Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Autorisations IAM requises pour qu'Elastic Beanstalk puisse accéder aux secrets et aux paramètres
Vous devez accorder les autorisations nécessaires aux instances EC2 de votre environnement pour récupérer les secrets et les paramètres de AWS Systems Manager Parameter AWS Secrets Manager Store. Les autorisations sont accordées aux instances EC2 via un rôle de [profil d'instance](iam-instanceprofile.md) EC2.
Les sections suivantes répertorient les autorisations spécifiques que vous devez ajouter à un profil d'instance EC2, en fonction du service que vous utilisez. Suivez les étapes indiquées dans [Mettre à jour la politique d'autorisations pour un rôle](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_update-role-permissions.html) dans le *guide de l'utilisateur IAM* pour ajouter ces autorisations.
**Autorisations IAM pour la plateforme Docker gérée par ECS**
La plate-forme Docker gérée par ECS nécessite des autorisations IAM supplémentaires à celles fournies dans cette rubrique. Pour plus d'informations sur toutes les autorisations requises pour que votre environnement de plateforme Docker géré par ECS prenne en charge l'intégration des variables d'environnement Elastic Beanstalk avec les secrets, consultez. [Format ARN du rôle d'exécution](create_deploy_docker_v2config.md#create_deploy_docker_v2config_executionRoleArn_format)
**Topics**
+ [
## Autorisations IAM requises pour Secrets Manager
](#AWSHowTo.secrets.IAM-permissions.secrets-manager)
+ [
## Autorisations IAM requises (Systems Manager Parameter Store)
](#AWSHowTo.secrets.IAM-permissions.ssm-paramter-store)
## Autorisations IAM requises pour Secrets Manager
Les autorisations suivantes permettent d'accéder à l'extraction de secrets chiffrés depuis le AWS Secrets Manager magasin :
+ responsable des secrets : GetSecretValue
+ kms:Decrypt
L'autorisation de déchiffrer un secret n' AWS KMS key est requise que si votre secret utilise une clé gérée par le client au lieu de la clé par défaut. L'ajout de votre clé ARN personnalisée ajoute l'autorisation de déchiffrer la clé gérée par le client.
**Example politique avec Secrets Manager et autorisations clés KMS**
****
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue",
"kms:Decrypt"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:111122223333:secret:my-secret",
"arn:aws:kms:us-east-1:111122223333:key/my-key"
]
}
]
}
```
## Autorisations IAM requises (Systems Manager Parameter Store)
Les autorisations suivantes permettent d'accéder aux paramètres chiffrés depuis le AWS Systems Manager Parameter Store :
+ SMS : GetParameter
+ kms:Decrypt
L'autorisation de déchiffrer un n' AWS KMS key est requise que pour les types de `SecureString` paramètres qui utilisent une clé gérée par le client au lieu d'une clé par défaut. L'ajout de votre clé ARN personnalisée ajoute l'autorisation de déchiffrer la clé gérée par le client. Les types de paramètres habituels qui ne sont pas chiffrés `String` et `StringList` qui n'ont pas besoin de AWS KMS key.
**Example politique avec Systems Manager et autorisations AWS KMS clés**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:GetParameter",
"kms:Decrypt"
],
"Resource": [
"arn:aws:ssm:us-east-1:111122223333:parameter/my-parameter",
"arn:aws:kms:us-east-1:111122223333:key/my-key"
]
}
]
}
```