Comment créer des rôles IAM dans AWS

Comment créer des rôles IAM dans AWS
Dans l'architecture AWS, nous avons souvent besoin d'un service AWS pour gérer ou accéder à d'autres services AWS (par exemple, vous souhaitez que votre instance EC2 lise les données de S3 Bucket) en votre nom. Pour ce faire, nous devons donner la permission à ce service, tout comme nous donnons des autorisations aux utilisateurs IAM dans notre compte. Ces autorisations sont accordées en attachant les politiques IAM aux rôles IAM. Ensuite, ce rôle IAM est affecté au service AWS. Ce blog décrit comment nous pouvons créer des rôles IAM sur AWS en utilisant la console de gestion AWS et l'interface de ligne de commande AWS.

Types de rôles AWS

Il existe quatre types de rôles que nous pouvons créer dans AWS qui sont les suivants:

Rôle de service AWS

Les rôles de service AWS sont les rôles les plus couramment utilisés lorsque vous voulez qu'un service AWS ait des autorisations pour accéder à un autre service AWS en votre nom. Le rôle de service AWS peut être attaché à une instance EC2, des fonctions lambda ou tout autre service AWS.

Un autre rôle de compte AWS

Ceci est simplement utilisé pour permettre l'accès d'un compte AWS à un autre compte AWS.

Rôle d'identité Web

C'est un moyen de permettre aux utilisateurs qui ne sont pas dans votre compte AWS (pas des utilisateurs IAM) d'accéder aux services AWS dans votre compte AWS. Ainsi, en utilisant des rôles d'identité Web, ces utilisateurs peuvent être autorisés à utiliser les services AWS à partir de votre compte.

Saml 2.0 Rôle de la fédération

Ce rôle est utilisé pour fournir un accès à des utilisateurs spécifiques pour gérer et accéder à votre compte AWS s'ils sont fédérés avec SAML 2.0. Saml 2.0 est un protocole qui peut fournir l'authentification et l'autorisation entre les domaines de sécurité.

Créer des rôles IAM

Dans cette section, nous allons voir comment vous pouvez créer des rôles IAM en utilisant les méthodes suivantes.

  • Utilisation de la console de gestion AWS
  • Utilisation de l'interface de ligne de commande AWS (CLI)

Créer un rôle IAM à l'aide de la console de gestion

Connectez-vous à votre compte AWS et dans la barre de recherche supérieure, Type IAM.

Sélectionnez l'option IAM dans le menu de recherche. Cela vous amènera à votre tableau de bord IAM. Cliquez sur les rôles dans le panneau latéral gauche pour gérer IAM Les rôles sur ton compte.

Cliquer sur Créer un rôle bouton pour créer un nouveau rôle dans votre compte.

Dans la section Créer des rôles, vous devez d'abord sélectionner le type de rôle que vous souhaitez créer. Dans cet article, nous allons discuter uniquement Service AWS rôles tels qu'ils sont le type de rôle le plus souvent et le plus utilisé.

Maintenant, vous devez sélectionner le service AWS pour lequel vous souhaitez créer le rôle. Il y a une longue liste de services disponibles ici et nous allons rester avec EC2.

Pour donner un rôle à l'autorisation souhaitée que vous souhaitez, vous devez joindre une politique IAM au rôle, tout comme une politique IAM est attachée aux utilisateurs IAM pour leur accorder des autorisations. Ces politiques sont des documents JSON avec des déclarations uniques ou multiples. Vous pouvez soit utiliser des politiques gérées AWS ou créer vos propres politiques personnalisées. Pour cette démo, nous joindrons une politique gérée AWS qui donne la lecture uniquement à S3.

Ensuite, vous devez ajouter des balises si vous le souhaitez et c'est une étape totalement facultative.

Enfin, passez en revue les détails du rôle que vous créez et ajoutez le nom de votre rôle. Puis cliquez sur le bouton Créer un rôle dans le coin inférieur droit de la console.

Vous avez donc réussi à créer un rôle dans AWS et ce rôle peut être trouvé dans la section des rôles de la console IAM.

Attacher un rôle au service

Jusqu'à présent, nous avons créé un rôle IAM, maintenant nous verrons comment nous pouvons attacher ce rôle à un service AWS pour accorder des autorisations. Comme nous avons créé un rôle EC2, il ne peut être attaché qu'à une instance EC2.

Afin d'attacher un rôle IAM à une instance EC2, créez d'abord une instance EC2 dans votre compte AWS. Après avoir créé une instance EC2, accédez à la console EC2.

Clique sur le Actions Onglet, choisissez Sécurité dans la liste et cliquez sur le rôle de modification IAM.

Dans la section Modifier IAM, sélectionnez le rôle dans la liste que vous souhaitez attribuer et cliquez simplement sur le bouton Enregistrer.

Après cela, si vous souhaitez vérifier que le rôle est réellement attaché à votre instance, vous pouvez simplement le rechercher dans la section Résumé.

Création du rôle IAM en utilisant l'interface de ligne de commande

Les rôles IAM peuvent être créés à l'aide de l'interface de ligne de commande, et c'est la méthode la plus courante du point de vue des développeurs qui préfère utiliser la console CLI à gestion. Pour AWS, vous pouvez configurer CLI sur Windows, Mac, Linux ou simplement vous pouvez utiliser AWS CloudShell. Tout d'abord, connectez-vous à un compte utilisateur AWS en utilisant vos informations d'identification et pour créer un nouveau rôle, allez simplement la procédure suivante.

Créez un fichier de stratégie de relation de test ou de confiance en utilisant la commande suivante dans le terminal.

$ vim démo_policy.json

Dans l'éditeur, collez la politique IAM que vous souhaitez attacher au rôle IAM.

[
"Version": "2012-10-17",
"Déclaration": [

"Effet": "Autoriser",
"Principal":
"Service": "EC2.Amazonaws.com "
,
"Action": "STS: Asumerole"

]]
]]

Après avoir copié la politique IAM, sauvegard et quitte l'éditeur. Afin de lire la stratégie du fichier, utilisez le chat commande.

$ chat

Maintenant, enfin vous pouvez créer votre rôle IAM en utilisant la commande suivante.

$ aws iam create-role --role-name --sume-role-pololicy-document fichier: //

Cette commande créera le rôle IAM et attachera la politique IAM définie dans le document JSON au rôle.

La politique IAM attachée au rôle IAM peut être modifiée en utilisant la commande suivante dans le terminal.

$ aws iam attach-role-policy - role-name --art politique

Afin d'énumérer la politique attachée au rôle IAM, utilisez la commande suivante dans le terminal.

$ AWS IAM List-Aattached-Role-Polies - Role-Name

Attacher un rôle au service

Après avoir créé le rôle IAM, attachez le rôle IAM nouvellement créé au service AWS. Ici, nous allons attacher le rôle à une instance EC2.

Pour attacher un rôle à une instance EC2, nous devons d'abord créer un profil d'instance en utilisant la commande CLI suivante.

$ AWS IAM CREATE-INSTANCE Profil - Istance-Profile-Name

Maintenant, attachez le rôle au profil d'instance

$ aws iam add-role à instance-profil - nom-instance-nom> nom<--role-name>nom<

Enfin, maintenant nous allons joindre ce profil d'instance à notre instance EC2. Pour cela, nous avons besoin de la commande suivante:

$ aws ec2 associé-IAM-instance-profile - ID-ID --IAM-INSTANCE-PROFILE NAME =

Afin de répertorier les associations de profil d'instance IAM, utilisez la commande suivante dans le terminal.

$ aws ec2 décrite-IAM-Istance-Profile-Associations

Conclusion

Gérer les rôles IAM est l'un des concepts de base dans AWS Cloud. Les rôles IAM peuvent être utilisés pour autoriser le service AWS pour accéder à un autre service AWS en votre nom. Ils sont également importants pour garder vos ressources AWS en sécurité en attribuant des autorisations spécifiques aux services AWS dont ils ont besoin. Ces rôles peuvent également être utilisés pour permettre aux utilisateurs IAM des autres comptes AWS d'utiliser des ressources AWS sur votre compte AWS. Les rôles IAM utilisent des politiques IAM pour attribuer des autorisations aux services AWS avec lesquels ils sont joints. Ce blog décrit une procédure étape par étape pour créer des rôles IAM à l'aide de la console de gestion AWS et de l'interface de ligne de commande AWS.