Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Autoriser EC2 les instances à accéder en écriture aux compartiments S3 dans les comptes AMS
<a name="allow-ec2-instances-write-access-to-s3-buckets-in-ams-accounts"></a>

*Mansi Suratwala, Amazon Web Services*

## Résumé
<a name="allow-ec2-instances-write-access-to-s3-buckets-in-ams-accounts-summary"></a>

AWS Managed Services (AMS) vous aide à exploiter votre AWS infrastructure de manière plus efficace et plus sûre. Les comptes AMS sont dotés de dispositifs de sécurité pour une administration standardisée de vos AWS ressources. L'un des obstacles est que les profils d'instance Amazon Elastic Compute Cloud EC2 (Amazon) par défaut n'autorisent pas l'accès en écriture aux compartiments Amazon Simple Storage Service (Amazon S3). Toutefois, votre organisation peut disposer de plusieurs compartiments S3 et avoir besoin d'un contrôle accru de l'accès par EC2 les instances. Par exemple, vous souhaiterez peut-être stocker des sauvegardes de base de données à partir d' EC2 instances dans un compartiment S3.

Ce modèle explique comment utiliser requests for change (RFCs) pour permettre à vos EC2 instances d'accéder en écriture aux compartiments S3 de votre compte AMS. Une RFC est une demande créée par vous ou AMS pour apporter une modification à votre environnement géré et qui inclut un ID de [type de modification](https://docs.aws.amazon.com/managedservices/latest/ctref/classifications.html) (CT) pour une opération particulière.

## Conditions préalables et limitations
<a name="allow-ec2-instances-write-access-to-s3-buckets-in-ams-accounts-prereqs"></a>

**Conditions préalables**
+ Un compte AMS Advanced. Pour plus d'informations à ce sujet, consultez les [plans d'opérations AMS](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/what-is-ams-op-plans.html) dans la documentation AMS. 
+ Accès au `customer-mc-user-role` rôle Gestion des identités et des accès AWS (IAM) à soumettre RFCs. 
+ AWS Command Line Interface (AWS CLI), installé et configuré avec les EC2 instances de votre compte AMS. 
+ Compréhension de la manière de créer et de soumettre RFCs dans AMS. Pour plus d'informations à ce sujet, voir [Quels sont les types de modifications AMS ?](https://docs.aws.amazon.com/managedservices/latest/ctref/what-are-change-types.html) dans la documentation AMS.
+ Compréhension des types de modifications manuels et automatisés (CTs). Pour plus d'informations à ce sujet, consultez [Automatisé et manuel CTs](https://docs.aws.amazon.com/managedservices/latest/userguide/ug-automated-or-manual.html) dans la documentation AMS.

## Architecture
<a name="allow-ec2-instances-write-access-to-s3-buckets-in-ams-accounts-architecture"></a>

**Pile technologique**
+ AMS
+ AWS CLI
+ Amazon EC2
+ Amazon S3
+ IAM

## Outils
<a name="allow-ec2-instances-write-access-to-s3-buckets-in-ams-accounts-tools"></a>
+ [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) est un outil open source qui vous permet d'interagir Services AWS par le biais de commandes dans votre interface de ligne de commande.
+ [Gestion des identités et des accès AWS (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) vous aide à gérer en toute sécurité l'accès à vos AWS ressources en contrôlant qui est authentifié et autorisé à les utiliser.
+ [AWS Managed Services (AMS)](https://docs.aws.amazon.com/managedservices/latest/userguide/what-is-ams.html) vous aide à exploiter votre infrastructure AWS de manière plus efficace et plus sécurisée. 
+ [Amazon Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) est un service de stockage d'objets basé sur le cloud qui vous permet de stocker, de protéger et de récupérer n'importe quel volume de données.
+ [Amazon Elastic Compute Cloud (Amazon EC2)](https://docs.aws.amazon.com/ec2/) fournit une capacité de calcul évolutive dans le AWS Cloud. Vous pouvez lancer autant de serveurs virtuels que vous le souhaitez et les augmenter ou les diminuer rapidement.

## Épopées
<a name="allow-ec2-instances-write-access-to-s3-buckets-in-ams-accounts-epics"></a>

### Création d'un compartiment S3 avec une RFC
<a name="create-an-s3-bucket-with-an-rfc"></a>


| Sous-tâche | Description | Compétences requises | 
| --- | --- | --- | 
| Créez un compartiment S3 à l'aide d'une RFC automatisée. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/allow-ec2-instances-write-access-to-s3-buckets-in-ams-accounts.html)Assurez-vous d'enregistrer le nom du compartiment S3. | Administrateur système AWS, développeur AWS | 

### Créez un profil d'instance IAM et associez-le aux EC2 instances
<a name="create-an-iam-instance-profile-and-associate-it-with-the-ec2-instances"></a>


| Sous-tâche | Description | Compétences requises | 
| --- | --- | --- | 
| Soumettez une RFC manuelle pour créer un rôle IAM. | Lorsqu'un compte AMS est intégré, un profil d'instance IAM par défaut nommé `customer-mc-ec2-instance-profile` est créé et associé à chaque EC2 instance de votre compte AMS. Toutefois, le profil d'instance ne dispose pas d'autorisations d'écriture sur vos compartiments S3.Pour ajouter les autorisations d'écriture, soumettez la RFC du manuel **Create IAM Resource** pour créer un rôle IAM doté des trois politiques suivantes :`customer_ec2_instance_`, `customer_deny_policy` et. `customer_ec2_s3_integration_policy` Les `customer_deny_policy` politiques `customer_ec2_instance_` et existent déjà dans votre compte AMS. Toutefois, vous devez créer à l'aide `customer_ec2_s3_integration_policy` de l'exemple de politique suivant :<pre>{<br />  "Version": "2012-10-17",		 	 	 <br />   "Statement": [<br />    {<br />      "Sid": "",<br />       "Effect": "Allow",<br />       "Principal": {<br />         "Service": "ec2.amazonaws.com"<br />      },<br />       "Action": "sts:AssumeRole"<br />    }<br />  ]<br />}<br /> <br />Role Permissions:<br />{<br />     "Version": "2012-10-17",		 	 	 <br />     "Statement": [<br />        {<br />             "Action": [<br />                 "s3:ListBucket",<br />                 "s3:GetBucketLocation"<br />            ],<br />             "Resource": "arn:aws:s3:::",<br />             "Effect": "Allow"<br />        },<br />        {<br />             "Action": [<br />                 "s3:GetObject",<br />                 "s3:PutObject",<br />                 "s3:ListMultipartUploadParts",<br />                 "s3:AbortMultipartUpload"<br />            ],<br />             "Resource": "arn:aws:s3:::/*",<br />             "Effect": "Allow"<br />        }<br />    ]<br />}</pre> | Administrateur système AWS, développeur AWS | 
| Soumettez une RFC manuelle pour remplacer le profil d'instance IAM. | Soumettez une RFC manuelle pour associer les EC2 instances cibles au nouveau profil d'instance IAM. | Administrateur système AWS, développeur AWS | 
| Testez une opération de copie vers le compartiment S3. | Testez une opération de copie vers le compartiment S3 en exécutant la commande suivante dans AWS CLI :<pre>aws s3 cp test.txt s3://<S3 bucket>/test2.txt</pre> | Administrateur système AWS, développeur AWS | 

## Ressources connexes
<a name="allow-ec2-instances-write-access-to-s3-buckets-in-ams-accounts-resources"></a>
+ [Créez un profil d'instance IAM pour vos instances Amazon EC2 ](https://docs.aws.amazon.com/codedeploy/latest/userguide/getting-started-create-iam-instance-profile.html)
+ [Création d'un compartiment S3 (à l'aide de la console Amazon S3 AWS SDKs, ou AWS CLI)](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/create-bucket.html)