Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Sécurité dans AWS Outposts
La sécurité AWS est la priorité absolue. En tant que AWS client, vous bénéficiez d'un centre de données et d'une architecture réseau conçus pour répondre aux exigences des entreprises les plus sensibles en matière de sécurité.
La sécurité est une responsabilité partagée entre vous AWS et vous. Le [modèle de responsabilité partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) décrit ceci comme la sécurité du cloud et la sécurité dans le cloud :
+ **Sécurité du cloud** : AWS est chargée de protéger l'infrastructure qui exécute les AWS services dans le AWS cloud. AWS vous fournit également des services que vous pouvez utiliser en toute sécurité. Des auditeurs tiers testent et vérifient régulièrement l'efficacité de notre sécurité dans le cadre des programmes de [AWS conformité Programmes](https://aws.amazon.com/compliance/programs/) de de conformité. Pour en savoir plus sur les programmes de conformité qui s'appliquent à AWS Outposts, voir [AWS Services concernés par programme de conformitéAWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Sécurité dans le cloud** — Votre responsabilité est déterminée par le AWS service que vous utilisez. Vous êtes également responsable d’autres facteurs, y compris de la sensibilité de vos données, des exigences de votre entreprise, ainsi que de la législation et de la réglementation applicables.
Pour plus d'informations sur la sécurité et la conformité des serveurs AWS Outposts, consultez la [FAQ sur en AWS Outposts rack](https://aws.amazon.com/outposts/rack/faqs/#Security_.26_compliance).
Cette documentation vous aide à comprendre comment appliquer le modèle de responsabilité partagée lors de son utilisation AWS Outposts. Elle vous montre comment atteindre vos objectifs en matière de sécurité et de conformité. Vous apprendrez également à utiliser d'autres AWS services qui vous aident à surveiller et à sécuriser vos ressources.
**Topics**
+ [Protection des données](data-protection.md)
+ [Gestion des identités et des accès](identity-access-management.md)
+ [Sécurité de l’infrastructure](infrastructure-security.md)
+ [Résilience](disaster-recovery-resiliency.md)
+ [Validation de conformité](compliance-validation.md)
+ [Accès Internet](internet-access.md)
# Protection des données dans AWS Outposts
Le [modèle de responsabilité AWS partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) de s'applique à la protection des données dans AWS Outposts. Comme décrit dans ce modèle, AWS est chargé de protéger l'infrastructure mondiale qui gère tous les AWS Cloud. La gestion du contrôle de votre contenu hébergé sur cette infrastructure relève de votre responsabilité. Ce contenu inclut la configuration de la sécurité et les tâches de gestion pour le Services AWS produit que vous utilisez.
À des fins de protection des données, nous vous recommandons de protéger les Compte AWS informations d'identification et de configurer les utilisateurs individuels avec AWS IAM Identity Center ou Gestion des identités et des accès AWS (IAM). Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations nécessaires pour exécuter ses tâches.
Pour plus d’informations sur la confidentialité des données, consultez [Questions fréquentes (FAQ) sur la confidentialité des données](https://aws.amazon.com/compliance/data-privacy-faq/). Pour en savoir plus sur la protection des données en Europe, consultez le billet de blog [Modèle de responsabilité partagée d’AWS et RGPD (Règlement général sur la protection des données)](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) sur le *Blog de sécuritéAWS *.
## Chiffrement au repos
Avec AWS Outposts, toutes les données sont cryptées au repos. Les éléments de clé sont encapsulés dans une clé externe stockée dans un dispositif amovible : la clé de sécurité Nitro (NSK).
Vous pouvez utiliser le chiffrement Amazon EBS pour vos volumes et instantanés EBS. Le chiffrement Amazon EBS utilise AWS Key Management Service (AWS KMS) et des clés KMS. Pour plus d'informations, consultez [Amazon EBS Encryption](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption.html) dans le guide de l'*utilisateur Amazon EBS*.
## Chiffrement en transit
AWS chiffre les données en transit entre votre avant-poste et sa région. AWS Pour de plus amples informations, veuillez consulter [Connectivité via un lien de service](service-links.md).
Vous pouvez utiliser un protocole de chiffrement, tel que TLS (Transport Layer Security), pour chiffrer les données sensibles en transit via la passerelle locale à destination de votre réseau local.
## Suppression de données
Lorsque vous arrêtez ou résiliez une instance EC2, la mémoire qui lui est allouée est nettoyée (remise à zéro) par l’hyperviseur avant d’être allouée à une nouvelle instance, et chaque bloc de stockage est réinitialisé.
La destruction par chiffrement de la clé de sécurité Nitro déchiquette les données sur votre Outpost.
# Gestion des identités et des accès (IAM) pour AWS Outposts
Gestion des identités et des accès AWS (IAM) est un AWS service qui permet à un administrateur de contrôler en toute sécurité l'accès aux AWS ressources. Les administrateurs IAM contrôlent qui peut être authentifié (connecté) et autorisé (autorisé) à utiliser AWS Outposts les ressources. Vous pouvez utiliser IAM sans frais supplémentaires.
**Topics**
+ [Comment AWS Outposts fonctionne avec IAM](security_iam_service-with-iam.md)
+ [Exemples de politiques](security_iam_id-based-policy-examples.md)
+ [Rôles liés à un service](using-service-linked-roles.md)
+ [AWS politiques gérées](security-iam-awsmanpol.md)
# Comment AWS Outposts fonctionne avec IAM
Avant d'utiliser IAM pour gérer l'accès aux AWS Outposts, découvrez quelles fonctionnalités IAM peuvent être utilisées avec Outposts. AWS
| Fonctionnalité IAM | AWS Soutien aux Outposts |
| --- | --- |
| [Politiques basées sur l’identité](#security_iam_service-with-iam-id-based-policies) | Oui |
| Politiques basées sur les ressources | Non |
| [Actions de politique](#security_iam_service-with-iam-id-based-policies-actions) | Oui |
| [Ressources de politique](#security_iam_service-with-iam-id-based-policies-resources) | Oui |
| [Clés de condition de politique (spécifiques au service)](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Oui |
| ACLs | Non |
| [ABAC (étiquettes dans les politiques)](#security_iam_service-with-iam-tags) | Oui |
| [Informations d’identification temporaires](#security_iam_service-with-iam-roles-tempcreds) | Oui |
| [Autorisations de principal](#security_iam_service-with-iam-principal-permissions) | Oui |
| Rôles du service | Non |
| [Rôles liés à un service](#security_iam_service-with-iam-roles-service-linked) | Oui |
## Politiques basées sur l'identité pour les Outposts AWS
**Prend en charge les politiques basées sur l’identité :** oui
Les politiques basées sur l’identité sont des documents de politique d’autorisations JSON que vous pouvez attacher à une identité telle qu’un utilisateur, un groupe d’utilisateurs ou un rôle IAM. Ces politiques contrôlent quel type d’actions des utilisateurs et des rôles peuvent exécuter, sur quelles ressources et dans quelles conditions. Pour découvrir comment créer une politique basée sur l’identité, consultez [Définition d’autorisations IAM personnalisées avec des politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dans le *Guide de l’utilisateur IAM*.
Avec les politiques IAM basées sur l’identité, vous pouvez spécifier des actions et ressources autorisées ou refusées, ainsi que les conditions dans lesquelles les actions sont autorisées ou refusées. Pour découvrir tous les éléments que vous utilisez dans une politique JSON, consultez [Références des éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dans le *Guide de l’utilisateur IAM*.
### Exemples de politiques basées sur l'identité pour les Outposts AWS
Pour voir des exemples de politiques basées sur l'identité AWS des Outposts, consultez. [AWS Exemples de politiques relatives aux Outposts](security_iam_id-based-policy-examples.md)
## Actions politiques pour les AWS Outposts
**Prend en charge les actions de politique :** oui
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément `Action` d’une politique JSON décrit les actions que vous pouvez utiliser pour autoriser ou refuser l’accès à une politique. Intégration d’actions dans une politique afin d’accorder l’autorisation d’exécuter les opérations associées.
Pour consulter la liste des actions d' AWS Outposts, consultez la section [Actions définies par AWS Outposts](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsoutposts.html#awsoutposts-actions-as-permissions) dans la référence *d'autorisation de service*.
Les actions politiques dans AWS Outposts utilisent le préfixe suivant avant l'action :
```
outposts
```
Pour indiquer plusieurs actions dans une seule déclaration, séparez-les par des virgules.
```
"Action": [
"outposts:action1",
"outposts:action2"
]
```
Vous pouvez aussi spécifier plusieurs actions à l’aide de caractères génériques (\$1). Par exemple, pour spécifier toutes les actions qui commencent par le mot `List`, incluez l’action suivante :
```
"Action": "outposts:List*"
```
## Ressources politiques pour les AWS Outposts
**Prend en charge les ressources de politique :** oui
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément de politique JSON `Resource` indique le ou les objets auxquels l’action s’applique. Il est recommandé de définir une ressource à l’aide de son [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Pour les actions qui ne sont pas compatibles avec les autorisations de niveau ressource, utilisez un caractère générique (\$1) afin d’indiquer que l’instruction s’applique à toutes les ressources.
```
"Resource": "*"
```
Certaines actions de l'API AWS Outposts prennent en charge plusieurs ressources. Pour spécifier plusieurs ressources dans une seule instruction, séparez-les ARNs par des virgules.
```
"Resource": [
"resource1",
"resource2"
]
```
Pour consulter la liste des types de ressources des AWS Outposts et de leurs caractéristiques ARNs, consultez la section [Types de ressources définis par AWS Outposts](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsoutposts.html#awsoutposts-resources-for-iam-policies) dans la référence *d'autorisation de service*. Pour savoir grâce à quelles actions vous pouvez spécifier l’ARN de chaque ressource, consultez [Actions définies par AWS Outposts](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsoutposts.html#awsoutposts-actions-as-permissions).
## Clés de conditions politiques pour les AWS Outposts
**Prend en charge les clés de condition de politique spécifiques au service :** oui
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément `Condition` indique à quel moment les instructions s’exécutent en fonction de critères définis. Vous pouvez créer des expressions conditionnelles qui utilisent des [opérateurs de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tels que les signes égal ou inférieur à, pour faire correspondre la condition de la politique aux valeurs de la demande. Pour voir toutes les clés de condition AWS globales, voir les clés de [contexte de condition AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) dans le *guide de l'utilisateur IAM*.
Pour consulter la liste des clés de condition des AWS Outposts, consultez la section [Clés de condition pour AWS Outposts](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsoutposts.html#awsoutposts-policy-keys) la référence *d'autorisation de service*. Pour savoir avec quelles actions et ressources vous pouvez utiliser une clé de condition, consultez la section [Actions définies par AWS Outposts](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsoutposts.html#awsoutposts-actions-as-permissions).
Pour voir des exemples de politiques basées sur l'identité AWS des Outposts, consultez. [AWS Exemples de politiques relatives aux Outposts](security_iam_id-based-policy-examples.md)
## ABAC avec Outposts AWS
**Prise en charge d’ABAC (balises dans les politiques) :** Oui
Le contrôle d’accès par attributs (ABAC) est une stratégie d’autorisation qui définit les autorisations en fonction des attributs appelés balises. Vous pouvez associer des balises aux entités et aux AWS ressources IAM, puis concevoir des politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de la ressource.
Pour contrôler l’accès basé sur des étiquettes, vous devez fournir les informations d’étiquette dans l’[élément de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) d’une politique utilisant les clés de condition `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` ou `aws:TagKeys`.
Si un service prend en charge les trois clés de condition pour tous les types de ressources, alors la valeur pour ce service est **Oui**. Si un service prend en charge les trois clés de condition pour certains types de ressources uniquement, la valeur est **Partielle**.
Pour plus d’informations sur ABAC, consultez [Définition d’autorisations avec l’autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *Guide de l’utilisateur IAM*. Pour accéder à un didacticiel décrivant les étapes de configuration de l’ABAC, consultez [Utilisation du contrôle d’accès par attributs (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) dans le *Guide de l’utilisateur IAM*.
## Utiliser des informations d'identification temporaires avec AWS Outposts
**Prend en charge les informations d’identification temporaires :** oui
Les informations d'identification temporaires fournissent un accès à court terme aux AWS ressources et sont automatiquement créées lorsque vous utilisez la fédération ou que vous changez de rôle. AWS recommande de générer dynamiquement des informations d'identification temporaires au lieu d'utiliser des clés d'accès à long terme. Pour plus d’informations, consultez [Informations d’identification de sécurité temporaires dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) et [Services AWS compatibles avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dans le *Guide de l’utilisateur IAM*.
## Autorisations principales interservices pour les Outposts AWS
**Prend en charge les sessions d’accès direct (FAS) :** oui
Les sessions d'accès direct (FAS) utilisent les autorisations du principal appelant et Service AWS, combinées Service AWS à la demande d'envoi de demandes aux services en aval. Pour plus de détails sur la politique relative à la transmission de demandes FAS, consultez la section [Sessions de transmission d’accès](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Rôles liés à un service pour les Outposts AWS
**Prend en charge les rôles liés à un service :** oui
Un rôle lié à un service est un type de rôle de service lié à un. Service AWS Le service peut endosser le rôle afin d’effectuer une action en votre nom. Les rôles liés au service apparaissent dans votre Compte AWS fichier et appartiennent au service. Un administrateur IAM peut consulter, mais ne peut pas modifier, les autorisations concernant les rôles liés à un service.
Pour plus de détails sur la création ou la gestion des AWS rôles liés aux services Outposts, consultez. [Rôles liés à un service pour AWS Outposts](using-service-linked-roles.md)
# AWS Exemples de politiques relatives aux Outposts
Par défaut, les utilisateurs et les rôles ne sont pas autorisés à créer ou à modifier les ressources d' AWS Outposts. Pour octroyer aux utilisateurs des autorisations d’effectuer des actions sur les ressources dont ils ont besoin, un administrateur IAM peut créer des politiques IAM.
Pour apprendre à créer une politique basée sur l’identité IAM à l’aide de ces exemples de documents de politique JSON, consultez [Création de politiques IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) dans le *Guide de l’utilisateur IAM*.
Pour plus de détails sur les actions et les types de ressources définis par AWS Outposts, y compris le format ARNs de chaque type de ressource, voir [Actions, ressources et clés de condition AWS Outposts dans la référence](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsoutposts.html) *d'autorisation de service*.
**Topics**
+ [Bonnes pratiques en matière de politiques](#security_iam_service-with-iam-policy-best-practices)
+ [Exemple : Utilisation d’autorisations au niveau des ressources](#outposts-policy-examples)
## Bonnes pratiques en matière de politiques
Les politiques basées sur l'identité déterminent si quelqu'un peut créer, accéder ou supprimer des ressources AWS Outposts dans votre compte. Ces actions peuvent entraîner des frais pour votre Compte AWS. Lorsque vous créez ou modifiez des politiques basées sur l’identité, suivez ces instructions et recommandations :
+ **Commencez AWS par les politiques gérées et passez aux autorisations du moindre privilège : pour commencer à accorder des autorisations** à vos utilisateurs et à vos charges de travail, utilisez les *politiques AWS gérées* qui accordent des autorisations pour de nombreux cas d'utilisation courants. Ils sont disponibles dans votre Compte AWS. Nous vous recommandons de réduire davantage les autorisations en définissant des politiques gérées par les AWS clients spécifiques à vos cas d'utilisation. Pour plus d’informations, consultez [politiques gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [politiques gérées par AWS pour les activités professionnelles](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dans le *Guide de l’utilisateur IAM*.
+ **Accordez les autorisations de moindre privilège** : lorsque vous définissez des autorisations avec des politiques IAM, accordez uniquement les autorisations nécessaires à l’exécution d’une seule tâche. Pour ce faire, vous définissez les actions qui peuvent être entreprises sur des ressources spécifiques dans des conditions spécifiques, également appelées *autorisations de moindre privilège*. Pour plus d’informations sur l’utilisation d’IAM pour appliquer des autorisations, consultez [politiques et autorisations dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dans le *Guide de l’utilisateur IAM*.
+ **Utilisez des conditions dans les politiques IAM pour restreindre davantage l’accès** : vous pouvez ajouter une condition à vos politiques afin de limiter l’accès aux actions et aux ressources. Par exemple, vous pouvez écrire une condition de politique pour spécifier que toutes les demandes doivent être envoyées via SSL. Vous pouvez également utiliser des conditions pour accorder l'accès aux actions de service si elles sont utilisées par le biais d'un service spécifique Service AWS, tel que CloudFormation. Pour plus d’informations, consultez [Conditions pour éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dans le *Guide de l’utilisateur IAM*.
+ **Utilisez l’Analyseur d’accès IAM pour valider vos politiques IAM afin de garantir des autorisations sécurisées et fonctionnelles** : l’Analyseur d’accès IAM valide les politiques nouvelles et existantes de manière à ce que les politiques IAM respectent le langage de politique IAM (JSON) et les bonnes pratiques IAM. IAM Access Analyzer fournit plus de 100 vérifications de politiques et des recommandations exploitables pour vous aider à créer des politiques sécurisées et fonctionnelles. Pour plus d’informations, consultez [Validation de politiques avec IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) dans le *Guide de l’utilisateur IAM*.
+ **Exiger l'authentification multifactorielle (MFA**) : si vous avez un scénario qui nécessite des utilisateurs IAM ou un utilisateur root, activez l'authentification MFA pour une sécurité accrue. Compte AWS Pour exiger la MFA lorsque des opérations d’API sont appelées, ajoutez des conditions MFA à vos politiques. Pour plus d’informations, consultez [Sécurisation de l’accès aux API avec MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) dans le *Guide de l’utilisateur IAM*.
Pour plus d’informations sur les bonnes pratiques dans IAM, consultez [Bonnes pratiques de sécurité dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dans le *Guide de l’utilisateur IAM*.
## Exemple : Utilisation d’autorisations au niveau des ressources
L’exemple suivant utilise des autorisations au niveau des ressources pour accorder l’autorisation d’obtenir des informations sur l’Outpost spécifié.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "outposts:GetOutpost",
"Resource": "arn:aws:outposts:us-east-1:111122223333:outpost/op-1234567890abcdef0"
}
]
}
```
------
L’exemple suivant utilise des autorisations au niveau des ressources pour accorder l’autorisation d’obtenir des informations sur le site spécifié.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "outposts:GetSite",
"Resource": "arn:aws:outposts:us-east-1:111122223333:site/os-0abcdef1234567890"
}
]
}
```
------
# Rôles liés à un service pour AWS Outposts
AWS Outposts utilise des Gestion des identités et des accès AWS rôles liés à un service (IAM). Un rôle lié à un service est un type de rôle de service directement lié à. AWS Outposts AWS Outposts définit les rôles liés aux services et inclut toutes les autorisations nécessaires pour appeler d'autres AWS services en votre nom.
Un rôle lié à un service rend votre configuration AWS Outposts plus efficace, car vous n'avez pas à ajouter manuellement les autorisations nécessaires. AWS Outposts définit les autorisations associées à ses rôles liés aux services et, sauf indication contraire, seul AWS Outposts peut assumer ses rôles. Les autorisations définies comprennent la politique d’approbation et la politique d’autorisation. De plus, cette politique d’autorisation ne peut pas être attachée à une autre entité IAM.
Vous pouvez supprimer un rôle lié à un service uniquement après la suppression préalable des ressources connexes. Cela protège vos AWS Outposts ressources car vous ne pouvez pas supprimer par inadvertance l'autorisation d'accès aux ressources.
## Autorisations de rôle liées à un service pour AWS Outposts
AWS Outposts **utilise le rôle lié au service nommé AWSService RoleForOutposts \$1. *OutpostID*** Ce rôle accorde aux Outposts l'autorisation de gérer les ressources réseau afin d'activer la connectivité privée en votre nom. Ce rôle permet également aux Outposts de créer et de configurer des interfaces réseau, de gérer des groupes de sécurité et d'associer des interfaces aux instances de point de terminaison Service Link. Ces autorisations sont nécessaires pour établir et maintenir la connexion sécurisée et privée entre votre Outpost sur site et les AWS services, afin de garantir le fonctionnement fiable de votre déploiement Outpost.
Le rôle *OutpostID* lié au service AWSService RoleForOutposts \$1 fait confiance aux services suivants pour assumer le rôle :
+ `outposts.amazonaws.com`
### Politiques relatives aux rôles liés aux services
Le rôle *OutpostID* lié au service AWSService RoleForOutposts \$1 inclut les politiques suivantes :
+ [AWSOutpostsServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSOutpostsServiceRolePolicy.html)
+ AWSOutpostsPrivateConnectivityPolicy\$1*OutpostID*
#### AWSOutpostsServiceRolePolicy
La `AWSOutpostsServiceRolePolicy` politique permet d'accéder aux AWS ressources gérées par AWS Outposts.
Cette politique permet AWS Outposts d'effectuer les actions suivantes sur les ressources spécifiées :
+ Action : `ec2:DescribeNetworkInterfaces` sur toutes les AWS ressources
+ Action : `ec2:DescribeSecurityGroups` sur toutes les AWS ressources
+ Action : `ec2:DescribeSubnets` sur toutes les AWS ressources
+ Action : `ec2:DescribeVpcEndpoints` sur toutes les AWS ressources
+ Action : `ec2:CreateNetworkInterface` sur les AWS ressources suivantes :
```
"arn:*:ec2:*:*:vpc/*",
"arn:*:ec2:*:*:subnet/*",
"arn:*:ec2:*:*:security-group/*"
```
+ Action : `ec2:CreateNetworkInterface` sur la AWS ressource `"arn:*:ec2:*:*:network-interface/*"` qui répond à la condition suivante :
```
"ForAnyValue:StringEquals" : { "aws:TagKeys": [ "outposts:private-connectivity-resourceId" ] }
```
+ Action : `ec2:CreateSecurityGroup` sur les AWS ressources suivantes :
```
"arn:*:ec2:*:*:vpc/*"
```
+ Action : `ec2:CreateSecurityGroup` sur la AWS ressource `"arn:*:ec2:*:*:security-group/*"` qui répond à la condition suivante :
```
"ForAnyValue:StringEquals": { "aws:TagKeys": [ "outposts:private-connectivity-resourceId" ] }
```
#### AWSOutpostsPrivateConnectivityPolicy\$1OutpostID
La `AWSOutpostsPrivateConnectivityPolicy_OutpostID` politique permet AWS Outposts d'effectuer les actions suivantes sur les ressources spécifiées :
+ Action : `ec2:AuthorizeSecurityGroupIngress` sur toutes les AWS ressources répondant à la condition suivante :
```
{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
```
+ Action : `ec2:AuthorizeSecurityGroupEgress` sur toutes les AWS ressources répondant à la condition suivante :
```
{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
```
+ Action : `ec2:CreateNetworkInterfacePermission` sur toutes les AWS ressources répondant à la condition suivante :
```
{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
```
+ Action : `ec2:CreateTags` sur toutes les AWS ressources répondant à la condition suivante :
```
{ "StringLike" : { "aws:RequestTag/outposts:private-connectivity-resourceId" : "{{OutpostId}}*"}},
"StringEquals": {"ec2:CreateAction" : ["CreateSecurityGroup", "CreateNetworkInterface"]}
```
+ Action : `ec2:RevokeSecurityGroupIngress` sur toutes les AWS ressources répondant à la condition suivante :
```
{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
```
+ Action : `ec2:RevokeSecurityGroupEgress` sur toutes les AWS ressources répondant à la condition suivante :
```
{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
```
+ Action : `ec2:DeleteNetworkInterface` sur toutes les AWS ressources répondant à la condition suivante :
```
{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
```
+ Action : `ec2:DeleteSecurityGroup` sur toutes les AWS ressources répondant à la condition suivante :
```
{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
```
Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour plus d’informations, consultez [Autorisations de rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions) dans le *Guide de l’utilisateur IAM*.
## Créez un rôle lié à un service pour AWS Outposts
Vous n’avez pas besoin de créer manuellement un rôle lié à un service. Lorsque vous configurez la connectivité privée pour votre Outpost dans le AWS Management Console, AWS Outposts crée le rôle lié au service pour vous.
Pour de plus amples informations, veuillez consulter [Options de connectivité privée Service Link](private-connectivity.md).
## Modifier un rôle lié à un service pour AWS Outposts
AWS Outposts ne vous permet pas de modifier le rôle *OutpostID* lié au service AWSService RoleForOutposts \$1. Une fois que vous avez créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence au rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d'informations, voir [Mettre à jour un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html) dans le Guide de l'utilisateur *IAM*.
## Supprimer un rôle lié à un service pour AWS Outposts
Si vous n’avez plus besoin d’utiliser une fonctionnalité ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous évitez d'avoir une entité inutilisée non surveillée ou non gérée activement. Cependant, vous devez nettoyer les ressources de votre rôle lié à un service avant de pouvoir les supprimer manuellement.
Si le AWS Outposts service utilise le rôle lorsque vous essayez de supprimer les ressources, la suppression risque d'échouer. Si cela se produit, patientez quelques minutes et réessayez.
Vous devez supprimer votre Outpost avant de pouvoir supprimer le rôle lié au *OutpostID* service AWSService RoleForOutposts \$1.
Avant de commencer, assurez-vous que votre Outpost n'est pas partagé à l'aide de AWS Resource Access Manager (AWS RAM). Pour plus d'informations, voir Annulation [du partage d'une ressource Outpost partagée](https://docs.aws.amazon.com/outposts/latest/network-userguide/sharing-outposts.html#sharing-unshare).
**Pour supprimer AWS Outposts les ressources utilisées par le AWSService RoleForOutposts \$1 *OutpostID***
Contactez le Support aux AWS entreprises pour supprimer votre Outpost.
**Pour supprimer manuellement le rôle lié à un service à l’aide d’IAM**
Pour plus d’informations, consultez la section [Suppression d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr) dans le *Guide de l’utilisateur IAM*.
## Régions prises en charge pour les rôles AWS Outposts liés à un service
AWS Outposts prend en charge l'utilisation de rôles liés au service dans toutes les régions où le service est disponible. Pour plus d'informations, consultez les FAQs racks pour [Outposts](https://aws.amazon.com/outposts/rack/faqs/).
# AWS politiques gérées pour AWS Outposts
Une politique AWS gérée est une politique autonome créée et administrée par AWS. AWS les politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.
N'oubliez pas que les politiques AWS gérées peuvent ne pas accorder d'autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles sont accessibles à tous les AWS clients. Nous vous recommandons de réduire encore les autorisations en définissant des [politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) qui sont propres à vos cas d’utilisation.
Vous ne pouvez pas modifier les autorisations définies dans les politiques AWS gérées. Si les autorisations définies dans une politique AWS gérée sont AWS mises à jour, la mise à jour affecte toutes les identités principales (utilisateurs, groupes et rôles) auxquelles la politique est attachée. AWS est le plus susceptible de mettre à jour une politique AWS gérée lorsqu'une nouvelle politique Service AWS est lancée ou lorsque de nouvelles opérations d'API sont disponibles pour les services existants.
Pour plus d’informations, consultez [Politiques gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dans le *Guide de l’utilisateur IAM*.
## AWS politique gérée : AWSOutposts ServiceRolePolicy
Cette politique est associée à un rôle lié à un service qui permet aux AWS Outposts d'effectuer des actions en votre nom. Pour de plus amples informations, veuillez consulter [Rôles liés à un service](using-service-linked-roles.md).
## AWS Outposts met à jour les politiques gérées AWS
Consultez les détails des mises à jour apportées aux politiques AWS gérées pour les AWS Outposts depuis que ce service a commencé à suivre ces modifications.
| Modifier | Description | Date |
| --- | --- | --- |
| Mises à jour du Gestion des identités et des accès AWS rôle lié au service \$1 AWSService RoleForOutposts OutpostID | Les autorisations de rôle AWSServiceRoleForOutposts\$1 OutpostID liées au service sont mises à jour pour affiner la gestion des ressources AWS Outposts réseau pour la connectivité privée, avec des contrôles plus précis sur l'interface réseau et les opérations des groupes de sécurité nécessaires pour les instances de point de terminaison Service Link. | 18 avril 2025 |
| AWS Outposts ont commencé à suivre les changements | AWS Outposts a commencé à suivre les modifications apportées à ses politiques AWS gérées. | 3 décembre 2019 |
# Sécurité de l'infrastructure dans AWS Outposts
En tant que service géré, AWS Outposts est protégé par la sécurité du réseau AWS mondial. Pour plus d'informations sur les services AWS de sécurité et sur la manière dont AWS l'infrastructure est protégée, consultez la section [Sécurité du AWS cloud](https://aws.amazon.com/security/). Pour concevoir votre AWS environnement en utilisant les meilleures pratiques en matière de sécurité de l'infrastructure, consultez la section [Protection de l'infrastructure](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) dans le cadre * AWS bien architecturé du pilier de sécurité*.
Vous utilisez des appels d'API AWS publiés pour accéder aux AWS Outposts via le réseau. Les clients doivent prendre en charge les éléments suivants :
+ Protocole TLS (Transport Layer Security). Nous exigeons TLS 1.2 et recommandons TLS 1.3.
+ Ses suites de chiffrement PFS (Perfect Forward Secrecy) comme DHE (Ephemeral Diffie-Hellman) ou ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La plupart des systèmes modernes tels que Java 7 et les versions ultérieures prennent en charge ces modes.
Pour plus d’informations sur la sécurité de l’infrastructure fournie pour les instances EC2 et les volumes EBS s’exécutant sur votre Outpost, consultez [Sécurité de l’infrastructure dans Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/infrastructure-security.html).
Les journaux de flux VPC fonctionnent de la même manière que dans une AWS région. Cela signifie qu'ils peuvent être publiés sur CloudWatch Logs, Amazon S3 ou Amazon à des GuardDuty fins d'analyse. Les données doivent être renvoyées à la région pour publication auprès de ces services, afin qu'elles ne soient pas visibles depuis CloudWatch ou vers d'autres services lorsque l'avant-poste est déconnecté.
## Surveillance des altérations sur les équipements AWS Outposts
Assurez-vous que personne ne modifie, n'altère, ne fait d'ingénierie inverse ou n'altère l'équipement. AWS Outposts AWS Outposts l'équipement peut être équipé d'un système de surveillance des altérations afin de garantir le respect des [conditions AWS de service](https://aws.amazon.com/service-terms/).
# Résilience dans AWS Outposts
AWS Outposts est conçu pour être hautement disponible. Les racks Outposts sont conçus avec des équipements d'alimentation et de réseau redondants. Pour une résilience accrue, nous vous recommandons de prévoir deux sources d’alimentation et une connectivité réseau redondante pour votre Outpost.
Pour bénéficier d’une haute disponibilité, vous pouvez provisionner une capacité intégrée supplémentaire toujours active sur le rack Outposts. Les configurations de capacité Outpost ont été conçues pour être exploitées dans des environnements de production et prennent en charge N\$11 instances pour chaque famille d’instances lorsque vous provisionnez de la capacité à cet effet. AWS recommande d’allouer une capacité supplémentaire suffisante pour vos applications critiques, afin de permettre une récupération et un basculement en cas de problème sur l’hôte sous-jacent. Vous pouvez utiliser les métriques de disponibilité des CloudWatch capacités d'Amazon et définir des alarmes pour surveiller l'état de vos applications, créer des CloudWatch actions pour configurer les options de restauration automatique et surveiller l'utilisation de la capacité de vos Outposts au fil du temps.
Lorsque vous créez un avant-poste, vous sélectionnez une zone de disponibilité AWS dans une région. Cette zone de disponibilité prend en charge les opérations de plan de contrôle, notamment la réponse aux appels d’API, la surveillance de l’Outpost et sa mise à jour. Pour bénéficier de la résilience offerte par les zones de disponibilité, vous pouvez déployer des applications sur plusieurs Outposts, qui sont chacun rattachés à une zone de disponibilité différente. Cela vous permet de renforcer la résilience des applications et d’éviter de dépendre d’une seule zone de disponibilité. Pour plus d’informations sur les régions et les zones de disponibilité, consultez [Infrastructure mondiale AWS](https://aws.amazon.com/about-aws/global-infrastructure/).
Vous pouvez utiliser un groupe de placement avec une stratégie d’extension pour faire en sorte que les instances soient placées sur des racks Outposts distincts. Cela peut contribuer à réduire les défaillances corrélées. Pour de plus amples informations, veuillez consulter [Groupes de placement sur Outposts](outposts-optimizations.md#placement-groups-outpost).
Vous pouvez lancer des instances dans les Outposts à l’aide d’Amazon EC2 Auto Scaling et créer un Application Load Balancer afin de répartir le trafic entre les instances. Pour plus d’informations, consultez [Configuration d’un Application Load Balancer sur AWS Outposts](https://aws.amazon.com/blogs/networking-and-content-delivery/configuring-an-application-load-balancer-on-aws-outposts/).
# Validation de conformité pour AWS Outposts
Pour savoir si un [programme Services AWS de conformité Service AWS s'inscrit dans le champ d'application de programmes de conformité](https://aws.amazon.com/compliance/services-in-scope/) spécifiques, consultez Services AWS la section de conformité et sélectionnez le programme de conformité qui vous intéresse. Pour des informations générales, voir Programmes de [AWS conformité Programmes AWS](https://aws.amazon.com/compliance/programs/) de .
Vous pouvez télécharger des rapports d'audit tiers à l'aide de AWS Artifact. Pour plus d'informations, voir [Téléchargement de rapports dans AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Votre responsabilité en matière de conformité lors de l'utilisation Services AWS est déterminée par la sensibilité de vos données, les objectifs de conformité de votre entreprise et les lois et réglementations applicables. Pour plus d'informations sur votre responsabilité en matière de conformité lors de l'utilisation Services AWS, consultez [AWS la documentation de sécurité](https://docs.aws.amazon.com/security/).
# Accès à Internet pour les charges AWS Outposts de travail
Cette section explique comment les AWS Outposts charges de travail peuvent accéder à Internet de la manière suivante :
+ Par le biais de la AWS région mère
+ Via le réseau de votre centre de données local
## Accès à Internet via la AWS région mère
Dans cette option, les charges de travail des Outposts accèdent à Internet via le lien de service, puis via la passerelle Internet (IGW) de la région parent. AWS Le trafic sortant vers Internet peut passer par la passerelle NAT instanciée dans votre VPC. Pour renforcer la sécurité de votre trafic entrant et sortant, vous pouvez utiliser des services AWS de sécurité tels que AWS WAF AWS Shield, et Amazon CloudFront dans la AWS région.
Pour le paramétrage de la table de routage sur le sous-réseau Outposts, consultez la section Tables de routage [des passerelles locales](https://docs.aws.amazon.com/outposts/latest/userguide/routing.html).
### Considérations
+ Utilisez cette option lorsque :
+ Vous avez besoin de flexibilité pour sécuriser le trafic Internet grâce AWS aux multiples services de la AWS Région.
+ Vous n'avez pas de point de présence Internet dans votre centre de données ou dans votre installation de colocation.
+ Dans cette option, le trafic doit traverser la AWS région parent, ce qui introduit de la latence.
+ Tout comme les frais de transfert de données dans AWS les régions, le transfert de données depuis la zone de disponibilité parent vers l'avant-poste entraîne des frais. Pour en savoir plus sur le transfert de données, consultez la tarification à [la demande d'Amazon EC2](https://aws.amazon.com/ec2/pricing/on-demand/).
+ L'utilisation de la bande passante des liaisons de service augmentera.
L'image suivante montre le trafic entre la charge de travail de l'instance Outposts et Internet passant par la région parent AWS .
![\[Affiche le trafic entre la charge de travail de l'instance Outposts et Internet passant par la région parent AWS .\]](http://docs.aws.amazon.com/fr_fr/outposts/latest/userguide/images/racks-internet-access-via-region.png)
## Accès à Internet via le réseau de votre centre de données local
Dans cette option, les charges de travail résidant dans les Outposts accèdent à Internet via votre centre de données local. Le trafic de charge de travail accédant à Internet passe par votre point de présence Internet local et sort localement. La couche de sécurité du réseau de votre centre de données local est chargée de sécuriser le trafic de charge de travail des Outposts.
Pour le paramétrage de la table de routage sur le sous-réseau Outposts, consultez la section Tables de routage [des passerelles locales](https://docs.aws.amazon.com/outposts/latest/userguide/routing.html).
### Considérations
+ Utilisez cette option lorsque :
+ Vos charges de travail nécessitent un accès à faible latence aux services Internet.
+ Vous préférez éviter de payer des frais de transfert de données sortants (DTO).
+ Vous souhaitez préserver la bande passante des liaisons de service pour le trafic du plan de contrôle.
+ Votre couche de sécurité est chargée de sécuriser le trafic de charge de travail des Outposts.
+ Si vous optez pour le routage VPC direct (DVR), vous devez vous assurer que les Outposts n'entrent CIDRs pas en conflit avec les Outposts sur site. CIDRs
+ Si la route par défaut (0/0) est propagée via la passerelle locale (LGW), les instances risquent de ne pas être en mesure d'accéder aux points de terminaison du service. Vous pouvez également choisir des points de terminaison VPC pour accéder au service souhaité.
L'image suivante montre le trafic entre la charge de travail de l'instance Outposts et Internet passant par votre centre de données local.
![\[Affiche le trafic entre la charge de travail de l'instance Outposts et Internet via le réseau de votre centre de données.\]](http://docs.aws.amazon.com/fr_fr/outposts/latest/userguide/images/racks-internet-access-via-customer-network.png)