"
],
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
}
}
]
}
```
# Gérez les ensembles AWS d'autorisations de manière dynamique à l'aide de Terraform
*Vinicius Elias et Marcos Vinicius Pinto Jordão, Amazon Web Services*
## Résumé
AWS IAM Identity Center améliore Gestion des identités et des accès AWS (IAM) en fournissant un hub centralisé pour la gestion de l'accès par authentification unique aux applications cloud Comptes AWS et aux applications cloud. Cependant, la gestion manuelle des [ensembles d'autorisations](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) IAM Identity Center peut devenir de plus en plus complexe et source d'erreurs au fur et à mesure que votre entreprise grandit. Cette complexité peut entraîner des failles de sécurité potentielles et des frais administratifs.
Cette solution vous permet de gérer les ensembles d'autorisations via l'infrastructure en tant que code (IaC) à l'aide d'un pipeline d'intégration continue et de livraison continue (CI/CD) construit en mode natif. Services AWS Il permet une intégration fluide du mécanisme d'attribution des ensembles d'autorisations aux événements AWS Control Tower du cycle de vie ou à un environnement [Account Factory for Terraform (AFT)](https://docs.aws.amazon.com/controltower/latest/userguide/aft-overview.html). Cette approche fournit des configurations d'identité dynamiques pour les nouvelles et les existantes Comptes AWS.
EventBridge Les règles d'Amazon surveillent les Compte AWS créations et les mises à jour, ce qui permet à vos configurations d'identité de rester synchronisées avec votre structure organisationnelle. Après avoir créé ou mis à jour des comptes dans AWS Control Tower ou AFT, le pipeline est déclenché. Il évalue un ensemble de fichiers JSON avec des définitions d'ensembles d'autorisations et des règles d'attribution. Ensuite, le pipeline applique et synchronise les paramètres sur tous les comptes.
Cette approche présente les avantages suivants :
+ **Cohérence** — Élimine la dérive manuelle des configurations au sein de votre AWS organisation
+ **Auditabilité** : conserve un historique complet de toutes les modifications apportées à la gestion des identités
+ **Évolutivité** — Applique automatiquement les configurations à mesure que votre AWS environnement se développe
+ **Sécurité** — Réduit les erreurs humaines lors de l'attribution des autorisations
+ **Conformité** — Facilite le respect des exigences réglementaires grâce à des modifications documentées et à des règles d'attribution
## Conditions préalables et limitations
+ Un environnement multi-comptes avec AWS Control Tower et AWS Organizations configuré. Vous pouvez éventuellement utiliser AFT avec AWS Control Tower.
+ Un administrateur délégué du IAM Identity Center est Compte AWS chargé de recevoir la solution. Pour plus d'informations, consultez la section [Administration déléguée](https://docs.aws.amazon.com/singlesignon/latest/userguide/delegated-admin.html) dans la documentation d'IAM Identity Center.
+ Un référentiel de système de contrôle de version (VCS) pour gérer le code principal. Pour un exemple, consultez le GitHub [référentiel](https://github.com/aws-samples/sample-terraform-aws-permission-sets-pipeline/tree/main/samples/basic) de la solution.
+ AWS Ressources nécessaires à la gestion du backend Terraform, telles qu'un bucket Amazon Simple Storage Service (Amazon S3) et une table Amazon DynamoDB.
**Limites**
+ Le pipeline utilise des ressources AWS natives et l'open source Terraform. Le pipeline n'est pas prêt à faire appel à des écosystèmes tiers.
+ Certains Services AWS ne sont pas disponibles du tout Régions AWS. Pour connaître la disponibilité par région, consultez la section [AWS Services par région](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/). Pour des points de terminaison spécifiques, consultez [Points de terminaison de service et quotas](https://docs.aws.amazon.com/general/latest/gr/aws-service-information.html), puis choisissez le lien correspondant au service.
## Architecture
Le schéma suivant montre les composants et le flux de travail de ce modèle.
![\[Composants et flux de travail pour gérer les ensembles d'autorisations AWS à l'aide de Terraform.\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/images/pattern-img/69dc79c7-b4cd-4ad0-b0d2-d58cf0c7adaa/images/649e299c-1142-405a-8982-4a6b2e595d53.png)
**AWS Control Tower flux d'événements**
La solution commence par l'intégration des événements provenant de l'un ou de l'autre AWS Control Tower ou de l'AFT. Le choix entre l'un ou l'autre service est effectué au moment de la mise en œuvre par le biais d'une définition de variable. Quelle que soit la méthode utilisée, le pipeline est déclenché chaque fois qu'un compte est créé ou mis à jour. Le pipeline réconcilie les politiques stockées dans le référentiel de gestion des ensembles d'autorisations.
Les événements du AWS Control Tower cycle de vie sont les suivants :
+ `CreateManagedAccount`— Lorsqu'un nouveau compte est créé
+ `UpdateManagedAccount`— Lorsqu'un compte existant est mis à jour
**Routage des événements**
EventBridge sert de service central de traitement des événements, capturant les événements générés dans le AWS Control Tower compte. Lorsque des événements se produisent, ils EventBridge sont acheminés de manière intelligente vers un bus d'événements centralisé dans le compte de solution. AWS Control Tower les événements du cycle de vie suivent des modèles de routage distincts. Si AFT est défini comme source d'événements, le compte de gestion AFT gère les événements à la place du AWS Control Tower compte. Cette architecture axée sur les événements permet de répondre automatiquement aux changements organisationnels sans intervention manuelle.
**Processus d'intégration AFT**
Lorsque les événements AWS Control Tower du cycle de vie atteignent le compte de gestion de l'AFT, ils déclenchent automatiquement plusieurs processus en aval intrinsèques à l'AFT. Une fois le processus de personnalisation du compte AFT terminé, celui-ci publie un message dans la rubrique dédiée `aft-notifications` Amazon Simple Notification Service (Amazon SNS). Cette rubrique déclenche la `aft-new-account-forward-event` AWS Lambda fonction implémentée par cette solution. La fonction Lambda envoie l'événement au bus d'événements du compte de solution, où il est utilisé pour démarrer le pipeline.
**L'infrastructure en tant que pipeline de code**
Le pipeline de solutions fonctionne comme un mécanisme de déploiement entièrement automatisé. Le AWS CodePipeline service surveille en permanence les modifications apportées au référentiel. Lors de la détection de nouveaux validations, il lance automatiquement le flux de travail de déploiement et lance un processus séquentiel comprenant des phases de validation et d'exécution. Le système exécute des `plan` opérations Terraform pour identifier les modifications proposées, suivies de `apply` commandes Terraform pour implémenter ces modifications dans l'environnement. AWS Notamment, le pipeline fonctionne sans aucune porte d'approbation manuelle. Cette approche permet un déploiement rapide des modifications de l'infrastructure tout en maintenant l'auditabilité grâce aux journaux de pipeline et aux fichiers d'état Terraform.
Le pipeline s'appuie sur AWS CodeBuild l'exécution des opérations Terraform dans un environnement contrôlé avec les autorisations appropriées. Grâce à cette approche IaC, le pipeline peut effectuer des opérations complètes de gestion des autorisations, notamment :
+ Créez de nouveaux ensembles d'autorisations.
+ Mettez à jour les ensembles d'autorisations existants.
+ Supprimez les ensembles d'autorisations inutiles.
+ Gérez l'attribution de ces autorisations entre les comptes et les groupes au sein des AWS organisations.
Pour maintenir la cohérence de l'infrastructure et éviter les modifications contradictoires, la solution implémente le système de gestion de l'état du backend Terraform à l'aide d'un bucket Amazon S3 et d'une table Amazon DynamoDB dédiée. Cette approche fournit un emplacement de stockage permanent pour les fichiers d'état Terraform et des mécanismes de verrouillage d'état pour empêcher les modifications simultanées des mêmes ressources.
Le code principal de Terraform utilise le module AWS `permission-sets` Terraform officiel. Ce module permet de gérer dynamiquement les ensembles d'autorisations dans IAM Identity Center, sur la base de modèles d'ensembles d'autorisations.
**Gestion du contrôle à la source**
Les modèles d'ensembles d'autorisations (fichiers JSON) résident dans un système de contrôle de version externe GitHub, tel que celui qui fournit un référentiel centralisé pour les configurations de gestion des identités. Cette approche établit une source unique de vérité pour les définitions des ensembles d'autorisations, tout en permettant un développement collaboratif grâce à des pratiques de révision de code standard. Les utilisateurs autorisés peuvent apporter des modifications à ces modèles conformément aux processus de gestion des changements organisationnels. Ces validations constituent le principal déclencheur du pipeline de déploiement automatisé, initiant le processus de mise à jour de l'infrastructure.
Pour un exemple de configuration des ensembles d'autorisations à l'aide du fichier JSON du référentiel, voir [Informations supplémentaires](#manage-aws-permission-sets-dynamically-by-using-terraform-additional).
## Outils
**Services AWS**
+ [AWS CodeBuild](https://docs.aws.amazon.com/codebuild/latest/userguide/welcome.html)est un service de génération entièrement géré qui vous aide à compiler le code source, à exécuter des tests unitaires et à produire des artefacts prêts à être déployés.
+ [AWS CodeConnections](https://docs.aws.amazon.com/dtconsole/latest/userguide/welcome-connections.html)permet aux AWS ressources et aux services CodePipeline, tels que la connexion à des référentiels de code externes, tels que GitHub.
+ [AWS CodePipeline](https://docs.aws.amazon.com/codepipeline/latest/userguide/welcome.html)vous permet de modéliser et de configurer rapidement les différentes étapes d'une version logicielle et d'automatiser les étapes nécessaires à la publication continue des modifications logicielles.
+ [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) est un outil open source qui vous permet d'interagir Services AWS par le biais de commandes dans votre interface de ligne de commande.
+ [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)vous aide à configurer et à gérer un environnement AWS multi-comptes, conformément aux meilleures pratiques prescriptives.
+ [Amazon DynamoDB](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/Introduction.html) est un service de base de données NoSQL entièrement géré, offrant des performances rapides, prévisibles et évolutives.
+ [Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) est un service de bus d'événements sans serveur qui vous permet de connecter vos applications à des données en temps réel provenant de diverses sources. Par exemple, des AWS Lambda fonctions, des points de terminaison d'invocation HTTP utilisant des destinations d'API ou des bus d'événements dans d'autres. Comptes AWS
+ [Gestion des identités et des accès AWS (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) vous aide à gérer en toute sécurité l'accès à vos AWS ressources en contrôlant qui est authentifié et autorisé à les utiliser.
+ [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)vous permet de gérer de manière centralisée l'accès par authentification unique (SSO) à toutes vos applications Comptes AWS et à celles du cloud.
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) est un service de calcul qui vous aide à exécuter du code sans avoir à allouer ni à gérer des serveurs. Il exécute votre code uniquement lorsque cela est nécessaire et évolue automatiquement, de sorte que vous ne payez que pour le temps de calcul que vous utilisez.
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)est un service de gestion de comptes qui vous aide à Comptes AWS en regrouper plusieurs au sein d'une organisation que vous créez et gérez de manière centralisée.
+ [Amazon Simple Notification Service (Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/welcome.html)) vous aide à coordonner et à gérer l'échange de messages entre les éditeurs et les clients, y compris les serveurs Web et les adresses e-mail. Il active les notifications push pour les événements de gestion des comptes, garantissant ainsi que les parties concernées sont informées des modifications ou actions importantes au sein du système.
+ [Amazon Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) est un service de stockage d'objets basé sur le cloud qui vous permet de stocker, de protéger et de récupérer n'importe quel volume de données.
**Autres outils**
+ [Terraform](https://www.terraform.io/) est un outil d'infrastructure en tant que code (IaC) HashiCorp qui vous aide à créer et à gérer des ressources cloud et sur site.
**Référentiel de code**
Le code de ce modèle est disponible dans l'organisation AWS Samples ou GitHub dans le référentiel [sample-terraform-aws-permission-sets-pipeline](https://github.com/aws-samples/sample-terraform-aws-permission-sets-pipeline).
## Bonnes pratiques
+ Identifiez toujours les versions des modules et fournisseurs Terraform utilisés pour exécuter le code en production.
+ Utilisez un outil d'analyse de code statique, tel que [Checkov](https://www.checkov.io/), pour scanner votre code puis résoudre les problèmes de sécurité.
+ Respectez le principe du moindre privilège et accordez les autorisations minimales requises pour effectuer une tâche. Pour plus d'informations, consultez les sections [Accorder le moindre privilège](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#grant-least-priv) et [Bonnes pratiques en matière de sécurité](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dans la documentation IAM.
## Épopées
### Créez les prérequis (facultatif)
| Sous-tâche | Description | Compétences requises |
| --- | --- | --- |
| Créez des ressources de backend Terraform. | Si vous n'avez pas encore créé vos AWS ressources de backend Terraform, suivez les étapes suivantes pour créer un compartiment Amazon S3 (`s3-tf-backend-{ACCOUNT_ID}`) et une table DynamoDB (). `ddb-tf-backend`[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/manage-aws-permission-sets-dynamically-by-using-terraform.html)aws s3api create-bucket --bucket s3-tf-backend-{ACCOUNT_ID}
aws s3api put-bucket-versioning --bucket s3-tf-backend-{ACCOUNT_ID} --versioning-configuration Status=Enabled
aws dynamodb create-table --table-name ddb-tf-backend --attribute-definitions AttributeName=LockID,AttributeType=S --key-schema AttributeName=LockID,KeyType=HASH --provisioned-throughput ReadCapacityUnits=1,WriteCapacityUnits=1 | Administrateur AWS |
| Créez un rôle multicompte. | Vous devez fournir un rôle IAM entre comptes dans la configuration du fournisseur `event-source-account` Terraform AWS . Si vous n'avez pas encore créé ce rôle, procédez comme suit pour le créer :[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/manage-aws-permission-sets-dynamically-by-using-terraform.html)aws iam create-role \
--role-name CrossAccountRole \
--assume-role-policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::{ACCOUNT_ID}:root"
},
"Action": "sts:AssumeRole"
}
]
}'
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/manage-aws-permission-sets-dynamically-by-using-terraform.html)aws iam attach-role-policy \
--role-name CrossAccountRole \
--policy-arn arn:aws:iam::aws:policy/AdministratorAccess
Cet exemple utilise la politique [AdministratorAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AdministratorAccess.html)IAM AWS gérée. Si vous préférez, vous pouvez utiliser une politique plus spécifique. | Administrateur AWS |
### Préparer le référentiel des ensembles d'autorisations
| Sous-tâche | Description | Compétences requises |
| --- | --- | --- |
| Créez un référentiel dédié. | Cette tâche suppose que vous utilisez GitHub. Créez un référentiel dédié pour stocker le code principal de Terraform et les fichiers JSON du modèle d'ensemble d'autorisations. | DevOps ingénieur |
| Préparez le code du jeu d'autorisations. | Pour plus d'informations sur la manière dont vous pouvez structurer les fichiers suivants, consultez l'[exemple de code](https://github.com/aws-samples/sample-terraform-aws-permission-sets-pipeline/tree/main/samples/basic) dans le référentiel de solutions :─ main.tf─ outputs.tf─ providers.jinja3\$1─ modèlesCopiez le contenu, conservez les `providers.jinja` valeurs et apportez les modifications nécessaires aux autres fichiers. Par exemple, ajoutez des fichiers modèles d'ensembles d'autorisations `templates` ou épinglez la version du `aws-ia/permission-sets/aws` module dans le `main.tf` fichier. | DevOps ingénieur |
| Validez vos modifications. | Validez et envoyez les modifications au référentiel que vous avez créé précédemment. Enregistrez le nom du référentiel et son GitHub organisation, par exemple`myorg/aws-ps-pipeline`. | DevOps ingénieur |
### Préparez le code de déploiement
| Sous-tâche | Description | Compétences requises |
| --- | --- | --- |
| Téléchargez le contenu. | Téléchargez (clonez) le contenu depuis le [référentiel](https://github.com/aws-samples/sample-terraform-aws-permission-sets-pipeline) de solutions. | DevOps ingénieur |
| Renseignez les variables. | Créez un `terraform.tfvars` fichier et ajoutez les variables nécessaires suivantes :[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/manage-aws-permission-sets-dynamically-by-using-terraform.html)repository_name = "myorg/aws-ps-pipeline"
branch_name = "main"
vcs_provider = "github"
account_lifecycle_events_source = "CT"
Pour plus d'informations sur les options de variables supplémentaires, consultez le fichier [variables.tf](https://github.com/aws-samples/sample-terraform-aws-permission-sets-pipeline/blob/main/variables.tf) dans le référentiel de ce modèle. GitHub | DevOps ingénieur |
| Ajustez la configuration du backend Terraform. | Dans le `backend.tf` fichier, remplacez les espaces réservés par vos propres valeurs. Utilisez la page d' AWS Control Tower accueil Région AWS et indiquez les noms du bucket Amazon S3 et de la table DynamoDB créés précédemment.terraform {
required_version = ">=1.6"
backend "s3" {
region = "{region}"
bucket = "{bucket_name}"
key = "terraform.tfstate"
dynamodb_table = "{table_name}"
encrypt = "true"
}
}Si vous préférez, vous pouvez utiliser votre propre configuration de backend Terraform. | DevOps ingénieur |
| Ajustez la configuration du fournisseur Terraform. | Dans le `providers.tf` fichier, remplacez les espaces réservés par vos propres informations. Utilisez la région d' AWS Control Tower origine et fournissez l'ARN du rôle IAM entre comptes créé précédemment pour le `event-source-account` fournisseur.provider "aws" {
region = "{region}"
}
provider "aws" {
alias = "event-source-account"
region = "{region}"
assume_role {
role_arn = "{role_arn}"
}
}
| DevOps ingénieur |
### Déployez la solution manuellement
| Sous-tâche | Description | Compétences requises |
| --- | --- | --- |
| Sélectionnez le Compte AWS. | Nous vous recommandons de déployer la solution dans le compte d'administrateur délégué d'IAM Identity Center. Toutefois, vous pouvez également le déployer dans le compte AWS Organizations de gestion.Pour vous connecter au compte sélectionné dans la même région que l'instance IAM Identity Center, utilisez le AWS CLI. Assurez-vous que le rôle IAM que vous utilisez est autorisé à assumer le rôle spécifié pour le `event-source-account` fournisseur dans les étapes précédentes. De plus, ce rôle doit avoir accès aux AWS ressources utilisées dans la configuration du backend Terraform. | Administrateur AWS |
| Exécutez Terraform manuellement. | Pour initialiser, planifier et appliquer les configurations, exécutez les commandes Terraform suivantes dans l'ordre indiqué :[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/manage-aws-permission-sets-dynamically-by-using-terraform.html) | DevOps ingénieur |
| Vérifiez les résultats du déploiement. | Dans le compte d'administrateur délégué d'IAM Identity Center, vérifiez que le `aws-ps-pipeline` pipeline a été créé. Vérifiez également qu'il existe une AWS CodeConnections connexion avec le statut **En attente**. | AWS DevOps |
| Terminez la CodeConnections configuration. | Pour terminer la CodeConnections configuration, procédez comme suit :[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/manage-aws-permission-sets-dynamically-by-using-terraform.html)Le pipeline devrait désormais avoir accès au référentiel des ensembles d'autorisations.Pour obtenir des instructions détaillées, voir [Mettre à jour une connexion en attente](https://docs.aws.amazon.com/dtconsole/latest/userguide/connections-update.html) dans la documentation de la console Developer Tools. | AWS DevOps |
### Choisissez un flux d'exécution du pipeline pour tester la solution
| Sous-tâche | Description | Compétences requises |
| --- | --- | --- |
| Exécutez le pipeline par AWS Control Tower ou les mises à jour AFT. | Une fois qu'un compte est créé ou modifié en utilisant AWS Control Tower ou AFT (selon le type d'événements du cycle de vie que vous avez choisi), le pipeline démarre. | Administrateur AWS |
| Exécutez le pipeline en modifiant le code. | Après avoir modifié le code et l'avoir validé dans la `main` branche, le pipeline démarre. | AWS DevOps |
| Exécutez le pipeline manuellement. | Pour démarrer le pipeline manuellement, utilisez la fonction [de modification de version](https://docs.aws.amazon.com/codepipeline/latest/userguide/pipelines-rerun-manually.html) dans AWS CodePipeline. | AWS DevOps |
## Résolution des problèmes
| Problème | Solution |
| --- | --- |
| Accès refusé | Vérifiez que vous disposez des autorisations requises pour déployer la solution. |
| CodeConnections problèmes | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/manage-aws-permission-sets-dynamically-by-using-terraform.html) |
| Problèmes d'exécution du pipeline | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/manage-aws-permission-sets-dynamically-by-using-terraform.html) |
| Problèmes de déploiement des ensembles d'autorisations | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/manage-aws-permission-sets-dynamically-by-using-terraform.html) |
## Ressources connexes
**Service AWS documentation**
+ [AWS IAM Identity Center Guide de l'utilisateur](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)
+ [Gestion Comptes AWS à l'aide d'ensembles d'autorisations](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) (documentation IAM Identity Center)
**Autres ressources**
+ [AWS Module d'ensembles d'autorisations](https://registry.terraform.io/modules/aws-ia/permission-sets/aws/latest) (Terraform)
## Informations supplémentaires
**Fichier JSON avec un exemple d'ensemble d'autorisations**
L'exemple suivant montre comment configurer un ensemble d'autorisations à l'aide du fichier JSON du référentiel :
```
{
"Name": "ps-billing", // Permission set identifier
"Comment": "Sample permission set for billing access", // Comment to document the purpose of the permission set
"Description": "Billing access in AWS", // Detailed description
"SessionDuration": "PT4H", // Session duration = 4 hours (ISO 8601 format)
"ManagedPolicies": [ // List of AWS IAM managed policies
"arn:aws:iam::aws:policy/job-function/Billing",
"arn:aws:iam::aws:policy/job-function/SupportUser",
"arn:aws:iam::aws:policy/AWSSupportAccess",
"arn:aws:iam::aws:policy/job-function/ViewOnlyAccess"
],
"CustomerPolicies": [], // References to IAM policies previously created
"CustomPolicy": {}, // Inline IAM policy defined directly in the permission set
"PermissionBoundary": { // AWS or customer managed IAM policy to be used as boundary
"ManagedPolicy": "",
"CustomerPolicy": ""
},
"Assignments": [ // Define the assignment rules
{
"all_accounts": true, // Apply to ALL active AWS accounts in organization
"principal": "G_BILLING_USERS", // Group/user name in Identity Center
"type": "GROUP", // Can be "GROUP" or "USER"
"account_id": [], // List of AWS account ID (empty since all_accounts=true)
"account_ou": [], // List of AWS Organizational Unit IDs with target AWS accounts
"account_tag": [] // List of tags (key:value) to match AWS Organization accounts tags
}
]
}
```
Pour plus d'informations, consultez le schéma JSON dans la documentation du [module AWS Permission Sets](https://registry.terraform.io/modules/aws-ia/permission-sets/aws/latest#json-file-templates) sur le site Web de Terraform.
**Astuces**
+ Vous pouvez utiliser les [blocs d'importation](https://developer.hashicorp.com/terraform/language/import) Terraform pour importer un ensemble d'autorisations existant dans la solution.
+ Vous pouvez utiliser AFT pour implémenter le pipeline AWS d'ensembles d'autorisations dans un compte délégué. Pour plus d'informations, consultez [AFT Blueprints](https://awslabs.github.io/aft-blueprints/index.html).
# Marquez automatiquement les pièces jointes à Transit Gateway à l'aide d'AWS Organizations
*Richard Milner-Watts, Haris Bin Ayub et John Capps, Amazon Web Services*
## Résumé
Sur Amazon Web Services (AWS), vous pouvez utiliser [AWS Resource Access Manager](https://aws.amazon.com/ram/)pour partager Compte AWS au-delà des [AWS Transit Gateway](https://aws.amazon.com/transit-gateway/)frontières. Cependant, lorsque vous créez des pièces jointes Transit Gateway au-delà des limites du compte, elles sont créées sans étiquette Name. Cela peut rendre l'identification des pièces jointes fastidieuse.
Cette solution fournit un mécanisme automatisé pour recueillir des informations sur chaque pièce jointe à Transit Gateway pour les comptes d'une organisation gérée par [AWS Organizations](https://aws.amazon.com/organizations/). Le processus consiste à rechercher la plage de [routage interdomaines sans classe](https://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing) (CIDR) à partir de la table de routage Transit Gateway. La solution applique ensuite une étiquette de nom sous la forme de `-` à la pièce jointe du compte qui contient la passerelle de transit.
Cette solution peut être utilisée conjointement avec une solution telle que le [Serverless Transit Network Orchestrator](https://aws.amazon.com/solutions/implementations/serverless-transit-network-orchestrator/) de la bibliothèque de AWS solutions. Serverless Transit Network Orchestrator permet la création automatique de pièces jointes Transit Gateway Gateway à grande échelle.
## Conditions préalables et limitations
**Conditions préalables**
+ Un actif Compte AWS
+ Une AWS Organizations organisation qui contient tous les comptes associés
+ Accès au compte de gestion de l'organisation, sous la racine de l'organisation, pour créer le rôle Gestion des identités et des accès AWS (IAM) requis
+ Un compte de membre du réseau partagé contenant une ou plusieurs passerelles de transport partagées avec l'organisation et comportant des pièces jointes
## Architecture
La capture d'écran suivante AWS Management Console montre des exemples de pièces jointes Transit Gateway sans étiquette de nom associée et de deux pièces jointes Transit Gateway avec des balises de nom générées par cette solution. La structure de la balise Name générée est`-`.
![\[Console affichant les pièces jointes sans étiquette de nom et deux pièces jointes avec balises de nom.\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/images/pattern-img/4b10dfec-43be-4337-9945-c64df921934a/images/7e7d4a47-f07a-4708-8022-a1d22855bb5d.png)
Cette solution permet [AWS CloudFormation](https://aws.amazon.com/cloudformation/)de déployer un [AWS Step Functions](https://aws.amazon.com/step-functions/)flux de travail qui gère la création de balises Transit Gateway Name sur toutes les configurations Régions AWS. Le flux de travail invoque [AWS Lambda](https://aws.amazon.com/lambda/)des fonctions qui exécutent les tâches sous-jacentes.
Une fois que la solution a obtenu les noms des comptes AWS Organizations, la machine d'état Step Functions obtient toutes les pièces jointes Transit Gateway IDs. Elles sont traitées en parallèle par Region. Ce traitement inclut la recherche de la plage CIDR pour chaque pièce jointe. La plage CIDR est obtenue en recherchant dans les tables de routage de Transit Gateway de la région un ID de pièce jointe Transit Gateway correspondant. Si toutes les informations requises sont disponibles, la solution applique un tag Name à la pièce jointe. La solution ne remplacera aucune balise Name existante.
La solution s'exécute selon un calendrier contrôlé par un EventBridge événement [Amazon](https://aws.amazon.com/eventbridge/). L'événement initie la solution chaque jour à 6 h 00 UTC.
**Pile technologique cible**
+ Amazon EventBridge
+ AWS Lambda
+ AWS Organizations
+ AWS Transit Gateway
+ Amazon Virtual Private Cloud (Amazon VPC)
+ AWS X-Ray
**Architecture cible**
L'architecture de la solution et le flux de travail sont illustrés dans le schéma suivant.
![\[Processus en neuf étapes pour les réseaux partagés et les comptes de gestion de l'organisation.\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/images/pattern-img/4b10dfec-43be-4337-9945-c64df921934a/images/873cc89f-c6e3-43cd-94ed-59b6ea2b8d49.png)
1. L'événement planifié initie la règle.
1. La EventBridge règle démarre la machine d'état Step Functions.
1. La machine à états invoque la fonction `tgw-tagger-organizations-account-query` Lambda.
1. La fonction `tgw-tagger-organizations-account-query` Lambda assume le rôle dans le compte de gestion de l'organisation.
1. La fonction `tgw-tagger-organizations-account-query` Lambda appelle l'API Organizations pour renvoyer Compte AWS des métadonnées.
1. La machine à états invoque la fonction `tgw-tagger-attachment-query` Lambda.
1. Pour chaque région, en parallèle, la machine à états invoque la fonction `tgw-tagger-rtb-query` Lambda pour lire la plage CIDR de chaque pièce jointe.
1. Pour chaque région, en parallèle, la machine à états invoque la fonction `tgw-tagger-attachment-tagger`**** Lambda.
1. Des étiquettes nominatives sont créées pour les pièces jointes Transit Gateway dans le compte Shared Networking.
**Automatisation et mise à l'échelle**
La solution traite chaque région en parallèle afin de réduire la durée totale de l'exécution.
## Outils
**Services AWS**
+ [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html)permet de modéliser un ensemble de ressources connexes AWS et tierces, de les approvisionner rapidement et de manière cohérente, et de les gérer tout au long de leur cycle de vie, en traitant l'infrastructure comme du code.
+ [Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html) vous CloudWatch aide à surveiller les indicateurs de vos ressources AWS et des applications que vous exécutez AWS en temps réel.
+ [Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) est un service de bus d'événements sans serveur que vous pouvez utiliser pour connecter vos applications à des données provenant de diverses sources. EventBridge reçoit un événement, un indicateur d'un changement d'environnement, et applique une règle pour acheminer l'événement vers une cible. Les règles associent les événements aux cibles en fonction de la structure de l'événement, appelée schéma d'événements, ou d'un calendrier.
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html)est un service de calcul qui prend en charge l'exécution de code sans provisionnement ni gestion de serveurs. Lambda exécute votre code uniquement lorsque cela est nécessaire et évolue automatiquement, passant de quelques requêtes par jour à des milliers par seconde. Vous payez uniquement pour le temps de calcul consommé. Aucun frais n'est facturé si votre code n'est pas en cours d'exécution.
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)vous permet de gérer et de gouverner votre environnement de manière centralisée à mesure que vous développez et faites évoluer vos AWS ressources. Organizations vous permet de créer de nouvelles ressources Comptes AWS et de les allouer par programmation, de regrouper des comptes pour organiser vos flux de travail, d'appliquer des politiques aux comptes ou aux groupes à des fins de gouvernance et de simplifier la facturation en utilisant un mode de paiement unique pour tous vos comptes.
+ [AWS Step Functions](https://docs.aws.amazon.com/step-functions/latest/dg/welcome.html)est un service de flux de travail visuel à faible code utilisé pour orchestrer Services AWS, automatiser les processus métier et créer des applications sans serveur. Les flux de travail gèrent les échecs, les nouvelles tentatives, la parallélisation, les intégrations de services et l'observabilité afin que les développeurs puissent se concentrer sur une logique métier à plus forte valeur ajoutée.
+ [AWS Transit Gateway](https://aws.amazon.com/transit-gateway/)connecte VPCs et met en place des réseaux sur site via un hub central. Cela simplifie votre réseau et met fin aux relations de peering complexes. Il agit comme un routeur cloud, de sorte que chaque nouvelle connexion n'est établie qu'une seule fois.
+ [Amazon Virtual Private Cloud (Amazon VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) est un service permettant de lancer AWS des ressources dans un réseau virtuel logiquement isolé que vous définissez.
+ [AWS X-Ray](https://docs.aws.amazon.com/xray/latest/devguide/aws-xray.html)collecte des données sur les demandes traitées par votre application et fournit des outils que vous pouvez utiliser pour afficher, filtrer et obtenir des informations sur ces données afin d'identifier les problèmes et les opportunités d'optimisation.
**Code**
Le code source de cette solution est disponible dans le GitHub référentiel [Transit Gateway Attachment Tagger](https://github.com/aws-samples/tgw-attachment-tagger). Le référentiel inclut les fichiers suivants :
+ `tgw-attachment-tagger-main-stack.yaml`crée toutes les ressources nécessaires à la prise en charge de cette solution dans le compte réseau partagé.
+ `tgw-attachment-tagger-organizations-stack.yaml`****crée un rôle dans le compte de gestion de l'organisation.
## Épopées
### Déployez la pile de solutions principale
| Sous-tâche | Description | Compétences requises |
| --- | --- | --- |
| Rassemblez les informations préalables requises. | Pour configurer l'accès entre comptes depuis la fonction Lambda vers AWS Organizations l'API, vous avez besoin de l'ID de compte du compte de gestion de l'organisation.****L'ordre dans lequel les deux CloudFormation piles sont créées est important. Vous devez d'abord déployer des ressources dans le compte réseau partagé. Le rôle dans le compte de réseau partagé doit déjà exister avant de déployer des ressources dans le compte de gestion de l'organisation. Pour plus d’informations, consultez la [documentation AWS](https://docs.amazonaws.cn/en_us/IAM/latest/UserGuide/id_roles_create_for-user.html). | DevOps ingénieur |
| Lancez le CloudFormation modèle pour la pile de solutions principale. | Le modèle de la pile de solutions principale déploiera les rôles IAM, le flux de travail Step Functions, les fonctions Lambda et l'événement Amazon CloudWatch .Ouvrez le compte AWS Management Console pour le réseau partagé, puis ouvrez la console : &CFN. Créez la pile en utilisant le `tgw-attachment-tagger-main-stack.yaml` modèle et les valeurs suivantes : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/tag-transit-gateway-attachments-automatically-using-aws-organizations.html)Pour plus d'informations sur le lancement d'une CloudFormation pile, consultez la [AWS documentation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html). | DevOps ingénieur |
| Vérifiez que la solution a été lancée avec succès. | Attendez que la CloudFormation pile atteigne le statut **CREATE\$1COMPLETE**. Cela devrait prendre moins d'une minute.Ouvrez la console Step Functions et vérifiez qu'une nouvelle machine à états a été créée avec le nom **tgw-attachment-tagger-state-machine**. | DevOps ingénieur |
### Déployez le stack AWS Organizations
| Sous-tâche | Description | Compétences requises |
| --- | --- | --- |
| Rassemblez les informations préalables requises. | Pour configurer l'accès entre comptes depuis la fonction Lambda vers l'API AWS Organizations, vous avez besoin de l'ID de compte du compte réseau partagé. | DevOps ingénieur |
| Lancez le CloudFormation modèle pour la pile Organizations | Le modèle de la pile AWS Organizations déploiera le rôle IAM dans le compte de gestion de l'organisation. Accédez à la console AWS pour le compte de gestion de l'organisation, puis ouvrez la CloudFormation console. Créez la pile en utilisant le `tgw-attachment-tagger-organizations-stack.yaml` modèle et les valeurs suivantes :[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/tag-transit-gateway-attachments-automatically-using-aws-organizations.html)Pour les autres options de création de pile, utilisez les valeurs par défaut. | DevOps ingénieur |
| Vérifiez que la solution a été lancée avec succès. | Attendez que la CloudFormation pile atteigne le statut **CREATE\$1COMPLETE**. Cela devrait prendre moins d'une minute.Ouvrez la console Gestion des identités et des accès AWS (IAM) et vérifiez qu'un nouveau rôle a été créé avec le nom **tgw-attachment-tagger-organization-query-role**. | DevOps ingénieur |
### Vérifiez la solution
| Sous-tâche | Description | Compétences requises |
| --- | --- | --- |
| Lancez la machine d'état. | Ouvrez la console Step Functions pour le compte Shared Networking et choisissez **State machines** dans le volet de navigation.Sélectionnez l'état machine **tgw-attachment-tagger-state-machine**, puis choisissez **Start Execution**. Étant donné que l'entrée de cette machine à états n'est pas utilisée par la solution, vous pouvez utiliser la valeur par défaut.{
"Comment": "Insert your JSON here"
}Choisissez **Démarrer une exécution**. | DevOps ingénieur |
| Surveillez la machine à états jusqu'à ce qu'elle soit terminée. | Sur la nouvelle page qui s'ouvre, vous pouvez regarder la machine d'état fonctionner. La durée dépendra du nombre de pièces jointes Transit Gateway à traiter.Sur cette page, vous pouvez examiner chaque étape de la machine à états. Vous pouvez consulter les différentes tâches de la machine à états et suivre les liens vers les CloudWatch journaux des fonctions Lambda. Pour les tâches exécutées en parallèle sur la carte, vous pouvez utiliser la liste déroulante **Index** pour afficher les implémentations spécifiques à chaque région. | DevOps ingénieur |
| Vérifiez les balises de pièce jointe de Transit Gateway. | Ouvrez la console VPC pour le compte réseau partagé et choisissez **Transit Gateway** Attachments. Sur la console, un tag Name est fourni pour les pièces jointes répondant aux critères (la pièce jointe est propagée vers une table de routage Transit Gateway et le propriétaire de la ressource est membre de l'organisation). | DevOps ingénieur |
| Vérifiez le déclenchement de l' CloudWatch événement. | Attendez que l' CloudWatch événement démarre. Cela est prévu pour 06h00 UTC. Ouvrez ensuite la console Step Functions pour le compte Shared Networking et choisissez **State machines** dans le volet de navigation.Sélectionnez l'état machine **tgw-attachment-tagger-state-machine.** Vérifiez que la solution a été exécutée à 6 h 00 UTC. | DevOps ingénieur |
## Ressources connexes
+ [AWS Organizations](https://aws.amazon.com/organizations/)
+ [AWS Resource Access Manager](https://aws.amazon.com/ram/)
+ [Orchestrateur de réseau de transit sans serveur](https://aws.amazon.com/solutions/implementations/serverless-transit-network-orchestrator/)
+ [Création de rôles IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html)
+ [Création d'une pile sur la AWS CloudFormation console](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html)
# Plus de modèles
**Topics**
+ [Automatisez les allocations d'adresses IPv4 CIDR IPAM d'Amazon VPC pour les nouveaux utilisateurs en utilisant AFT Comptes AWS](automate-amazon-vpc-ipam-ipv4-cidr-allocations-for-new-aws-accounts-by-using-aft.md)
+ [Gérez les ensembles d'autorisations pour plusieurs comptes en utilisant Account Factory pour Terraform](govern-permission-sets-aft.md)
+ [Provisionner AWS Service Catalog des produits basés sur AWS CloudFormation des modèles à l'aide d' GitHub actions](provision-aws-service-catalog-products-using-github-actions.md)
+ [Fournissez des rôles IAM avec le moindre privilège en déployant une solution de distribution automatique de rôles](provision-least-privilege-iam-roles-by-deploying-a-role-vending-machine-solution.md)