lié à un service, appelez [DeleteServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceLinkedRole.html). Dans la demande, spécifiez le nom du AWSService RoleForBatch rôle.
Dans la mesure où un rôle lié à un service ne peut pas être supprimé s'il est utilisé ou si des ressources lui sont associées, vous devez envoyer une demande de suppression. Cette demande peut être refusée si ces conditions ne sont pas satisfaites. Vous devez capturer le `DeletionTaskId` de la réponse afin de vérifier l'état de la tâche de suppression.
1. Pour vérifier l'état de la suppression, appelez [GetServiceLinkedRoleDeletionStatus](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLinkedRoleDeletionStatus.html). Dans la demande, spécifiez le `DeletionTaskId`.
L’état de la tâche de suppression peut être `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED` ou `FAILED`. Si la suppression échoue, l’appel renvoie le motif de l’échec, afin que vous puissiez apporter une solution. Si la suppression échoue car le rôle utilise les ressources du service, alors la notification comprend une liste de ressources, à condition que le service renvoie ces informations. Vous pouvez alors [nettoyer les ressources](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-review-before-delete) et lancer à nouveau la tâche de suppression.
**Note**
Vous devrez peut-être répéter ce processus plusieurs fois, en fonction des informations renvoyées par le service. Par exemple, il est possible que votre rôle lié à un service utilise six ressources et que votre service renvoie des informations sur cinq d'entre elles. Si vous nettoyez les cinq ressources et lancez à nouveau la tâche de suppression pour le rôle, la suppression échoue et le service indique la ressource restante. Un service peut renvoyer toutes les ressources, quelques ressources ou n'indiquer aucune ressource. Pour apprendre à nettoyer les ressources pour un service qui n'indique aucune ressource, veuillez consulter [Services Services AWS fonctionnant avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Identifiez votre service dans le tableau, puis choisissez le lien **Yes** (Oui) pour afficher la documentation relative au rôle lié à un service pour ce service.
## Régions prises en charge pour les rôles AWS Batch liés à un service
AWS Batch prend en charge l'utilisation de rôles liés au service dans toutes les régions où le service est disponible. Pour plus d'informations, consultez [Points de terminaison AWS Batch](https://docs.aws.amazon.com/general/latest/gr/batch.html#batch_region).
# Utiliser les rôles pour utiliser AWS Batch l' SageMaker IA
AWS Batch utilise des Gestion des identités et des accès AWS rôles liés à un [service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un rôle lié à un service est un type unique de rôle IAM directement lié à. AWS Batch Les rôles liés au service sont prédéfinis par AWS Batch et incluent toutes les autorisations dont le service a besoin pour appeler d'autres AWS services en votre nom.
Un rôle lié à un service facilite la configuration AWS Batch car vous n'avez pas à ajouter manuellement les autorisations nécessaires. AWS Batch définit les autorisations associées à ses rôles liés aux services et, sauf indication contraire, seul AWS Batch peut assumer ses rôles. Les autorisations définies comprennent la politique de confiance et la politique d’autorisation. De plus, cette politique d’autorisation ne peut pas être attachée à une autre entité IAM.
Vous pouvez supprimer un rôle lié à un service uniquement après la suppression préalable de ses ressources connexes. Cela protège vos AWS Batch ressources car vous ne pouvez pas supprimer par inadvertance l'autorisation d'accès aux ressources.
Pour plus d'informations sur les autres services qui prennent en charge les rôles liés à un service, consultez la section [AWS Services qui fonctionnent avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) et recherchez les services dont la valeur est **Oui** dans la colonne Rôles liés à un **service**. Sélectionnez un **Oui** ayant un lien pour consulter la documentation du rôle lié à un service, pour ce service.
## Autorisations de rôle liées à un service pour AWS Batch
AWS Batch utilise le rôle lié au service nommé **AWSServiceRoleForAWSBatchWithSagemaker**— Permet de mettre en file AWS Batch d'attente et de gérer les tâches de SageMaker formation en votre nom.
Le rôle AWSService RoleFor AWSBatch WithSagemaker lié à un service fait confiance aux services suivants pour assumer le rôle :
+ `sagemaker-queuing.batch.amazonaws.com`
La politique d'autorisation des rôles AWS Batch permet d'effectuer les actions suivantes sur les ressources spécifiées :
+ `sagemaker`— Permet AWS Batch de gérer les tâches de SageMaker formation, de transformer les tâches et d'autres ressources d' SageMaker IA.
+ `iam:PassRole`— Permet de AWS Batch transmettre des rôles d'exécution définis par le client à l' SageMaker IA pour l'exécution des tâches. La contrainte de ressources permet de transmettre des rôles aux services d' SageMaker IA.
Vous devez configurer les autorisations de manière à permettre à vos utilisateurs, groupes ou rôles de créer, modifier ou supprimer un rôle lié à un service. Pour plus d’informations, consultez [Autorisations de rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dans le *Guide de l’utilisateur IAM*.
## Création d'un rôle lié à un service pour AWS Batch
Vous n’avez pas besoin de créer manuellement un rôle lié à un service. Lorsque vous créez un environnement de service `CreateServiceEnvironment` à l'aide de AWS Management Console, de AWS CLI, ou de l' AWS API, vous AWS Batch créez le rôle lié au service pour vous.
Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte. Lorsque vous créez un environnement de service à l'aide de`CreateServiceEnvironment`, AWS Batch crée à nouveau le rôle lié au service pour vous.
Pour consulter le JSON de la politique, consultez [AWSBatchServiceRolePolicyForSageMaker](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBatchServiceRolePolicyForSageMaker.html)le [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html).
## Modification d'un rôle lié à un service pour AWS Batch
AWS Batch ne vous permet pas de modifier le rôle AWSService RoleFor AWSBatch WithSagemaker lié au service. Après avoir créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence à ce rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d’informations, consultez [Modification d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le *Guide de l’utilisateur IAM*.
## Supprimer un rôle lié à un service pour AWS Batch
Si vous n’avez plus besoin d’utiliser une fonction ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n’avez aucune entité inutilisée qui n’est pas surveillée ou gérée activement. Cependant, vous devez nettoyer votre rôle lié à un service avant de pouvoir le supprimer manuellement.
### Nettoyage d’un rôle lié à un service
Avant de pouvoir utiliser IAM pour supprimer un rôle lié à un service, vous devez d'abord confirmer que le rôle n'a aucune session active et supprimer tous les environnements de service qui utilisent le rôle dans toutes les AWS régions sur une seule partition.
**Pour vérifier si une session est active pour le rôle lié à un service**
1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Dans le volet de navigation, choisissez **Rôles**, puis le AWSService RoleFor AWSBatch WithSagemaker nom (et non la case à cocher).
1. Sur la page **Résumé**, choisissez **Access Advisor** et consultez l'activité récente pour le rôle lié à un service.
**Note**
Si vous ne savez pas si le AWSService RoleFor AWSBatch WithSagemaker rôle AWS Batch est utilisé, vous pouvez essayer de le supprimer. Si le service utilise le rôle, le rôle ne sera pas supprimé. Vous pouvez consulter les régions dans lesquelles le rôle est utilisé. Si le rôle est utilisé, vous devez attendre que la session se termine avant de pouvoir le supprimer. Vous ne pouvez pas révoquer la session d'un rôle lié à un service.
**Pour supprimer les AWS Batch ressources utilisées par le rôle lié à AWSService RoleFor AWSBatch WithSagemaker un service**
Vous devez dissocier toutes les files d'attente de tâches de tous les environnements de service, puis vous devez supprimer tous les environnements de service qui utilisent le AWSService RoleFor AWSBatch WithSagemaker rôle dans toutes les AWS régions avant de pouvoir supprimer le AWSService RoleFor AWSBatch WithSagemaker rôle.
1. Ouvrez la AWS Batch console à l'adresse [https://console.aws.amazon.com/batch/](https://console.aws.amazon.com/batch/).
1. Dans la barre de navigation, sélectionnez la région à utiliser.
1. Dans le volet de navigation, choisissez **Environments**, puis **Service environments**.
1. Sélectionnez tous les **environnements de service**.
1. Choisissez **Désactiver**. Attendez que l'**état** passe à **DÉSACTIVÉ**.
1. Sélectionnez l'environnement de service.
1. Sélectionnez **Delete (Supprimer)**. Confirmez que vous souhaitez supprimer l'environnement de service en choisissant **Supprimer l'environnement de service**.
1. Répétez les étapes 1 à 7 pour tous les environnements de service qui utilisent le rôle lié au service dans toutes les régions.
### Supprimer un rôle lié à un service dans IAM (console)
Vous pouvez utiliser la console IAM pour supprimer un rôle lié à un service.
**Pour supprimer un rôle lié à un service (console)**
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le panneau de navigation de la console IAM, choisissez **Rôles**. Sélectionnez ensuite la case à cocher située à côté AWSService RoleFor AWSBatchWithSagemaker, et non le nom ou la ligne elle-même.
1. Choisissez **Delete role** (Supprimer le rôle).
1. Dans la boîte de dialogue de confirmation, vérifiez les dernières données consultées dans le service. Elles indiquent quels rôles, parmi ceux sélectionnés, ont accédé en dernier à un service Service AWS. Cela vous permet de confirmer si le rôle est actif actuellement. Si vous souhaitez continuer, sélectionnez **Oui, supprimer** pour lancer la tâche de suppression du rôle.
1. Consultez les notifications de la console IAM pour surveiller la progression de la suppression du rôle lié à un service. Dans la mesure où la suppression du rôle lié à un service IAM est asynchrone, une fois que vous soumettez le rôle afin qu’il soit supprimé, la suppression peut réussir ou échouer.
+ Si la tâche réussit, le rôle est supprimé de la liste et une notification de succès s'affiche en haut de la page.
+ Si la tâche échoue, vous pouvez choisir **View details** (Afficher les détails) ou **View Resources** (Afficher les ressources) à partir des notifications pour connaître le motif de l'échec de la suppression. Si la suppression échoue car le rôle utilise les ressources du service, alors la notification comprend une liste de ressources, à condition que le service renvoie ces informations. Vous pouvez alors [nettoyer les ressources](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-review-before-delete) et lancer à nouveau la tâche de suppression.
**Note**
Vous devrez peut-être répéter ce processus plusieurs fois, en fonction des informations renvoyées par le service. Par exemple, il est possible que votre rôle lié à un service utilise six ressources et que votre service renvoie des informations sur cinq d'entre elles. Si vous nettoyez les cinq ressources et lancez à nouveau la tâche de suppression pour le rôle, la suppression échoue et le service indique la ressource restante. Un service peut renvoyer toutes les ressources, quelques ressources ou n'indiquer aucune ressource.
+ Si la tâche échoue et que la notification n'inclut pas de liste des ressources, le service peut ne pas renvoyer cette information. Pour savoir comment nettoyer les ressources pour ce service, veuillez consulter [Services Services AWS fonctionnant avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Identifiez votre service dans le tableau, puis choisissez le lien **Yes** (Oui) pour afficher la documentation relative au rôle lié à un service pour ce service.
### Supprimer un rôle lié à un service dans IAM ()AWS CLI
Vous pouvez utiliser les commandes IAM depuis le AWS Command Line Interface pour supprimer un rôle lié à un service.
**Pour supprimer un rôle lié à un service (CLI)**
1. Un rôle lié à un service ne pouvant pas être supprimé s’il est utilisé ou si des ressources lui sont associées, vous devez envoyer une demande de suppression. Cette demande peut être refusée si ces conditions ne sont pas remplies. Vous devez capturer le `deletion-task-id` de la réponse afin de vérifier l’état de la tâche de suppression. Saisissez la commande suivante pour envoyer une demande de suppression d’un rôle lié à un service :
```
$ aws iam delete-service-linked-role --role-name AWSServiceRoleForAWSBatchWithSagemaker
```
1. Saisissez la commande suivante pour vérifier l’état de la tâche de suppression :
```
$ aws iam get-service-linked-role-deletion-status --deletion-task-id deletion-task-id
```
L’état de la tâche de suppression peut être `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED` ou `FAILED`. Si la suppression échoue, l’appel renvoie le motif de l’échec, afin que vous puissiez apporter une solution. Si la suppression échoue car le rôle utilise les ressources du service, alors la notification comprend une liste de ressources, à condition que le service renvoie ces informations. Vous pouvez alors [nettoyer les ressources](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-review-before-delete) et lancer à nouveau la tâche de suppression.
**Note**
Vous devrez peut-être répéter ce processus plusieurs fois, en fonction des informations renvoyées par le service. Par exemple, il est possible que votre rôle lié à un service utilise six ressources et que votre service renvoie des informations sur cinq d'entre elles. Si vous nettoyez les cinq ressources et lancez à nouveau la tâche de suppression pour le rôle, la suppression échoue et le service indique la ressource restante. Un service peut renvoyer toutes les ressources, certaines d'entre elles. Ou bien, il se peut qu'aucune ressource ne soit signalée. Pour savoir comment nettoyer les ressources d'un service qui ne signale aucune ressource, consultez la section [AWS Services qui fonctionnent avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Identifiez votre service dans le tableau, puis choisissez le lien **Yes** (Oui) pour afficher la documentation relative au rôle lié à un service pour ce service.
### Supprimer un rôle lié à un service dans IAM (API)AWS
Vous pouvez utiliser l'API IAM pour supprimer un rôle lié à un service.
**Pour supprimer un rôle lié à un service (API)**
1. Pour envoyer une demande de suppression pour un rôle lié à un service, appelez [DeleteServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceLinkedRole.html). Dans la demande, spécifiez le nom du AWSService RoleFor AWSBatch WithSagemaker rôle.
Dans la mesure où un rôle lié à un service ne peut pas être supprimé s'il est utilisé ou si des ressources lui sont associées, vous devez envoyer une demande de suppression. Cette demande peut être refusée si ces conditions ne sont pas satisfaites. Vous devez capturer le `DeletionTaskId` de la réponse afin de vérifier l'état de la tâche de suppression.
1. Pour vérifier l'état de la suppression, appelez [GetServiceLinkedRoleDeletionStatus](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLinkedRoleDeletionStatus.html). Dans la demande, spécifiez le `DeletionTaskId`.
L’état de la tâche de suppression peut être `NOT_STARTED`, `IN_PROGRESS`, `SUCCEEDED` ou `FAILED`. Si la suppression échoue, l’appel renvoie le motif de l’échec, afin que vous puissiez apporter une solution. Si la suppression échoue car le rôle utilise les ressources du service, alors la notification comprend une liste de ressources, à condition que le service renvoie ces informations. Vous pouvez alors [nettoyer les ressources](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-review-before-delete) et lancer à nouveau la tâche de suppression.
**Note**
Vous devrez peut-être répéter ce processus plusieurs fois, en fonction des informations renvoyées par le service. Par exemple, il est possible que votre rôle lié à un service utilise six ressources et que votre service renvoie des informations sur cinq d'entre elles. Si vous nettoyez les cinq ressources et lancez à nouveau la tâche de suppression pour le rôle, la suppression échoue et le service indique la ressource restante. Un service peut renvoyer toutes les ressources, quelques ressources ou n'indiquer aucune ressource. Pour apprendre à nettoyer les ressources pour un service qui n'indique aucune ressource, veuillez consulter [Services Services AWS fonctionnant avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Identifiez votre service dans le tableau, puis choisissez le lien **Yes** (Oui) pour afficher la documentation relative au rôle lié à un service pour ce service.
## Régions prises en charge pour les rôles AWS Batch liés à un service
AWS Batch prend en charge l'utilisation de rôles liés au service dans toutes les régions où le service est disponible. Pour plus d'informations, consultez [Points de terminaison AWS Batch](https://docs.aws.amazon.com/general/latest/gr/batch.html#batch_region).
# Rôle d'instance Amazon ECS
AWS Batch les environnements de calcul sont alimentés par des instances de conteneur Amazon ECS. Ils exécutent l'agent de conteneur Amazon ECS localement. L'agent de conteneur Amazon ECS appelle diverses opérations AWS d'API en votre nom. Par conséquent, les instances de conteneur qui exécutent l'agent nécessitent une politique et un rôle IAM pour que ces services reconnaissent que l'agent vous appartient. Vous devez créer un rôle IAM et un profil d'instance pour les instances de conteneur à utiliser lors de leur lancement. Dans le cas contraire, vous ne pouvez pas créer d'environnement de calcul et y lancer des instances de conteneur. Cette exigence s'applique aux instances de conteneur lancées avec ou sans l'AMI optimisée Amazon ECS fournie par Amazon. Pour plus d'informations, consultez [Rôle d'instance Amazon ECS](#instance_IAM_role) dans le *Guide du développeur Amazon Elastic Container Service*
**Topics**
+ [Vérifiez le rôle d'instance Amazon ECS de votre compte](batch-check-ecsinstancerole.md)
# Vérifiez le rôle d'instance Amazon ECS de votre compte
Le rôle et le profil d'instance Amazon ECS sont automatiquement créés pour vous lors de la première utilisation de la console. Toutefois, vous pouvez suivre ces étapes pour vérifier si votre compte possède déjà le rôle et le profil d'instance Amazon ECS. Les étapes suivantes expliquent également comment associer la politique IAM gérée.
**Tutoriel : Vérifiez la présence du `ecsInstanceRole` dans la console IAM**
1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Dans le panneau de navigation, choisissez **Rôles**.
1. Recherchez dans la liste des rôles `ecsInstanceRole`. Si le rôle n'existe pas, procédez comme suit pour le créer.
1. Choisissez **Create Role** (Créer un rôle).
1. Pour **Trusted entity** (Entité de confiance), choisissez **Service AWS**.
1. Pour les **cas d'utilisation courants**, choisissez **EC2.**
1. Choisissez **Suivant**.
1. Pour **les politiques d'autorisations**, recherchez **Amazon EC2 ContainerServicefor EC2 Role**.
1. Cochez la case à côté d'**Amazon EC2 ContainerServicefor EC2 Role**, puis choisissez **Next**.
1. Sous **Nom du rôle**, tapez `ecsInstanceRole`, puis choisissez **Créer un rôle**.
**Note**
Si vous utilisez le AWS Management Console pour créer un rôle pour Amazon EC2, la console crée un profil d'instance portant le même nom que le rôle.
Vous pouvez également utiliser le AWS CLI pour créer le rôle `ecsInstanceRole` IAM. L'exemple suivant crée un rôle IAM avec une politique de confiance et une politique AWS gérée.
**Tutoriel : Création d'un rôle IAM et d'un profil d'instance ()AWS CLI**
1. Créez la politique de confiance suivante et enregistrez-la dans un fichier texte nommé`ecsInstanceRole-role-trust-policy.json`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": { "Service": "ec2.amazonaws.com"},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Utilisez la commande [create-role](https://docs.aws.amazon.com/cli/latest/reference/iam/create-role.html) pour créer le `ecsInstanceRole` rôle. Spécifiez l'emplacement du fichier de politique de confiance dans le `assume-role-policy-document` paramètre.
```
$ aws iam create-role \
--role-name ecsInstanceRole \
--assume-role-policy-document file://ecsInstanceRole-role-trust-policy.json
```
1. Utilisez la [create-instance-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/create-instance-profile.html)commande pour créer un profil d'instance nommé`ecsInstanceRole`.
**Note**
Vous devez créer des rôles et des profils d'instance en tant qu'actions distinctes dans l' AWS API AWS CLI and.
```
$ aws iam create-instance-profile --instance-profile-name ecsInstanceRole
```
Voici un exemple de réponse.
```
{
"InstanceProfile": {
"Path": "/",
"InstanceProfileName": "ecsInstanceRole",
"InstanceProfileId": "AIPAT46P5RDITREXAMPLE",
"Arn": "arn:aws:iam::123456789012:instance-profile/ecsInstanceRole",
"CreateDate": "2022-06-30T23:53:34.093Z",
"Roles": [], }
}
```
1. Utilisez la commande [ add-role-to-instance-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/add-role-to-instance-profile.html) pour ajouter le `ecsInstanceRole` rôle au profil de l'`ecsInstanceRole`instance.
```
aws iam add-role-to-instance-profile \
--role-name ecsInstanceRole --instance-profile-name ecsInstanceRole
```
1. Utilisez la [attach-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-role-policy.html)commande pour associer la politique `AmazonEC2ContainerServiceforEC2Role` AWS gérée au `ecsInstanceRole` rôle.
```
$ aws iam attach-role-policy \
--policy-arn arn:aws:iam::aws:policy/service-role/AmazonEC2ContainerServiceforEC2Role \
--role-name ecsInstanceRole
```
# Rôle de la flotte Amazon EC2 Spot
Si vous créez un environnement informatique géré qui utilise des instances Amazon EC2 Spot Fleet, vous devez créer la `AmazonEC2SpotFleetTaggingRole` politique. Cette politique autorise Spot Fleet à lancer, étiqueter et résilier des instances en votre nom. Spécifiez le rôle dans votre demande de parc d'instances Ponctuelles. Vous devez également avoir les rôles **AWSServiceRoleForEC2Spot** et **AWSServiceRoleForEC2SpotFleet**liés aux services pour Amazon EC2 Spot et Spot Fleet. Suivez les instructions ci-dessous pour créer tous ces rôles. Pour plus d'informations, consultez les sections [Utilisation de rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html) et [Création d'un rôle pour déléguer des autorisations à un AWS service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) dans le guide de l'utilisateur *IAM*.
**Topics**
+ [Créez des rôles pour les flottes ponctuelles Amazon EC2 dans AWS Management Console](spot-fleet-roles-console.md)
+ [Créez des rôles pour les flottes ponctuelles Amazon EC2 à l'aide du AWS CLI](spot-fleet-roles-cli.md)
# Créez des rôles pour les flottes ponctuelles Amazon EC2 dans AWS Management Console
**Pour créer le rôle lié au service `AmazonEC2SpotFleetTaggingRole` IAM pour Amazon EC2 Spot Fleet**
1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Pour la **gestion des accès**, choisissez **Rôles**,
1. Pour **Rôles**, choisissez **Créer un rôle**.
1. **Dans Sélectionner une entité de confiance** **pour le type d'entité de** confiance, sélectionnez **Service AWS**.
1. Pour les **autres cas d'utilisation Services AWS**, choisissez **EC2**, puis **EC2 - Spot Fleet** Tagging.
1. Choisissez **Suivant**.
1. Dans **Politiques d'autorisations** pour le **nom de la politique**, vérifiez`AmazonEC2SpotFleetTaggingRole`.
1. Choisissez **Suivant**.
1. Pour **Nom, passez en revue et créez** :
1. Dans **Nom du rôle**, entrez un nom pour identifier le rôle.
1. Dans **Description**, entrez une brève explication de la politique.
1. (Facultatif) Pour **l'étape 1 : sélectionnez les entités fiables**, choisissez **Modifier** pour modifier le code.
1. (Facultatif) Pour **l'étape 2 : Ajouter des autorisations**, choisissez **Modifier** pour modifier le code.
1. (Facultatif) Pour **Ajouter des balises**, choisissez **Ajouter une balise** pour ajouter des balises à la ressource.
1. Choisissez **Créer un rôle**.
**Note**
Dans le passé, il existait deux politiques gérées pour le rôle Amazon EC2 Spot Fleet.
**Amazon EC2 SpotFleetRole** : il s'agit de la politique gérée d'origine pour le rôle Spot Fleet. Cependant, nous ne vous recommandons plus de l'utiliser avec AWS Batch. Cette politique ne prend pas en charge le balisage des instances Spot dans les environnements informatiques, qui est nécessaire pour utiliser le rôle lié à un `AWSServiceRoleForBatch` service. Si vous avez déjà créé un rôle Spot Fleet avec cette politique, appliquez la nouvelle politique recommandée à ce rôle. Pour de plus amples informations, veuillez consulter [Instances ponctuelles non étiquetées lors de la création](spot-instance-no-tag.md).
**Amazon EC2 SpotFleetTaggingRole** : ce rôle fournit toutes les autorisations nécessaires pour baliser les instances Spot Amazon EC2. Utilisez ce rôle pour autoriser le balisage des instances Spot dans vos environnements AWS Batch informatiques.
# Créez des rôles pour les flottes ponctuelles Amazon EC2 à l'aide du AWS CLI
**Pour créer le rôle **Amazon EC2 SpotFleetTaggingRole** IAM pour vos environnements informatiques Spot Fleet**
1. Exécutez la commande suivante avec AWS CLI.
```
$ aws iam create-role --role-name AmazonEC2SpotFleetTaggingRole \
--assume-role-policy-document '{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "spotfleet.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}'
```
1. Pour associer la politique IAM EC2 SpotFleetTaggingRole gérée par **Amazon** à votre EC2 SpotFleetTaggingRole rôle **Amazon**, exécutez la commande suivante avec le AWS CLI.
```
$ aws iam attach-role-policy \
--policy-arn \
arn:aws:iam::aws:policy/service-role/AmazonEC2SpotFleetTaggingRole \
--role-name \
AmazonEC2SpotFleetTaggingRole
```
**Pour créer le rôle lié au service `AWSServiceRoleForEC2Spot` IAM pour Amazon EC2 Spot**
**Note**
Si le rôle lié au service `AWSServiceRoleForEC2Spot` IAM existe déjà, un message d'erreur semblable au suivant s'affiche.
```
An error occurred (InvalidInput) when calling the CreateServiceLinkedRole operation:
Service role name AWSServiceRoleForEC2Spot has been taken in this account, please try a different suffix.
```
+ Exécutez la commande suivante avec AWS CLI.
```
$ aws iam create-service-linked-role --aws-service-name spot.amazonaws.com
```
**Pour créer le rôle lié au service `AWSServiceRoleForEC2SpotFleet` IAM pour Amazon EC2 Spot Fleet**
**Note**
Si le rôle lié au service `AWSServiceRoleForEC2SpotFleet` IAM existe déjà, un message d'erreur semblable au suivant s'affiche.
```
An error occurred (InvalidInput) when calling the CreateServiceLinkedRole operation:
Service role name AWSServiceRoleForEC2SpotFleet has been taken in this account, please try a different suffix.
```
+ Exécutez la commande suivante avec AWS CLI.
```
$ aws iam create-service-linked-role --aws-service-name spotfleet.amazonaws.com
```
# EventBridge Rôle IAM
Amazon EventBridge fournit un flux quasi en temps réel d'événements système décrivant les modifications apportées aux AWS ressources. AWS Batch des emplois sont disponibles en tant que EventBridge cibles. À l'aide de règles simples et rapidement configurées, vous pouvez faire correspondre des événements et leur soumettre des tâches AWS Batch en réponse. Avant de pouvoir soumettre des AWS Batch tâches avec des EventBridge règles et des cibles, vous EventBridge devez disposer des autorisations nécessaires pour exécuter AWS Batch des tâches en votre nom.
**Note**
Lorsque vous créez une règle dans la EventBridge console qui spécifie une AWS Batch file d'attente comme cible, vous pouvez créer ce rôle. Pour afficher un exemple de procédure, consultez [AWS Batch les emplois en tant que EventBridge cibles](batch-cwe-target.md). Vous pouvez créer le EventBridge rôle manuellement à l'aide de la console IAM. Pour obtenir des instructions, consultez [la section Création d'un rôle à l'aide de politiques de confiance personnalisées (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html) dans le guide de l'utilisateur IAM.
La relation de confiance associée à votre rôle EventBridge IAM doit permettre au directeur du `events.amazonaws.com` service d'assumer ce rôle.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "events.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Assurez-vous que la politique associée à votre rôle EventBridge IAM autorise `batch:SubmitJob` les autorisations sur vos ressources. Dans l'exemple suivant, AWS Batch fournit la politique `AWSBatchServiceEventTargetRole` gérée pour fournir ces autorisations.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"batch:SubmitJob"
],
"Resource": "*"
}
]
}
```
------
# Créer un Virtual Private Cloud
Les ressources informatiques de vos environnements informatiques ont besoin d'un accès au réseau externe pour communiquer avec AWS Batch les points de terminaison du service Amazon ECS. Toutefois, il se peut que vous souhaitiez exécuter des tâches dans des sous-réseaux privés. Pour avoir la possibilité d'exécuter des tâches dans un sous-réseau public ou privé, créez un VPC doté de sous-réseaux publics et privés.
Vous pouvez utiliser Amazon Virtual Private Cloud (Amazon VPC) pour lancer AWS des ressources dans un réseau virtuel que vous définissez. Cette rubrique fournit un lien vers l'assistant Amazon VPC et une liste des options à sélectionner.
## Création d’un VPC
Pour plus d'informations sur la création d'un Amazon VPC, consultez la section [Créer un VPC uniquement dans](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#create-vpc-vpc-only) le *guide de l'utilisateur Amazon VPC* et utilisez le tableau suivant pour déterminer les options à sélectionner.
| Option | Value |
| --- | --- |
| Ressources à créer | VPC uniquement |
| Nom | Vous pouvez, si vous le souhaitez, nommer votre VPC. |
| IPv4 Bloc d'adresse CIDR | IPv4 Entrée manuelle CIDR La taille du bloc d'adresse CIDR doit être comprise entre /16 et /28. |
| IPv6 Bloc d'adresse CIDR | Aucun IPv6 bloc CIDR |
| Tenancy | Par défaut |
Pour plus d'informations sur Amazon VPC, consultez [Qu'est-ce qu'Amazon VPC ?](https://docs.aws.amazon.com/vpc/latest/userguide/) dans le *Guide de l'utilisateur Amazon VPC*.
## Étapes suivantes
Après avoir créé votre VPC, considérez les étapes suivantes :
+ Créez des groupes de sécurité pour vos ressources publiques et privées si celles-ci nécessitent un accès réseau entrant. Pour plus d'informations, consultez la section [Travailler avec les groupes de sécurité](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#working-with-security-groups) dans le *Guide de l'utilisateur Amazon VPC*.
+ Créez un environnement informatique AWS Batch géré qui lance des ressources de calcul dans votre nouveau VPC. Pour de plus amples informations, veuillez consulter [Création d'un environnement informatique](create-compute-environment.md). Si vous utilisez l'assistant de création d'environnement informatique de la AWS Batch console, vous pouvez spécifier le VPC que vous venez de créer et les sous-réseaux publics ou privés dans lesquels vous souhaitez lancer vos instances.
+ Créez une file d'attente de AWS Batch tâches mappée à votre nouvel environnement informatique. Pour de plus amples informations, veuillez consulter [Création d'une file d'attente de tâches](create-job-queue.md).
+ Créez une définition de tâche avec laquelle exécuter vos tâches. Pour de plus amples informations, veuillez consulter [Création d'une définition de tâche à nœud unique](create-job-definition.md).
+ Soumettez une tâche avec votre définition à votre nouvelle file d'attente de tâches. Cette tâche aboutit à l'environnement informatique que vous avez créé avec votre nouveau VPC et vos nouveaux sous-réseaux. Pour de plus amples informations, veuillez consulter [Tutoriel : soumettre une offre d'emploi](submit_job.md).
# Utiliser un point de terminaison d'interface pour accéder AWS Batch
Vous pouvez l'utiliser AWS PrivateLink pour créer une connexion privée entre votre VPC et. AWS Batch Vous pouvez y accéder AWS Batch comme s'il se trouvait dans votre VPC, sans utiliser de passerelle Internet, de périphérique NAT, de connexion VPN ou Direct Connect de connexion. Les instances de votre VPC n'ont pas besoin d'adresses IP publiques pour y accéder. AWS Batch
Vous établissez cette connexion privée en créant un *point de terminaison d’interface* optimisé par AWS PrivateLink. Nous créons une interface réseau de point de terminaison dans chaque sous-réseau que vous activez pour le point de terminaison d’interface. Il s'agit d'interfaces réseau gérées par le demandeur qui servent de point d'entrée pour le trafic destiné à AWS Batch.
*Pour plus d'informations, consultez la section [Points de terminaison VPC de l'interface dans le Guide](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html).AWS PrivateLink *
# Considérations relatives à AWS Batch
Avant de configurer un point de terminaison d'interface pour AWS Batch, consultez les [propriétés et les limites du point de terminaison d'interface](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#vpce-interface-limitations) dans le *AWS PrivateLink Guide*.
AWS Batch prend en charge les appels à toutes ses actions d'API via le point de terminaison de l'interface.
Avant de configurer les points de terminaison VPC d'interface pour AWS Batch, tenez compte des points suivants :
+ Les tâches utilisant le type de lancement de ressources Fargate ne nécessitent pas les points de terminaison VPC d'interface pour Amazon ECS, mais vous pourriez avoir besoin de points de terminaison VPC d'interface pour AWS Batch Amazon ECR, Secrets Manager ou Amazon Logs décrits dans les points suivants. CloudWatch
+ Pour exécuter des tâches, vous devez créer les points de terminaison VPC de l'interface pour Amazon ECS. Pour plus d'informations, consultez [Interface VPC Endpoints (AWS PrivateLink)](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/vpc-endpoints.html) dans le manuel *Amazon Elastic Container Service* Developer Guide.
+ Pour permettre à vos tâches d'extraire des images privées d'Amazon ECR, vous devez créer les points de terminaison VPC d'interface pour Amazon ECR. Pour de plus amples informations, veuillez consulter [Points de terminaison d’un VPC d'interface (AWS PrivateLink)](https://docs.aws.amazon.com/AmazonECR/latest/userguide/vpc-endpoints.html) dans le *Guide de l'utilisateur Amazon Elastic Container Registry*.
+ Pour permettre à vos tâches d'extraire des données sensibles de Secrets Manager, vous devez créer les points de terminaison VPC d'interface pour Secrets Manager. Pour de plus amples informations, veuillez consulter [Utilisation de Secrets Manager avec des points de terminaison de VPC](https://docs.aws.amazon.com/secretsmanager/latest/userguide/vpc-endpoint-overview.html) dans le *Guide de l'utilisateur AWS Secrets Manager *.
+ Si votre VPC ne possède pas de passerelle Internet et que vos tâches utilisent le pilote de journal pour envoyer les informations de `awslogs` journal aux CloudWatch journaux, vous devez créer un point de terminaison VPC d'interface pour les journaux. CloudWatch Pour plus d'informations, consultez la section [Utilisation CloudWatch des journaux avec les points de terminaison VPC d'interface dans le guide](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch-logs-and-interface-VPC.html) de l'utilisateur *Amazon CloudWatch Logs*.
+ Les tâches utilisant les ressources EC2 nécessitent que les instances de conteneur sur lesquelles elles sont lancées exécutent la version `1.25.1` ou une version ultérieure de l'agent de conteneur Amazon ECS. Pour plus d'informations, consultez les [versions de l'agent de conteneur Amazon ECS Linux](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/ecs-agent-versions.html) dans le *manuel du développeur Amazon Elastic Container Service*.
+ Les points de terminaison d'un VPC ne prennent pas en charge les demandes inter-régions pour le moment. Veillez à créer votre point de terminaison dans la même région que celle dans laquelle vous souhaitez envoyer vos appels d'API à AWS Batch.
+ Les points de terminaison d'un VPC prennent uniquement en charge le DNS fourni par Amazon via Amazon Route 53. Si vous souhaitez utiliser votre propre DNS, vous pouvez utiliser le transfert DNS conditionnel. Pour en savoir plus, consultez [Jeux d'options DHCP](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html) dans le *Guide de l'utilisateur Amazon VPC*.
+ Le groupe de sécurité attaché au point de terminaison d'un VPC doit autoriser les connexions entrantes sur le port 443 à partir du sous-réseau privé du VPC.
+ AWS Batch ne prend pas en charge les points de terminaison d'interface VPC dans les cas suivants : Régions AWS
+ Asie-Pacifique(Osaka) (`ap-northeast-3`)
+ Asie-Pacifique (Jakarta) (`ap-southeast-3`)
# Créez un point de terminaison d'interface pour AWS Batch
Vous pouvez créer un point de terminaison d'interface pour AWS Batch utiliser la console Amazon VPC ou le AWS Command Line Interface ()AWS CLI. Pour plus d’informations, consultez [Création d’un point de terminaison d’interface](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#create-interface-endpoint) dans le *Guide AWS PrivateLink *.
Créez un point de terminaison d'interface pour AWS Batch utiliser les noms de service suivants :
+ **com.amazonaws.** *region***.batch**
+ **com.amazonaws.** *region***.batch-fips *(pour les points de terminaison conformes à la norme FIPS***[, voir points de terminaison et quotas)AWS Batch](https://docs.aws.amazon.com/general/latest/gr/batch.html)
Par exemple :
```
com.amazonaws.us-east-2.batch
```
```
com.amazonaws.us-east-2.batch-fips
```
Dans la `aws-cn` partition, le format est différent :
```
cn.com.amazonaws.region.batch
```
Par exemple :
```
cn.com.amazonaws.cn-northwest-1.batch
```
## Noms DNS privés pour les points de terminaison AWS Batch d'interface
Si vous activez le DNS privé pour le point de terminaison de l'interface, vous pouvez utiliser des noms DNS spécifiques pour AWS Batch vous connecter. Nous proposons les options suivantes :
+ **lot.** *region***.amazonaws.com**
+ **lot.** *region***.api .aws**
Pour les terminaux conformes à la norme FIPS :
+ **virements par lots.** *region***.api .aws**
+ **fips.batch.** *region**Le **fichier .amazonaws.com** n'est pas pris en charge*
Pour plus d'informations, consultez la section [Accès à un service via un point de terminaison d'interface](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#access-service-though-endpoint) dans le *AWS PrivateLink Guide*.
# Création d’une politique de point de terminaison pour votre point de terminaison d’interface
Une politique de point de terminaison est une ressource IAM que vous pouvez attacher à votre point de terminaison d’interface. La politique de point de terminaison par défaut autorise un accès complet AWS Batch via le point de terminaison de l'interface. Pour contrôler l’accès autorisé à AWS Batch depuis votre VPC, attachez une politique de point de terminaison personnalisée au point de terminaison de l’interface.
Une politique de point de terminaison spécifie les informations suivantes :
+ Les principaux qui peuvent effectuer des actions (Comptes AWS utilisateurs et rôles IAM).
+ Les actions qui peuvent être effectuées.
+ La ressource sur laquelle les actions peuvent être effectuées.
Pour plus d’informations, consultez [Contrôle de l’accès aux services à l’aide de politiques de point de terminaison](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) dans le *Guide AWS PrivateLink *.
**Exemple : politique de point de terminaison VPC pour les actions AWS Batch**
Voici un exemple de politique de point de terminaison personnalisée. Lorsque vous attachez cette politique au point de terminaison de votre interface, elle accorde l'accès aux AWS Batch actions répertoriées à tous les principaux sur toutes les ressources.
```
{
"Statement": [
{
"Principal": "*",
"Effect": "Allow",
"Action": [
"batch:SubmitJob",
"batch:ListJobs",
"batch:DescribeJobs"
],
"Resource":"*"
}
]
}
```
# Validation de conformité pour AWS Batch
Pour savoir si un [programme Services AWS de conformité Service AWS s'inscrit dans le champ d'application de programmes de conformité](https://aws.amazon.com/compliance/services-in-scope/) spécifiques, consultez Services AWS la section de conformité et sélectionnez le programme de conformité qui vous intéresse. Pour des informations générales, voir Programmes de [AWS conformité Programmes AWS](https://aws.amazon.com/compliance/programs/) de .
Vous pouvez télécharger des rapports d'audit tiers à l'aide de AWS Artifact. Pour plus d'informations, voir [Téléchargement de rapports dans AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Votre responsabilité en matière de conformité lors de l'utilisation Services AWS est déterminée par la sensibilité de vos données, les objectifs de conformité de votre entreprise et les lois et réglementations applicables. Pour plus d'informations sur votre responsabilité en matière de conformité lors de l'utilisation Services AWS, consultez [AWS la documentation de sécurité](https://docs.aws.amazon.com/security/).
# Sécurité de l'infrastructure dans AWS Batch
En tant que service géré, AWS Batch il est protégé par la sécurité du réseau AWS mondial. Pour plus d'informations sur les services AWS de sécurité et sur la manière dont AWS l'infrastructure est protégée, consultez la section [Sécurité du AWS cloud](https://aws.amazon.com/security/). Pour concevoir votre AWS environnement en utilisant les meilleures pratiques en matière de sécurité de l'infrastructure, consultez la section [Protection de l'infrastructure](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) dans le cadre * AWS bien architecturé du pilier de sécurité*.
Vous utilisez des appels d'API AWS publiés pour accéder AWS Batch via le réseau. Les clients doivent prendre en charge les éléments suivants :
+ Protocole TLS (Transport Layer Security). Nous exigeons TLS 1.2 et recommandons TLS 1.3.
+ Ses suites de chiffrement PFS (Perfect Forward Secrecy) comme DHE (Ephemeral Diffie-Hellman) ou ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La plupart des systèmes modernes tels que Java 7 et les versions ultérieures prennent en charge ces modes.
Vous pouvez appeler ces opérations d'API depuis n'importe quel emplacement réseau, mais AWS Batch elles prennent en charge les politiques d'accès basées sur les ressources, qui peuvent inclure des restrictions basées sur l'adresse IP source. Vous pouvez également utiliser des AWS Batch politiques pour contrôler l'accès depuis des points de terminaison Amazon Virtual Private Cloud (Amazon VPC) spécifiques ou spécifiques. VPCs En fait, cela isole l'accès réseau à une AWS Batch ressource donnée uniquement du VPC spécifique au sein AWS du réseau.
# Prévention du problème de l’adjoint confus entre services
Le problème de député confus est un problème de sécurité dans lequel une entité qui n'a pas l'autorisation d'effectuer une action peut contraindre une entité plus privilégiée à effectuer cette action. En AWS, l'usurpation d'identité interservices peut entraîner la confusion des adjoints. L’usurpation d’identité entre services peut se produire lorsqu’un service (le *service appelant*) appelle un autre service (le *service appelé*). Le service appelant peut être manipulé et ses autorisations utilisées pour agir sur les ressources d’un autre client auxquelles on ne serait pas autorisé à accéder autrement. Pour éviter cela, AWS fournit des outils qui vous aident à protéger vos données pour tous les services avec des principaux de service qui ont eu accès aux ressources de votre compte.
Nous recommandons d'utiliser les clés de contexte de condition [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)globale [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)et les clés contextuelles dans les politiques de ressources afin de limiter les autorisations qui AWS Batch accordent un autre service à la ressource. Si la valeur `aws:SourceArn` ne contient pas l'ID du compte, tel qu'un ARN de compartiment Amazon S3, vous devez utiliser les deux clés de contexte de condition globale pour limiter les autorisations. Si vous utilisez les deux clés de contexte de condition globale et que la valeur `aws:SourceArn` contient l'ID de compte, la valeur `aws:SourceAccount` et le compte dans la valeur `aws:SourceArn` doivent utiliser le même ID de compte lorsqu'ils sont utilisés dans la même instruction de politique. Utilisez `aws:SourceArn` si vous souhaitez qu'une seule ressource soit associée à l'accès entre services. Utilisez `aws:SourceAccount` si vous souhaitez autoriser l’association d’une ressource de ce compte à l’utilisation interservices.
La valeur de `aws:SourceArn` doit être la ressource qui AWS Batch stocke.
Le moyen le plus efficace de se protéger contre le problème de député confus consiste à utiliser la clé de contexte de condition globale `aws:SourceArn` avec l’ARN complet de la ressource. Si vous ne connaissez pas l’ARN complet de la ressource ou si vous spécifiez plusieurs ressources, utilisez la clé de contexte de condition globale `aws:SourceArn` avec des caractères génériques (`*`) pour les parties inconnues de l’ARN. Par exemple, `arn:aws:servicename:*:123456789012:*`.
Les exemples suivants montrent comment utiliser les touches de contexte de condition `aws:SourceAccount` globale `aws:SourceArn` et globale AWS Batch pour éviter le problème de confusion des adjoints.
## Exemple : rôle permettant d'accéder à un seul environnement informatique
Le rôle suivant ne peut être utilisé que pour accéder à un seul environnement informatique. Le nom de la tâche doit être spécifié `*` car la file d'attente des tâches peut être associée à plusieurs environnements informatiques.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "batch.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:batch:us-east-1:123456789012:compute-environment/testCE",
"arn:aws:batch:us-east-1:123456789012:job/*"
]
}
}
}
]
}
```
------
## Exemple : rôle pour accéder à plusieurs environnements informatiques
Le rôle suivant peut être utilisé pour accéder à plusieurs environnements informatiques. Le nom de la tâche doit être spécifié `*` car la file d'attente des tâches peut être associée à plusieurs environnements informatiques.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "batch.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:batch:us-east-1:123456789012:compute-environment/*",
"arn:aws:batch:us-east-1:123456789012:job/*"
]
}
}
}
]
}
```
------
# Journalisation des appels d' AWS Batch API avec AWS CloudTrail
AWS Batch est intégré à AWS CloudTrail un service qui fournit un enregistrement des actions entreprises par un utilisateur, un rôle ou un AWS service dans AWS Batch. CloudTrail capture tous les appels d'API AWS Batch sous forme d'événements. Les appels capturés incluent des appels provenant de la AWS Batch console et des appels de code vers les opérations de l' AWS Batch API. Si vous créez un suivi, vous pouvez activer la diffusion continue d' CloudTrail événements vers un compartiment Amazon S3, y compris les événements pour AWS Batch. Si vous ne configurez pas de suivi, vous pouvez toujours consulter les événements les plus récents dans la CloudTrail console dans **Historique des événements**. À l'aide des informations collectées par CloudTrail, vous pouvez déterminer la demande qui a été faite AWS Batch, l'adresse IP à partir de laquelle la demande a été faite, qui a fait la demande, quand elle a été faite et des détails supplémentaires.
Pour en savoir plus CloudTrail, consultez le [guide de AWS CloudTrail l'utilisateur](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
**Topics**
+ [AWS Batch informations dans CloudTrail](service-name-info-in-cloudtrail.md)
+ [Référence : Comprendre les entrées du fichier AWS Batch journal](understanding-service-name-entries.md)
# AWS Batch informations dans CloudTrail
CloudTrail est activé sur votre AWS compte lorsque vous le créez. Lorsqu'une activité se produit dans AWS Batch, cette activité est enregistrée dans un CloudTrail événement avec d'autres événements de AWS service dans **l'historique des événements**. Vous pouvez consulter, rechercher et télécharger les événements récents dans votre AWS compte. Pour plus d'informations, consultez la section [Affichage des événements avec l'historique des CloudTrail événements](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Pour un enregistrement continu des événements de votre AWS compte, y compris des événements pour AWS Batch, créez un parcours. Un *suivi* permet CloudTrail de fournir des fichiers journaux à un compartiment Amazon S3. Par défaut, lorsque vous créez un parcours dans la console, celui-ci s'applique à toutes les AWS régions. Le journal enregistre les événements de toutes les régions de la AWS partition et transmet les fichiers journaux au compartiment Amazon S3 que vous spécifiez. En outre, vous pouvez configurer d'autres AWS services pour analyser plus en détail les données d'événements collectées dans les CloudTrail journaux et agir en conséquence. Pour plus d’informations, consultez les ressources suivantes :
+ [Vue d’ensemble de la création d’un journal d’activité](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [CloudTrail Services et intégrations pris en charge](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [Configuration des notifications Amazon SNS pour CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [Réception de fichiers CloudTrail journaux de plusieurs régions](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) et [réception de fichiers CloudTrail journaux de plusieurs comptes](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
Toutes les AWS Batch actions sont enregistrées CloudTrail et documentées dans la https://docs.aws.amazon.com/batch/ dernière/ /. APIReference Par exemple, les appels adressés aux sections `[SubmitJob](https://docs.aws.amazon.com/batch/latest/APIReference/API_SubmitJob.html)`, `[ListJobs](https://docs.aws.amazon.com/batch/latest/APIReference/API_ListJobs.html)` et `[DescribeJobs](https://docs.aws.amazon.com/batch/latest/APIReference/API_DescribeJobs.html)` génèrent des entrées dans les fichiers journaux CloudTrail .
Chaque événement ou entrée de journal contient des informations sur la personne ayant initié la demande. Les informations relatives à l’identité permettent de déterminer les éléments suivants :
+ Si la demande a été effectuée avec des informations d’identification d’utilisateur root ou IAM.
+ Si la demande a été effectuée avec des informations d’identification de sécurité temporaires pour un rôle ou un utilisateur fédéré.
+ Si la demande a été faite par un autre AWS service.
Pour plus d’informations, consultez la section [Élément userIdentity CloudTrail ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
# Référence : Comprendre les entrées du fichier AWS Batch journal
Un suivi est une configuration qui permet de transmettre des événements sous forme de fichiers journaux à un compartiment Amazon S3 que vous spécifiez. CloudTrail les fichiers journaux contiennent une ou plusieurs entrées de journal. Un événement représente une demande individuelle à partir d'une source quelconque et comprend des informations sur l'action demandée, sur tous les paramètres, les paramètres de la demande, etc. Les fichiers journaux CloudTrail ne sont pas des séries ordonnées retraçant les appels d'API publics. Ils ne suivent aucun ordre précis.
L'exemple suivant montre une entrée de CloudTrail journal illustrant l'`[CreateComputeEnvironment](https://docs.aws.amazon.com/batch/latest/APIReference/API_CreateComputeEnvironment.html)`action.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AIDACKCEVSQ6C2EXAMPLE:admin",
"arn": "arn:aws:sts::012345678910:assumed-role/Admin/admin",
"accountId": "012345678910",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2017-12-20T00:48:46Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::012345678910:role/Admin",
"accountId": "012345678910",
"userName": "Admin"
}
}
},
"eventTime": "2017-12-20T00:48:46Z",
"eventSource": "batch.amazonaws.com",
"eventName": "CreateComputeEnvironment",
"awsRegion": "us-east-1",
"sourceIPAddress": "203.0.113.1",
"userAgent": "aws-cli/1.11.167 Python/2.7.10 Darwin/16.7.0 botocore/1.7.25",
"requestParameters": {
"computeResources": {
"subnets": [
"subnet-5eda8e04"
],
"tags": {
"testBatchTags": "CLI testing CE"
},
"desiredvCpus": 0,
"minvCpus": 0,
"instanceTypes": [
"optimal"
],
"securityGroupIds": [
"sg-aba9e8db"
],
"instanceRole": "ecsInstanceRole",
"maxvCpus": 128,
"type": "EC2"
},
"state": "ENABLED",
"type": "MANAGED",
"computeEnvironmentName": "Test"
},
"responseElements": {
"computeEnvironmentName": "Test",
"computeEnvironmentArn": "arn:aws:batch:us-east-1:012345678910:compute-environment/Test"
},
"requestID": "890b8639-e51f-11e7-b038-EXAMPLE",
"eventID": "874f89fa-70fc-4798-bc00-EXAMPLE",
"readOnly": false,
"eventType": "AwsApiCall",
"recipientAccountId": "012345678910"
}
```
# Résoudre les problèmes liés à l'IAM AWS Batch
Utilisez les informations suivantes pour vous aider à diagnostiquer et à résoudre les problèmes courants que vous pouvez rencontrer lorsque vous travaillez avec AWS Batch IAM.
**Topics**
+ [Je ne suis pas autorisé à effectuer une action dans AWS Batch](#security_iam_troubleshoot-no-permissions)
+ [Je ne suis pas autorisé à effectuer iam : PassRole](#security_iam_troubleshoot-passrole)
+ [Je souhaite autoriser des personnes extérieures à mon AWS compte à accéder à mes AWS Batch ressources](#security_iam_troubleshoot-cross-account-access)
## Je ne suis pas autorisé à effectuer une action dans AWS Batch
S'il vous AWS Management Console indique que vous n'êtes pas autorisé à effectuer une action, vous devez contacter votre administrateur pour obtenir de l'aide. Votre administrateur est la personne qui vous a fourni votre nom d’utilisateur et votre mot de passe.
L’exemple d’erreur suivant se produit quand l’utilisateur `mateojackson` tente d’utiliser la console pour afficher des informations détaillées sur une ressource `my-example-widget` fictive, mais ne dispose pas des autorisations `batch:GetWidget` fictives.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: batch:GetWidget on resource: my-example-widget
```
Dans ce cas, Mateo demande à son administrateur de mettre à jour ses politiques pour lui permettre d’accéder à la ressource `my-example-widget` à l’aide de l’action `batch:GetWidget`. Pour plus d'informations sur l'octroi d'autorisations pour transmettre un rôle, consultez la section [Octroi à un utilisateur des autorisations pour transmettre un rôle à un AWS service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html).
## Je ne suis pas autorisé à effectuer iam : PassRole
Si vous recevez une erreur selon laquelle vous n’êtes pas autorisé à exécuter `iam:PassRole` l’action, vos stratégies doivent être mises à jour afin de vous permettre de transmettre un rôle à AWS Batch.
Certains vous Services AWS permettent de transmettre un rôle existant à ce service au lieu de créer un nouveau rôle de service ou un rôle lié à un service. Pour ce faire, vous devez disposer des autorisations nécessaires pour transmettre le rôle au service.
L’exemple d’erreur suivant se produit lorsqu’un utilisateur IAM nommé `marymajor` essaie d’utiliser la console pour exécuter une action dans AWS Batch. Toutefois, l'action nécessite que le service ait des autorisations accordées par une fonction de service. Mary n'est pas autorisée à transmettre le rôle au service.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Dans ce cas, les politiques de Mary doivent être mises à jour pour lui permettre d’exécuter l’action `iam:PassRole`.
Si vous avez besoin d'aide, contactez votre AWS administrateur. Votre administrateur vous a fourni vos informations d’identification de connexion.
## Je souhaite autoriser des personnes extérieures à mon AWS compte à accéder à mes AWS Batch ressources
Vous pouvez créer un rôle que les utilisateurs provenant d’autres comptes ou les personnes extérieures à votre organisation pourront utiliser pour accéder à vos ressources. Vous pouvez spécifier qui est autorisé à assumer le rôle. Pour les services qui prennent en charge les politiques basées sur les ressources ou les listes de contrôle d'accès (ACLs), vous pouvez utiliser ces politiques pour autoriser les utilisateurs à accéder à vos ressources.
Pour plus d’informations, consultez les éléments suivants :
+ Pour savoir si ces fonctionnalités sont prises AWS Batch en charge, consultez[Comment AWS Batch fonctionne avec IAM](security_iam_service-with-iam.md).
+ Pour savoir comment fournir l'accès à vos ressources sur celles Comptes AWS que vous possédez, consultez la section [Fournir l'accès à un utilisateur IAM dans un autre utilisateur Compte AWS que vous possédez](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) dans le Guide de l'*utilisateur IAM*.
+ Pour savoir comment fournir l'accès à vos ressources à des tiers Comptes AWS, consultez la section [Fournir un accès à des ressources Comptes AWS détenues par des tiers](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) dans le *guide de l'utilisateur IAM*.
+ Pour savoir comment fournir un accès par le biais de la fédération d’identité, consultez [Fournir un accès à des utilisateurs authentifiés en externe (fédération d’identité)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) dans le *Guide de l’utilisateur IAM*.
+ Pour en savoir plus sur la différence entre l’utilisation des rôles et des politiques basées sur les ressources pour l’accès intercompte, consultez [Accès intercompte aux ressources dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dans le *Guide de l’utilisateur IAM*.