Comment attacher ou remplacer un profil d’instance sur une instance Amazon EC2 ?

Résolution

Exigence : Vous devez être autorisé à lancer des instances EC2 et à transmettre les rôles Gestion des identités et des accès AWS (AWS IAM).

Pour attacher ou remplacer un profil d'instance sur une instance EC2, créez un rôle IAM. Pour créer un rôle IAM, vous pouvez utiliser la console de gestion AWS ou l'interface de la ligne de commande AWS (AWS CLI). Si vous utilisez l'AWS CLI, vous devez également l’utiliser pour créer le profil d'instance. Le nom du rôle IAM et le nom du profil d'instance peuvent être différents. Lorsque vous utilisez la console de gestion AWS, le profil d'instance et les noms de rôles sont identiques.

Créer le rôle IAM

Utiliser la console de gestion AWS

Procédez comme suit :

1. Ouvrez la console Amazon EC2, puis choisissez Instances.
2. Sélectionnez l’instance que vous souhaitez attacher à un rôle IAM.
3. Sous Détails, localisez le rôle IAM, puis vérifiez que le rôle IAM est attaché à l'instance.
   Important : Les autorisations de l'instance changent en fonction du rôle IAM attaché. Lorsque vous modifiez un rôle IAM, les applications qui s'exécutent sur l'instance peuvent être affectées. Avant de modifier le rôle IAM, vérifiez que les applications exécutées sur l'instance conservent l'accès aux services AWS.
4. Choisissez le menu Actions, puis sélectionnez Sécurité.
5. Choisissez Modifier le rôle IAM.
   Remarque : Amazon EC2 utilise un profil d'instance comme conteneur pour un rôle IAM.
6. Dans Sélectionner un rôle IAM, choisissez le profil d'instance que vous souhaitez attacher.
7. Sélectionnez Enregistrer.

Utiliser l’interface de ligne de commande AWS

Remarque : Si des erreurs surviennent lorsque vous exécutez des commandes de l’interface de la ligne de commande AWS (AWS CLI), consultez la section Résoudre les erreurs liées à l’AWS CLI. Vérifiez également que vous utilisez bien la version la plus récente de l'AWS CLI.

Remarque : Dans les commandes suivantes, remplacez PROFILENAME par le nom de profil de votre instance, ROLENAME par le nom de votre rôle et INSTANCE-ID par l'ID de votre instance.

Procédez comme suit :

1. Exécutez la commande create-instance-profile suivante pour créer un profil d'instance :

   aws iam create-instance-profile --instance-profile-name PROFILENAME

2. Exécutez la commande add-role-to-instance-profile suivante pour ajouter le rôle au profil d'instance :

   aws iam add-role-to-instance-profile --instance-profile-name PROFILENAME --role-name ROLENAME

3. Exécutez la commande associate-iam-instance-profile suivante pour attacher le profil d'instance à l'instance :

   aws ec2 associate-iam-instance-profile --iam-instance-profile Name=PROFILENAME --instance-id i-012345678910abcde

   Si vous avez attaché un profil d'instance à l'instance, la commande associate-iam-instance-profile échoue. Pour résoudre ce problème, exécutez la commande describe-iam-instance-profile-associations pour obtenir l'ID de l'instance attachée. Puis, exécutez la commande replace-iam-instance-profile-association pour remplacer le profil d'instance. Vous pouvez également exécuter la commande disassociate-iam-instance-profile pour détacher le profil d'instance, puis exécutez de nouveau la commande associate-iam-instance-profile.

4. Exécutez la commande describe-iam-instance-profile-associations pour vérifier que le rôle IAM est bien attaché à l'instance :

   aws ec2 describe-iam-instance-profile-associations --filters Name=INSTANCE-ID,Values=i-012345678910abcde

Informations connexes

Utiliser un rôle IAM pour accorder des autorisations à des applications s'exécutant sur des instances Amazon EC2

Utiliser des profils d'instance

Résoudre les problèmes liés à IAM et à Amazon EC2