.amazonaws.com/` l'adresse.
Le tableau suivant répertorie les ports requis.
|
|
| Source | Destination | Port | Pour plus d’informations, veuillez consulter la rubrique |
| --- |--- |--- |--- |
| Centre de données source | Service Amazon S3 URLs | 443 (TCP) | [Communication via le port TCP 443](https://docs.aws.amazon.com/mgn/latest/ug/Network-Requirements.html#TCP-443) |
| Centre de données source | Région AWS-adresse de console spécifique pour le service de migration d'applications | 443 (TCP) | [Communication entre les serveurs sources et le service de migration d'applications via le port TCP 443](https://docs.aws.amazon.com/mgn/latest/ug/Network-Requirements.html#Source-Manager-TCP-443) |
| Centre de données source | Sous-réseau de zone de transit | 1500 (TCP) | [Communication entre les serveurs sources et le sous-réseau de la zone de transit via le port TCP 1500](https://docs.aws.amazon.com/mgn/latest/ug/Network-Requirements.html#Communication-TCP-1500) |
| Sous-réseau de zone de transit | Région AWS-adresse de console spécifique pour le service de migration d'applications | 443 (TCP) | [Communication entre le sous-réseau de la zone de transit et le service de migration des applications via le port TCP 443](https://docs.aws.amazon.com/mgn/latest/ug/Network-Requirements.html#Communication-TCP-443-Staging) |
| Sous-réseau de zone de transit | Service Amazon S3 URLs | 443 (TCP) | [Communication via le port TCP 443](https://docs.aws.amazon.com/mgn/latest/ug/Network-Requirements.html#TCP-443) |
| Sous-réseau de zone de transit | Point de terminaison Amazon Elastic Compute Cloud (Amazon EC2) du sous-réseau Région AWS | 443 (TCP) | [Communication via le port TCP 443](https://docs.aws.amazon.com/mgn/latest/ug/Network-Requirements.html#TCP-443) |
**Limitations liées à **
Le service de migration d'applications n'est actuellement pas disponible sur tous Régions AWS les systèmes d'exploitation.
+ [Soutenu Régions AWS](https://docs.aws.amazon.com/mgn/latest/ug/supported-regions.html)
+ [Systèmes d'exploitation pris en charge](https://docs.aws.amazon.com/mgn/latest/ug/Supported-Operating-Systems.html)
## Architecture
Le schéma suivant illustre l'architecture réseau d'une migration classique. Pour plus d'informations sur cette architecture, consultez la [documentation du service de migration des applications](https://docs.aws.amazon.com/mgn/latest/ug/Network-Settings-Video.html) et la [vidéo sur l'architecture du service de migration des applications et l'architecture réseau](https://youtu.be/ao8geVzmmRo).
![\[Architecture réseau pour le service de migration d'applications pour une migration classique\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/images/pattern-img/21346c0f-0643-4f4f-b21f-fdfe24fc6a8f/images/546598b2-8026-4849-a441-eaa2bc2bf6bb.png)
La vue détaillée suivante montre la configuration des points de terminaison VPC d'interface dans la zone de transit (VPC) pour connecter Amazon S3 et Application Migration Service.
![\[Architecture réseau pour le service de migration d'applications pour une migration classique - vue détaillée\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/images/pattern-img/21346c0f-0643-4f4f-b21f-fdfe24fc6a8f/images/bd0dfd42-4ab0-466f-b696-804dedcf4513.png)
## Outils
+ [AWS Application Migration Service](https://docs.aws.amazon.com/mgn/latest/ug/what-is-application-migration-service.html)simplifie, accélère et réduit le coût de réhébergement des applications sur. AWS
+ Les [points de terminaison VPC d'interface](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html) vous permettent de vous connecter à des services alimentés par AWS PrivateLink sans avoir besoin d'une passerelle Internet, d'un périphérique NAT, d'une connexion VPN ou d'une connexion. AWS Direct Connect Les instances de votre VPC ne requièrent pas d'adresses IP publiques pour communiquer avec les ressources du service. Le trafic entre votre VPC et les autres services ne quitte pas le réseau Amazon.
## Épopées
### Créez des points de terminaison pour Application Migration Service EC2, Amazon et Amazon S3
| Sous-tâche | Description | Compétences requises |
| --- | --- | --- |
| Configurez le point de terminaison de l'interface pour le service de migration d'applications. | Le centre de données source et le VPC de la zone de transit se connectent de manière privée au plan de contrôle du service de migration des applications via le point de terminaison d'interface que vous créez dans le VPC de la zone de transit cible. Pour créer le point de terminaison :[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/connect-to-application-migration-service-data-and-control-planes-over-a-private-network.html)Pour plus d'informations, consultez la section [Accès et Service AWS utilisation d'un point de terminaison VPC d'interface dans la documentation Amazon VPC.](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html) | Responsable de la migration |
| Configurez le point de terminaison de l'interface pour Amazon EC2. | Le VPC de zone de transit se connecte de manière privée à l' EC2 API Amazon via le point de terminaison d'interface que vous créez dans le VPC de zone de transit cible. Pour créer le point de terminaison, suivez les instructions fournies dans l'article précédent.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/connect-to-application-migration-service-data-and-control-planes-over-a-private-network.html) | Responsable de la migration |
| Configurez le point de terminaison de l'interface pour Amazon S3. | Le centre de données source et le VPC de la zone de transit se connectent de manière privée à l'API Amazon S3 via le point de terminaison d'interface que vous créez dans le VPC de la zone de transit cible. Pour créer le point de terminaison, suivez les instructions fournies dans le premier article.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/connect-to-application-migration-service-data-and-control-planes-over-a-private-network.html)Vous utilisez un point de terminaison d'interface car les connexions de point de terminaison de passerelle ne peuvent pas être étendues hors d'un VPC. (Pour plus de détails, consultez la [AWS PrivateLink documentation](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-gateway.html).) | Responsable de la migration |
| Configurez le point de terminaison Amazon S3 Gateway. | Pendant la phase de configuration, le serveur de réplication doit se connecter à un compartiment S3 pour télécharger les mises à jour logicielles du serveur de AWS réplication. Toutefois, les points de terminaison de l'interface Amazon S3 ne prennent pas en charge les noms DNS privés*,* et il n'existe aucun moyen de fournir un nom DNS de point de terminaison Amazon S3 à un serveur de réplication. Pour atténuer ce problème, vous créez un point de terminaison de passerelle Amazon S3 dans le VPC auquel appartient le sous-réseau de la zone de transit, et vous mettez à jour les tables de routage du sous-réseau de transit avec les routes pertinentes. Pour plus d'informations, consultez la section [Créer un point de terminaison de passerelle](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html#create-gateway-endpoint-s3) dans la AWS PrivateLink documentation. | Administrateur du cloud |
| Configurez le DNS local pour résoudre les noms DNS privés des points de terminaison. | Les points de terminaison de l'interface pour Application Migration Service et Amazon EC2 possèdent des noms DNS privés qui peuvent être résolus dans le VPC. Toutefois, vous devez également configurer des serveurs locaux pour résoudre les noms DNS privés pour ces points de terminaison d'interface.Il existe plusieurs manières de configurer ces serveurs. Dans ce modèle, nous avons testé cette fonctionnalité en transférant les requêtes DNS locales au point de terminaison Amazon Route 53 Resolver entrant dans le VPC de la zone de transit. Pour plus d'informations, consultez [la section Résolution des requêtes DNS entre VPCs et votre réseau](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-overview-DSN-queries-to-vpc.html) dans la documentation Route 53. | Ingénieur en migration |
### Connectez-vous au plan de contrôle du service de migration des applications via un lien privé
| Sous-tâche | Description | Compétences requises |
| --- | --- | --- |
| Installez l'agent AWS de réplication à l'aide de AWS PrivateLink. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/connect-to-application-migration-service-data-and-control-planes-over-a-private-network.html)Voici un exemple pour Linux :[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/connect-to-application-migration-service-data-and-control-planes-over-a-private-network.html)Après avoir établi votre connexion avec le service de migration d'applications et installé l'agent de AWS réplication, suivez les instructions de la [documentation du service de migration d'applications](https://docs.aws.amazon.com/mgn/latest/ug/migration-workflow-gs.html) pour migrer vos serveurs sources vers votre VPC et votre sous-réseau cibles. | Ingénieur en migration |
## Ressources connexes
**Documentation du service de migration d'applications**
+ [Concepts](https://docs.aws.amazon.com/mgn/latest/ug/CloudEndure-Concepts.html)
+ [Flux de travail de migration](https://docs.aws.amazon.com/mgn/latest/ug/migration-workflow-gs.html)
+ [Guide de démarrage rapide](https://docs.aws.amazon.com/mgn/latest/ug/quick-start-guide-gs.html)
+ [FAQ](https://docs.aws.amazon.com/mgn/latest/ug/FAQ.html)
+ [Résolution des problèmes](https://docs.aws.amazon.com/mgn/latest/ug/troubleshooting.html)
**Ressources supplémentaires**
+ [Réhébergement de vos applications dans une architecture multi-comptes en AWS utilisant des points de terminaison d'interface VPC](https://docs.aws.amazon.com/prescriptive-guidance/latest/rehost-multi-account-architecture-interface-endpoints/) (guide prescriptif)AWS
+ [AWS Application Migration Service — Une introduction technique (présentation](https://www.aws.training/Details/eLearning?id=71732) détaillée de AWS la formation et de la certification)
+ [AWS Application Migration Service architecture et architecture réseau](https://youtu.be/ao8geVzmmRo) (vidéo)
## Informations supplémentaires
**Résolution des problèmes** d'**installation de l'agent de *AWS *réplication sur des serveurs Linux**
Si une erreur **gcc** s'affiche sur un serveur Amazon Linux, configurez le référentiel de packages et utilisez la commande suivante :
```
## sudo yum groupinstall "Development Tools"
```
# Créez des objets Infoblox à l'aide des ressources CloudFormation personnalisées AWS et d'Amazon SNS
*Tim Sutton, Amazon Web Services*
## Résumé
**Remarque** : n' AWS Cloud9 est plus disponible pour les nouveaux clients. Les clients existants de AWS Cloud9 peuvent continuer à utiliser le service normalement. [En savoir plus](https://aws.amazon.com/blogs/devops/how-to-migrate-from-aws-cloud9-to-aws-ide-toolkits-or-aws-cloudshell/)
Le système de noms de domaine (DNS) Infoblox, le protocole DHCP (Dynamic Host Configuration Protocol) et la gestion des adresses IP ([Infoblox DDI](https://www.infoblox.com/products/ddi/)) vous permettent de centraliser et de contrôler efficacement un environnement hybride complexe. Avec Infoblox DDI, vous pouvez découvrir et enregistrer tous les actifs du réseau dans une base de données de gestion des adresses IP (IPAM) faisant autorité, en plus de gérer le DNS sur site et sur le cloud Amazon Web Services (AWS) en utilisant les mêmes appareils.
Ce modèle décrit comment utiliser une ressource CloudFormation personnalisée AWS pour créer des objets Infoblox (par exemple, des enregistrements DNS ou des objets IPAM) en appelant l'API Infoblox WAPI. Pour plus d'informations sur l'Infoblox WAPI, consultez la documentation WAPI dans la [documentation](https://www.infoblox.com/wp-content/uploads/infoblox-deployment-infoblox-rest-api.pdf) Infoblox.
En utilisant l'approche de ce modèle, vous pouvez obtenir une vue unifiée des enregistrements DNS et des configurations IPAM pour vos environnements AWS et sur site, en plus de supprimer les processus manuels qui créent des enregistrements et approvisionnent vos réseaux. Vous pouvez utiliser l'approche de ce modèle pour les cas d'utilisation suivants :
+ Ajouter un enregistrement A après avoir créé une instance Amazon Elastic Compute Cloud (Amazon EC2)
+ Ajouter un enregistrement CNAME après avoir créé un Application Load Balancer
+ Ajouter un objet réseau après la création d'un cloud privé virtuel (VPC)
+ Fournir la plage réseau suivante et utiliser cette plage pour créer des sous-réseaux
Vous pouvez également étendre ce modèle et utiliser d'autres fonctionnalités de l'appareil Infoblox, telles que l'ajout de différents types d'enregistrement DNS ou la configuration d'Infoblox vDiscovery.
Le modèle utilise une hub-and-spoke conception dans laquelle le hub nécessite une connectivité à l'appliance Infoblox sur le cloud AWS ou sur site et utilise AWS Lambda pour appeler l'API Infoblox. Le spoke se trouve sur le même compte ou sur un compte différent de la même organisation dans AWS Organizations et appelle la fonction Lambda à l'aide d'une ressource CloudFormation personnalisée AWS.
## Conditions préalables et limitations
**Conditions préalables**
+ Une appliance ou une grille Infoblox existante, installée sur le cloud AWS, sur site, ou les deux, et configurée avec un utilisateur administrateur capable d'administrer les actions IPAM et DNS. Pour plus d'informations à ce sujet, consultez la section [À propos des comptes d'administrateur](https://docs.infoblox.com/display/nios86/About+Admin+Accounts) dans la documentation d'Infoblox.
+ Zone DNS autoritaire existante à laquelle vous souhaitez ajouter des enregistrements sur l'appliance Infoblox. Pour plus d'informations à ce sujet, consultez la [section Configuration des zones faisant autorité](https://docs.infoblox.com/display/nios86/Configuring+Authoritative+Zones) dans la documentation d'Infoblox.
+ Deux comptes AWS actifs dans AWS Organizations. L'un des comptes est le compte hub et l'autre est le compte Spoke.
+ Les comptes hub et spoke doivent se trouver dans la même région AWS.
+ Le VPC du compte hub doit se connecter à l'appliance Infoblox, par exemple en utilisant AWS Transit Gateway ou le peering VPC.
+ [AWS Serverless Application Model (AWS SAM)](https://docs.aws.amazon.com/serverless-application-model/latest/developerguide/what-is-sam.html), installé et configuré localement avec AWS Cloud9 ou AWS. CloudShell
+ Les `ClientTest.yaml` fichiers `Infoblox-Hub.zip` et (joints), téléchargés dans l'environnement local qui contient AWS SAM.
**Limites**
+ Le jeton de service de la ressource CloudFormation personnalisée AWS doit provenir de la même région que celle dans laquelle la pile est créée. Nous vous recommandons d'utiliser un compte hub dans chaque région, au lieu de créer une rubrique Amazon Simple Notification Service (Amazon SNS) dans une région et d'appeler la fonction Lambda dans une autre région.
**Versions du produit**
+ API Infoblox version 2.7
## Architecture
Les diagrammes suivants montrent le flux de travail de ce modèle.
![\[Création d'objets Infoblox à l'aide des ressources CloudFormation personnalisées d'AWS et d'Amazon SNS.\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/images/pattern-img/8d609d3f-6f5e-4084-849f-ca191db8055e/images/3594a064-e103-4211-84b7-da67c41ebb15.png)
Le schéma montre les composants suivants pour la solution de ce modèle :
1. CloudFormation Les ressources personnalisées AWS vous permettent d'écrire une logique de provisionnement personnalisée dans des modèles qu'AWS CloudFormation exécute lorsque vous créez, mettez à jour ou supprimez des piles. Lorsque vous créez une pile, AWS CloudFormation envoie une `create` demande à une rubrique SNS surveillée par une application exécutée sur une EC2 instance.
1. La notification Amazon SNS provenant de la ressource CloudFormation personnalisée AWS est chiffrée au moyen d'une clé AWS Key Management Service (AWS KMS) spécifique et l'accès est limité aux comptes de votre organisation dans Organizations. La rubrique SNS lance la ressource Lambda qui appelle l'API WAPI Infoblox.
1. Amazon SNS invoque les fonctions Lambda suivantes qui utilisent l'URL de l'API Infoblox, le nom d'utilisateur et le mot de passe AWS Secrets Manager Amazon Resource Names () comme variables d'environnement : ARNs
+ `dnsapi.lambda_handler`— Reçoit les `DNSValue` valeurs `DNSName``DNSType`, et de la ressource CloudFormation personnalisée AWS et les utilise pour créer des enregistrements DNS A et des CNAMES.
+ `ipaddr.lambda_handler`— Reçoit les `Network Name` valeurs `VPCCIDR` `Type``SubnetPrefix`,, et de la ressource CloudFormation personnalisée AWS et les utilise pour ajouter les données réseau dans la base de données Infoblox IPAM ou fournir la ressource personnalisée au prochain réseau disponible pouvant être utilisé pour créer de nouveaux sous-réseaux.
+ `describeprefixes.lambda_handler`— Appelle l'API `describe_managed_prefix_lists` AWS en utilisant le `"com.amazonaws."+Region+".s3"` filtre pour récupérer les informations requises`prefix ID`.
**Important**
Ces fonctions Lambda sont écrites en Python et sont similaires les unes aux autres, mais leurs appels sont différents. APIs
1. Vous pouvez déployer la grille Infoblox sous forme d'appliances réseau physiques, virtuelles ou basées sur le cloud. Il peut être déployé sur site ou en tant qu'appliance virtuelle à l'aide d'une gamme d'hyperviseurs, notamment VMware ESXi Microsoft Hyper-V, Linux KVM et Xen. Vous pouvez également déployer la grille Infoblox sur le cloud AWS avec une Amazon Machine Image (AMI).
1. Le schéma montre une solution hybride pour la grille Infoblox qui fournit le DNS et l'IPAM aux ressources sur le cloud AWS et sur site.
**Pile technologique**
+ AWS CloudFormation
+ IAM
+ AWS KMS
+ AWS Lambda
+ AWS SAM
+ AWS Secrets Manager
+ Amazon SNS
+ Amazon VPC
## Outils
+ [AWS](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html) vous CloudFormation aide à configurer les ressources AWS, à les approvisionner rapidement et de manière cohérente, et à les gérer tout au long de leur cycle de vie sur l'ensemble des comptes et des régions AWS.
+ [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) vous aide à gérer en toute sécurité l'accès à vos ressources AWS en contrôlant qui est authentifié et autorisé à les utiliser.
+ [AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) vous aide à créer et à contrôler des clés cryptographiques afin de protéger vos données.
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) est un service de calcul qui vous permet d'exécuter du code sans avoir à provisionner ou à gérer des serveurs. Il exécute votre code uniquement lorsque cela est nécessaire et évolue automatiquement, de sorte que vous ne payez que pour le temps de calcul que vous utilisez.
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) est un service de gestion de comptes qui vous aide à consolider plusieurs comptes AWS au sein d'une organisation que vous créez et gérez de manière centralisée.
+ [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) vous aide à remplacer les informations d'identification codées en dur dans votre code, y compris les mots de passe, par un appel d'API à Secrets Manager pour récupérer le secret par programmation.
+ [AWS Serverless Application Model (AWS SAM](https://docs.aws.amazon.com/serverless-application-model/latest/developerguide/what-is-sam.html)) est un framework open source qui vous aide à créer des applications sans serveur dans le cloud AWS.
+ [Amazon Simple Notification Service (Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/welcome.html)) vous aide à coordonner et à gérer l'échange de messages entre les éditeurs et les clients, y compris les serveurs Web et les adresses e-mail.
+ [Amazon Virtual Private Cloud (Amazon VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) vous aide à lancer des ressources AWS dans un réseau virtuel que vous avez défini. Ce réseau virtuel ressemble à un réseau traditionnel que vous exploiteriez dans votre propre centre de données, avec les avantages liés à l'utilisation de l'infrastructure évolutive d'AWS.
**Code**
Vous pouvez utiliser l'`ClientTest.yaml`exemple de CloudFormation modèle AWS (ci-joint) pour tester le hub Infoblox. Vous pouvez personnaliser le CloudFormation modèle AWS pour inclure les ressources personnalisées du tableau suivant.
| |
| --- |
| Créez un enregistrement A à l'aide de la ressource personnalisée Infoblox Spoke | Valeurs renvoyées : `infobloxref `— Références InfobloxExemple de ressource :
```
ARECORDCustomResource:
Type: "Custom::InfobloxAPI"
Properties:
ServiceToken: !Sub arn:aws:sns:${AWS::Region}:${HubAccountID}:RunInfobloxDNSFunction
DNSName: 'arecordtest.company.com'
DNSType: 'ARecord'
DNSValue: '10.0.0.1'
``` |
| --- |--- |
| Créez un enregistrement CNAME à l'aide de la ressource personnalisée Infoblox Spoke | **Valeurs renvoyées** : `infobloxref `— Références Infoblox**Exemple de ressource** :CNAMECustomResource:
Type: "Custom::InfobloxAPI"
Properties:
ServiceToken: !Sub arn:aws:sns:${AWS::Region}:${HubAccountID}:RunInfoblox
DNSFunction
DNSName: 'cnametest.company.com'
DNSType: 'cname'
DNSValue: 'aws.amazon.com'
|
| Créez un objet réseau à l'aide de la ressource personnalisée Infoblox Spoke | **Valeurs renvoyées :**`infobloxref `— Références Infoblox`network`— Portée du réseau (identique à`VPCCIDR`)**Exemple de ressource :**VPCCustomResource:
Type: 'Custom::InfobloxAPI'
Properties:
ServiceToken: !Sub arn:aws:sns:${AWS::Region}:${HubAccountID}:RunInfobloxNextSubnetFunction
VPCCIDR: !Ref VpcCIDR
Type: VPC
NetworkName: My-VPC
|
| Récupérez le prochain sous-réseau disponible à l'aide de la ressource personnalisée Infoblox Spoke | **Valeurs renvoyées :**`infobloxref`— Références Infoblox`network `— La portée réseau du sous-réseau**Exemple de ressource :**Subnet1CustomResource:
Type: 'Custom::InfobloxAPI'
DependsOn: VPCCustomResource
Properties:
ServiceToken: !Sub arn:aws:sns:${AWS::Region}:${HubAccountID}:RunInfobloxNextSubnetFunction
VPCCIDR: !Ref VpcCIDR
Type: Subnet
SubnetPrefix: !Ref SubnetPrefix
NetworkName: My-Subnet
|
## Épopées
### Création et configuration du VPC du compte hub
| Sous-tâche | Description | Compétences requises |
| --- | --- | --- |
| Créez un VPC avec une connexion à l'appliance Infoblox. | Connectez-vous à la console de gestion AWS pour votre compte hub et créez un VPC en suivant les étapes décrites dans le [déploiement de référence Amazon VPC on the AWS Cloud Quick Start à partir d'AWS Quick](https://aws-quickstart.github.io/quickstart-aws-vpc/) Starts.Le VPC doit disposer d'une connectivité HTTPS avec l'appliance Infoblox et nous vous recommandons d'utiliser un sous-réseau privé pour cette connexion. | Administrateur réseau, administrateur système |
| (Facultatif) Créez les points de terminaison VPC pour les sous-réseaux privés. | Les points de terminaison VPC fournissent une connectivité aux services publics pour vos sous-réseaux privés. Les points de terminaison suivants sont requis :[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/create-infoblox-objects-using-aws-cloudformation-custom-resources-and-amazon-sns.html)Pour plus d'informations sur la création de points de terminaison pour les sous-réseaux privés, consultez la section [Points de terminaison VPC dans la documentation](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints.html) Amazon VPC. | Administrateur réseau, administrateur système |
### Déployez le hub Infoblox
| Sous-tâche | Description | Compétences requises |
| --- | --- | --- |
| Créez le modèle AWS SAM. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/create-infoblox-objects-using-aws-cloudformation-custom-resources-and-amazon-sns.html) | Développeur, administrateur système |
| Déployez le modèle AWS SAM. | La `sam deploy` commande prend les paramètres requis et les enregistre dans le `samconfig.toml` fichier, stocke le CloudFormation modèle AWS et les fonctions Lambda dans un compartiment S3, puis déploie le CloudFormation modèle AWS dans votre compte de hub. L'exemple de code suivant montre comment déployer le modèle AWS SAM :$ sam deploy --guided
Configuring SAM deploy
======================
Looking for config file [samconfig.toml] : Found
Reading default arguments : Success
Setting default arguments for 'sam deploy'
=========================================
Stack Name [Infoblox-Hub]:
AWS Region [eu-west-1]:
Parameter InfobloxUsername:
Parameter InfobloxPassword:
Parameter InfobloxIPAddress [xxx.xxx.xx.xxx]:
Parameter AWSOrganisationID [o-xxxxxxxxx]:
Parameter VPCID [vpc-xxxxxxxxx]:
Parameter VPCCIDR [xxx.xxx.xxx.xxx/16]:
Parameter VPCSubnetID1 [subnet-xxx]:
Parameter VPCSubnetID2 [subnet-xxx]:
Parameter VPCSubnetID3 [subnet-xxx]:
Parameter VPCSubnetID4 []:
#Shows you resources changes to be deployed and require a 'Y' to initiate deploy
Confirm changes before deploy [Y/n]: y
#SAM needs permission to be able to create roles to connect to the resources in your template
Allow SAM CLI IAM role creation [Y/n]: n
Capabilities [['CAPABILITY_NAMED_IAM']]:
Save arguments to configuration file [Y/n]: y
SAM configuration file [samconfig.toml]:
SAM configuration environment [default]:
Vous devez utiliser `--guided` cette option à chaque fois car les informations de connexion à Infoblox ne sont pas stockées dans le fichier. `samconfig.toml` | Développeur, administrateur système |
## Ressources connexes
+ [Commencer à WAPIs utiliser Postman](https://blogs.infoblox.com/community/getting-started-with-wapis-using-postman/) (Infoblox Blog)
+ [Provisionner des VNIO pour AWS à l'aide du modèle BYOL](https://docs.infoblox.com/display/NAIG/Provisioning+vNIOS+for+AWS+Using+the+BYOL+Model) (documentation Infoblox)
+ [quickstart-aws-vpc](https://github.com/aws-quickstart/quickstart-aws-vpc)(GitHub dépôt)
+ [describe\$1managed\$1prefix\$1lists (kit](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/ec2.html#EC2.Client.describe_managed_prefix_lists) de développement logiciel AWS pour la documentation Python)
## Pièces jointes
[Pour accéder au contenu supplémentaire associé à ce document, décompressez le fichier suivant : attachment.zip](samples/p-attach/8d609d3f-6f5e-4084-849f-ca191db8055e/attachments/attachment.zip)
# Créez une architecture IPAM hiérarchique multirégionale à l'aide de AWS Terraform
*Donny Schreiber, Amazon Web Services*
## Résumé
*La gestion des adresses IP (IPAM)* est un élément essentiel de la gestion du réseau, et elle devient de plus en plus complexe à mesure que les entreprises font évoluer leur infrastructure cloud. Sans un IPAM approprié, les entreprises risquent de connaître des conflits d'adresses IP, de gaspiller de l'espace d'adressage et de résoudre des problèmes complexes susceptibles d'entraîner des pannes et des interruptions de service des applications. Ce modèle montre comment implémenter une solution IPAM complète pour les environnements AWS d'entreprise à l'aide de HashiCorp Terraform. [Il aide les organisations à créer une architecture IPAM hiérarchique multirégionale qui facilite la gestion centralisée des adresses IP Comptes AWS dans l'ensemble de l'organisation AWS .](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html#organization-structure)
Ce modèle vous aide à implémenter le [gestionnaire d'adresses IP Amazon VPC](https://docs.aws.amazon.com/vpc/latest/ipam/what-it-is-ipam.html) avec une hiérarchie de pool sophistiquée à quatre niveaux : pool de niveau supérieur, pools régionaux, pools d'unités commerciales et pools spécifiques à l'environnement. Cette structure permet une bonne gouvernance des adresses IP tout en permettant de déléguer la gestion des adresses IP aux équipes appropriées au sein de l'organisation. La solution utilise AWS Resource Access Manager (AWS RAM) pour partager de manière fluide les pools de gestionnaires d'adresses IP au sein de l'organisation. AWS RAM centralise et normalise les spécifications IPAM, sur lesquelles les équipes peuvent s'appuyer pour tous les comptes gérés.
Ce modèle peut vous aider à atteindre les objectifs suivants :
+ Automatisez l'allocation des adresses IP entre Régions AWS les unités commerciales et les environnements.
+ Appliquez les politiques du réseau organisationnel par le biais de la validation programmatique.
+ Adaptez efficacement l'infrastructure réseau à mesure que les exigences de l'entreprise évoluent.
+ Réduisez les frais d'exploitation grâce à une gestion centralisée des espaces d'adresses IP.
+ Accélérez les déploiements de charges de travail natives dans le cloud grâce à l'allocation de plages CIDR en libre-service.
+ Prévenez les conflits d'adresses grâce à des contrôles et à une validation basés sur des politiques.
## Conditions préalables et limitations
**Conditions préalables**
+ Un ou plusieurs Comptes AWS, gérés en tant qu'organisation dans AWS Organizations.
+ Un hub réseau ou un compte de gestion réseau qui servira d'administrateur délégué du gestionnaire d'adresses IP.
+ AWS Command Line Interface (AWS CLI), [installé](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) et [configuré](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-configure.html).
+ [Terraform version 1.5.0 ou ultérieure, installée.](https://developer.hashicorp.com/terraform/tutorials/aws-get-started/install-cli)
+ AWS [Fournisseur pour Terraform, configuré.](https://registry.terraform.io/providers/hashicorp/aws/latest/docs)
+ Autorisations pour gérer le [gestionnaire d'adresses IP](https://docs.aws.amazon.com/vpc/latest/ipam/iam-ipam.html) et [les clouds privés virtuels (VPCs)](https://docs.aws.amazon.com/vpc/latest/userguide/security-iam.html) configurés dans Gestion des identités et des accès AWS (IAM). [AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/security-iam.html)
**Limites**
+ Le gestionnaire d'adresses IP est soumis à des [quotas de service](https://docs.aws.amazon.com/vpc/latest/ipam/quotas-ipam.html). Le quota de service par défaut pour les pools est de 50 par étendue. L'exécution de ce déploiement pour 6 régions, 2 unités commerciales et 4 environnements créerait 67 pools. Par conséquent, une augmentation des quotas peut s'avérer nécessaire.
+ La modification ou la suppression de pools du gestionnaire d'adresses IP une fois les ressources allouées peut entraîner des problèmes de dépendance. Vous devez [libérer l'allocation](https://docs.aws.amazon.com/vpc/latest/ipam/release-alloc-ipam.html) avant de pouvoir supprimer le pool.
+ Dans le gestionnaire d'adresses IP, la [surveillance des ressources](https://docs.aws.amazon.com/vpc/latest/ipam/monitor-cidr-compliance-ipam.html) peut être légèrement retardée avant de refléter les modifications des ressources. Ce délai peut être d'environ 20 minutes.
+ Le gestionnaire d'adresses IP ne peut pas appliquer automatiquement l'unicité des adresses IP dans différentes zones d'application.
+ Les balises personnalisées doivent respecter les [meilleures pratiques en matière AWS de balisage](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/tagging-best-practices.html). Par exemple, chaque clé doit être unique et ne peut pas commencer par`aws:`.
+ L'intégration du Gestionnaire [d'adresses IP à des comptes extérieurs à votre organisation comporte des considérations et des limites](https://docs.aws.amazon.com/vpc/latest/ipam/enable-integ-ipam-outside-org-considerations.html).
## Architecture
**Architecture cible**
*Configuration du gestionnaire d'adresses IP et hiérarchie du pool*
Le schéma suivant montre les structures logiques de l'architecture cible. Un *scope* est le conteneur de plus haut niveau dans le Gestionnaire d'adresses IP. Chaque étendue représente l'espace d'adresses IP d'un réseau unique. Les *pools* sont des ensembles de plages d'adresses IP contiguës (ou plages CIDR) comprises dans le périmètre. Les pools vous aident à organiser vos adresses IP en fonction de vos besoins en matière de routage et de sécurité. Ce diagramme montre quatre niveaux hiérarchiques de pools : un pool de niveau supérieur, des pools régionaux, des pools d'unités commerciales et des pools d'environnement.
![\[Un périmètre privé et quatre niveaux de pools dans une seule région AWS dans un compte réseau.\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/images/pattern-img/780e344e-37f7-4b70-8d7c-94ec67a29305/images/1e23b2a7-a274-4a19-9097-61d8a31dfbf8.png)
Cette solution établit une hiérarchie claire des pools de gestionnaires d'adresses IP :
1. Le pool de niveau supérieur englobe l'ensemble de l'espace d'adresses IP de l'organisation, tel que`10.176.0.0/12`.
1. Les pools régionaux sont destinés aux allocations spécifiques à la région, par exemple pour. `10.176.0.0/15` `us-east-1`
1. Les pools d'unités commerciales sont des allocations spécifiques au domaine au sein de chacun d'entre eux. Région AWS Par exemple, l'unité financière de la `us-east-1` région pourrait avoir`10.176.0.0/16`.
1. Les pools d'environnements sont des allocations spécifiques pour différents environnements. Par exemple, l'unité financière de la `us-east-1` région peut avoir `10.176.0.0/18` pour environnement de production.
Cette topologie de déploiement répartit géographiquement les ressources du gestionnaire d'adresses IP tout en maintenant un contrôle centralisé. Ses caractéristiques sont les suivantes :
+ Le gestionnaire d'adresses IP est déployé dans un seul serveur principal Région AWS.
+ Des régions supplémentaires sont enregistrées en tant que [régions d'exploitation, dans](https://docs.aws.amazon.com/vpc/latest/ipam/mod-ipam-region.html) lesquelles le gestionnaire d'adresses IP peut gérer les ressources.
+ Chaque région d'exploitation reçoit un pool d'adresses dédié du pool de niveau supérieur.
+ Les ressources de toutes les régions d'exploitation sont gérées de manière centralisée via le gestionnaire d'adresses IP dans la région principale.
+ Chaque pool régional possède une propriété locale liée à sa région pour vous aider à allouer correctement les ressources.
*Validation avancée de la plage CIDR*
Cette solution est conçue pour empêcher le déploiement de configurations non valides. Lorsque vous déployez les pools via Terraform, les éléments suivants sont validés pendant la phase du plan Terraform :
+ Vérifie que toutes les plages CIDR de l'environnement sont contenues dans les plages CIDR de l'unité commerciale mère
+ Confirme que toutes les plages de CIDR des unités commerciales sont contenues dans les plages CIDR régionales de leur société mère
+ Vérifie que toutes les plages CIDR régionales sont contenues dans les plages CIDR de niveau supérieur
+ Vérifie les plages CIDR qui se chevauchent au sein du même niveau hiérarchique
+ Valide le mappage correct des environnements par rapport à leurs unités commerciales respectives
*Allocation de plage CIDR*
Le schéma suivant montre un exemple de la manière dont les développeurs ou les administrateurs peuvent créer de nouvelles adresses IP VPCs et les allouer à partir des niveaux du pool.
![\[Un périmètre privé et quatre niveaux de pools dans une seule région AWS dans un compte réseau.\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/images/pattern-img/780e344e-37f7-4b70-8d7c-94ec67a29305/images/7c3de2e3-e71b-4fc0-abcd-7e88cfab5c87.png)
Le schéma suivant illustre le flux de travail suivant :
1. Par le biais du AWS Management Console AWS CLI, ou via l'infrastructure en tant que code (IaC), un développeur ou un administrateur demande la prochaine plage d'adresses CIDR disponible dans le pool d'`AY3`environnements.
1. Le gestionnaire d'adresses IP alloue la prochaine plage d'adresses CIDR disponible dans ce pool au VPC. `AY3-4` Cette plage d'adresses CIDR ne peut plus être utilisée.
**Automatisation et mise à l'échelle**
Cette solution est conçue pour être évolutive comme suit :
+ **Expansion régionale** — Ajoutez de nouvelles régions en étendant la configuration Terraform avec des entrées de pool régionales supplémentaires.
+ **Croissance des unités commerciales** — Supportez les nouvelles unités commerciales en les ajoutant à la carte de configuration des BU.
+ **Flexibilité de l'**environnement : configurez différents types d'environnement, tels que le développement ou la production, en fonction des besoins de l'organisation.
+ **Support multi-comptes** : partagez les pools entre tous les comptes de votre organisation via AWS RAM.
+ Provisionnement **VPC automatisé : intégrez-le aux flux de travail de provisionnement** VPC pour automatiser l'allocation de plages d'adresses CIDR.
La structure hiérarchique permet également différentes échelles de délégation et de contrôle, telles que les suivantes :
+ Les administrateurs réseau peuvent gérer les pools de niveau supérieur et régionaux.
+ Les équipes informatiques des unités commerciales peuvent avoir délégué le contrôle de leurs pools respectifs.
+ Les équipes chargées des applications peuvent consommer des adresses IP provenant de leurs pools d'environnement désignés.
**Note**
Vous pouvez également intégrer cette solution à [AWS Control Tower Account Factory for Terraform (AFT)](https://docs.aws.amazon.com/controltower/latest/userguide/aft-overview.html). Pour plus d'informations, voir *Intégration avec AFT* dans la section [Informations supplémentaires](#multi-region-ipam-architecture-additional) de ce modèle.
## Outils
**Services AWS**
+ [Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html) vous CloudWatch aide à surveiller les indicateurs de vos AWS ressources et des applications que vous utilisez AWS en temps réel.
+ [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) est un outil open source qui vous permet d'interagir Services AWS par le biais de commandes dans votre interface de ligne de commande.
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)est un service de gestion de comptes qui vous aide à Comptes AWS en regrouper plusieurs au sein d'une organisation que vous créez et gérez de manière centralisée.
+ [AWS Resource Access Manager (AWS RAM)](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) vous permet de partager vos ressources en toute sécurité afin Comptes AWS de réduire les frais opérationnels et de garantir visibilité et auditabilité.
+ [Amazon Virtual Private Cloud (Amazon VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) vous aide à lancer AWS des ressources dans un réseau virtuel que vous avez défini. Ce réseau virtuel ressemble à un réseau traditionnel que vous pourriez exécuter dans votre propre centre de données et présente l'avantage d'utiliser l'infrastructure évolutive d' AWS. [Le gestionnaire d'adresses IP](https://docs.aws.amazon.com/vpc/latest/ipam/what-it-is-ipam.html) est une fonctionnalité d'Amazon VPC. Il vous aide à planifier, suivre et surveiller les adresses IP pour vos AWS charges de travail.
**Autres outils**
+ [HashiCorp Terraform](https://www.terraform.io/docs) est un outil d'infrastructure en tant que code (IaC) qui vous aide à utiliser le code pour provisionner et gérer l'infrastructure et les ressources du cloud.
**Référentiel de code**
Le code de ce modèle est disponible dans le [Sample Terraform Implementation for Hierarchical IPAM sur le référentiel sur AWS****](https://github.com/aws-samples/sample-amazon-vpc-ipam-terraform). GitHub La structure du référentiel inclut :
+ **Module racine** : orchestration du déploiement et variables d'entrée.
+ **Module IPAM** — Implémentation principale de l'architecture décrite dans ce modèle.
+ **Module de balises** : balisage standardisé pour toutes les ressources.
## Bonnes pratiques
Tenez compte des meilleures pratiques suivantes pour la planification du réseau :
+ **Planifiez d'abord** : planifiez soigneusement votre espace d'adresses IP avant le déploiement. Pour plus d'informations, voir [Planifier le provisionnement des adresses IP](https://docs.aws.amazon.com/vpc/latest/ipam/planning-ipam.html).
+ **Évitez le chevauchement des plages d'adresses CIDR** : assurez-vous que les plages d'adresses CIDR de chaque niveau ne se chevauchent pas.
+ **Réservez de l'espace tampon** — Allouez toujours des plages CIDR supérieures à celles qui sont immédiatement nécessaires pour faire face à la croissance.
+ **Documenter l'attribution des adresses IP** — Conservez la documentation de votre stratégie d'allocation d'adresses IP.
Tenez compte des meilleures pratiques de déploiement suivantes :
+ **Commencez par la non-production** : déployez d'abord dans des environnements hors production.
+ **Utiliser la gestion des états Terraform** : implémentez le stockage et le verrouillage d'états à distance. Pour plus d'informations, consultez [State Storage and locking](https://developer.hashicorp.com/terraform/language/state/backends) dans la documentation Terraform.
+ **Implémenter le contrôle de version** — Contrôle de version de tout le code Terraform.
+ **Mettre en œuvre CI/CD l'intégration** : utilisez des pipelines d'intégration continue et de livraison continue (CI/CD) pour des déploiements reproductibles.
Tenez compte des meilleures pratiques opérationnelles suivantes :
+ **Activer l'importation automatique** : configurez un pool de gestionnaires d'adresses IP pour découvrir et importer automatiquement les ressources existantes. Suivez les instructions de la [section Modifier un pool IPAM](https://docs.aws.amazon.com/vpc/latest/ipam/mod-pool-ipam.html) pour activer l'importation automatique.
+ **Surveiller l'utilisation des adresses IP** : configurez des alarmes pour les seuils d'utilisation des adresses IP. Pour plus d'informations, consultez [Surveiller l'IPAM avec Amazon CloudWatch](https://docs.aws.amazon.com/vpc/latest/ipam/cloudwatch-ipam.html).
+ **Audit régulier — Vérifiez régulièrement** l'utilisation et la conformité des adresses IP. Pour plus d'informations, consultez la section [Suivi de l'utilisation des adresses IP dans IPAM](https://docs.aws.amazon.com/vpc/latest/ipam/tracking-ip-addresses-ipam.html).
+ **Nettoyer les allocations inutilisées** : libérez les allocations d'adresses IP lorsque les ressources sont mises hors service. Pour plus d'informations, voir [Déprovisionner CIDRs à partir d'un pool](https://docs.aws.amazon.com/vpc/latest/ipam/depro-pool-cidr-ipam.html).
Tenez compte des meilleures pratiques de sécurité suivantes :
+ **Implémenter le moindre privilège** : utilisez des rôles IAM dotés des autorisations minimales requises. Pour plus d'informations, consultez les [meilleures pratiques de sécurité dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) et la [gestion des identités et des accès dans IPAM](https://docs.aws.amazon.com/vpc/latest/ipam/iam-ipam.html).
+ **Utiliser des politiques de contrôle des** services : implémentez des politiques de contrôle des services (SCPs) pour renforcer l'utilisation du gestionnaire d'adresses IP dans votre organisation. Pour plus d'informations, consultez Imposer l'[utilisation d'IPAM pour la création de VPC](https://docs.aws.amazon.com/vpc/latest/ipam/scp-ipam.html) avec. SCPs
+ **Contrôlez le partage des ressources** : gérez avec soin l'étendue du partage des ressources du gestionnaire d'adresses IP dans AWS RAM. Pour plus d'informations, voir [Partager un pool IPAM à l'aide AWS RAM](https://docs.aws.amazon.com/vpc/latest/ipam/share-pool-ipam.html) de.
+ **Appliquer le balisage** : implémentez le balisage obligatoire pour toutes les ressources liées au gestionnaire d'adresses IP. Pour plus d'informations, consultez la section *Stratégie de balisage* dans la section [Informations supplémentaires](#multi-region-ipam-architecture-additional).
## Épopées
### Configurer un compte d'administrateur délégué pour le gestionnaire d'adresses IP
| Sous-tâche | Description | Compétences requises |
| --- | --- | --- |
| Activez AWS Organizations les fonctionnalités. | Assurez-vous que AWS Organizations toutes les fonctionnalités sont activées. Pour obtenir des instructions, consultez la section [Activation de toutes les fonctionnalités pour une organisation AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html) dans la AWS Organizations documentation. | Administrateur AWS |
| Activez le partage des ressources dans AWS RAM. | À l'aide de AWS CLI, entrez la commande suivante pour activer le partage AWS RAM des ressources pour votre organisation :aws ram enable-sharing-with-aws-organization
Pour plus d'informations, voir [Activer le partage des ressources au AWS Organizations sein](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs) de la AWS RAM documentation. | Administrateur AWS |
| Désignez un administrateur pour le gestionnaire d'adresses IP. | À partir du compte de gestion de l'organisation, à l' AWS CLI aide de la commande, entrez la commande suivante, où se `123456789012` trouve l'ID du compte qui administrera le gestionnaire d'adresses IP :aws ec2 enable-ipam-organization-admin-account \
--delegated-admin-account-id 123456789012
Généralement, un compte réseau ou hub réseau est utilisé en tant qu'administrateur délégué pour IP Address Manager.Pour plus d'informations, consultez la section [Intégrer l'IPAM aux comptes d'une AWS organisation](https://docs.aws.amazon.com/vpc/latest/ipam/enable-integ-ipam.html) dans la documentation du gestionnaire d'adresses IP. | Administrateur AWS |
### Déployer l'infrastructure
| Sous-tâche | Description | Compétences requises |
| --- | --- | --- |
| Définissez l'architecture du réseau. | Définissez et documentez l'architecture de votre réseau, y compris les plages CIDR pour les régions, les unités commerciales et les environnements. Pour plus d'informations, consultez la section [Planifier le provisionnement des adresses IP](https://docs.aws.amazon.com/vpc/latest/ipam/planning-ipam.html) dans la documentation du gestionnaire d'adresses IP. | Ingénieur réseau |
| Pour cloner le référentiel. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/multi-region-ipam-architecture.html) | DevOps ingénieur |
| Configurez les variables. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/multi-region-ipam-architecture.html) | Ingénieur réseau, Terraform |
| Déployez les ressources du gestionnaire d'adresses IP. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/multi-region-ipam-architecture.html) | Terraform |
| Validez le déploiement. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/multi-region-ipam-architecture.html) | AWS général, ingénieur réseau |
### Création VPCs et configuration de la surveillance
| Sous-tâche | Description | Compétences requises |
| --- | --- | --- |
| Créez un VPC. | Suivez les étapes décrites dans [Créer un VPC](https://docs.aws.amazon.com/vpc/latest/userguide/create-vpc.html) dans la documentation Amazon VPC. Lorsque vous avez atteint l'étape consistant à choisir une plage d'adresses CIDR pour le VPC, allouez la plage suivante disponible à partir de l'un de vos pools régionaux, d'unités commerciales ou d'environnements. | AWS général, administrateur réseau, ingénieur réseau |
| Validez l'allocation de plage CIDR. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/multi-region-ipam-architecture.html) | AWS général, administrateur réseau, ingénieur réseau |
| Surveillez le gestionnaire d'adresses IP. | Configurez la surveillance et les alarmes liées à l'allocation des ressources du gestionnaire d'adresses IP. Pour plus d'informations et d'instructions, consultez les sections [Surveillance de l'IPAM avec Amazon CloudWatch](https://docs.aws.amazon.com/vpc/latest/ipam/cloudwatch-ipam.html) et [Surveillance de l'utilisation du CIDR par ressource](https://docs.aws.amazon.com/vpc/latest/ipam/monitor-cidr-compliance-ipam.html) dans la documentation du gestionnaire d'adresses IP. | AWS général |
| Imposez l'utilisation du gestionnaire d'adresses IP. | Créez une politique de contrôle des services (SCP) AWS Organizations qui oblige les membres de votre organisation à utiliser le gestionnaire d'adresses IP lorsqu'ils créent un VPC. Pour obtenir des instructions, consultez la section [Appliquer l'utilisation d'IPAM pour la création de VPC](https://docs.aws.amazon.com/vpc/latest/ipam/scp-ipam.html) dans la SCPs documentation du gestionnaire d'adresses IP. | AWS général, administrateur AWS |
## Résolution des problèmes
| Problème | Solution |
| --- | --- |
| Terraform échoue avec une ressource de gestionnaire d'adresses IP introuvable | Assurez-vous que le compte administrateur du gestionnaire d'adresses IP est correctement délégué et que votre AWS fournisseur est authentifié auprès de ce compte. |
| L'allocation de la plage CIDR échoue | Vérifiez que la plage d'adresses CIDR demandée correspond à la plage disponible du pool du gestionnaire d'adresses IP et qu'elle ne chevauche pas les allocations existantes. |
| AWS RAM problèmes de partage | Vérifiez que le partage des ressources est activé pour votre AWS organisation. Vérifiez que le principal correct, l'Amazon Resource Name (ARN) de l'organisation, est utilisé dans le AWS RAM partage. |
| Erreurs de validation de la hiérarchie du pool | Assurez-vous que les plages CIDR du pool enfant sont correctement contenues dans les plages CIDR du pool parent et qu'elles ne se chevauchent pas avec les pools frères. |
| La limite de quota du gestionnaire d'adresses IP est dépassée | Demandez une augmentation du quota pour les pools du gestionnaire d'adresses IP. Pour plus d’informations, consultez [Demande d’augmentation de quota](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html) dans le *Guide de l’utilisateur Service Quotas*. |
## Ressources connexes
**Service AWS documentation**
+ [Documentation du gestionnaire d'adresses IP Amazon VPC](https://docs.aws.amazon.com/vpc/latest/ipam/what-it-is-ipam.html)
+ [AWS Resource Access Manager documentation](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html)
+ [AWS Organizations documentation](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)
**AWS articles de blog**
+ [Gestion des pools d'adresses IP entre VPCs les régions à l'aide d'Amazon VPC IP Address Manager](https://aws.amazon.com/blogs/networking-and-content-delivery/managing-ip-pools-across-vpcs-and-regions-using-amazon-vpc-ip-address-manager/)
+ [Gestion et audit des adresses réseau à grande échelle avec Amazon VPC IP Address Manager](https://aws.amazon.com/blogs/aws/network-address-management-and-auditing-at-scale-with-amazon-vpc-ip-address-manager/)
**Vidéos et tutoriels**
+ [AWS re:INVENT 2022 : Bonnes pratiques pour la conception d'Amazon VPC et l'IPAM (0) NET31](https://www.youtube.com/watch?v=XrEHsy_8RYs)
+ [AWS re:INVENT 2022 : Conception avancée de VPC et nouvelles fonctionnalités (01) NET4](https://www.youtube.com/watch?v=tbXTVpwx87o)
## Informations supplémentaires
**Intégration avec AFT**
Vous pouvez intégrer cette solution à AWS Control Tower Account Factory for Terraform (AFT) pour vous assurer que les comptes nouvellement provisionnés reçoivent automatiquement les configurations réseau appropriées. En déployant cette solution IPAM dans votre compte de hub réseau, les nouveaux comptes créés via AFT peuvent référencer les pools de gestionnaires d'adresses IP partagés lors de leur création VPCs.
L'exemple de code suivant illustre l'intégration d'AFT dans la personnalisation d'un compte à l'aide de AWS Systems Manager Parameter Store :
```
# Get the IP Address Manager pool ID from Parameter Store
data "aws_ssm_parameter" "dev_ipam_pool_id" {
name = "/org/network/ipam/finance/dev/pool-id"
}
# Create a VPC using the IP Address Manager pool
resource "aws_vpc" "this" {
ipv4_ipam_pool_id = data.aws_ssm_parameter.dev_ipam_pool_id.value
ipv4_netmask_length = 24
tags = {
Name = "aft-account-vpc"
}
}
```
**Stratégie de balisage**
La solution met en œuvre une stratégie de balisage complète pour faciliter la gestion des ressources. L'exemple de code suivant montre comment il est utilisé :
```
# Example tag configuration
module "tags" {
source = "./modules/tags"
# Required tags
product_name = "enterprise-network"
feature_name = "ipam"
org_id = "finance"
business_unit = "network-operations"
owner = "network-team"
environment = "prod"
repo = "https://github.com/myorg/ipam-terraform"
branch = "main"
cost_center = "123456"
dr_tier = "tier1"
# Optional tags
optional_tags = {
"project" = "network-modernization"
"stack_role" = "infrastructure"
}
}
```
Ces balises sont automatiquement appliquées à toutes les ressources du gestionnaire d'adresses IP. Cela facilite la cohérence de la gouvernance, de la répartition des coûts et de la gestion des ressources.
# Personnalisez les CloudWatch alertes Amazon pour AWS Network Firewall
*Jason Owens, Amazon Web Services*
## Résumé
Le modèle vous permet de personnaliser les CloudWatch alertes Amazon générées par AWS Network Firewall. Vous pouvez utiliser des règles prédéfinies ou créer des règles personnalisées qui déterminent le message, les métadonnées et la gravité des alertes. Vous pouvez ensuite agir en fonction de ces alertes ou automatiser les réponses d'autres services Amazon, tels qu'Amazon EventBridge.
Dans ce modèle, vous générez des règles de pare-feu compatibles avec Suricata. [Suricata](https://suricata.io/) est un moteur de détection de menaces open source. Vous créez d'abord des règles simples, puis vous les testez pour confirmer que les CloudWatch alertes sont générées et enregistrées. Une fois que vous avez testé les règles avec succès, vous les modifiez pour définir des messages, des métadonnées et des niveaux de sévérité personnalisés, puis vous effectuez un nouveau test pour confirmer les mises à jour.
## Conditions préalables et limitations
**Conditions préalables**
+ Un actif Compte AWS.
+ AWS Command Line Interface (AWS CLI) installé et configuré sur votre poste de travail Linux, macOS ou Windows. Pour plus d'informations, consultez [Installation ou mise à jour de la version la plus récente de l' AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).
+ AWS Network Firewall installé et configuré pour utiliser CloudWatch les journaux. Pour plus d'informations, consultez la section [Enregistrement du trafic réseau depuis AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-logging.html).
+ Une instance Amazon Elastic Compute Cloud (Amazon EC2) dans un sous-réseau privé d'un cloud privé virtuel (VPC) protégé par Network Firewall.
**Versions du produit**
+ Pour la version 1 de AWS CLI, utilisez 1.18.180 ou version ultérieure. Pour la version 2 de AWS CLI, utilisez la version 2.1.2 ou ultérieure.
+ Le fichier classification.config de Suricata version 5.0.2. Pour obtenir une copie de ce fichier de configuration, consultez la section [Informations supplémentaires](#customize-amazon-cloudwatch-alerts-for-aws-network-firewall-additional).
## Architecture
![\[Une demande d' EC2 instance génère une alerte dans Network Firewall, qui transmet l'alerte à CloudWatch\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/images/pattern-img/da6087a9-e942-4cfe-85e3-3b08de6f3ba5/images/778d85cd-bc87-4ed0-a161-d35eb5daa694.png)
Le schéma d'architecture montre le flux de travail suivant :
1. [Une EC2 instance Amazon située dans un sous-réseau privé envoie une demande à l'aide de [curl](https://curl.se/) ou de Wget.](https://www.gnu.org/software/wget/)
1. Network Firewall traite le trafic et génère une alerte.
1. Network Firewall envoie les alertes enregistrées à CloudWatch Logs.
## Outils
**Services AWS**
+ [Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html) vous CloudWatch aide à surveiller les indicateurs de vos AWS ressources et des applications que vous utilisez AWS en temps réel.
+ [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) vous aide à centraliser les journaux de tous vos systèmes et applications, Services AWS afin que vous puissiez les surveiller et les archiver en toute sécurité.
+ [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) est un outil open source qui vous permet d'interagir Services AWS par le biais de commandes dans votre interface de ligne de commande.
+ [AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html)est un pare-feu réseau géré et dynamique ainsi qu'un service de détection et de prévention des intrusions pour les clouds privés virtuels (VPCs) dans le AWS Cloud.
**Autres outils**
+ [curl](https://curl.se/) est un outil de ligne de commande et une bibliothèque open source.
+ [GNU Wget](https://www.gnu.org/software/wget/) est un outil de ligne de commande gratuit.
## Épopées
### Création des règles de pare-feu et du groupe de règles
| Sous-tâche | Description | Compétences requises |
| --- | --- | --- |
| Création de règles. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/customize-amazon-cloudwatch-alerts-for-aws-network-firewall.html) | Administrateur système AWS, administrateur réseau |
| Créez le groupe de règles. | Dans le AWS CLI, entrez la commande suivante. Cela crée le groupe de règles.❯ aws network-firewall create-rule-group \
--rule-group-name custom --type STATEFUL \
--capacity 10 --rules file://custom.rules \
--tags Key=environment,Value=development
Voici un exemple de sortie. Prenez note du`RuleGroupArn`, dont vous aurez besoin à une étape ultérieure.{
"UpdateToken": "4f998d72-973c-490a-bed2-fc3460547e23",
"RuleGroupResponse": {
"RuleGroupArn": "arn:aws:network-firewall:us-east-2:1234567890:stateful-rulegroup/custom",
"RuleGroupName": "custom",
"RuleGroupId": "238a8259-9eaf-48bb-90af-5e690cf8c48b",
"Type": "STATEFUL",
"Capacity": 10,
"RuleGroupStatus": "ACTIVE",
"Tags": [
{
"Key": "environment",
"Value": "development"
}
]
} | Administrateur système AWS |
### Mettre à jour la politique de pare-feu
| Sous-tâche | Description | Compétences requises |
| --- | --- | --- |
| Obtenez l'ARN de la politique de pare-feu. | Dans le AWS CLI, entrez la commande suivante. Cela renvoie le nom de ressource Amazon (ARN) de la politique de pare-feu. Enregistrez l'ARN pour une utilisation ultérieure dans ce modèle.❯ aws network-firewall describe-firewall \
--firewall-name aws-network-firewall-anfw \
--query 'Firewall.FirewallPolicyArn'
Voici un exemple d'ARN renvoyé par cette commande."arn:aws:network-firewall:us-east-2:1234567890:firewall-policy/firewall-policy-anfw"
| Administrateur système AWS |
| Mettez à jour la politique de pare-feu. | Dans un éditeur de texte, copiez-collez le code suivant. ``Remplacez-le par la valeur que vous avez enregistrée dans l'épopée précédente. Enregistrez le fichier sous le nom `firewall-policy-anfw.json`.{
"StatelessDefaultActions": [
"aws:forward_to_sfe"
],
"StatelessFragmentDefaultActions": [
"aws:forward_to_sfe"
],
"StatefulRuleGroupReferences": [
{
"ResourceArn": ""
}
]
}Entrez la commande suivante dans le AWS CLI. Cette commande nécessite un [jeton de mise](https://docs.aws.amazon.com/cli/latest/reference/network-firewall/update-firewall-policy.html) à jour pour ajouter les nouvelles règles. Le jeton est utilisé pour confirmer que la politique n'a pas changé depuis que vous l'avez récupérée pour la dernière fois.UPDATETOKEN=(`aws network-firewall describe-firewall-policy \
--firewall-policy-name firewall-policy-anfw \
--output text --query UpdateToken`)
aws network-firewall update-firewall-policy \
--update-token $UPDATETOKEN \
--firewall-policy-name firewall-policy-anfw \
--firewall-policy file://firewall-policy-anfw.json
| Administrateur système AWS |
| Confirmez les mises à jour de la politique. | (Facultatif) Si vous souhaitez confirmer que les règles ont été ajoutées et consulter le format de la politique, entrez la commande suivante dans le AWS CLI.❯ aws network-firewall describe-firewall-policy \
--firewall-policy-name firewall-policy-anfw \
--query FirewallPolicy
Voici un exemple de sortie.{
"StatelessDefaultActions": [
"aws:forward_to_sfe"
],
"StatelessFragmentDefaultActions": [
"aws:forward_to_sfe"
],
"StatefulRuleGroupReferences": [
{
"ResourceArn": "arn:aws:network-firewall:us-east-2:1234567890:stateful-rulegroup/custom"
}
]
} | Administrateur système AWS |
### Fonctionnalité d'alerte de test
| Sous-tâche | Description | Compétences requises |
| --- | --- | --- |
| Générez des alertes pour les tests. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/customize-amazon-cloudwatch-alerts-for-aws-network-firewall.html) | Administrateur système AWS |
| Vérifiez que les alertes sont enregistrées. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/customize-amazon-cloudwatch-alerts-for-aws-network-firewall.html) | Administrateur système AWS |
### Mettre à jour les règles et le groupe de règles du pare-feu
| Sous-tâche | Description | Compétences requises |
| --- | --- | --- |
| Mettez à jour les règles du pare-feu. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/customize-amazon-cloudwatch-alerts-for-aws-network-firewall.html) | Administrateur système AWS |
| Mettez à jour le groupe de règles. | Dans le AWS CLI, exécutez les commandes suivantes. Utilisez l'ARN de votre politique de pare-feu. Ces commandes obtiennent un jeton de mise à jour et mettent à jour le groupe de règles en fonction des modifications apportées aux règles.❯ UPDATETOKEN=(`aws network-firewall \
describe-rule-group \
--rule-group-arn arn:aws:network-firewall:us-east-2:123457890:stateful-rulegroup/custom \
--output text --query UpdateToken`)
❯ aws network-firewall update-rule-group \
--rule-group-arn arn:aws:network-firewall:us-east-2:1234567890:stateful-rulegroup/custom \
--rules file://custom.rules \
--update-token $UPDATETOKEN
Voici un exemple de sortie.{
"UpdateToken": "7536939f-6a1d-414c-96d1-bb28110996ed",
"RuleGroupResponse": {
"RuleGroupArn": "arn:aws:network-firewall:us-east-2:1234567890:stateful-rulegroup/custom",
"RuleGroupName": "custom",
"RuleGroupId": "238a8259-9eaf-48bb-90af-5e690cf8c48b",
"Type": "STATEFUL",
"Capacity": 10,
"RuleGroupStatus": "ACTIVE",
"Tags": [
{
"Key": "environment",
"Value": "development"
}
]
}
} | Administrateur système AWS |
### Testez la fonctionnalité d'alerte mise à jour
| Sous-tâche | Description | Compétences requises |
| --- | --- | --- |
| Générez une alerte à des fins de test. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/customize-amazon-cloudwatch-alerts-for-aws-network-firewall.html) | Administrateur système AWS |
| Validez l'alerte modifiée. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/customize-amazon-cloudwatch-alerts-for-aws-network-firewall.html) | Administrateur système AWS |
## Ressources connexes
**Références**
+ [Envoyer des alertes depuis AWS Network Firewall une chaîne Slack (directives](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/send-alerts-from-aws-network-firewall-to-a-slack-channel.html)AWS prescriptives)
+ [Renforcer la prévention des menaces AWS grâce à Suricata](https://aws.amazon.com/blogs/opensource/scaling-threat-prevention-on-aws-with-suricata/) (AWS article de blog)
+ [Modèles de déploiement pour AWS Network Firewall](https://aws.amazon.com/blogs/networking-and-content-delivery/deployment-models-for-aws-network-firewall/) (article de AWS blog)
+ [Méta-clés Suricata (documentation Suricata](https://suricata.readthedocs.io/en/suricata-6.0.1/rules/meta.html))
**Tutoriels et vidéos**
+ [AWS Network Firewall atelier](https://networkfirewall.workshop.aws/)
## Informations supplémentaires
Voici le fichier de configuration de classification de Suricata 5.0.2. Ces classifications sont utilisées lors de la création des règles de pare-feu.
```
# config classification:shortname,short description,priority
config classification: not-suspicious,Not Suspicious Traffic,3
config classification: unknown,Unknown Traffic,3
config classification: bad-unknown,Potentially Bad Traffic, 2
config classification: attempted-recon,Attempted Information Leak,2
config classification: successful-recon-limited,Information Leak,2
config classification: successful-recon-largescale,Large Scale Information Leak,2
config classification: attempted-dos,Attempted Denial of Service,2
config classification: successful-dos,Denial of Service,2
config classification: attempted-user,Attempted User Privilege Gain,1
config classification: unsuccessful-user,Unsuccessful User Privilege Gain,1
config classification: successful-user,Successful User Privilege Gain,1
config classification: attempted-admin,Attempted Administrator Privilege Gain,1
config classification: successful-admin,Successful Administrator Privilege Gain,1
# NEW CLASSIFICATIONS
config classification: rpc-portmap-decode,Decode of an RPC Query,2
config classification: shellcode-detect,Executable code was detected,1
config classification: string-detect,A suspicious string was detected,3
config classification: suspicious-filename-detect,A suspicious filename was detected,2
config classification: suspicious-login,An attempted login using a suspicious username was detected,2
config classification: system-call-detect,A system call was detected,2
config classification: tcp-connection,A TCP connection was detected,4
config classification: trojan-activity,A Network Trojan was detected, 1
config classification: unusual-client-port-connection,A client was using an unusual port,2
config classification: network-scan,Detection of a Network Scan,3
config classification: denial-of-service,Detection of a Denial of Service Attack,2
config classification: non-standard-protocol,Detection of a non-standard protocol or event,2
config classification: protocol-command-decode,Generic Protocol Command Decode,3
config classification: web-application-activity,access to a potentially vulnerable web application,2
config classification: web-application-attack,Web Application Attack,1
config classification: misc-activity,Misc activity,3
config classification: misc-attack,Misc Attack,2
config classification: icmp-event,Generic ICMP event,3
config classification: inappropriate-content,Inappropriate Content was Detected,1
config classification: policy-violation,Potential Corporate Privacy Violation,1
config classification: default-login-attempt,Attempt to login by a default username and password,2
# Update
config classification: targeted-activity,Targeted Malicious Activity was Detected,1
config classification: exploit-kit,Exploit Kit Activity Detected,1
config classification: external-ip-check,Device Retrieving External IP Address Detected,2
config classification: domain-c2,Domain Observed Used for C2 Detected,1
config classification: pup-activity,Possibly Unwanted Program Detected,2
config classification: credential-theft,Successful Credential Theft Detected,1
config classification: social-engineering,Possible Social Engineering Attempted,2
config classification: coin-mining,Crypto Currency Mining Activity Detected,2
config classification: command-and-control,Malware Command and Control Activity Detected,1
```
# Déployez des ressources dans une AWS Wavelength zone à l'aide de Terraform
*Zahoor Chaudhrey et Luca Iannario, Amazon Web Services*
## Résumé
[AWS Wavelength](https://docs.aws.amazon.com/wavelength/latest/developerguide/what-is-wavelength.html)vous aide à créer une infrastructure optimisée pour les applications MEC (Multi-Access Edge Computing). Les *zones de longueur d'onde* sont des déploiements d' AWS infrastructures qui intègrent des services de AWS calcul et de stockage dans les réseaux 5G des fournisseurs de services de communication (CSP). Le trafic des applications provenant des appareils 5G atteint les serveurs d'applications fonctionnant dans les zones de Wavelength sans quitter le réseau de télécommunications. Les éléments suivants facilitent la connectivité réseau via Wavelength :
+ **Clouds privés virtuels (VPCs)** : ils VPCs Compte AWS peuvent être étendus pour couvrir plusieurs zones de disponibilité, y compris les zones Wavelength. Les instances Amazon Elastic Compute Cloud (Amazon EC2) et les services associés apparaissent dans le cadre de votre VPC régional. VPCs sont créés et gérés dans [Amazon Virtual Private Cloud (Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)).
+ **Passerelle porteuse** : une passerelle porteuse permet la connectivité entre le sous-réseau de la Wavelength Zone et le réseau du CSP, Internet ou Région AWS via le réseau du CSP. La passerelle du transporteur a deux objectifs. Il autorise le trafic entrant depuis un réseau CSP situé à un emplacement spécifique, et le trafic sortant vers le réseau de télécommunications et Internet.
Ce modèle et le code Terraform associé vous aident à lancer des ressources, telles que des EC2 instances Amazon, des volumes Amazon Elastic Block Store (Amazon EBS), des sous-réseaux et une passerelle de support VPCs, dans une zone Wavelength.
## Conditions préalables et limitations
**Conditions préalables**
+ Un actif Compte AWS
+ Un environnement de développement intégré (IDE)
+ [Optez](https://docs.aws.amazon.com/wavelength/latest/developerguide/get-started-wavelength.html#enable-zone-group) pour la zone de longueur d'onde cible
+ AWS Command Line Interface (AWS CLI), [installé](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) et [configuré](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-configure.html)
+ Terraform version 1.8.4 ou ultérieure, [installée](https://developer.hashicorp.com/terraform/tutorials/aws-get-started/install-cli) (documentation Terraform)
+ Terraform AWS Provider version 5.32.1 ou ultérieure, [configurée](https://hashicorp.github.io/terraform-provider-aws/) (documentation Terraform)
+ Git, [installé](https://github.com/git-guides/install-git) (GitHub)
+ [Autorisations](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) pour créer des ressources Amazon VPC, Wavelength et Amazon EC2
**Limites**
Tous ne sont pas Régions AWS compatibles avec Wavelength Zones. Pour plus d'informations, consultez [Available Wavelength Zones](https://docs.aws.amazon.com/wavelength/latest/developerguide/available-wavelength-zones.html) dans la documentation Wavelength.
## Architecture
Le schéma suivant montre comment créer un sous-réseau et des AWS ressources dans une Wavelength Zone. VPCs qui contiennent un sous-réseau dans une zone Wavelength peuvent se connecter à une passerelle porteuse. Une passerelle d'opérateur vous permet de vous connecter aux ressources suivantes :
+ Appareils 4G/LTE et 5G sur le réseau de l'opérateur de télécommunications.
+ Accès sans fil fixe pour certains partenaires de Wavelength Zone. Pour plus d'informations, consultez la section [Accès multiple AWS Wavelength](https://docs.aws.amazon.com/wavelength/latest/developerguide/multi-access.html).
+ Trafic sortant vers les ressources Internet publiques.
![\[Une passerelle d'opérateur connecte les ressources AWS de la Wavelength Zone au réseau CSP.\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/images/pattern-img/8c507de1-208c-4563-bb58-52388ab2fa6d/images/a4cc0699-0cbc-4f15-ab14-3ae569ced7f4.png)
## Outils
**Services AWS**
+ [Amazon Virtual Private Cloud (Amazon VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) vous aide à lancer AWS des ressources dans un réseau virtuel que vous avez défini. Ce réseau virtuel ressemble à un réseau traditionnel que vous pourriez exécuter dans votre propre centre de données et présente l'avantage d'utiliser l'infrastructure évolutive d' AWS.
+ [AWS Wavelength](https://docs.aws.amazon.com/wavelength/latest/developerguide/what-is-wavelength.html)étend AWS Cloud l'infrastructure aux réseaux 5G des fournisseurs de télécommunications. Cela vous permet de créer des applications qui fournissent des latences extrêmement faibles aux appareils mobiles et aux utilisateurs finaux.
**Autres outils**
+ [Terraform](https://www.terraform.io/) est un outil d'infrastructure en tant que code (IaC) HashiCorp qui vous aide à créer et à gérer des ressources sur site et dans le cloud.
**Référentiel de code**
Le code de ce modèle est disponible dans le référentiel GitHub [Creating AWS Wavelength Infrastructure using Terraform](https://github.com/aws-samples/terraform-wavelength-infrastructure). Le code Terraform déploie l'infrastructure et les ressources suivantes :
+ Un VPC
+ Une zone de longueur d'onde
+ Un sous-réseau public dans la Wavelength Zone
+ Une passerelle porteuse dans la Wavelength Zone
+ Une EC2 instance Amazon dans la Wavelength Zone
## Bonnes pratiques
+ Avant le déploiement, vérifiez que vous utilisez les dernières versions de Terraform et du. AWS CLI
+ Utilisez un pipeline d'intégration et de livraison continues (CI/CD) pour déployer IaC. Pour plus d'informations, consultez [Bonnes pratiques pour la gestion des fichiers Terraform State dans AWS CI/CD](https://aws.amazon.com/blogs/devops/best-practices-for-managing-terraform-state-files-in-aws-ci-cd-pipeline/) Pipeline on Blogs. AWS
## Épopées
### Fournir l'infrastructure
| Sous-tâche | Description | Compétences requises |
| --- | --- | --- |
| Pour cloner le référentiel. | Entrez la commande suivante pour cloner le référentiel [Creating AWS Wavelength Infrastructure using Terraform](https://github.com/aws-samples/terraform-wavelength-infrastructure) dans votre environnement.`git clone git@github.com:aws-samples/terraform-wavelength-infrastructure.git` | DevOps ingénieur |
| Mettez à jour les variables. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/deploy-resources-wavelength-zone-using-terraform.html) | DevOps ingénieur, Terraform |
| Initialisez la configuration. | Entrez la commande suivante pour initialiser le répertoire de travail.terraform init
| DevOps ingénieur, Terraform |
| Prévisualisez le plan Terraform. | Entrez la commande suivante pour comparer l'état cible à l'état actuel de votre AWS environnement. Cette commande génère un aperçu des ressources qui seront configurées.terraform plan
| DevOps ingénieur, Terraform |
| Vérifiez et déployez. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/deploy-resources-wavelength-zone-using-terraform.html) | DevOps ingénieur, Terraform |
### Valider et nettoyer
| Sous-tâche | Description | Compétences requises |
| --- | --- | --- |
| Vérifiez le déploiement de l'infrastructure. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/deploy-resources-wavelength-zone-using-terraform.html) | AWS DevOps, DevOps ingénieur |
| (Facultatif) Nettoyez l'infrastructure. | Si vous devez supprimer toutes les ressources fournies par Terraform, procédez comme suit :[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/deploy-resources-wavelength-zone-using-terraform.html) | DevOps ingénieur, Terraform |
## Résolution des problèmes
| Problème | Solution |
| --- | --- |
| Connectivité aux EC2 instances Amazon dans le Région AWS. | Consultez [Résoudre les problèmes de connexion à votre instance Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/TroubleshootingInstancesConnecting.html) ou [Résoudre les problèmes de connexion à votre instance Windows](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/troubleshooting-windows-instances.html). |
| Connectivité aux EC2 instances Amazon dans la Wavelength Zone. | Consultez [Résoudre les problèmes de connectivité SSH ou RDP à mes EC2 instances lancées dans une zone Wavelength](https://repost.aws/knowledge-center/ec2-wavelength-zone-connection-errors). |
| Capacité dans la zone de longueur d'onde. | Voir [Quotas et considérations relatives aux zones de longueur d'onde](https://docs.aws.amazon.com/wavelength/latest/developerguide/wavelength-quotas.html). |
| Connectivité mobile ou opérateur entre le réseau de l'opérateur et le Région AWS. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/deploy-resources-wavelength-zone-using-terraform.html) |
## Ressources connexes
+ [Qu'est-ce que c'est AWS Wavelength ?](https://docs.aws.amazon.com/wavelength/latest/developerguide/what-is-wavelength.html)
+ [Comment AWS Wavelength fonctionne](https://docs.aws.amazon.com/wavelength/latest/developerguide/how-wavelengths-work.html)
+ [Résilience dans AWS Wavelength](https://docs.aws.amazon.com/wavelength/latest/developerguide/disaster-recovery-resiliency.html)
# Migrer des enregistrements DNS en masse vers une zone hébergée privée Amazon Route 53
*Ram Kandaswamy, Amazon Web Services*
## Résumé
Les ingénieurs réseau et les administrateurs cloud ont besoin d'un moyen simple et efficace d'ajouter des enregistrements DNS (Domain Name System) aux zones hébergées privées sur Amazon Route 53. L'utilisation d'une approche manuelle pour copier les entrées d'une feuille de calcul Microsoft Excel vers les emplacements appropriés de la console Route 53 est fastidieuse et source d'erreurs. Ce modèle décrit une approche automatisée qui réduit le temps et les efforts nécessaires pour ajouter plusieurs enregistrements. Il fournit également un ensemble d'étapes répétables pour la création de plusieurs zones hébergées.
Ce modèle utilise Amazon Simple Storage Service (Amazon S3) pour stocker les enregistrements. Pour travailler efficacement avec les données, le modèle utilise le format JSON en raison de sa simplicité et de sa capacité à prendre en charge un dictionnaire Python (type de `dict` données).
**Note**
Si vous pouvez générer un fichier de zone à partir de votre système, pensez plutôt à utiliser la [fonctionnalité d'importation Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resource-record-sets-creating-import.html).
## Conditions préalables et limitations
**Conditions préalables**
+ Feuille de calcul Excel contenant des enregistrements de zones hébergées privées
+ Connaissance des différents types d'enregistrements DNS tels que l'enregistrement A, l'enregistrement NAPTR (Name Authority Pointer) et l'enregistrement SRV (voir Types d'[enregistrements DNS pris en charge](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/ResourceRecordTypes.html))
+ Connaissance du langage Python et de ses bibliothèques
**Limites**
+ Le modèle ne fournit pas une couverture étendue pour tous les scénarios d'utilisation. Par exemple, l'appel [change\$1resource\$1record\$1sets](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/route53.html#Route53.Client.change_resource_record_sets) n'utilise pas toutes les propriétés disponibles de l'API.
+ Dans la feuille de calcul Excel, la valeur de chaque ligne est supposée être unique. Plusieurs valeurs pour chaque nom de domaine complet (FQDN) devraient apparaître dans la même ligne. Si ce n'est pas le cas, vous devez modifier le code fourni dans ce modèle pour effectuer la concaténation nécessaire.
+ Le modèle utilise le SDK AWS pour Python (Boto3) pour appeler directement le service Route 53. Vous pouvez améliorer le code pour utiliser un CloudFormation wrapper AWS pour les `update_stack` commandes `create_stack` and, et utiliser les valeurs JSON pour renseigner les ressources du modèle.
## Architecture
**Pile technologique**
+ Route 53 zones hébergées privées pour acheminer le trafic
+ Amazon S3 pour le stockage du fichier JSON de sortie
![\[Flux de travail pour la migration d'enregistrements DNS en masse vers une zone hébergée privée Route 53.\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/images/pattern-img/a81c29ea-f0c5-4d4a-ba87-93111a0f1ee9/images/2ada844b-4147-4f9f-8883-d22605aa42d8.png)
Le flux de travail comprend les étapes suivantes, comme illustré dans le schéma précédent et décrit dans la section *Epics* :
1. Téléchargez une feuille de calcul Excel contenant les informations du jeu d'enregistrements dans un compartiment S3.
1. Créez et exécutez un script Python qui convertit les données Excel au format JSON.
1. Lisez les enregistrements du compartiment S3 et nettoyez les données.
1. Créez des ensembles de records dans votre zone hébergée privée.
## Outils
+ [Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/Welcome.html) — Amazon Route 53 est un service Web DNS hautement disponible et évolutif qui gère l'enregistrement des domaines, le routage DNS et la vérification de l'état de santé.
+ [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) — Amazon Simple Storage Service (Amazon S3) est un service de stockage d'objets. Vous pouvez utiliser Amazon S3 pour stocker et récupérer n'importe quelle quantité de données, n'importe quand et depuis n'importe quel emplacement sur le Web.
## Épopées
### Préparer les données pour l'automatisation
| Sous-tâche | Description | Compétences requises |
| --- | --- | --- |
| Créez un fichier Excel pour vos dossiers. | Utilisez les enregistrements que vous avez exportés depuis votre système actuel pour créer une feuille de calcul Excel contenant les colonnes requises pour un enregistrement, telles que le nom de domaine complet (FQDN), le type d'enregistrement, le temps de vie (TTL) et la valeur. Pour les enregistrements NAPTR et SRV, la valeur est une combinaison de plusieurs propriétés. Utilisez donc la `concat` méthode d'Excel pour combiner ces propriétés.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/migrate-dns-records-in-bulk-to-an-amazon-route-53-private-hosted-zone.html) | Ingénieur de données, compétences Excel |
| Vérifiez l'environnement de travail. | Dans votre IDE, créez un fichier Python pour convertir la feuille de calcul d'entrée Excel au format JSON. (Au lieu d'un IDE, vous pouvez également utiliser un SageMaker bloc-notes Amazon pour travailler avec du code Python.)Vérifiez que la version de Python que vous utilisez est la version 3.7 ou ultérieure. python3 --version
Installez le package **pandas**. pip3 install pandas --user
| AWS général |
| Convertissez les données de la feuille de calcul Excel en JSON. | Créez un fichier Python contenant le code suivant pour convertir Excel en JSON.import pandas as pd
data=pd.read_excel('./Book1.xls')
data.to_json(path_or_buf='my.json',orient='records')
où `Book1` est le nom de la feuille de calcul Excel et `my.json` le nom du fichier JSON de sortie. | Ingénieur de données, compétences en Python |
| Téléchargez le fichier JSON dans un compartiment S3. | Chargez le fichier `my.json` dans un compartiment S3. Pour plus d'informations, consultez [la section Création d'un compartiment](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html) dans la documentation Amazon S3. | Développeur d’applications |
| FqdnName | RecordType | Value | TTL |
| something.exemple.org | A | 1.1.1.1 | 900 |
### Insérer des enregistrements
| Sous-tâche | Description | Compétences requises |
| --- | --- | --- |
| Créez une zone hébergée privée. | Utilisez l'[API create\$1hosted\$1zone et l'](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/route53.html#Route53.Client.create_hosted_zone)exemple de code Python suivant pour créer une zone hébergée privée. Remplacez les paramètres `hostedZoneName``vpcRegion`, et `vpcId` par vos propres valeurs.import boto3
import random
hostedZoneName ="xxx"
vpcRegion = "us-east-1"
vpcId="vpc-xxxx"
route53_client = boto3.client('route53')
response = route53_client.create_hosted_zone(
Name= hostedZoneName,
VPC={
'VPCRegion: vpcRegion,
'VPCId': vpcId
},
CallerReference=str(random.random()*100000),
HostedZoneConfig={
'Comment': "private hosted zone created by automation",
'PrivateZone': True
}
)
print(response)
Vous pouvez également utiliser un outil d'infrastructure en tant que code (IaC) tel qu'AWS CloudFormation pour remplacer ces étapes par un modèle qui crée une pile dotée des ressources et propriétés appropriées. | Architecte cloud, administrateur réseau, compétences en Python |
| Récupérez les détails sous forme de dictionnaire depuis Amazon S3. | Utilisez le code suivant pour lire le contenu du compartiment S3 et obtenir les valeurs JSON sous forme de dictionnaire Python. fileobj = s3_client.get_object(
Bucket=bucket_name,
Key='my.json'
)
filedata = fileobj['Body'].read()
contents = filedata.decode('utf-8')
json_content=json.loads(contents)
print(json_content)
où `json_content` contient le dictionnaire Python. | Développeur d'applications, compétences en Python |
| Nettoyez les valeurs de données pour les espaces et les caractères Unicode. | Par mesure de sécurité afin de garantir l'exactitude des données, utilisez le code suivant pour effectuer une opération de découpage sur les valeurs saisies. `json_content` Ce code supprime les espaces au début et à la fin de chaque chaîne. Il utilise également la `replace` méthode pour supprimer les espaces durs (non cassants) (les `\xa0` caractères).for item in json_content:
fqn_name = unicodedata.normalize("NFKD",item["FqdnName"].replace("u'", "'").replace('\xa0', '').strip())
rec_type = item["RecordType"].replace('\xa0', '').strip()
res_rec = {
'Value': item["Value"].replace('\xa0', '').strip()
}
| Développeur d'applications, compétences en Python |
| Insérez des enregistrements. | Utilisez le code suivant dans le cadre de la `for` boucle précédente.change_response = route53_client.change_resource_record_sets(
HostedZoneId="xxxxxxxx",
ChangeBatch={
'Comment': 'Created by automation',
'Changes': [
{
'Action': 'UPSERT',
'ResourceRecordSet': {
'Name': fqn_name,
'Type': rec_type,
'TTL': item["TTL"],
'ResourceRecords': res_rec
}
}
]
}
)
Où se `xxxxxxx` trouve l'identifiant de la zone hébergée dès la première étape de cette épopée. | Développeur d'applications, compétences en Python |
## Ressources connexes
**Références**
+ [Création d'enregistrements en important un fichier de zone](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resource-record-sets-creating-import.html) (documentation Amazon Route 53)
+ méthode [create\$1hosted\$1zone](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/route53.html#Route53.Client.create_hosted_zone) (documentation Boto3)
+ [méthode change\$1resource\$1record\$1sets](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/route53.html#Route53.Client.change_resource_record_sets) (documentation Boto3)
**Tutoriels et vidéos**
+ [Le didacticiel Python](https://docs.python.org/3/tutorial/) (documentation Python)
+ [Conception du DNS à l'aide d'Amazon Route 53](https://www.youtube.com/watch?v=2y_RBjDkRgY) (YouTube vidéo, *AWS Online Tech Talks*)
# Modifiez les en-têtes HTTP lors de la migration de F5 vers un Application Load Balancer sur AWS
*Sachin Trivedi, Amazon Web Services*
## Résumé
Lorsque vous migrez une application qui utilise un équilibreur de charge F5 vers Amazon Web Services (AWS) et que vous souhaitez utiliser un équilibreur de charge d'application sur AWS, la migration des règles F5 pour les modifications d'en-tête est un problème courant. Un Application Load Balancer ne prend pas en charge les modifications d'en-têtes, mais vous pouvez utiliser Amazon CloudFront comme réseau de diffusion de contenu (CDN) et Lambda @Edge pour modifier les en-têtes.
Ce modèle décrit les intégrations requises et fournit un exemple de code pour la modification des en-têtes à l'aide d'AWS CloudFront et Lambda @Edge.
## Conditions préalables et limitations
**Conditions préalables**
+ Application locale qui utilise un équilibreur de charge F5 avec une configuration qui remplace la valeur d'en-tête HTTP en utilisant. `if, else` Pour plus d'informations sur cette configuration, consultez [HTTP : :header](https://clouddocs.f5.com/api/irules/HTTP__header.html) dans la documentation du produit F5.
**Limites**
+ Ce modèle s'applique à la personnalisation de l'en-tête de l'équilibreur de charge F5. Pour les autres équilibreurs de charge tiers, consultez la documentation de l'équilibreur de charge pour obtenir des informations d'assistance.
+ Les fonctions Lambda que vous utilisez pour Lambda @Edge doivent se trouver dans la région USA Est (Virginie du Nord).
## Architecture
Le schéma suivant montre l'architecture d'AWS, y compris le flux d'intégration entre le CDN et les autres composants AWS.
![\[Architecture pour la modification des en-têtes à l'aide d'Amazon CloudFront et Lambda @Edge\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/images/pattern-img/00abbe3c-2453-4291-9b24-b488dced4868/images/4ee9a19e-6da2-4c5a-a8bc-19d3918a166e.png)
## Outils
**Services AWS**
+ [Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/introduction.html) ─ Un Application Load Balancer est un service d'équilibrage de charge entièrement géré par AWS qui fonctionne au niveau de la septième couche du modèle d'interconnexion des systèmes ouverts (OSI). Il équilibre le trafic entre plusieurs cibles et prend en charge les demandes de routage avancées basées sur les en-têtes et les méthodes HTTP, les chaînes de requête et le routage basé sur l'hôte ou le chemin.
+ [Amazon CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/Introduction.html) — Amazon CloudFront est un service Web qui accélère la distribution de votre contenu Web statique et dynamique, tel que les fichiers .html, .css, .js et les fichiers image, à vos utilisateurs. CloudFront diffuse votre contenu via un réseau mondial de centres de données appelés emplacements périphériques pour réduire la latence et améliorer les performances.
+ [Lambda @Edge ─](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/lambda-at-the-edge.html) Lambda @Edge est une extension d'AWS Lambda qui vous permet d'exécuter des fonctions pour personnaliser le contenu diffusé. CloudFront Vous pouvez créer des fonctions dans la région USA Est (Virginie du Nord), puis associer la fonction à une CloudFront distribution pour répliquer automatiquement votre code dans le monde entier, sans provisionner ni gérer de serveurs. Cela réduit le temps de latence et améliore l'expérience utilisateur.
**Code**
L'exemple de code suivant fournit un modèle pour modifier les en-têtes de CloudFront réponse. Suivez les instructions de la section *Epics* pour déployer le code.
```
exports.handler = async (event, context) => {
const response = event.Records[0].cf.response;
const headers = response.headers;
const headerNameSrc = 'content-security-policy';
const headerNameValue = '*.xyz.com';
if (headers[headerNameSrc.toLowerCase()]) {
headers[headerNameSrc.toLowerCase()] = [{
key: headerNameSrc,
value: headerNameValue,
}];
console.log(`Response header "${headerNameSrc}" was set to ` +
`"${headers[headerNameSrc.toLowerCase()][0].value}"`);
}
else {
headers[headerNameSrc.toLowerCase()] = [{
key: headerNameSrc,
value: headerNameValue,
}];
}
return response;
};
```
## Épopées
### Création d'une distribution CDN
| Sous-tâche | Description | Compétences requises |
| --- | --- | --- |
| Créez une distribution CloudFront Web. | Au cours de cette étape, vous créez une CloudFront distribution indiquant d' CloudFront où vous souhaitez que le contenu soit diffusé, ainsi que les détails sur le suivi et la gestion de la diffusion du contenu.Pour créer une distribution à l'aide de la console, connectez-vous à l'AWS Management Console, ouvrez la [CloudFront console](https://console.aws.amazon.com/cloudfront/v3/home), puis suivez les étapes décrites dans la [CloudFront documentation](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-creating-console.html). | Administrateur du cloud |
### Création et déploiement de la fonction Lambda @Edge
| Sous-tâche | Description | Compétences requises |
| --- | --- | --- |
| Créez et déployez une fonction Lambda @Edge. | Vous pouvez créer une fonction Lambda @Edge en utilisant un plan pour modifier CloudFront les en-têtes de réponse. (D'autres BluePrints sont disponibles pour différents cas d'utilisation ; pour plus d'informations, consultez les [exemples de fonctions Lambda @Edge](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/lambda-examples.html) dans CloudFront la documentation.) Pour créer une fonction Lambda @Edge :[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/modify-http-headers-when-you-migrate-from-f5-to-an-application-load-balancer-on-aws.html) | Administrateur AWS |
| Déployez la fonction Lambda @Edge. | Suivez les instructions de l'[étape 4](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/lambda-edge-how-it-works-tutorial.html#lambda-edge-how-it-works-tutorial-add-trigger) du *didacticiel : Création d'une fonction Lambda @Edge simple dans la* CloudFront documentation Amazon pour configurer le CloudFront déclencheur et déployer la fonction. | Administrateur AWS |
## Ressources connexes
**CloudFront documentation**
+ [Comportement des demandes et des réponses pour les origines personnalisées](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/RequestAndResponseBehaviorCustomOrigin.html)
+ [Utilisation des distributions](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-working-with.html)
+ [Exemples de fonctions Lambda @Edge](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/lambda-examples.html)
+ [Personnalisation à la périphérie avec Lambda @Edge](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/lambda-at-the-edge.html)
+ [Tutoriel : Création d'une fonction Lambda @Edge simple](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/lambda-edge-how-it-works-tutorial.html)
# Créez un rapport sur les résultats de l'analyseur d'accès réseau pour l'accès Internet entrant en plusieurs Comptes AWS
*Mike Virgilio, Amazon Web Services*
## Résumé
L'accès Internet entrant involontaire aux AWS ressources peut présenter des risques pour le périmètre de données d'une entreprise. [Network Access Analyzer](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-network-access-analyzer.html) est une fonctionnalité d'Amazon Virtual Private Cloud (Amazon VPC) qui vous aide à identifier les accès réseau non intentionnels à vos ressources sur Amazon Web Services ().AWS Vous pouvez utiliser Network Access Analyzer pour définir vos exigences en matière d'accès au réseau et pour identifier les chemins réseau potentiels qui ne répondent pas à vos exigences. Vous pouvez utiliser Network Access Analyzer pour effectuer les opérations suivantes :
1. Identifiez les AWS ressources accessibles sur Internet via des passerelles Internet.
1. Vérifiez que vos clouds privés virtuels (VPCs) sont correctement segmentés, par exemple en isolant les environnements de production et de développement et en séparant les charges de travail transactionnelles.
Network Access Analyzer analyse les conditions d' end-to-endaccessibilité du réseau et ne se limite pas à un seul composant. Pour déterminer si une ressource est accessible à Internet, Network Access Analyzer évalue la passerelle Internet, les tables de routage VPC, les listes de contrôle d'accès réseau (ACLs), les adresses IP publiques sur les interfaces réseau élastiques et les groupes de sécurité. Si l'un de ces composants empêche l'accès à Internet, Network Access Analyzer ne génère aucun résultat. Par exemple, si une instance Amazon Elastic Compute Cloud (Amazon EC2) possède un groupe de sécurité ouvert qui autorise le trafic en provenance `0/0` mais que l'instance se trouve dans un sous-réseau privé qui n'est pas routable depuis une passerelle Internet, Network Access Analyzer ne générera aucun résultat. Cela permet d'obtenir des résultats très fidèles afin que vous puissiez identifier les ressources réellement accessibles depuis Internet.
Lorsque vous exécutez Network Access Analyzer, vous utilisez les [étendues d'accès réseau pour définir vos exigences](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-network-access-analyzer.html#concepts) en matière d'accès au réseau. Cette solution identifie les chemins réseau entre une passerelle Internet et une interface réseau élastique. Dans ce modèle, vous déployez la solution de manière centralisée Compte AWS au sein de votre organisation, gérée par AWS Organizations, et elle analyse tous les comptes de l'organisation Région AWS, quel que soit leur emplacement.
Cette solution a été conçue avec les éléments suivants à l'esprit :
+ Les AWS CloudFormation modèles réduisent l'effort requis pour déployer les AWS ressources selon ce modèle.
+ Vous pouvez ajuster les paramètres des CloudFormation modèles et du script **naa-script.sh** au moment du déploiement afin de les personnaliser en fonction de votre environnement.
+ Les scripts Bash provisionnent et analysent automatiquement les étendues d'accès réseau pour plusieurs comptes, en parallèle.
+ Un script Python traite les résultats, extrait les données, puis consolide les résultats. Vous pouvez choisir de consulter le rapport consolidé des résultats de l'analyseur d'accès réseau au format CSV ou au AWS Security Hub CSPM format. Un exemple de rapport CSV est disponible dans la section [Informations supplémentaires](#create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts-additional) de ce modèle.
+ Vous pouvez corriger les résultats ou les exclure des analyses futures en les ajoutant au fichier **naa-exclusions.csv**.
## Conditions préalables et limitations
**Conditions préalables**
+ Et Compte AWS pour héberger des services et outils de sécurité, gérés en tant que compte membre d'une organisation dans AWS Organizations. Dans ce modèle, ce compte est appelé compte de sécurité.
+ Dans le compte de sécurité, vous devez disposer d'un sous-réseau privé avec accès Internet sortant. Pour obtenir des instructions, consultez la section [Créer un sous-réseau](https://docs.aws.amazon.com/vpc/latest/userguide/create-subnets.html) dans la documentation Amazon VPC. Vous pouvez établir un accès à Internet à l'aide d'une [passerelle NAT](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html) ou d'un point de [terminaison VPC d'interface](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html).
+ Accès au compte AWS Organizations de gestion ou à un compte doté d'autorisations d'administrateur déléguées pour CloudFormation. Pour obtenir des instructions, voir [Enregistrer un administrateur délégué](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-delegated-admin.html) dans la CloudFormation documentation.
+ Activez un accès fiable entre AWS Organizations et CloudFormation. Pour obtenir des instructions, consultez la section [Activer l'accès sécurisé avec AWS Organizations](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-enable-trusted-access.html) dans la CloudFormation documentation.
+ Si vous téléchargez les résultats vers Security Hub CSPM, Security Hub CSPM doit être activé sur le compte et sur l'endroit où Région AWS l'instance Amazon est mise en service. EC2 Pour plus d’informations, consultez [Configuration AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html).
**Limites**
+ Les chemins réseau entre comptes ne sont actuellement pas analysés en raison des limites de la fonctionnalité Network Access Analyzer.
+ La cible Comptes AWS doit être gérée en tant qu'organisation dans AWS Organizations. **Si vous ne l'utilisez pas AWS Organizations, vous pouvez mettre à jour le CloudFormation modèle **naa-execrole.yaml** et le script naa-script.sh pour votre environnement.** Au lieu de cela, vous fournissez une liste Compte AWS IDs des régions dans lesquelles vous souhaitez exécuter le script.
+ Le CloudFormation modèle est conçu pour déployer l' EC2 instance Amazon dans un sous-réseau privé doté d'un accès Internet sortant. L' AWS Systems Manager agent (agent SSM) a besoin d'un accès sortant pour atteindre le point de terminaison du service Systems Manager, et vous avez besoin d'un accès sortant pour cloner le référentiel de code et installer les dépendances. Si vous souhaitez utiliser un sous-réseau public, vous devez modifier le modèle **naa-resources.yaml** pour associer une [adresse IP](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html) élastique à l'instance Amazon. EC2
## Architecture
**Architecture cible**
*Option 1 : accéder aux résultats dans un compartiment Amazon S3*
![\[Schéma d'architecture permettant d'accéder au rapport des résultats de l'analyseur d'accès réseau dans un compartiment Amazon S3\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/images/pattern-img/eda6abba-632a-4e3d-92b9-31848fa6dead/images/d0b08437-e5b0-47a1-abdd-040c67b5da8f.png)
Le schéma montre le processus suivant :
1. Si vous exécutez la solution manuellement, l'utilisateur s'authentifie auprès de l' EC2 instance Amazon à l'aide du gestionnaire de session, puis exécute le script **naa-script.sh**. Ce script shell exécute les étapes 2 à 7.
Si vous exécutez automatiquement la solution, le script **naa-script.sh** démarre automatiquement selon le calendrier que vous avez défini dans l'expression cron. Ce script shell exécute les étapes 2 à 7. Pour plus d'informations, voir *Automatisation et mise à l'échelle* à la fin de cette section.
1. L' EC2 instance Amazon télécharge le dernier fichier **naa-exception.csv** depuis le compartiment Amazon S3. Ce fichier est utilisé ultérieurement dans le processus lorsque le script Python traite les exclusions.
1. L' EC2 instance Amazon assume le rôle `NAAEC2Role` Gestion des identités et des accès AWS (IAM), qui accorde les autorisations d'accès au compartiment Amazon S3 et d'assumer les rôles `NAAExecRole` IAM dans les autres comptes de l'organisation.
1. L' EC2 instance Amazon assume le rôle `NAAExecRole` IAM dans le compte de gestion de l'organisation et génère une liste des comptes de l'organisation.
1. L' EC2 instance Amazon assume le rôle `NAAExecRole` IAM dans les comptes membres de l'organisation (appelés comptes de *charge* de travail dans le schéma d'architecture) et effectue une évaluation de la sécurité de chaque compte. Les résultats sont stockés sous forme de fichiers JSON sur l' EC2 instance Amazon.
1. L' EC2 instance Amazon utilise un script Python pour traiter les fichiers JSON, extraire les champs de données et créer un rapport CSV.
1. L' EC2 instance Amazon télécharge le fichier CSV dans le compartiment Amazon S3.
1. Une EventBridge règle Amazon détecte le téléchargement du fichier et utilise une rubrique Amazon SNS pour envoyer un e-mail informant l'utilisateur que le rapport est complet.
1. L'utilisateur télécharge le fichier CSV depuis le compartiment Amazon S3. L'utilisateur importe les résultats dans le modèle Excel et les examine.
*Option 2 : Accédez aux résultats dans AWS Security Hub CSPM*
![\[Schéma d'architecture permettant d'accéder aux résultats de l'analyseur d'accès au réseau via AWS Security Hub\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/images/pattern-img/eda6abba-632a-4e3d-92b9-31848fa6dead/images/9cb4f059-dfb6-4a33-9f8d-159fe5df0d64.png)
Le schéma montre le processus suivant :
1. Si vous exécutez la solution manuellement, l'utilisateur s'authentifie auprès de l' EC2 instance Amazon à l'aide du gestionnaire de session, puis exécute le script **naa-script.sh**. Ce script shell exécute les étapes 2 à 7.
Si vous exécutez automatiquement la solution, le script **naa-script.sh** démarre automatiquement selon le calendrier que vous avez défini dans l'expression cron. Ce script shell exécute les étapes 2 à 7. Pour plus d'informations, voir *Automatisation et mise à l'échelle* à la fin de cette section.
1. L' EC2 instance Amazon télécharge le dernier fichier **naa-exception.csv** depuis le compartiment Amazon S3. Ce fichier est utilisé ultérieurement dans le processus lorsque le script Python traite les exclusions.
1. L' EC2 instance Amazon assume le rôle `NAAEC2Role` IAM, qui accorde les autorisations d'accès au compartiment Amazon S3 et d'assumer les rôles `NAAExecRole` IAM dans les autres comptes de l'organisation.
1. L' EC2 instance Amazon assume le rôle `NAAExecRole` IAM dans le compte de gestion de l'organisation et génère une liste des comptes de l'organisation.
1. L' EC2 instance Amazon assume le rôle `NAAExecRole` IAM dans les comptes membres de l'organisation (appelés comptes de *charge* de travail dans le schéma d'architecture) et effectue une évaluation de la sécurité de chaque compte. Les résultats sont stockés sous forme de fichiers JSON sur l' EC2 instance Amazon.
1. L' EC2 instance Amazon utilise un script Python pour traiter les fichiers JSON et extraire les champs de données à importer dans Security Hub CSPM.
1. L' EC2 instance Amazon importe les résultats de l'analyseur d'accès réseau dans Security Hub CSPM.
1. Une EventBridge règle Amazon détecte l'importation et utilise une rubrique Amazon SNS pour envoyer un e-mail informant l'utilisateur que le processus est terminé.
1. L'utilisateur consulte les résultats dans Security Hub CSPM.
**Automatisation et mise à l'échelle**
Vous pouvez planifier cette solution pour exécuter le script **naa-script.sh** automatiquement selon un calendrier personnalisé. Pour définir un calendrier personnalisé, modifiez le paramètre dans le **modèle naa-resources.yaml** CloudFormation . `CronScheduleExpression` Par exemple, la valeur par défaut de `0 0 * * 0` exécute la solution tous les dimanches à minuit. Une valeur de `0 0 * 1-12 0` exécuterait la solution à minuit le premier dimanche de chaque mois. Pour plus d'informations sur l'utilisation des expressions cron, consultez les [expressions Cron et rate](https://docs.aws.amazon.com/systems-manager/latest/userguide/reference-cron-and-rate-expressions.html) dans la documentation de Systems Manager.
Si vous souhaitez ajuster le calendrier une fois la `NAA-Resources` pile déployée, vous pouvez modifier manuellement le calendrier cron dans`/etc/cron.d/naa-schedule`.
## Outils
**Services AWS**
+ [Amazon Elastic Compute Cloud (Amazon EC2)](https://docs.aws.amazon.com/ec2/) fournit une capacité de calcul évolutive dans le AWS Cloud. Vous pouvez lancer autant de serveurs virtuels que vous le souhaitez et les augmenter ou les diminuer rapidement.
+ [Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) est un service de bus d'événements sans serveur qui vous permet de connecter vos applications à des données en temps réel provenant de diverses sources. Par exemple, des AWS Lambda fonctions, des points de terminaison d'invocation HTTP utilisant des destinations d'API ou des bus d'événements dans d'autres. Comptes AWS
+ [Gestion des identités et des accès AWS (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) vous aide à gérer en toute sécurité l'accès à vos AWS ressources en contrôlant qui est authentifié et autorisé à les utiliser.
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)est un service de gestion de comptes qui vous aide à Comptes AWS en regrouper plusieurs au sein d'une organisation que vous créez et gérez de manière centralisée.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)fournit une vue complète de votre état de sécurité dans AWS. Il vous permet également de vérifier que votre AWS environnement est conforme aux normes et aux meilleures pratiques du secteur de la sécurité.
+ [Amazon Simple Notification Service (Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/welcome.html)) vous aide à coordonner et à gérer l'échange de messages entre les éditeurs et les clients, y compris les serveurs Web et les adresses e-mail.
+ [Amazon Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) est un service de stockage d'objets basé sur le cloud qui vous permet de stocker, de protéger et de récupérer n'importe quel volume de données.
+ [AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html)vous aide à gérer vos applications et votre infrastructure exécutées dans le AWS Cloud. Il simplifie la gestion des applications et des ressources, réduit le délai de détection et de résolution des problèmes opérationnels et vous aide à gérer vos AWS ressources en toute sécurité à grande échelle. Ce modèle utilise le Gestionnaire de session, une fonctionnalité de Systems Manager.
**Référentiel de code**
Le code de ce modèle est disponible dans le référentiel d'analyse [multi-comptes de GitHub Network Access Analyzer](https://github.com/aws-samples/network-access-analyzer-multi-account-analysis). Le référentiel de code contient les fichiers suivants :
+ **naa-script.sh** — Ce script bash est utilisé pour démarrer une analyse de plusieurs fichiers par Network Access Analyzer Comptes AWS, en parallèle. Comme défini dans le CloudFormation modèle **naa-resources.yaml**, ce script est automatiquement déployé dans le dossier `/usr/local/naa` de l'instance Amazon. EC2
+ **naa-resources.yaml** — Vous utilisez ce CloudFormation modèle pour créer une pile dans le compte de sécurité de l'organisation. Ce modèle déploie toutes les ressources requises pour ce compte afin de prendre en charge la solution. Cette pile doit être déployée avant le modèle **naa-execrole.yaml**.
**Note**
Si cette pile est supprimée et redéployée, vous devez reconstruire l'ensemble de `NAAExecRole` piles afin de rétablir les dépendances entre comptes entre les rôles IAM.
+ **naa-execrole.yaml** — Vous utilisez ce CloudFormation modèle pour créer un stack set qui déploie le rôle `NAAExecRole` IAM dans tous les comptes de l'organisation, y compris le compte de gestion.
+ **naa-processfindings.py** — Le script **naa-script.sh** appelle automatiquement ce script Python pour traiter les sorties JSON de Network Access Analyzer, exclure toute ressource dont le fonctionnement a été vérifié dans le fichier **naa-exclusions.csv**, puis générer un fichier CSV contenant les résultats consolidés ou importer les résultats dans Security Hub CSPM.
## Épopées
### Préparation au déploiement
| Sous-tâche | Description | Compétences requises |
| --- | --- | --- |
| Clonez le référentiel de code. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
| Passez en revue les modèles. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
### Créez les CloudFormation piles
| Sous-tâche | Description | Compétences requises |
| --- | --- | --- |
| Fournir des ressources dans le compte de sécurité. | À l'aide du modèle **naa-resources.yaml**, vous créez une CloudFormation pile qui déploie toutes les ressources requises dans le compte de sécurité. Pour obtenir des instructions, consultez [la section Création d'une pile](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html) dans la CloudFormation documentation. Notez les points suivants lors du déploiement de ce modèle :[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
| Fournissez le rôle IAM dans les comptes des membres. | Dans le compte AWS Organizations de gestion ou dans un compte doté d'autorisations d'administrateur déléguées pour CloudFormation, utilisez le modèle **naa-execrole.yaml** pour créer un stack set. CloudFormation Le stack set déploie le rôle `NAAExecRole` IAM dans tous les comptes membres de l'organisation. Pour obtenir des instructions, consultez la section [Créer un ensemble de piles avec des autorisations gérées par les services](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-getting-started-create.html#stacksets-orgs-associate-stackset-with-org) dans la CloudFormation documentation. Notez les points suivants lors du déploiement de ce modèle :[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
| Attribuez le rôle IAM dans le compte de gestion. | À l'aide du modèle **naa-execrole.yaml**, vous créez une CloudFormation pile qui déploie le rôle `NAAExecRole` IAM dans le compte de gestion de l'organisation. Le stack set que vous avez créé précédemment ne déploie pas le rôle IAM dans le compte de gestion. Pour obtenir des instructions, consultez [la section Création d'une pile](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html) dans la CloudFormation documentation. Notez les points suivants lors du déploiement de ce modèle :[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
### Effectuez l'analyse
| Sous-tâche | Description | Compétences requises |
| --- | --- | --- |
| Personnalisez le script shell. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
| Analysez les comptes cibles. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
| Option 1 — Récupérez les résultats depuis le compartiment Amazon S3. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
| Option 2 — Vérifiez les résultats dans Security Hub CSPM. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
### Corriger et exclure les résultats
| Sous-tâche | Description | Compétences requises |
| --- | --- | --- |
| Corriger les résultats. | Corrigez tous les résultats auxquels vous souhaitez remédier. Pour plus d'informations et pour connaître les meilleures pratiques relatives à la création d'un périmètre autour de vos AWS identités, de vos ressources et de vos réseaux, consultez la section [Création d'un périmètre de données sur AWS](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/building-a-data-perimeter-on-aws.html) (AWS livre blanc). | AWS DevOps |
| Excluez les ressources dont les chemins réseau ont été vérifiés. | Si Network Access Analyzer génère des résultats pour des ressources qui devraient être accessibles depuis Internet, vous pouvez ajouter ces ressources à une liste d'exclusion. La prochaine fois que Network Access Analyzer s'exécutera, il ne générera aucun résultat pour cette ressource.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
### (Facultatif) Mettez à jour le script naa-script.sh
| Sous-tâche | Description | Compétences requises |
| --- | --- | --- |
| Mettez à jour le script naa-script.sh. | Si vous souhaitez mettre à jour le script **naa-script.sh** vers la dernière version du dépôt, procédez comme suit :[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
### (Facultatif) Nettoyer
| Sous-tâche | Description | Compétences requises |
| --- | --- | --- |
| Supprimez toutes les ressources déployées. | Vous pouvez laisser les ressources déployées dans les comptes.Si vous souhaitez déprovisionner toutes les ressources, procédez comme suit :[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) | AWS DevOps |
## Résolution des problèmes
| Problème | Solution |
| --- | --- |
| Impossible de se connecter à l' EC2 instance Amazon à l'aide du gestionnaire de session. | L'agent SSM doit être capable de communiquer avec le point de terminaison Systems Manager. Procédez comme suit :[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/create-a-report-of-network-access-analyzer-findings-for-inbound-internet-access-in-multiple-aws-accounts.html) |
| Lorsque vous déployez le stack set, la CloudFormation console vous invite à`Enable trusted access with AWS Organizations to use service-managed permissions`. | Cela indique que l'accès sécurisé n'a pas été activé entre AWS Organizations et CloudFormation. Un accès sécurisé est requis pour déployer le stack set géré par les services. Cliquez sur le bouton pour activer l'accès sécurisé. Pour plus d'informations, consultez la section [Activer l'accès sécurisé](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-enable-trusted-access.html) dans la CloudFormation documentation. |
## Ressources connexes
+ [Nouveau — Analyseur d'accès réseau Amazon VPC (article de blog](https://aws.amazon.com/blogs/aws/new-amazon-vpc-network-access-analyzer/))AWS
+ [AWS Re:inForce 2022 - Validez les contrôles d'accès réseau efficaces le AWS (NIS202) (vidéo)](https://youtu.be/aN2P2zeQek0)
+ [Démo - Analyse du chemin des données d'entrée Internet à l'échelle de l'organisation à l'aide de l'analyseur d'accès réseau](https://youtu.be/1IFNZWy4iy0) (vidéo)
## Informations supplémentaires
**Exemple de sortie de console**
L'exemple suivant montre le résultat de la génération de la liste des comptes cibles et de l'analyse des comptes cibles.
```
[root@ip-10-10-43-82 naa]# ./naa-script.sh
download: s3://naa--us-east-1/naa-exclusions.csv to ./naa-exclusions.csv
AWS Management Account:
AWS Accounts being processed...
Assessing AWS Account: , using Role: NAAExecRole
Assessing AWS Account: , using Role: NAAExecRole
Assessing AWS Account: , using Role: NAAExecRole
Processing account: / Region: us-east-1
Account: / Region: us-east-1 – Detecting Network Analyzer scope...
Processing account: / Region: us-east-1
Account: / Region: us-east-1 – Detecting Network Analyzer scope...
Processing account: / Region: us-east-1
Account: / Region: us-east-1 – Detecting Network Analyzer scope...
Account: / Region: us-east-1 – Network Access Analyzer scope detected.
Account: / Region: us-east-1 – Continuing analyses with Scope ID. Accounts with many resources may take up to one hour
Account: / Region: us-east-1 – Network Access Analyzer scope detected.
Account: / Region: us-east-1 – Continuing analyses with Scope ID. Accounts with many resources may take up to one hour
Account: / Region: us-east-1 – Network Access Analyzer scope detected.
Account: / Region: us-east-1 – Continuing analyses with Scope ID. Accounts with many resources may take up to one hour
```
**Exemples de rapports CSV**
Les images suivantes sont des exemples de sortie CSV.
![\[Exemple 1 du rapport CSV généré par cette solution.\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/images/pattern-img/eda6abba-632a-4e3d-92b9-31848fa6dead/images/55e02e61-054e-4da6-aaae-c9a8b6f4f272.png)
![\[Exemple 2 du rapport CSV généré par cette solution.\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/images/pattern-img/eda6abba-632a-4e3d-92b9-31848fa6dead/images/95f980ad-92c1-4392-92d4-9c742755aab2.png)
# Configuration de la résolution DNS pour les réseaux hybrides dans un environnement multi-comptes AWS
*Anvesh Koganti, Amazon Web Services*
## Résumé
Ce modèle fournit une solution complète pour configurer la résolution DNS dans les environnements de réseau hybrides qui incluent plusieurs comptes Amazon Web Services (AWS). Il permet une résolution DNS bidirectionnelle entre les réseaux locaux et l' AWS environnement via Amazon Route 53 Resolver les points de terminaison. Le modèle présente deux solutions pour permettre la résolution DNS dans une [architecture centralisée multi-comptes](https://docs.aws.amazon.com/whitepapers/latest/hybrid-cloud-dns-options-for-vpc/scaling-dns-management-across-multiple-accounts-and-vpcs.html#multi-account-centralized) :
+ *La configuration de base* n'utilise pas les profils Route 53. Il permet d'optimiser les coûts pour les petits et moyens déploiements peu complexes.
+ *La configuration améliorée* utilise les profils Route 53 pour simplifier les opérations. C'est la meilleure solution pour les déploiements DNS plus importants ou plus complexes.
**Note**
Consultez la section *Limitations* pour connaître les limites de service et les quotas avant la mise en œuvre. Tenez compte de facteurs tels que les frais généraux de gestion, les coûts, la complexité opérationnelle et l'expertise de l'équipe lorsque vous prenez votre décision.
## Conditions préalables et limitations
**Conditions préalables**
+ Un environnement AWS multi-comptes avec Amazon Virtual Private Cloud (Amazon VPC) déployé sur des comptes de services partagés et de charge de travail (de préférence configuré [via AWS Control Tower en AWS suivant les meilleures pratiques en](https://docs.aws.amazon.com/controltower/latest/userguide/aws-multi-account-landing-zone.html) matière de structure de compte).
+ Connectivité hybride existante (AWS Direct Connect ou AWS Site-to-Site VPN) entre votre réseau sur site et l' AWS environnement.
+ Amazon VPC peering AWS Transit Gateway, ou AWS Cloud WAN pour la connectivité réseau de couche 3 entre les deux. VPCs (Cette connectivité est requise pour le trafic des applications. Elle n'est pas requise pour que la résolution DNS fonctionne. La résolution DNS fonctionne indépendamment de la connectivité réseau entre les VPCs.)
+ Serveurs DNS exécutés dans l'environnement sur site.
**Limites**
+ Les points de terminaison, les règles et les profils du résolveur Route 53 sont des constructions régionales qui peuvent nécessiter une réplication multiple Régions AWS pour les organisations internationales.
+ Pour une liste complète des quotas de service pour Route 53 Resolver, les zones hébergées privées et les profils, consultez la section [Quotas](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/DNSLimitations.html) dans la documentation Route 53.
## Architecture
**Pile technologique cible**
+ Points de terminaison sortants et entrants de Route 53
+ Règles du résolveur Route 53 pour le transfert conditionnel
+ AWS Resource Access Manager (AWS RAM)
+ Zone hébergée privée Route 53
**Architecture cible**
**Points de terminaison sortants et entrants**
Le schéma suivant montre le flux de résolution DNS entre AWS et sur site. Il s'agit de la configuration de connectivité pour les résolutions sortantes où le domaine est hébergé sur site. Voici un aperçu général du processus impliqué dans sa mise en place. Pour plus de détails, consultez la section [Epics](#set-up-dns-resolution-for-hybrid-networks-in-a-multi-account-aws-environment-epics).
1. Déployez les points de terminaison du résolveur Route 53 sortants dans le VPC Shared Services.
1. Créez des règles Route 53 Resolver (règles de transfert) dans le compte Shared Services pour les domaines hébergés sur site.
1. Partagez et associez les règles VPCs à d'autres comptes hébergeant des ressources qui ont besoin de résoudre des domaines hébergés sur site. Cela peut être fait de différentes manières en fonction de votre cas d'utilisation, comme décrit plus loin dans cette section.
![\[Points de terminaison entrants et sortants d'un flux de résolution DNS AWS vers un serveur local.\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/images/pattern-img/01e700cd-be8c-4a5d-bc89-b901a260d045/images/d69d4cad-5e2c-4481-9370-2708e8a4f8c1.png)
Après avoir configuré la connectivité, les étapes nécessaires à la résolution des problèmes sortants sont les suivantes :
1. L'instance Amazon Elastic Compute Cloud (Amazon EC2) envoie une demande de résolution DNS `db.onprem.example.com` au résolveur Route 53 du VPC à l'adresse VPC\$12.
1. Route 53 Resolver vérifie les règles du résolveur et transmet la demande au serveur DNS local en IPs utilisant le point de terminaison sortant.
1. Le point de terminaison sortant transmet la demande au DNS local. IPs Le trafic passe par la connectivité réseau hybride établie entre le VPC Shared Services et le centre de données sur site.
1. Le serveur DNS local répond au point de terminaison sortant, qui transmet ensuite la réponse au résolveur Route 53 du VPC. Le résolveur renvoie la réponse à l' EC2 instance.
Le schéma suivant montre le flux de résolution DNS entre l'environnement sur site et. AWS Il s'agit de la configuration de connectivité pour les résolutions entrantes sur AWS lesquelles le domaine est hébergé. Voici un aperçu général du processus impliqué dans sa mise en place. Pour plus de détails, consultez la section [Epics](#set-up-dns-resolution-for-hybrid-networks-in-a-multi-account-aws-environment-epics).
1. Déployez les points de terminaison du résolveur entrants dans le VPC Shared Services.
1. Créez des zones hébergées privées dans le compte Shared Services (approche centralisée).
1. Associez les zones hébergées privées au VPC Shared Services. Partagez et associez ces zones à des comptes multiples VPCs pour la résolution VPC-to-VPC DNS. Cela peut être fait de différentes manières en fonction de votre cas d'utilisation, comme décrit plus loin dans cette section.
![\[Points de terminaison entrants et sortants dans un flux de résolution DNS sur site vers AWS.\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/images/pattern-img/01e700cd-be8c-4a5d-bc89-b901a260d045/images/a6f5348c-2041-453e-8939-2b4ee0b7ebd8.png)
Après avoir configuré la connectivité, les étapes impliquées dans la résolution entrante sont les suivantes :
1. La ressource locale envoie une demande de résolution DNS `ec2.prod.aws.example.com` au serveur DNS local.
1. Le serveur DNS local transmet la demande au point de terminaison du résolveur entrant dans le VPC Shared Services via la connexion réseau hybride.
1. Le point de terminaison du résolveur entrant recherche la demande dans la zone hébergée privée associée à l'aide du résolveur VPC Route 53 et obtient l'adresse IP appropriée.
1. Ces adresses IP sont renvoyées au serveur DNS local, qui renvoie la réponse à la ressource locale.
Cette configuration permet aux ressources locales de résoudre les noms de domaine AWS privés en acheminant les requêtes via les points de terminaison entrants vers la zone hébergée privée appropriée. Dans cette architecture, les zones hébergées privées sont centralisées dans un VPC Shared Services, ce qui permet à une seule équipe de gérer le DNS de manière centralisée. Ces zones peuvent être associées à de nombreuses zones VPCs pour répondre au cas d'utilisation de la résolution VPC-to-VPC DNS. Vous pouvez également déléguer la propriété et la gestion du domaine DNS à chacun d'entre eux Compte AWS. Dans ce cas, chaque compte gère ses propres zones hébergées privées et associe chaque zone au VPC Shared Services central pour une résolution unifiée avec l'environnement sur site. Cette approche décentralisée n'entre pas dans le cadre de ce modèle. Pour plus d'informations, consultez la section [Étendre la gestion du DNS sur plusieurs comptes et VPCs](https://docs.aws.amazon.com/whitepapers/latest/hybrid-cloud-dns-options-for-vpc/scaling-dns-management-across-multiple-accounts-and-vpcs.html) dans le livre *blanc sur les options DNS du cloud hybride pour Amazon VPC*.
Lorsque vous établissez les flux de résolution DNS fondamentaux à l'aide des points de terminaison du résolveur, vous devez déterminer comment gérer le partage et l'association des règles du résolveur et des zones hébergées privées dans votre environnement. Comptes AWS Vous pouvez aborder cette question de deux manières : par le biais d'un partage autogéré en utilisant AWS RAM pour partager les règles du résolveur et les associations directes de zones hébergées privées, comme indiqué dans la section *Configuration de base*, ou via les profils Route 53, comme indiqué dans la section *Configuration améliorée*. Le choix dépend des préférences de gestion du DNS et des exigences opérationnelles de votre organisation. Les diagrammes d'architecture suivants illustrent un environnement évolutif qui inclut plusieurs comptes VPCs différents, ce qui représente un déploiement d'entreprise typique.
**Configuration de base**
Dans la configuration de base, la mise en œuvre de la résolution DNS hybride dans un AWS environnement multi-comptes consiste AWS RAM à partager les règles de transfert du résolveur et les associations de zones hébergées privées afin de gérer les requêtes DNS entre les sites locaux et les ressources. AWS Cette méthode utilise des points de terminaison Route 53 Resolver centralisés dans un VPC Shared Services connecté à votre réseau local pour gérer efficacement la résolution DNS entrante et sortante.
+ Pour la résolution sortante, les règles de transfert du résolveur sont créées dans le compte Shared Services, puis partagées avec d'autres utilisateurs à l'aide Comptes AWS de. AWS RAM Ce partage est limité aux comptes d'une même région. Les comptes cibles peuvent ensuite associer ces règles à leurs propres règles VPCs et activer les ressources qu'ils contiennent VPCs pour résoudre les noms de domaine locaux.
+ Pour la résolution entrante, des zones hébergées privées sont créées dans le compte Shared Services et associées au VPC Shared Services. Ces zones peuvent ensuite être associées VPCs à d'autres comptes à l'aide de l'API Route 53 ou du AWS Command Line Interface (AWS CLI). AWS SDKs Les ressources associées VPCs peuvent ensuite résoudre les enregistrements DNS définis dans les zones hébergées privées, ce qui crée une vue DNS unifiée de votre AWS environnement.
Le schéma suivant montre les flux de résolution DNS dans cette configuration de base.
![\[Utilisation d'une configuration de base pour la résolution DNS hybride dans un environnement AWS multi-comptes.\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/images/pattern-img/01e700cd-be8c-4a5d-bc89-b901a260d045/images/258e4bcd-e9c6-43b5-bab8-856ca22206b9.png)
Cette configuration fonctionne bien lorsque vous travaillez avec une infrastructure DNS à une échelle limitée. Cependant, cela peut devenir difficile à gérer au fur et à mesure que votre environnement se développe. La charge opérationnelle liée à la gestion de la manière dont les règles des zones hébergées privées et du résolveur sont partagées et associées VPCs individuellement augmente considérablement avec l'échelle. En outre, les quotas de service tels que la limite d'association de 300 VPC par zone hébergée privée peuvent devenir des facteurs contraignants dans les déploiements à grande échelle. La configuration améliorée permet de relever ces défis.
**Configuration améliorée**
Les profils Route 53 offrent une solution rationalisée pour gérer la résolution DNS dans les réseaux hybrides sur plusieurs réseaux Comptes AWS. Au lieu de gérer les zones hébergées privées et les règles du résolveur individuellement, vous pouvez regrouper les configurations DNS dans un seul conteneur qui peut être facilement partagé et appliqué à plusieurs VPCs comptes dans une région. Cette configuration maintient l'architecture centralisée du point de terminaison Resolver dans un VPC Shared Services tout en simplifiant considérablement la gestion des configurations DNS.
Le schéma suivant montre les flux de résolution DNS dans une configuration améliorée.
![\[Utilisation d'une configuration avancée avec les profils Route 53 pour la résolution DNS hybride dans un environnement AWS multi-comptes.\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/images/pattern-img/01e700cd-be8c-4a5d-bc89-b901a260d045/images/55b9681d-ddb4-4a55-b4ec-fc9afa9870fa.png)
Les profils Route 53 vous permettent de regrouper les associations de zones hébergées privées, les règles de transfert du résolveur et les règles de pare-feu DNS dans une seule unité partageable. Vous pouvez créer des profils dans le compte Shared Services et les partager avec les comptes des membres en utilisant AWS RAM. Lorsqu'un profil est partagé et appliqué à Target VPCs, toutes les associations et configurations nécessaires sont automatiquement gérées par le service. Cela réduit considérablement les frais opérationnels liés à la gestion du DNS et offre une excellente évolutivité pour les environnements en pleine croissance.
**Automatisation et mise à l'échelle**
Utilisez des outils d'infrastructure en tant que code (IaC) tels que CloudFormation Terraform pour provisionner et gérer automatiquement les points de terminaison, les règles, les zones hébergées privées et les profils du résolveur Route 53. Intégrez la configuration DNS à des pipelines d'intégration continue et de livraison continue (CI/CD) pour garantir la cohérence, la répétabilité et des mises à jour rapides.
## Outils
**Services AWS**
+ [AWS Resource Access Manager (AWS RAM)](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) vous permet de partager vos ressources en toute sécurité afin Comptes AWS de réduire les frais opérationnels et de garantir visibilité et auditabilité.
+ [Amazon Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver.html)répond de manière récursive aux requêtes DNS provenant AWS des ressources et est disponible par défaut dans tous les VPCs domaines. Vous pouvez créer des points de terminaison Resolver et des règles de transfert conditionnel pour résoudre les espaces de noms DNS entre votre centre de données sur site et votre. VPCs
+ La [zone hébergée privée Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zones-private.html) est un conteneur qui contient des informations sur la manière dont vous souhaitez que Route 53 réponde aux requêtes DNS pour un domaine et ses sous-domaines.
+ [Les profils Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/profiles.html) vous permettent d'appliquer et de gérer de manière simplifiée des configurations Route 53 liées au DNS dans de nombreuses VPCs configurations différentes Comptes AWS .
## Bonnes pratiques
Cette section fournit certaines des meilleures pratiques pour optimiser Route 53 Resolver. Elles représentent un sous-ensemble des meilleures pratiques de Route 53. Pour obtenir une liste complète, consultez la section [Meilleures pratiques pour Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/best-practices.html).
**Évitez les configurations en boucle avec les points de terminaison du résolveur**
+ Concevez votre architecture DNS de manière à empêcher le routage récursif en planifiant soigneusement les associations VPC. Lorsqu'un VPC héberge un point de terminaison entrant, évitez de l'associer à des règles de résolution susceptibles de créer des références circulaires.
+ Utilisez-le de AWS RAM manière stratégique lorsque vous partagez des ressources DNS entre des comptes afin de maintenir des chemins de routage propres.
Pour plus d'informations, consultez la section [Éviter les configurations de boucle avec les points de terminaison du résolveur](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/best-practices-resolver-endpoints.html) dans la documentation Route 53.
**Points de terminaison Scale Resolver**
+ Pour les environnements qui nécessitent un nombre élevé de requêtes par seconde (QPS), sachez qu'il existe une limite de 10 000 QPS par ENI dans un point de terminaison. Il est ENIs possible d'en ajouter d'autres à un point de terminaison pour dimensionner le DNS QPS.
+ Amazon CloudWatch fournit `InboundQueryVolume` et fournit `OutboundQueryVolume` des statistiques (voir la [CloudWatch documentation](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/monitoring-resolver-with-cloudwatch.html)). Nous vous recommandons de configurer des règles de surveillance qui vous alertent si le seuil dépasse une certaine valeur (par exemple, 80 % de 10 000 QPS).
+ Configurez des règles de groupe de sécurité dynamiques pour les points de terminaison du résolveur afin d'éviter que les limites de suivi des connexions n'entraînent une limitation des requêtes DNS en cas de trafic élevé. Pour en savoir plus sur le fonctionnement du suivi des connexions dans les groupes de sécurité, consultez la section [Suivi des connexions des groupes de EC2 sécurité Amazon](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html) dans la EC2 documentation Amazon.
Pour plus d'informations, consultez la section [Resolver Endpoint Scaling](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/best-practices-resolver-endpoint-scaling.html) dans la documentation de Route 53.
**Offrez une haute disponibilité aux points de terminaison Resolver**
+ Créez des points de terminaison entrants avec des adresses IP dans au moins deux zones de disponibilité à des fins de redondance.
+ Fournissez des interfaces réseau supplémentaires pour garantir la disponibilité pendant la maintenance ou les pics de trafic.
Pour plus d'informations, consultez la section [Haute disponibilité pour les points de terminaison du résolveur](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/best-practices-resolver-endpoint-high-availability.html) dans la documentation Route 53.
## Épopées
### Déployer les points de terminaison Route 53 Resolver
| Sous-tâche | Description | Compétences requises |
| --- | --- | --- |
| Déployez un point de terminaison entrant. | Route 53 Resolver utilise le point de terminaison entrant pour recevoir les requêtes DNS des résolveurs DNS locaux. Pour obtenir des instructions, consultez la section [Transférer des requêtes DNS entrantes vers votre VPCs ](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-forwarding-inbound-queries.html) adresse dans la documentation de Route 53. Notez l'adresse IP du point de terminaison entrant. | Administrateur AWS, administrateur du cloud |
| Déployez un point de terminaison sortant. | Route 53 Resolver utilise le point de terminaison sortant pour envoyer des requêtes DNS aux résolveurs DNS locaux. Pour obtenir des instructions, consultez la section [Transfert de requêtes DNS sortantes vers votre réseau](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-forwarding-outbound-queries.html) dans la documentation Route 53. Notez l'ID du point de terminaison de sortie. | Administrateur AWS, administrateur du cloud |
### Configurer et partager les zones hébergées privées Route 53
| Sous-tâche | Description | Compétences requises |
| --- | --- | --- |
| Créez une zone hébergée privée pour un domaine hébergé sur AWS. | Cette zone contient les enregistrements DNS pour les ressources d'un domaine AWS hébergé (par exemple,`prod.aws.example.com`) qui doivent être résolues à partir de l'environnement sur site. Pour obtenir des instructions, consultez [la section Création d'une zone hébergée privée](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zone-private-creating.html) dans la documentation de Route 53.Lorsque vous créez une zone hébergée privée, vous devez associer un VPC à la zone hébergée appartenant au même compte. Sélectionnez le VPC Shared Services à cette fin. | Administrateur AWS, administrateur du cloud |
| Configuration de base : associez la zone hébergée privée VPCs à d'autres comptes. | Si vous utilisez une configuration de base (voir la section [Architecture](#set-up-dns-resolution-for-hybrid-networks-in-a-multi-account-aws-environment-architecture)) :Pour permettre aux ressources du compte membre de VPCs résoudre les enregistrements DNS dans cette zone hébergée privée, vous devez VPCs associer votre compte à la zone hébergée. Vous devez autoriser l'association, puis la créer par programmation. Pour obtenir des instructions, consultez la section [Association d'un Amazon VPC et d'une zone hébergée privée que vous avez créée avec une méthode différente Comptes AWS](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zone-private-associate-vpcs-different-accounts.html) dans la documentation de Route 53. | Administrateur AWS, administrateur du cloud |
| Configuration améliorée : configurez et partagez les profils Route 53. | Si vous utilisez une configuration améliorée (voir la section [Architecture](#set-up-dns-resolution-for-hybrid-networks-in-a-multi-account-aws-environment-architecture)) :[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/set-up-dns-resolution-for-hybrid-networks-in-a-multi-account-aws-environment.html)En fonction de la structure de votre organisation et des exigences en matière de DNS, vous devrez peut-être créer et gérer plusieurs profils pour différents comptes ou charges de travail. | Administrateur AWS, administrateur du cloud |
### Configurer et partager les règles de transfert du résolveur Route 53
| Sous-tâche | Description | Compétences requises |
| --- | --- | --- |
| Créez une règle de transfert pour un domaine hébergé sur site. | Cette règle indiquera à Route 53 Resolver de transférer toutes les requêtes DNS pour les domaines locaux (tels que`onprem.example.com`) aux résolveurs DNS locaux. Pour créer cette règle, vous avez besoin des adresses IP des résolveurs DNS locaux et de l'ID du point de terminaison sortant. Pour obtenir des instructions, consultez [la section Création de règles de transfert](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-rules-managing-creating-rules.html) dans la documentation Route 53. | Administrateur AWS, administrateur du cloud |
| Configuration de base : partagez et associez la règle de transfert à celle que vous VPCs avez dans d'autres comptes. | Si vous utilisez la configuration de base :Pour que la règle de transfert entre en vigueur, vous devez la partager et l'associer VPCs à vos autres comptes. Route 53 Resolver prend ensuite la règle en considération lorsqu'il résout un domaine. Pour obtenir des instructions, consultez les [sections Partage des règles du résolveur avec d'autres utilisateurs Comptes AWS et utilisation de règles partagées](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-rules-managing-sharing.html) et [Association de règles de transfert à un VPC](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-rules-managing-associating-rules.html) dans la documentation de Route 53. | Administrateur AWS, administrateur du cloud |
| Configuration améliorée : configurez et partagez les profils Route 53. | Si vous utilisez la configuration améliorée :[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/set-up-dns-resolution-for-hybrid-networks-in-a-multi-account-aws-environment.html)En fonction de la structure de votre organisation et des exigences en matière de DNS, vous devrez peut-être créer et gérer plusieurs profils pour différents comptes ou charges de travail. | Administrateur AWS, administrateur du cloud |
### Configurer des résolveurs DNS locaux pour l'intégration AWS
| Sous-tâche | Description | Compétences requises |
| --- | --- | --- |
| Configurez le transfert conditionnel dans les résolveurs DNS locaux. | Pour que les requêtes DNS soient envoyées AWS depuis l'environnement local à des fins de résolution, vous devez configurer le transfert conditionnel dans les résolveurs DNS locaux pour qu'il pointe vers l'adresse IP du point de terminaison entrant. Cela indique aux résolveurs DNS de transférer toutes les requêtes DNS pour le domaine AWS hébergé (par exemple, pour`prod.aws.example.com`) à l'adresse IP du point de terminaison entrant pour résolution par Route 53 Resolver. | Administrateur réseau |
### Vérifier la résolution end-to-end DNS dans un environnement hybride
| Sous-tâche | Description | Compétences requises |
| --- | --- | --- |
| Testez la résolution DNS depuis AWS l'environnement sur site. | À partir d'une instance d'un VPC à laquelle la règle de transfert est associée, effectuez une requête DNS pour un domaine hébergé sur site (par exemple, pour). `db.onprem.example.com` | Administrateur réseau |
| Testez la résolution DNS depuis l'environnement sur site vers AWS. | À partir d'un serveur local, effectuez une résolution DNS pour un domaine AWS hébergé (par exemple, pour`ec2.prod.aws.example.com`). | Administrateur réseau |
## Ressources connexes
+ [Options DNS dans le cloud hybride pour Amazon VPC (livre blanc](https://docs.aws.amazon.com/whitepapers/latest/hybrid-cloud-dns-options-for-vpc/hybrid-cloud-dns-options-for-vpc.html))AWS
+ [Utilisation de zones hébergées privées](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zones-private.html) (documentation Route 53)
+ [Commencer à utiliser Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-getting-started.html) (documentation Route 53)
+ [Simplifiez la gestion du DNS dans un environnement multi-comptes avec Route 53 Resolver](https://aws.amazon.com/blogs/security/simplify-dns-management-in-a-multiaccount-environment-with-route-53-resolver/) (AWS article de blog)
+ [Unifiez la gestion du DNS à l'aide de profils Amazon Route 53 avec plusieurs VPCs et Comptes AWS](https://aws.amazon.com/blogs/aws/unify-dns-management-using-amazon-route-53-profiles-with-multiple-vpcs-and-aws-accounts/) (article de AWS blog)
+ [Migration de votre environnement DNS multi-comptes vers les profils Amazon Route 53](https://aws.amazon.com/blogs/networking-and-content-delivery/migrating-your-multi-account-dns-environment-to-amazon-route-53-profiles/) (AWS article de blog)
+ [Utilisation des profils Amazon Route 53 pour des AWS environnements multi-comptes évolutifs](https://aws.amazon.com/blogs/networking-and-content-delivery/using-amazon-route-53-profiles-for-scalable-multi-account-aws-environments/) (article de AWS blog)
# Vérifiez que les équilibreurs de charge ELB nécessitent une terminaison TLS
*Priyanka Chaudhary, Amazon Web Services*
## Résumé
Sur le cloud Amazon Web Services (AWS), Elastic Load Balancing (ELB) distribue automatiquement le trafic applicatif entrant sur plusieurs cibles, telles que les instances Amazon Elastic Compute Cloud (Amazon EC2), les conteneurs, les adresses IP et les fonctions AWS Lambda. Les équilibreurs de charge utilisent des écouteurs pour définir les ports et les protocoles utilisés par l'équilibreur de charge pour accepter le trafic provenant des utilisateurs. Les équilibreurs de charge d'application prennent les décisions de routage au niveau de la couche application et utilisent les HTTP/HTTPS protocoles. Les équilibreurs de charge classiques prennent les décisions de routage soit au niveau de la couche transport, en utilisant les protocoles TCP ou SSL (Secure Sockets Layer), soit au niveau de la couche application, en utilisant HTTP/HTTPS.
Ce modèle fournit un contrôle de sécurité qui examine plusieurs types d'événements pour les équilibreurs de charge d'application et les équilibreurs de charge classiques. Lorsque la fonction est invoquée, AWS Lambda inspecte l'événement et s'assure que l'équilibreur de charge est conforme.
La fonction lance un événement Amazon CloudWatch Events sur les appels d'API suivants : [CreateLoadBalancer[CreateLoadBalancerListeners](https://docs.aws.amazon.com/elasticloadbalancing/2012-06-01/APIReference/API_CreateLoadBalancerListeners.html)](https://docs.aws.amazon.com/elasticloadbalancing/2012-06-01/APIReference/API_CreateLoadBalancer.html), [DeleteLoadBalancerListeners](https://docs.aws.amazon.com/elasticloadbalancing/2012-06-01/APIReference/API_DeleteLoadBalancerListeners.html), [CreateLoadBalancerPolicy](https://docs.aws.amazon.com/elasticloadbalancing/2012-06-01/APIReference/API_CreateLoadBalancerPolicy.html), [SetLoadBalancerPoliciesOfListener](https://docs.aws.amazon.com/elasticloadbalancing/2012-06-01/APIReference/API_SetLoadBalancerPoliciesOfListener.html), [CreateListener[DeleteListener](https://docs.aws.amazon.com/elasticloadbalancing/latest/APIReference/API_DeleteListener.html)](https://docs.aws.amazon.com/elasticloadbalancing/latest/APIReference/API_CreateListener.html), et [ModifyListener](https://docs.aws.amazon.com/elasticloadbalancing/latest/APIReference/API_ModifyListener.html). Lorsque l'événement détecte l'un d'entre eux APIs, il appelle AWS Lambda, qui exécute un script Python. Le script Python évalue si l'écouteur contient un certificat SSL et si la politique appliquée utilise le protocole TLS (Transport Layer Security). S'il est déterminé que la politique SSL est autre chose que TLS, la fonction envoie une notification Amazon Simple Notification Service (Amazon SNS) à l'utilisateur avec les informations pertinentes.
## Conditions préalables et limitations
**Conditions préalables**
+ Un compte AWS actif
**Limites**
+ Ce contrôle de sécurité ne vérifie pas les équilibreurs de charge existants, à moins qu'une mise à jour ne soit apportée aux écouteurs des équilibreurs de charge.
+ Ce contrôle de sécurité est régional. Vous devez le déployer dans chaque région AWS que vous souhaitez surveiller.
## Architecture
**Architecture cible**
![\[S'assurer que les équilibreurs de charge nécessitent une terminaison TLS.\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/images/pattern-img/da99cda2-ac34-4791-a2bd-d37264d8d3d9/images/af92b3c8-32bb-45eb-a2a8-d8276fb3e824.png)
**Automatisation et mise à l'échelle**
+ Si vous utilisez [AWS Organizations](https://aws.amazon.com/organizations/), vous pouvez utiliser [AWS Cloudformation StackSets](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html) pour déployer ce modèle sur plusieurs comptes que vous souhaitez surveiller.
## Outils
**Services AWS**
+ [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html) — AWS vous CloudFormation aide à modéliser et à configurer vos ressources AWS, à les approvisionner rapidement et de manière cohérente, et à les gérer tout au long de leur cycle de vie. Vous pouvez utiliser un modèle pour décrire vos ressources et leurs dépendances, puis les lancer et les configurer ensemble sous forme de pile, au lieu de gérer les ressources individuellement.
+ [Amazon CloudWatch Events](https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/WhatIsCloudWatchEvents.html) — Amazon CloudWatch Events fournit un flux quasi en temps réel d'événements système décrivant les modifications apportées aux ressources AWS.
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) — AWS Lambda est un service de calcul qui prend en charge l'exécution de code sans provisionner ni gérer de serveurs.
+ [Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/Welcome.html) — Amazon Simple Storage Service (Amazon S3) est un service de stockage d'objets hautement évolutif qui peut être utilisé pour un large éventail de solutions de stockage, notamment les sites Web, les applications mobiles, les sauvegardes et les lacs de données.
+ [Amazon SNS —](https://docs.aws.amazon.com/sns/latest/dg/welcome.html) Amazon Simple Notification Service (Amazon SNS) coordonne et gère la distribution ou l'envoi de messages entre les éditeurs et les clients, y compris les serveurs Web et les adresses e-mail. Les abonnés reçoivent tous les messages publiés dans les rubriques auxquelles ils sont abonnés, et tous les abonnés à une rubrique reçoivent les mêmes messages.
**Code**
Ce modèle inclut les pièces jointes suivantes :
+ `ELBRequirestlstermination.zip`— Le code Lambda pour le contrôle de sécurité.
+ `ELBRequirestlstermination.yml`— Le CloudFormation modèle qui définit l'événement et la fonction Lambda.
## Épopées
### Configuration du compartiment S3
| Sous-tâche | Description | Compétences requises |
| --- | --- | --- |
| Définissez le compartiment S3. | Sur la [console Amazon S3](https://console.aws.amazon.com/s3/), choisissez ou créez un compartiment S3 pour héberger le fichier .zip de code Lambda. Ce compartiment S3 doit se trouver dans la même région AWS que l'équilibreur de charge que vous souhaitez évaluer. Le nom d'un compartiment S3 est unique au monde et l'espace de noms est partagé par tous les comptes AWS. Le nom du compartiment S3 ne peut pas inclure de barres obliques en tête. | Architecte du cloud |
| Téléchargez le code Lambda. | Téléchargez le code Lambda (`ELBRequirestlstermination.zip`fichier) fourni dans la section *Pièces jointes* dans le compartiment S3. | Architecte du cloud |
### Déployer le CloudFormation modèle
| Sous-tâche | Description | Compétences requises |
| --- | --- | --- |
| Lancez le CloudFormation modèle AWS. | Ouvrez la [ CloudFormation console AWS](https://console.aws.amazon.com/cloudformation/) dans la même région AWS que votre compartiment S3 et déployez le modèle joint`ELBRequirestlstermination.yml`. Pour plus d'informations sur le déploiement de CloudFormation modèles AWS, consultez la section [Création d'une pile sur la CloudFormation console AWS](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html) dans la CloudFormation documentation. | Architecte du cloud |
| Complétez les paramètres du modèle. | Lorsque vous lancez le modèle, les informations suivantes vous sont demandées :[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/verify-that-elb-load-balancers-require-tls-termination.html) | Architecte du cloud |
### Confirmer l'abonnement.
| Sous-tâche | Description | Compétences requises |
| --- | --- | --- |
| Confirmez votre abonnement. | Lorsque le CloudFormation modèle est déployé avec succès, il envoie un e-mail d'abonnement à l'adresse e-mail que vous avez fournie. Vous devez confirmer cet abonnement par e-mail pour commencer à recevoir des notifications de violation. | Architecte du cloud |
## Ressources connexes
+ [Création d'une pile sur la CloudFormation console AWS](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html) ( CloudFormation documentation AWS)
+ [Qu'est-ce qu'AWS Lambda ?](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) (documentation AWS Lambda)
+ [Qu'est-ce qu'un équilibreur de charge Classic Load Balancer ?](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/introduction.html) (documentation de l'ELB)
+ [Qu’est-ce qu’un équilibreur de charge Application Load Balancer ?](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/introduction.html) (documentation de l'ELB)
## Pièces jointes
[Pour accéder au contenu supplémentaire associé à ce document, décompressez le fichier suivant : attachment.zip](samples/p-attach/da99cda2-ac34-4791-a2bd-d37264d8d3d9/attachments/attachment.zip)
# Consultez les journaux et les statistiques d'AWS Network Firewall à l'aide de Splunk
*Ivo Pinto, Amazon Web Services*
## Résumé
De nombreuses organisations utilisent [Splunk Enterprise](https://www.splunk.com/en_us/products/splunk-enterprise.html) comme outil centralisé d'agrégation et de visualisation pour les journaux et les métriques provenant de différentes sources. Ce modèle vous permet de configurer Splunk pour récupérer les journaux et les métriques d'[AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html) depuis [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) à l'aide du module complémentaire Splunk pour AWS.
Pour ce faire, vous créez un rôle AWS Identity and Access Management (IAM) en lecture seule. Le module complémentaire Splunk pour AWS utilise ce rôle pour accéder CloudWatch. Vous configurez le module complémentaire Splunk pour AWS afin de récupérer les métriques et les journaux. CloudWatch Enfin, vous créez des visualisations dans Splunk à partir des données de journal et des métriques récupérées.
## Conditions préalables et limitations
**Conditions préalables**
+ Un [compte Splunk](https://www.splunk.com/)
+ Une instance Splunk Enterprise, version 8.2.2 ou ultérieure
+ Un compte AWS actif
+ Network Firewall, [configuré](https://docs.aws.amazon.com/network-firewall/latest/developerguide/getting-started.html) et [configuré pour](https://docs.aws.amazon.com/network-firewall/latest/developerguide/logging-cw-logs.html) envoyer des CloudWatch journaux à Logs
**Limites**
+ Splunk Enterprise doit être déployé sous la forme d'un cluster d'instances Amazon Elastic Compute Cloud (Amazon EC2) dans le cloud AWS.
+ La collecte de données à l'aide d'un rôle IAM découvert automatiquement pour Amazon EC2 n'est pas prise en charge dans les régions AWS Chine.
## Architecture
![\[Architecture de journalisation de Splunk et d'AWS Network Firewall\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/images/pattern-img/c6ce254a-841f-4bed-8f9f-b35e99f22e56/images/3dd420e9-70af-4a42-b24d-c54872c55e0b.png)
Le diagramme illustre les éléments suivants :
1. Network Firewall publie les journaux dans CloudWatch Logs.
1. Splunk Enterprise extrait les métriques et les journaux à partir de. CloudWatch
Pour renseigner des exemples de métriques et de journaux dans cette architecture, une charge de travail génère du trafic qui passe par le point de terminaison Network Firewall pour accéder à Internet. Ceci est réalisé grâce à l'utilisation de [tables de routage](https://docs.aws.amazon.com/network-firewall/latest/developerguide/vpc-config.html#vpc-config-route-tables). Bien que ce modèle utilise une seule instance Amazon EC2 comme charge de travail, il peut s'appliquer à n'importe quelle architecture tant que Network Firewall est configuré pour envoyer des journaux à CloudWatch Logs.
Cette architecture utilise également une instance Splunk Enterprise dans un autre cloud privé virtuel (VPC). Cependant, l'instance Splunk peut se trouver dans un autre emplacement, par exemple dans le même VPC que la charge de travail, à condition qu'elle puisse atteindre le. CloudWatch APIs
## Outils
**Services AWS**
+ [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) vous aide à centraliser les journaux de tous vos systèmes, applications et services AWS afin que vous puissiez les surveiller et les archiver en toute sécurité.
+ [Amazon Elastic Compute Cloud (Amazon EC2](https://docs.aws.amazon.com/ec2/)) fournit une capacité de calcul évolutive dans le cloud AWS. Vous pouvez lancer autant de serveurs virtuels que vous le souhaitez et les augmenter ou les diminuer rapidement.
+ [AWS Network Firewall est un pare-feu réseau](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html) dynamique et géré, ainsi qu'un service de détection et de prévention des intrusions VPCs destiné au cloud AWS.
**Autres outils**
+ [Splunk](https://www.splunk.com/) vous aide à surveiller, à visualiser et à analyser les données des journaux.
## Épopées
### Créer un rôle IAM
| Sous-tâche | Description | Compétences requises |
| --- | --- | --- |
| Créez la politique IAM. | Suivez les instructions de la section [Création de politiques à l'aide de l'éditeur JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html#access_policies_create-json-editor) pour créer la politique IAM qui accorde un accès en lecture seule aux données et aux métriques CloudWatch des journaux. CloudWatch Collez le politique suivante dans l’éditeur JSON.{
"Statement": [
{
"Action": [
"cloudwatch:List*",
"cloudwatch:Get*",
"network-firewall:List*",
"logs:Describe*",
"logs:Get*",
"logs:List*",
"logs:StartQuery",
"logs:StopQuery",
"logs:TestMetricFilter",
"logs:FilterLogEvents",
"network-firewall:Describe*"
],
"Effect": "Allow",
"Resource": "*"
}
],
"Version": "2012-10-17"
} | Administrateur AWS |
| Créez un nouveau rôle IAM. | Suivez les instructions de la [section Création d'un rôle pour déléguer des autorisations à un service AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) afin de créer le rôle IAM auquel le module complémentaire Splunk pour AWS utilise pour accéder. CloudWatch Pour **les politiques d'autorisations**, choisissez la politique que vous avez créée précédemment. | Administrateur AWS |
| Attribuez le rôle IAM aux instances EC2 du cluster Splunk. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html) | Administrateur AWS |
### Installation du module complémentaire Splunk pour AWS
| Sous-tâche | Description | Compétences requises |
| --- | --- | --- |
| Installez le module complémentaire . | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html) | Administrateur Splunk |
| Configurez les informations d'identification AWS. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html)Pour plus d'informations, consultez la section [Trouver un rôle IAM au sein de votre instance de plateforme Splunk](https://splunk.github.io/splunk-add-on-for-amazon-web-services/#Find_an_IAM_role_within_your_Splunk_platform_instance) dans la documentation Splunk. | Administrateur Splunk |
### Configurez l'accès Splunk à CloudWatch
| Sous-tâche | Description | Compétences requises |
| --- | --- | --- |
| Configurez la récupération des journaux de Network Firewall à partir de CloudWatch Logs. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html)Par défaut, Splunk récupère les données du journal toutes les 10 minutes. Il s'agit d'un paramètre configurable dans **les paramètres avancés**. Pour plus d'informations, consultez [Configurer une entrée de CloudWatch logs à l'aide de Splunk Web](https://splunk.github.io/splunk-add-on-for-amazon-web-services/#Configure_a_CloudWatch_Logs_input_using_Splunk_Web) dans la documentation Splunk. | Administrateur Splunk |
| Configurez la récupération des métriques de Network Firewall à partir de CloudWatch. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html)Par défaut, Splunk récupère les données métriques toutes les 5 minutes. Il s'agit d'un paramètre configurable dans **les paramètres avancés**. Pour plus d'informations, consultez [Configurer une CloudWatch entrée à l'aide de Splunk Web](https://splunk.github.io/splunk-add-on-for-amazon-web-services/#Configure_a_CloudWatch_input_using_Splunk_Web) dans la documentation Splunk. | Administrateur Splunk |
### Créez des visualisations Splunk à l'aide de requêtes
| Sous-tâche | Description | Compétences requises |
| --- | --- | --- |
| Consultez les principales adresses IP sources. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html) | Administrateur Splunk |
| Afficher les statistiques des paquets. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html) | Administrateur Splunk |
| Consultez les ports sources les plus utilisés. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/view-aws-network-firewall-logs-and-metrics-by-using-splunk.html) | Administrateur Splunk |
## Ressources connexes
**Documentation AWS**
+ [Création d'un rôle pour déléguer des autorisations à un service AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) (documentation IAM)
+ [Création de politiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html#access_policies_create-start) (documentation IAM)
+ [Journalisation et surveillance dans AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/logging-monitoring.html) (documentation Network Firewall)
+ [Configurations des tables de routage pour AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/route-tables.html) (documentation Network Firewall)
**Articles de blog AWS**
+ [Modèles de déploiement d'AWS Network Firewall](https://aws.amazon.com/pt/blogs/networking-and-content-delivery/deployment-models-for-aws-network-firewall/)
**AWS Marketplace**
+ [Image de machine Amazon (AMI) de Splunk Enterprise](https://aws.amazon.com/marketplace/pp/prodview-l6oos72bsyaks)
# Plus de modèles
**Topics**
+ [Accédez à un hôte bastion à l'aide du gestionnaire de session et d'Amazon EC2 Instance Connect](access-a-bastion-host-by-using-session-manager-and-amazon-ec2-instance-connect.md)
+ [Accédez à des applications de conteneur en privé sur Amazon ECS à l'aide d'AWS Fargate, d' PrivateLinkAWS et d'un Network Load Balancer](access-container-applications-privately-on-amazon-ecs-by-using-aws-fargate-aws-privatelink-and-a-network-load-balancer.md)
+ [Accédez à des applications de conteneur en privé sur Amazon ECS à l'aide d'AWS PrivateLink et d'un Network Load Balancer](access-container-applications-privately-on-amazon-ecs-by-using-aws-privatelink-and-a-network-load-balancer.md)
+ [Centralisation de la résolution DNS à l'aide AWS Managed Microsoft AD et sur site de Microsoft Active Directory](centralize-dns-resolution-by-using-aws-managed-microsoft-ad-and-on-premises-microsoft-active-directory.md)
+ [Créez un portail pour les micro-frontends en utilisant AWS Amplify Angular et Module Federation](create-amplify-micro-frontend-portal.md)
+ [Déployez une API Amazon API Gateway sur un site Web interne à l'aide de points de terminaison privés et d'un Application Load Balancer](deploy-an-amazon-api-gateway-api-on-an-internal-website-using-private-endpoints-and-an-application-load-balancer.md)
+ [Déployez des contrôles d'accès basés sur des attributs de détection pour les sous-réseaux publics en utilisant AWS Config](deploy-detective-attribute-based-access-controls-for-public-subnets-by-using-aws-config.md)
+ [Déployez des contrôles d'accès préventifs basés sur les attributs pour les sous-réseaux publics](deploy-preventative-attribute-based-access-controls-for-public-subnets.md)
+ [Activer les connexions chiffrées pour les instances de base de données PostgreSQL dans Amazon RDS](enable-encrypted-connections-for-postgresql-db-instances-in-amazon-rds.md)
+ [Étendez votre accès VRFs à AWS en utilisant AWS Transit Gateway Connect](extend-vrfs-to-aws-by-using-aws-transit-gateway-connect.md)
+ [Migrez une charge de travail F5 BIG-IP vers F5 BIG-IP VE sur le AWS Cloud](migrate-an-f5-big-ip-workload-to-f5-big-ip-ve-on-the-aws-cloud.md)
+ [Migrer les contrôleurs d'entrée NGINX lors de l'activation du mode automatique Amazon EKS](migrate-nginx-ingress-controller-eks-auto-mode.md)
+ [Préservez l'espace IP routable dans les conceptions VPC multi-comptes pour les sous-réseaux autres que les charges de travail](preserve-routable-ip-space-in-multi-account-vpc-designs-for-non-workload-subnets.md)
+ [Empêchez l'accès à Internet au niveau du compte en utilisant une politique de contrôle des services](prevent-internet-access-at-the-account-level-by-using-a-service-control-policy.md)
+ [Envoyer des alertes depuis AWS Network Firewall vers un canal Slack](send-alerts-from-aws-network-firewall-to-a-slack-channel.md)
+ [Diffusez du contenu statique dans un compartiment Amazon S3 via un VPC à l'aide d'Amazon CloudFront](serve-static-content-in-an-amazon-s3-bucket-through-a-vpc-by-using-amazon-cloudfront.md)
+ [Configurer la reprise après sinistre pour Oracle JD Edwards EnterpriseOne avec AWS Elastic Disaster Recovery](set-up-disaster-recovery-for-oracle-jd-edwards-enterpriseone-with-aws-elastic-disaster-recovery.md)
+ [Utilisez les requêtes BMC Discovery pour extraire les données de migration afin de planifier la migration](use-bmc-discovery-queries-to-extract-migration-data-for-migration-planning.md)
+ [Utilisez Network Firewall pour capturer les noms de domaine DNS à partir de l'indication du nom du serveur pour le trafic sortant](use-network-firewall-to-capture-the-dns-domain-names-from-the-server-name-indication-sni-for-outbound-traffic.md)