Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Connexions aux comptes environnementaux
Présentation
Découvrez comment créer et gérer un AWS Proton environnement dans un compte et provisionner ses ressources d'infrastructure dans un autre compte. Cela peut contribuer à améliorer la visibilité et l'efficacité à grande échelle. Les connexions aux comptes d'environnement ne prennent en charge que le provisionnement standard avec AWS CloudFormation
l'infrastructure sous forme de code.
Les informations contenues dans cette rubrique concernent les environnements configurés avec un provisionnement AWS géré. Lorsque les environnements sont configurés avec un provisionnement autogéré, AWS Proton cela ne fournit pas directement votre infrastructure. Au lieu de cela, il envoie des pull requests (PRs) à votre référentiel pour le provisionnement. Il est de votre responsabilité de vous assurer que votre code d'automatisation assume l'identité et le rôle appropriés.
Pour plus d'informations sur les méthodes de provisionnement, consultezComment AWS Proton approvisionne l'infrastructure.
Terminologie
Avec les connexions aux comptes d' AWS Proton environnement, vous pouvez créer un AWS Proton
environnement à partir d'un compte et provisionner son infrastructure sur un autre compte.
- Compte de gestion
-
Compte unique dans lequel vous créez, en tant qu'administrateur, un AWS Proton environnement qui provisionne les ressources d'infrastructure dans un autre compte d'environnement.
- Compte environnemental
-
Compte dans lequel l'infrastructure de l'environnement est provisionnée, lorsque vous créez un AWS Proton environnement dans un autre compte.
- Connexion au compte environnemental
-
Connexion bidirectionnelle sécurisée entre un compte de gestion et un compte d'environnement. Il maintient les autorisations et les autorisations, comme décrit plus en détail dans les sections suivantes.
Lorsque vous créez une connexion à un compte d'environnement dans un compte d'environnement d'une région spécifique, seuls les comptes de gestion de la même région peuvent voir et utiliser la connexion au compte d'environnement. Cela signifie que l' AWS Proton environnement créé dans le compte de gestion et l'infrastructure environnementale provisionnée dans le compte d'environnement doivent se trouver dans la même région.
Considérations relatives à la connexion aux comptes environnementaux
-
Vous avez besoin d'une connexion à un compte d'environnement pour chaque environnement que vous souhaitez provisionner dans un compte d'environnement.
-
Pour plus d'informations sur les quotas de connexion aux comptes d'environnement, consultezQuotas AWS Proton.
Identification
Dans le compte d'environnement, utilisez la console ou les balises gérées par le client AWS CLI pour afficher et gérer la connexion au compte d'environnement. AWS les balises gérées ne sont pas générées pour les connexions aux comptes d'environnement. Pour plus d’informations, consultez AWS Protonressources et balises.
Créez un environnement sur un compte et provisionnez son infrastructure sur un autre compte
Pour créer et approvisionner un environnement à partir d'un seul compte de gestion, configurez un compte d'environnement pour un environnement que vous envisagez de créer.
Commencez dans le compte d'environnement et créez une connexion.
Dans le compte d'environnement, créez un rôle de AWS Proton service limité aux seules autorisations nécessaires au provisionnement des ressources de l'infrastructure de votre environnement. Pour plus d’informations, consultez AWS Proton rôle de service pour le provisionnement à l'aide AWS CloudFormation.
Créez ensuite une demande de connexion à un compte d'environnement et envoyez-la à votre compte de gestion. Lorsque la demande est acceptée, AWS Proton vous pouvez utiliser le IAM rôle associé qui permet le provisionnement des ressources environnementales dans le compte d'environnement associé.
Dans le compte de gestion, acceptez ou refusez la connexion au compte d'environnement.
Dans le compte de gestion, acceptez ou rejetez la demande de connexion au compte d'environnement. Vous ne pouvez pas supprimer une connexion à un compte d'environnement depuis votre compte de gestion.
Si vous acceptez la demande, vous AWS Proton pouvez utiliser le IAM rôle associé qui permet le provisionnement des ressources dans le compte d'environnement associé.
Les ressources de l'infrastructure environnementale sont provisionnées dans le compte d'environnement associé. Vous pouvez uniquement accéder AWS Proton APIs à votre environnement et à ses ressources d'infrastructure et les gérer à partir de votre compte de gestion. Pour plus d’informations, consultez Création d'un environnement sur un compte et mise à disposition sur un autre compte et Mettre à jour un environnement.
Une fois que vous avez rejeté une demande, vous ne pouvez pas accepter ou utiliser la connexion au compte d'environnement rejetée.
Vous ne pouvez pas refuser la connexion d'un compte d'environnement connecté à un environnement. Pour refuser la connexion au compte d'environnement, vous devez d'abord supprimer l'environnement associé.
Dans le compte d'environnement, accédez aux ressources d'infrastructure provisionnées.
Dans le compte d'environnement, vous pouvez consulter et accéder aux ressources d'infrastructure provisionnées. Par exemple, vous pouvez utiliser CloudFormation API des actions pour surveiller et nettoyer les piles si nécessaire. Vous ne pouvez pas utiliser les AWS Proton API actions pour accéder ou gérer l' AWS Proton environnement qui a été utilisé pour approvisionner les ressources de l'infrastructure.
Dans le compte d'environnement, vous pouvez supprimer les connexions au compte d'environnement que vous avez créées dans le compte d'environnement. Vous ne pouvez ni les accepter ni les rejeter. Si vous supprimez une connexion à un compte d'environnement utilisée par un AWS Proton environnement, vous ne AWS Proton
serez pas en mesure de gérer les ressources de l'infrastructure de l'environnement tant qu'une nouvelle connexion à l'environnement n'aura pas été acceptée pour le compte d'environnement et l'environnement nommé. Vous êtes responsable du nettoyage des ressources provisionnées qui restent sans connexion à l'environnement.
Utiliser la console ou CLI pour gérer les connexions aux comptes d'environnement
Vous pouvez utiliser la console ou CLI pour créer et gérer des connexions à des comptes d'environnement.
- AWS Management Console
-
Utilisez la console pour créer une connexion à un compte d'environnement et envoyer une demande au compte de gestion, comme indiqué dans les étapes suivantes.
-
Choisissez le nom de l'environnement que vous souhaitez créer dans votre compte de gestion ou choisissez le nom d'un environnement existant qui nécessite une connexion à un compte d'environnement.
-
Dans un compte d'environnement, dans la AWS Proton
console, choisissez Connexions au compte d'environnement dans le volet de navigation.
-
Sur la page de connexions aux comptes Environment, choisissez Request to connect.
Vérifiez l'ID de compte indiqué dans l'en-tête de la page de connexion au compte Environment. Assurez-vous qu'il correspond à l'ID de compte du compte d'environnement que vous souhaitez approvisionner en environnement nommé.
-
Sur la page Demande de connexion :
-
Dans la section Se connecter au compte de gestion, entrez l'ID du compte de gestion et le nom de l'environnement que vous avez saisis à l'étape 1.
-
Dans la section Rôle environnemental, choisissez Nouveau rôle de service et crée AWS Proton automatiquement un nouveau rôle pour vous. Vous pouvez également sélectionner Rôle de service existant et le nom du rôle de service que vous avez créé précédemment.
-
(Facultatif) Dans la section Balises, choisissez Ajouter une nouvelle balise pour créer une balise gérée par le client pour la connexion à votre compte d'environnement.
-
Choisissez Request to connect.
-
Votre demande apparaît comme étant en attente dans la table des connexions de l'environnement envoyées à un compte de gestion et un modal vous indique comment accepter la demande depuis le compte de gestion.
Acceptez ou rejetez une demande de connexion à un compte d'environnement.
-
Dans un compte de gestion, dans la AWS Proton
console, choisissez Environment account connections dans le volet de navigation.
-
Sur la page Connexions au compte d'environnement, dans le tableau des demandes de connexion au compte d'environnement, choisissez la demande de connexion à l'environnement à accepter ou à rejeter.
Vérifiez l'ID de compte indiqué dans l'en-tête de la page de connexion au compte Environment. Assurez-vous qu'il correspond à l'identifiant du compte de gestion associé à la connexion au compte d'environnement à rejeter. Une fois que vous avez rejeté cette connexion au compte d'environnement, vous ne pouvez pas accepter ou utiliser la connexion au compte d'environnement rejetée.
-
Choisissez Refuser ou Accepter.
-
Si vous avez sélectionné Rejeter, le statut passe de En attente à Rejeté.
-
Si vous avez sélectionné Accepter, le statut passe de En attente à Connecté.
Supprimez une connexion à un compte d'environnement.
-
Dans un compte d'environnement, dans la AWS Proton
console, choisissez Connexions au compte d'environnement dans le volet de navigation.
Vérifiez l'ID de compte indiqué dans l'en-tête de la page de connexion au compte Environment. Assurez-vous qu'il correspond à l'identifiant du compte de gestion associé à la connexion au compte d'environnement à rejeter. Une fois que vous avez supprimé cette connexion au compte d'environnement, vous ne AWS Proton pouvez pas gérer les ressources de l'infrastructure environnementale dans le compte d'environnement. Il ne peut le gérer qu'une fois qu'une nouvelle connexion au compte d'environnement pour le compte d'environnement et l'environnement nommé a été acceptée par le compte de gestion.
-
Sur la page Connexions au compte d'environnement, dans la section Demandes envoyées pour se connecter au compte de gestion, choisissez Supprimer.
-
Une fenêtre modale vous invite à confirmer que vous souhaitez supprimer. Sélectionnez Delete (Supprimer).
- AWS CLI
-
Choisissez le nom de l'environnement que vous souhaitez créer dans votre compte de gestion ou choisissez le nom d'un environnement existant qui nécessite une connexion à un compte d'environnement.
Créez une connexion à un compte d'environnement dans un compte d'environnement.
Exécutez la commande suivante :
$ aws proton create-environment-account-connection \
--environment-name "simple-env-connected" \
--role-arn "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role" \
--management-account-id "111111111111"
Réponse :
{
"environmentAccountConnection": {
"arn": "arn:aws:proton:region-id:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"environmentAccountId": "222222222222",
"environmentName": "simple-env-connected",
"id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"lastModifiedAt": "2021-04-28T23:13:50.847000+00:00",
"managementAccountId": "111111111111",
"requestedAt": "2021-04-28T23:13:50.847000+00:00",
"roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role",
"status": "PENDING"
}
}
Acceptez ou rejetez une connexion à un compte d'environnement dans un compte de gestion, comme indiqué dans la commande et la réponse suivantes.
Si vous rejetez cette connexion au compte d'environnement, vous ne pourrez ni accepter ni utiliser la connexion au compte d'environnement rejetée.
Si vous spécifiez Rejeter, le statut passe de En attente à Rejeté.
Si vous spécifiez Accepter, le statut passe de En attente à Connecté.
Exécutez la commande suivante pour accepter la connexion au compte d'environnement :
$ aws proton accept-environment-account-connection \
--id "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
Réponse :
{
"environmentAccountConnection": {
"arn": "arn:aws:proton:region-id:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"environmentAccountId": "222222222222",
"environmentName": "simple-env-connected",
"id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"lastModifiedAt": "2021-04-28T23:15:33.486000+00:00",
"managementAccountId": "111111111111",
"requestedAt": "2021-04-28T23:13:50.847000+00:00",
"roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role",
"status": "CONNECTED"
}
}
Exécutez la commande suivante pour rejeter la connexion au compte d'environnement :
$ aws proton reject-environment-account-connection \
--id "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
Réponse :
{
"environmentAccountConnection": {
"arn": "arn:aws:proton:us-east-1:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"status": "REJECTED",
"environmentAccountId": "222222222222",
"environmentName": "simple-env-reject",
"id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"lastModifiedAt": "2021-04-28T23:13:50.847000+00:00",
"managementAccountId": "111111111111",
"requestedAt": "2021-04-28T23:13:50.847000+00:00",
"roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role"
}
}
Afficher les connexions d'un compte d'environnement. Vous pouvez obtenir ou répertorier les connexions aux comptes d'environnement.
Exécutez la commande get suivante :
$ aws proton get-environment-account-connection \
--id "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
Réponse :
{
"environmentAccountConnection": {
"arn": "arn:aws:proton:region-id:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"environmentAccountId": "222222222222",
"environmentName": "simple-env-connected",
"id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"lastModifiedAt": "2021-04-28T23:15:33.486000+00:00",
"managementAccountId": "111111111111",
"requestedAt": "2021-04-28T23:13:50.847000+00:00",
"roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role",
"status": "CONNECTED"
}
}
Supprimez une connexion à un compte d'environnement dans un compte d'environnement.
Si vous supprimez cette connexion au compte d'environnement, vous AWS Proton ne pourrez pas gérer les ressources de l'infrastructure environnementale dans le compte d'environnement tant qu'une nouvelle connexion à l'environnement n'aura pas été acceptée pour le compte d'environnement et l'environnement nommé. Vous êtes responsable du nettoyage des ressources provisionnées qui restent sans connexion à l'environnement.
Exécutez la commande suivante :
$ aws proton delete-environment-account-connection \
--id "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
Réponse :
{
"environmentAccountConnection": {
"arn": "arn:aws:proton:us-east-1:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"environmentAccountId": "222222222222",
"environmentName": "simple-env-connected",
"id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"lastModifiedAt": "2021-04-28T23:13:50.847000+00:00",
"managementAccountId": "111111111111",
"requestedAt": "2021-04-28T23:13:50.847000+00:00",
"roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role",
"status": "CONNECTED"
}
}
