Configurer un rôle AWS IAM

Un rôle IAM permet à New Relic d'utiliser des identifiants temporaires dans votre compte AWS sans nécessiter de clés d'accès permanentes. Cette approche présente plusieurs avantages :

Les identifiants sont renouvelés automatiquement.
L'accès est limité dans le temps par conception.
Toutes les actions sont enregistrées dans AWS CloudTrail
Conforme aux bonnes pratiques de sécurité AWS

Prérequis

Avant de créer un rôle IAM, assurez-vous d'avoir :

Un compte AWS avec l'autorisation de créer des rôles IAM
Votre ID de compte New Relic
Accès administrateur à la console AWS IAM

Configurer le rôle IAM

Créez le rôle dans AWS

Connectez-vous à la console AWS IAM
Accédez à Roles et cliquez sur Create role
Sous Trusted entity type, sélectionnez AWS account
Sélectionnez Another AWS account
Dans le champ Account ID, saisissez : 253490767857
Dans Options, cochez la case Require external ID.
Dans le champ External ID, saisissez l'ID de votre compte New Relic et cliquez sur Next.
- Vous ne l'avez pas ? Trouvez votre identifiant de compte ici
Sur la page Add permissions, attachez des stratégies en fonction de vos workflows. Par exemple :
- Pour le workflow EC2 : Attachez AmazonEC2ReadOnlyAccess ou créez une stratégie personnalisée
- Pour le workflow SQS : Attachez AmazonSQSFullAccess ou limitez-le à des files d’attente spécifiques.
- Pour les autres services, consultez les exemples de stratégies AWS
Cliquez sur Next.
Saisissez un nom de rôle : NewRelicWorkflowAutomationRole (ou le nom de votre choix)
Ajoutez éventuellement une description : Permet à l'automatisation des workflows New Relic d'effectuer des actions dans AWS, puis cliquez sur Create role.

Vérifiez la politique de fiducie

Après avoir créé le rôle, vérifiez la relation de confiance :

Dans la console IAM, sélectionnez le rôle que vous venez de créer.
Cliquez sur l'onglet Trust relationships
Veuillez vérifier que la politique correspond à cette structure (remplacez <YOUR_NR_ACCOUNT_ID> par votre identifiant de compte réel) :
```
{
      "Version": "2012-10-17",
      "Statement": [
          {
              "Effect": "Allow",
              "Action": "sts:AssumeRole",
              "Principal": {
                  "AWS": "arn:aws:iam::253490767857:root"  ← Must be this account
              },
              "Condition": {
                  "StringEquals": {
                      "sts:ExternalId": "<YOUR_NR_ACCOUNT_ID>"  ← Must match your NR account
                  }
              }
          }
      ]
  }
```
Ce qu'il faut vérifier

Le compte AWS principal est 253490767857 (compte New Relic)
L'ID externe correspond exactement à votre ID de compte New Relic
L'action est sts:AssumeRole
Prudence
La stratégie de confiance ne correspond pas ? Si l'ID de compte est différent, supprimez le rôle et recréez-le. L'ID de compte doit être 253490767857.

Copiez votre ARN de rôle

Vous aurez besoin de l'ARN du rôle pour configurer les workflows.

Important

Les ARN de rôle sont des identifiants de ressources, et non des identifiants sensibles. Ne les stockez pas dans le gestionnaire de secrets— collez-les directement dans les configurations de workflow.

Pour obtenir l'ARN de votre rôle :

Dans la console IAM, sélectionnez votre rôle
Dans la section Summary, repérez le champ ARN
Copiez l'ARN complet ; il ressemble à ceci : arn:aws:iam::123456789012:role/NewRelicWorkflowAutomationRole
Le rôle est désormais prêt. Utilisez l'ARN dans vos workflows.

Vue d'ensemble des identifiants AWS

Comparer le rôle IAM avec d'autres méthodes d'authentification

Exemples de stratégies AWS

Trouvez les permissions IAM adaptées à vos workflows

Configuration de l'utilisateur IAM

Alternative : Utiliser un utilisateur IAM pour les environnements de test

Exemple de gestion EC2

Voir les rôles IAM en action avec les workflows EC2

Cette traduction automatique est fournie pour votre commodité.

Prérequis.css-21sua1{background:none;border:none;width:0;padding:0;}