Octroi des autorisations requises pour les ressources Amazon EC2

Par défaut, les utilisateurs, les groupes et les rôles ne sont pas autorisés à créer ou à modifier des ressources Amazon EC2, ni à effectuer des tâches à l'aide de l'API Amazon EC2. Pour créer ou modifier des ressources EC2 et effectuer des tâches, consultez la section Gestion des identités et des accès pour Amazon EC2 dans le guide de l'utilisateur Amazon EC2.

Lorsque vous effectuez une demande d'API, les paramètres que vous spécifiez dans la demande déterminent les autorisations requises pour vos ressources EC2. Si l'utilisateur, le groupe ou le rôle qui fait la demande n'a pas l'autorisation requise, la demande échoue. Par exemple, RunInstances pour lancer une instance dans un sous-réseau (en spécifiant le SubnetId paramètre), un utilisateur doit être autorisé à utiliser le VPC.

Resource-level les autorisations font référence à la capacité de spécifier les ressources sur lesquelles les utilisateurs sont autorisés à effectuer des actions. Amazon EC2 prend partiellement en charge les autorisations au niveau des ressources. Cela signifie que pour certaines actions Amazon EC2, vous pouvez contrôler à quel moment les utilisateurs sont autorisés à utiliser ces actions en fonction des conditions qui doivent être satisfaites, ou les ressources spécifiques que les utilisateurs sont autorisés à utiliser. Par exemple, vous pouvez accorder aux utilisateurs l'autorisation de lancer des instances, mais uniquement d'un type spécifique et seulement à l'aide d'une AMI spécifique.

Pour plus d'informations sur les ressources créées ou modifiées par les actions Amazon EC2, ainsi que sur les ARN et les clés de condition Amazon EC2 que vous pouvez utiliser dans une déclaration de politique IAM, consultez Actions, ressources et clés de condition pour Amazon EC2 dans le Service Authorization Reference.

Pour des exemples de politiques, consultez les politiques IAM pour Amazon EC2 dans le guide de l'utilisateur Amazon EC2.