

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Octroi aux utilisateurs et aux groupes de AWS Managed Microsoft AD d'accéder aux AWS ressources avec des rôles IAM
<a name="ms_ad_manage_roles"></a>

AWS Directory Service permet à vos utilisateurs et groupes Microsoft AD AWS gérés d'accéder à des AWS services et à des ressources, tels que l'accès à la console Amazon EC2. Tout comme si vous accordiez aux utilisateurs IAM l'accès à la gestion des annuaires comme décrit dans[Politiques basées sur une identité (politiques IAM)](IAM_Auth_Access_Overview.md#IAM_Auth_Access_ManagingAccess_IdentityBased), pour que les utilisateurs de votre annuaire aient accès à d'autres AWS ressources, telles qu'Amazon EC2, vous devez attribuer des rôles et des politiques IAM à ces utilisateurs et groupes. Pour plus d’informations, consultez [Rôles IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) dans le *Guide de l’utilisateur IAM*.

Pour plus d'informations sur la manière d'autoriser les utilisateurs à accéder au AWS Management Console, consultez[Activation de AWS Management Console l'accès avec les informations d'identification Microsoft AD AWS gérées](ms_ad_management_console_access.md).

**Topics**
+ [Création d'un nouveau rôle IAM](create_role.md)
+ [Modification de la relation de confiance pour un rôle IAM existant](edit_trust.md)
+ [Affectation d'utilisateurs ou de groupes à un rôle IAM existant](assign_role.md)
+ [Affichage des utilisateurs et groupes attribués à un rôle](view_role_details.md)
+ [Supprimer un utilisateur ou un groupe d'un rôle IAM](remove_role_users.md)
+ [Utilisation de politiques AWS gérées avec Directory Service](ms_ad_managed_policies.md)

# Création d'un nouveau rôle IAM
<a name="create_role"></a>

Si vous devez créer un nouveau rôle IAM à utiliser avec Directory Service, vous devez le créer à l'aide de la console IAM. Une fois le rôle créé, vous devez établir une relation de confiance avec ce rôle avant de pouvoir le voir dans la Directory Service console. Pour de plus amples informations, veuillez consulter [Modification de la relation de confiance pour un rôle IAM existant](edit_trust.md).

**Note**  
L'utilisateur exécutant cette tâche doit avoir l'autorisation d'effectuer les opérations IAM suivantes. Pour de plus amples informations, veuillez consulter [Politiques basées sur une identité (politiques IAM)](IAM_Auth_Access_Overview.md#IAM_Auth_Access_ManagingAccess_IdentityBased).  
iam : PassRole
iam : GetRole
iam : CreateRole
iam : PutRolePolicy

**Pour créer un nouveau rôle dans la console IAM**

1. Dans le panneau de navigation de la console IAM, choisissez **Rôles**. Pour plus d'informations, veuillez consulter [Creating a role (AWS Management Console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html) (français non garanti) dans le *Guide de l'utilisateur IAM*. 

1. Choisissez **Créer un rôle**.

1. Dans **Choisir le service qui utilisera ce rôle**, choisissez **Directory Service**, puis **Suivant : Autorisations**.

1. Cochez la case à côté de la politique (par exemple, **Amazon EC2 FullAccess**) que vous souhaitez appliquer aux utilisateurs de votre annuaire, puis choisissez **Next**.

1. Si nécessaire, ajoutez une balise au rôle, puis choisissez **Suivant**.

1. Fournissez le **Nom du rôle** et une **Description** (facultative), puis choisissez **Créer un rôle**.

**Exemple : Création d'un rôle pour activer l'accès à AWS Management Console **

La liste de contrôle suivante fournit un exemple des tâches que vous devez effectuer pour créer un nouveau rôle IAM qui permettra à des utilisateurs spécifiques de Managed AWS Microsoft AD d'accéder à la console Amazon EC2.

1. Créez un rôle avec la console IAM à l'aide de la procédure ci-dessus. Lorsque vous êtes invité à saisir une politique, choisissez **Amazon EC2 FullAccess**.

1. Suivez les étapes décrites dans [Modification de la relation de confiance pour un rôle IAM existant](edit_trust.md) pour modifier le rôle que vous venez de créer, puis ajoutez les informations de relation d'approbation requises au document de stratégie. Cette étape est nécessaire pour que le rôle soit visible immédiatement après avoir activé l'accès AWS Management Console à l'étape suivante.

1. Suivez les étapes de [Activation de AWS Management Console l'accès avec les informations d'identification Microsoft AD AWS gérées](ms_ad_management_console_access.md) pour configurer l'accès général à AWS Management Console.

1. Suivez les étapes de [Affectation d'utilisateurs ou de groupes à un rôle IAM existant](assign_role.md) pour ajouter au nouveau rôle les utilisateurs qui ont besoin d'un accès complet aux ressources EC2.

# Modification de la relation de confiance pour un rôle IAM existant
<a name="edit_trust"></a>

Vous pouvez attribuer vos rôles IAM existants à vos Directory Service utilisateurs et à vos groupes. Pour ce faire, le rôle doit toutefois entretenir une relation de confiance avec Directory Service. Lorsque vous créez un rôle Directory Service à l'aide de la procédure dans[Création d'un nouveau rôle IAM](create_role.md), cette relation de confiance est automatiquement définie.

**Note**  
Vous n'avez qu'à établir cette relation d'approbation pour les rôles IAM qui ne sont pas créés par Directory Service.

**Pour établir une relation de confiance pour un rôle IAM existant pour Directory Service**

1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Dans le volet de navigation de la console IAM, sous **Gestion des accès**, choisissez **Rôles**.

   La console affiche les rôles de votre compte.

1. Choisissez le nom du rôle que vous voulez modifier, puis,une fois dans la page du rôle, sélectionnez **Relations d'approbation**.

1. Choisissez **Modifier la politique d’approbation**.

1. Sous **Modifier la politique d'approbation**, collez les informations suivantes, puis choisissez **Mettre à jour la stratégie**.

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Sid": "",
         "Effect": "Allow",
         "Principal": {
           "Service": "ds.amazonaws.com"
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }
   ```

------

Vous pouvez également mettre à jour ce document de stratégie à l'aide de AWS CLI. Pour plus d'informations, veuillez consulter [update-trust](https://docs.aws.amazon.com/cli/latest/reference/ds/update-trust.html) dans *AWS CLI Command Reference* (français non garanti).

# Affectation d'utilisateurs ou de groupes à un rôle IAM existant
<a name="assign_role"></a>

Vous pouvez attribuer un rôle IAM existant à un utilisateur ou à un groupe Microsoft AD AWS géré. Pour ce faire, assurez-vous d'avoir effectué les étapes suivantes.

**Conditions préalables**
+ [Créez un Microsoft AD AWS géré](https://docs.aws.amazon.com//directoryservice/latest/admin-guide/ms_ad_getting_started.html#ms_ad_getting_started_create_directory).
+ [Créez un utilisateur IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_create.html) ou [un groupe IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_groups_create.html).
+ [Créez un rôle](https://docs.aws.amazon.com//directoryservice/latest/admin-guide/create_role.html) qui entretient une relation de confiance avec Directory Service. Pour les rôles IAM existants, vous devez [modifier la relation de confiance associée à un rôle existant](https://docs.aws.amazon.com//directoryservice/latest/admin-guide/edit_trust.html).

**Important**  
L'accès des utilisateurs de AWS Managed Microsoft AD appartenant à des groupes imbriqués au sein de votre annuaire n'est pas pris en charge. Les membres du groupe parent ont accès à la console, mais pas les membres des groupes enfants.

**Pour attribuer des utilisateurs ou des groupes Microsoft AD AWS gérés à un rôle IAM existant**

1. Dans le volet de navigation de la [console AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), sous **Active Directory**, sélectionnez **Annuaires**.

1. Sur la page **Directories (Annuaires)**, choisissez l'ID de votre annuaire.

1. Sur la page **Détails de l'annuaire**, exécutez l'une des opérations suivantes :

   1. Si aucune région n'apparaît sous **Réplication sur plusieurs régions**, choisissez l'onglet **Gestion des applications**.

   1. Si plusieurs régions apparaissent sous **Réplication sur plusieurs régions**, sélectionnez la région dans laquelle vous souhaitez effectuer vos affectations, puis cliquez sur l'onglet **Gestion des applications**. Pour de plus amples informations, veuillez consulter [Régions principales et régions supplémentaires](multi-region-global-primary-additional.md).

1. Faites défiler la page jusqu'à la **AWS Management Console**section, sélectionnez **Actions** et **Activer**.

1. Dans la section **Accès à la console déléguée**, choisissez le nom du rôle IAM existant auquel vous souhaitez attribuer des utilisateurs.

1. Sur la page **Selected rôle (Rôle sélectionné)** sous **Manage users and groups for this role (Gérer les utilisateurs et les groupes pour ce rôle**), choisissez **Add (Ajouter)**.

1. Sur la page **Add users and groups to the role (Ajouter des utilisateurs et groupes aux rôles)**, en regard de **Select Active Directory Forest (Sélectionner la forêt Active Directory)**, choisissez la forêt AWS Managed Microsoft AD (cette forêt) ou la forêt sur site (forêt approuvée), selon celle qui contient les comptes qui ont besoin d'accéder à AWS Management Console. Pour plus d'informations sur la mise en place d'une forêt approuvée, veuillez consulter [Tutoriel : Création d'une relation de confiance entre votre Microsoft AD AWS géré et votre domaine Active Directory autogéré](ms_ad_tutorial_setup_trust.md).

1. Sous **Specify which users or groups to add (Spécifier les utilisateurs ou les groupes à ajouter)**, sélectionnez **Find by user (Rechercher par utilisateur)** ou **Find by group (Rechercher par groupe)**, puis tapez le nom de l'utilisateur ou du groupe. Dans la liste de correspondances possibles, choisissez l'utilisateur ou le groupe que vous souhaitez ajouter.

1. Choisissez **Add (Ajouter)** pour mettre fin à l'affectation des utilisateurs et des groupes au rôle.

# Affichage des utilisateurs et groupes attribués à un rôle
<a name="view_role_details"></a>

Pour afficher les utilisateurs et les groupes Microsoft AD AWS gérés affectés à un rôle IAM, effectuez les étapes suivantes.

**Conditions préalables**
+ [Créez un Microsoft AD AWS géré](https://docs.aws.amazon.com//directoryservice/latest/admin-guide/ms_ad_getting_started.html#ms_ad_getting_started_create_directory).
+ [Créez un utilisateur IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_create.html) ou [un groupe IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_groups_create.html).
+ [Créez un rôle](https://docs.aws.amazon.com//directoryservice/latest/admin-guide/create_role.html) qui entretient une relation de confiance avec Directory Service. Pour les rôles IAM existants, vous devez [modifier la relation de confiance associée à un rôle existant](https://docs.aws.amazon.com//directoryservice/latest/admin-guide/edit_trust.html).
+ [Assignez vos utilisateurs ou groupes à un rôle IAM existant](https://docs.aws.amazon.com//directoryservice/latest/admin-guide/assign_role.html).

**Pour afficher les utilisateurs AWS gérés de Microsoft AD et les groupes assignés à un rôle IAM**

1. Dans le volet de navigation de la [console AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), sous **Active Directory**, sélectionnez **Annuaires**.

1. Sur la page **Directories (Annuaires)**, choisissez l'ID de votre annuaire.

1. Sur la page **Détails de l'annuaire**, exécutez l'une des opérations suivantes :

   1. Si plusieurs régions apparaissent sous **Réplication sur plusieurs régions**, sélectionnez la région dans laquelle vous souhaitez afficher vos affectations, puis cliquez sur l'onglet **Gestion des applications**. Pour de plus amples informations, veuillez consulter [Régions principales et régions supplémentaires](multi-region-global-primary-additional.md).

   1. Si aucune région n'apparaît sous **Réplication sur plusieurs régions**, choisissez l'onglet **Gestion des applications**.

1. Faites défiler la page vers le bas jusqu'à **AWS Management Console**la section. Le **statut** doit être **activé**. Si ce n'est pas le cas, choisissez **Actions** et **Activer**. Pour de plus amples informations, veuillez consulter [Activation de AWS Management Console l'accès avec les informations d'identification Microsoft AD AWS gérées](ms_ad_management_console_access.md).
**Note**  
Vous ne verrez aucun groupe ou utilisateur s'il AWS Management Console est désactivé.

1. Dans la section **Accès à la console déléguée**, sélectionnez le lien hypertexte du rôle IAM que vous souhaitez afficher. Vous pouvez également sélectionner **Afficher la politique dans IAM** pour afficher la politique IAM dans la console IAM. 

1. Sur la page **Rôle sélectionné**, sous la section **Gérer les utilisateurs et les groupes pour ce rôle**, vous pouvez afficher les utilisateurs et les groupes affectés au rôle IAM.

# Supprimer un utilisateur ou un groupe d'un rôle IAM
<a name="remove_role_users"></a>

Pour supprimer un utilisateur ou un groupe Microsoft AD AWS géré d'un rôle IAM, effectuez les étapes suivantes.

**Pour supprimer un utilisateur ou un groupe d'un rôle IAM**

1. Dans le panneau de navigation de la [console AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), choisissez **Annuaires**.

1. Sur la page **Directories (Annuaires)**, choisissez l'ID de votre annuaire.

1. Sur la page **Détails de l'annuaire**, exécutez l'une des opérations suivantes :

   1. Si plusieurs régions apparaissent sous **Réplication sur plusieurs régions**, sélectionnez la région dans laquelle vous souhaitez supprimer vos affectations, puis cliquez sur l'onglet **Gestion des applications**. Pour de plus amples informations, veuillez consulter [Régions principales et régions supplémentaires](multi-region-global-primary-additional.md).

   1. Si aucune région n'apparaît sous **Réplication sur plusieurs régions**, choisissez l'onglet **Gestion des applications**.

1. Dans la **AWS Management Console**section, choisissez le rôle IAM dont vous souhaitez supprimer des utilisateurs et des groupes. 

1. Sur la page **Selected role (Rôle sélectionné)**, sous **Manage users and groups for this role (Gérer les utilisateurs et les groupes pour ce rôle)**, sélectionnez les utilisateurs ou les groupes pour lesquels supprimer le rôle, puis choisissez **Remove (Supprimer)**. Le rôle est supprimé pour les utilisateurs et les groupes spécifiés, mais il n'est pas supprimé de votre compte.
**Note**  
Si vous souhaitez supprimer un rôle, consultez [Supprimer des rôles ou des profils d'instance](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html).

# Utilisation de politiques AWS gérées avec Directory Service
<a name="ms_ad_managed_policies"></a>

Directory Service fournit les politiques AWS gérées suivantes pour permettre à vos utilisateurs et groupes d'accéder aux AWS services et aux ressources, tels que l'accès à la EC2 console Amazon. Vous devez vous connecter à AWS Management Console avant de pouvoir afficher ces stratégies. 
+ [Accès en lecture seule](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/ReadOnlyAccess)
+ [Accès utilisateur avec pouvoir](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/PowerUserAccess)
+ [Directory Service accès complet](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSDirectoryServiceFullAccess)
+ [Directory Service accès en lecture seule](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSDirectoryServiceReadOnlyAccess)
+ [AWS Accès complet aux données du service de répertoire](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSDirectoryServiceDataFullAccess)
+ [AWS Accès en lecture seule aux données du Directory Service](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSDirectoryServiceDataReadOnlyAccess)
+ [Accès complet à Amazon Cloud Directory](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonCloudDirectoryFullAccess)
+ [Accès en lecture seule à Amazon Cloud Directory](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonCloudDirectoryReadOnlyAccess)
+ [Accès EC2 complet à Amazon](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEC2FullAccess)
+ [Accès en EC2 lecture seule à Amazon](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEC2ReadOnlyAccess)
+ [Accès complet à Amazon VPC](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonVPCFullAccess)
+ [Accès en lecture seule à Amazon VPC](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonVPCReadOnlyAccess)
+ [Accès complet à Amazon RDS](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonRDSFullAccess)
+ [Accès en lecture seule à Amazon RDS](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonRDSReadOnlyAccess)
+ [Accès complet à Amazon DynamoDB](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonDynamoDBFullAccess)
+ [Accès en lecture seule à Amazon DynamoDB](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonDynamoDBReadOnlyAccess)
+ [Accès complet à Amazon S3](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonS3FullAccess)
+ [Accès en lecture seule à Amazon S3](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess)
+ [AWS CloudTrail accès complet](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSCloudTrailFullAccess)
+ [AWS CloudTrail accès en lecture seule](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSCloudTrailReadOnlyAccess)
+ [Accès CloudWatch complet à Amazon](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/CloudWatchFullAccess)
+ [Accès en CloudWatch lecture seule à Amazon](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/CloudWatchReadOnlyAccess)
+ [Accès complet à Amazon CloudWatch Logs](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/CloudWatchLogsFullAccess)
+ [Accès en lecture seule à Amazon CloudWatch Logs](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/CloudWatchLogsReadOnlyAccess)

Pour plus d'informations sur la création de vos propres politiques, consultez la section [Exemples de politiques pour l'administration AWS des ressources](https://docs.aws.amazon.com/console/iam/example-policies) dans le *Guide de l'utilisateur IAM*.