Partager un groupe d'accès vérifié avec un autre Compte AWS - AWS Accès vérifié
ConsidérationsPartage de ressources

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Partager un groupe d'accès vérifié avec un autre Compte AWS

Lorsque vous partagez un groupe Verified Access dont vous êtes propriétaire avec d'autres AWS comptes, vous autorisez ces comptes à créer des points de terminaison Verified Access dans votre groupe. Le compte qui a créé le groupe d'accès vérifié dans est appelé compte propriétaire. Le compte qui utilise un groupe partagé est appelé compte client.

Le schéma suivant illustre les avantages du partage d'un groupe d'accès vérifié. L'équipe de sécurité centrale est propriétaire du compte A. Elle gère les utilisateurs et les groupes et gère les ressources d'accès vérifié nécessaires pour fournir un accès aux applications internes, telles que les fournisseurs de confiance Verified Access, les instances Verified Access, les groupes d'accès vérifié et les politiques d'accès vérifié. AWS IAM Identity Center L'équipe chargée de l'application possède le compte B. Elle gère les ressources nécessaires au fonctionnement de son application interne, telles que l'équilibreur de charge, le groupe Auto Scaling, la configuration DNS dans Amazon Route 53 et les certificats TLS émis par AWS Certificate Manager (ACM). Une fois que l'équipe de sécurité centrale a partagé un groupe d'accès vérifié avec le compte B, l'équipe chargée de l'application peut créer des points de terminaison d'accès vérifié à l'aide du groupe partagé. L'accès à l'application est autorisé ou refusé en fonction des politiques créées par l'équipe de sécurité centrale pour le groupe Verified Access.

Partage d'un groupe d'accès vérifié entre les comptes d'une organisation.

Considérations

Les considérations suivantes s'appliquent aux groupes d'accès vérifié partagés.

Propriétaires

  • Pour partager un groupe d'accès vérifié, les utilisateurs doivent disposer des autorisations suivantes : ec2:PutResourcePolicy etec2:DeleteResourcePolicy.

  • Pour partager un groupe d'accès vérifié, vous devez en être le propriétaire. Vous ne pouvez pas partager un groupe d'accès vérifié qui a été partagé avec vous.

  • Si vous activez le partage avec les comptes de votre organisation, vous pouvez partager des ressources, telles que des groupes d'accès vérifié, sans utiliser d'invitations. Dans le cas contraire, le consommateur reçoit une invitation et doit l'accepter pour accéder au groupe partagé. Pour activer le partage, depuis le compte de gestion de votre organisation, ouvrez la page Paramètres de la AWS RAM console et choisissez Activer le partage avec AWS Organizations.

  • Vous ne pouvez pas supprimer un groupe s'il existe des points de terminaison Verified Access associés. Vous pouvez consulter les points de terminaison créés par les comptes clients sur la page des points de terminaison Verified Access de votre compte. L'ID de compte du propriétaire d'un point de terminaison est reflété dans le nom de ressource Amazon (ARN) du certificat du point de terminaison.

Consommateurs

  • Pour consulter les groupes d'accès vérifié qui sont partagés avec vous, ouvrez la page des groupes d'accès vérifié dans la console ou appelez describe-verified-access-groups. L'ID de compte du propriétaire est reflété dans le champ Propriétaire et dans le nom de ressource Amazon (ARN) du groupe.

  • Lorsque vous créez un point de terminaison d'accès vérifié, vous pouvez spécifier tous les groupes d'accès vérifié qui ont été partagés avec vous.

  • Vous ne pouvez pas afficher les points de terminaison associés au groupe partagé mais qui ne vous appartiennent pas.

  • Si le propriétaire du groupe Verified Access supprime le partage de ressources, vous ne pouvez pas créer de nouveau point de terminaison Verified Access dans le groupe. Les points de terminaison Verified Access que vous avez créés avant la suppression du partage de ressources ne sont pas affectés par la suppression du partage de ressources. Toutefois, le propriétaire du groupe partagé peut supprimer vos points de terminaison.

Partage de ressources

Pour partager un groupe à accès vérifié, vous devez l'ajouter à un partage de ressources. Un partage de ressources indique les ressources à partager et les consommateurs qui peuvent utiliser les ressources partagées.

Pour partager un groupe d'accès vérifié à l'aide de la console

  1. Ouvrez la AWS RAM console dans https://console.aws.amazon.com/ram.

  2. Si vous ne disposez pas d'un partage de ressources pour votre organisation, créez-en un. Pour le directeur, vous pouvez choisir l'ensemble de votre organisation, une unité organisationnelle ou des AWS comptes spécifiques.

  3. Sélectionnez votre partage de ressources, puis choisissez Modifier.

  4. PourResources, choisissez Groupes d'accès vérifiés comme type de ressource, puis sélectionnez le groupe de ressources à partager.

  5. Choisissez Passer à : Réviser et mettre à jour.

  6. Choisissez Mettre à jour le partage de ressources.

Pour de plus amples informations, veuillez consulter Création d'un partage de ressources dans le Guide de l'utilisateur AWS RAM .