Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Rôle IAM Amazon ECS Anywhere
Lorsque vous enregistrez un serveur local ou une machine virtuelle (VM) dans votre cluster, le serveur ou la machine virtuelle a besoin d'un rôle IAM pour communiquer avec AWS les API. Vous ne devez créer ce rôle IAM qu'une seule fois pour chaque AWS compte. Toutefois, ce rôle IAM doit être associé à chaque serveur ou machine virtuelle que vous enregistrez sur un cluster. Ce rôle est le `ECSAnywhereRole`. Vous pouvez créer ce rôle manuellement. De même, Amazon ECS peut créer le rôle en votre nom lorsque vous enregistrez une instance externe dans la AWS Management Console. Vous pouvez utiliser la recherche de la console IAM pour rechercher `ecsAnywhereRole` et voir si votre compte dispose déjà de ce rôle. Pour plus d’informations, consultez la section [Recherche dans la console IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/console_search.html) dans le *Guide de l’utilisateur IAM*.
AWS fournit deux politiques IAM gérées qui peuvent être utilisées lors de la création du rôle IAM ECS Anywhere, à savoir les politiques `AmazonSSMManagedInstanceCore` et`AmazonEC2ContainerServiceforEC2Role`. La stratégie `AmazonEC2ContainerServiceforEC2Role` inclut des autorisations qui fournissent probablement plus d'accès que vous n'avez besoin. Par conséquent, en fonction de votre cas d'utilisation spécifique, nous vous recommandons de créer une stratégie personnalisée en ajoutant uniquement les autorisations de cette stratégie dont vous avez besoin. Pour de plus amples informations, consultez la section [Rôle IAM d'instance de conteneur Amazon ECS](instance_IAM_role.md).
Le rôle IAM d'exécution de tâche qui accorde à l'agent de conteneur Amazon ECS l'autorisation d'effectuer des appels d'API AWS en votre nom. Lorsqu'un rôle IAM d'exécution de tâche est utilisé, il doit être spécifié dans votre définition de tâche. Pour de plus amples informations, veuillez consulter [Rôle IAM d'exécution de tâche Amazon ECS](task_execution_IAM_role.md).
Le rôle d'exécution de tâche est requis si l'une des conditions suivantes s'applique :
+ Vous envoyez des journaux de conteneurs à CloudWatch Logs à l'aide du pilote de `awslogs` journal.
+ Votre définition de tâche spécifie une image de conteneur hébergée dans un référentiel privé Amazon ECR. Cependant, si le rôle `ECSAnywhereRole` associé à votre instance externe inclut également les autorisations nécessaires pour extraire des images d’Amazon ECR, alors votre rôle d’exécution de tâche n’a pas besoin de les inclure.
## Création du rôle Amazon ECS Anywhere
Remplacez tout {{user input}} par vos propres informations.
1. Créez un fichier local nommé `ssm-trust-policy.json` avec la stratégie d’approbation suivante :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Principal": {"Service": [
"ssm.amazonaws.com"
]},
"Action": "sts:AssumeRole"
}
}
```
------
1. Créez le rôle et associez-lui la stratégie d’approbation à l’aide de la commande AWS CLI suivante.
```
aws iam create-role --role-name {{ecsAnywhereRole}} --assume-role-policy-document file://ssm-trust-policy.json
```
1. Joignez les politiques AWS gérées à l'aide de la commande suivante.
```
aws iam attach-role-policy --role-name {{ecsAnywhereRole}} --policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
aws iam attach-role-policy --role-name {{ecsAnywhereRole}} --policy-arn arn:aws:iam::aws:policy/service-role/AmazonEC2ContainerServiceforEC2Role
```
Vous pouvez également utiliser le flux de travail de stratégie d’approbation personnalisé IAM pour créer le rôle. Pour plus d’informations, reportez-vous à la section [Création d’un rôle à l’aide de politiques de confiance personnalisées (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html) dans le *Guide de l’utilisateur IAM*.