Configuration pour AWS Data Pipeline

Avant d'utiliser AWS Data Pipeline pour la première fois, effectuez les tâches suivantes.

Une fois ces tâches terminées, vous pouvez commencer à utiliser AWS Data Pipeline. Pour un didacticiel de base, voirDémarrer avec AWS Data Pipeline.

Inscrivez-vous pour AWS

Lorsque vous vous inscrivez à Amazon Web Services (AWS), votre AWS compte est automatiquement inscrit à tous les servicesAWS, y compris AWS Data Pipeline. Seuls les services que vous utilisez vous sont facturés. Pour plus d'informations sur AWS Data Pipeline taux d'utilisation, voir AWSData Pipeline.

Inscrivez-vous pour un Compte AWS

Si vous n'avez pas de Compte AWS, procédez comme suit pour en créer un.

Pour vous inscrire à un Compte AWS

1. Ouvrez l'https://portal.aws.amazon.com/billing/inscription.

2. Suivez les instructions en ligne.

   Dans le cadre de la procédure d‘inscription, vous recevrez un appel téléphonique et vous saisirez un code de vérification en utilisant le clavier numérique du téléphone.

   Lorsque vous vous inscrivez à un Compte AWS, une Utilisateur racine d'un compte AWSest créé. L'utilisateur root a accès à tous Services AWS et les ressources du compte. La meilleure pratique de sécurité consiste à attribuer un accès administratif à un utilisateur, et à utiliser uniquement l‘utilisateur racine pour effectuer les tâches nécessitant un accès utilisateur racine.

AWS vous envoie un e-mail de confirmation une fois le processus d'inscription terminé. À tout moment, vous pouvez consulter l'activité actuelle de votre compte et gérer votre compte en accédant à https://aws.amazon.com/et en choisissant Mon compte.

Création d'un utilisateur doté d'un accès administratif

Une fois que vous vous êtes inscrit à un Compte AWS, sécurisez votre Utilisateur racine d'un compte AWS, activer AWS IAM Identity Center, et créez un utilisateur administratif afin de ne pas utiliser l'utilisateur root pour les tâches quotidiennes.

Sécurisez votre Utilisateur racine d'un compte AWS

1. Connectez-vous au AWS Management Consoleen tant que propriétaire du compte en choisissant Utilisateur root et en saisissant votre Compte AWS adresse e-mail. Sur la page suivante, saisissez votre mot de passe.

   Pour obtenir de l'aide pour vous connecter à l'aide de l'utilisateur root, consultez la section Connexion en tant qu'utilisateur root dans Connexion à AWS Guide de l'utilisateur

2. Activez l'authentification multifactorielle (MFA) pour votre utilisateur root.

   Pour obtenir des instructions, voir Activer un MFA appareil virtuel pour votre Compte AWS utilisateur root (console) dans le guide de IAM l'utilisateur.

Création d'un utilisateur doté d'un accès administratif

1. Activez IAM Identity Center.

   Pour obtenir des instructions, voir Activation AWS IAM Identity Center dans le .AWS IAM Identity Center Guide de l'utilisateur

2. Dans IAM Identity Center, accordez un accès administratif à un utilisateur.

   Pour un didacticiel sur l'utilisation du Répertoire IAM Identity Center comme source d'identité, voir Configurer l'accès utilisateur avec la valeur par défaut Répertoire IAM Identity Center dans le .AWS IAM Identity Center Guide de l'utilisateur

Connexion en tant qu‘utilisateur doté d'un accès administratif

• Pour vous connecter avec votre utilisateur IAM Identity Center, utilisez l'URLidentifiant envoyé à votre adresse e-mail lorsque vous avez créé l'utilisateur IAM Identity Center.

  Pour obtenir de l'aide pour vous connecter à l'aide d'un utilisateur d'IAMIdentity Center, consultez la section Connexion au AWS portail d'accès dans le Connexion à AWS Guide de l'utilisateur

Attribution d'un accès à d'autres utilisateurs

1. Dans IAM Identity Center, créez un ensemble d'autorisations conforme à la meilleure pratique consistant à appliquer les autorisations du moindre privilège.

   Pour obtenir des instructions, voir Créer un ensemble d'autorisations dans le AWS IAM Identity Center Guide de l'utilisateur

2. Attribuez des utilisateurs à un groupe, puis attribuez un accès par authentification unique au groupe.

   Pour obtenir des instructions, voir Ajouter des groupes dans AWS IAM Identity Center Guide de l'utilisateur

Créez IAM des rôles pour AWS Data Pipeline et ressources du pipeline

AWS Data Pipeline nécessite IAM des rôles qui déterminent les autorisations pour effectuer des actions et accéder AWS ressources. Le rôle de pipeline détermine les autorisations qui AWS Data Pipeline a, et un rôle de ressource détermine les autorisations dont disposent les applications exécutées sur les ressources du pipeline, telles que EC2 les instances. Vous spécifiez ces rôles lorsque vous créez un pipeline. Même si vous ne spécifiez pas de rôle personnalisé et que vous utilisez les rôles DataPipelineDefaultRole par défautDataPipelineDefaultResourceRole, vous devez d'abord créer les rôles et joindre des politiques d'autorisation. Pour de plus amples informations, veuillez consulter Rôles IAM pour AWS Data Pipeline.

Autoriser IAM les principaux (utilisateurs et groupes) à effectuer les actions nécessaires

Pour utiliser un pipeline, un utilisateur IAM principal (un utilisateur ou un groupe) de votre compte doit être autorisé à effectuer les tâches requises AWS Data Pipeline actions et actions pour d'autres services tels que définis par votre pipeline.

Pour simplifier les autorisations, vous pouvez associer la politique FullAccess gérée AWSDataPipeline_ aux IAM principaux. Cette politique gérée permet au principal d'effectuer toutes les actions requises par un utilisateur, ainsi que l'iam:PassRoleaction sur les rôles par défaut utilisés avec AWS Data Pipeline lorsqu'aucun rôle personnalisé n'est spécifié.

Nous vous recommandons vivement d'évaluer attentivement cette politique gérée et de limiter les autorisations uniquement à celles dont vos utilisateurs ont besoin. Si nécessaire, utilisez cette politique comme point de départ, puis supprimez les autorisations pour créer une politique d'autorisations intégrée plus restrictive que vous pouvez associer aux IAM principaux. Pour plus d'informations et des exemples de politiques d'autorisation, voir Exemples de stratégies pour AWS Data Pipeline

Une déclaration de politique similaire à l'exemple suivant doit être incluse dans une politique attachée à tout IAM principal utilisant le pipeline. Cette instruction permet au IAM principal d'effectuer l'PassRoleaction sur les rôles utilisés par un pipeline. Si vous n'utilisez pas de rôles par défaut, remplacez MyPipelineRole et MyResourceRole par les rôles personnalisés que vous créez.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": "iam:PassRole",
            "Effect": "Allow",
            "Resource": [
                "arn:aws:iam::*:role/MyPipelineRole",
                "arn:aws:iam::*:role/MyResourceRole"
            ]
        }
    ]
}

La procédure suivante explique comment créer un IAM groupe, associer la politique FullAccess gérée AWSDataPipeline_ au groupe, puis ajouter des utilisateurs au groupe. Vous pouvez utiliser cette procédure pour n'importe quelle politique intégrée

Pour créer un groupe d'utilisateurs DataPipelineDevelopers et associer la FullAccess politique AWSDataPipeline_

1. Ouvrez la IAM console à l'adresse https://console.aws.amazon.com/iam/.

2. Dans le volet de navigation, choisissez Groupes, puis Créer un groupe.

3. Entrez un nom de groupe, par exempleDataPipelineDevelopers, puis choisissez Next Step.

4. Entrez dans AWSDataPipeline_FullAccess le champ Filtre, puis sélectionnez-le dans la liste.

5. Cliquez sur Étape suivante, puis sur Créer un groupe.

6. Pour ajouter des utilisateurs au groupe :

   1. Sélectionnez le groupe que vous avez créé dans la liste des groupes.

   2. Choisissez Actions du groupe, Ajouter des utilisateurs au groupe.

   3. Sélectionnez les utilisateurs que vous souhaitez ajouter dans la liste, puis choisissez Ajouter des utilisateurs au groupe.

Accorder un accès par programmation

Les utilisateurs ont besoin d'un accès programmatique s'ils souhaitent interagir avec AWS à l'extérieur du AWS Management Console. La manière d'accorder un accès programmatique dépend du type d'utilisateur qui accède AWS.

Pour accorder aux utilisateurs un accès programmatique, choisissez l’une des options suivantes.

Quel utilisateur a besoin d’un accès programmatique ?	Pour	Par
Identité de la main-d’œuvre (Utilisateurs gérés dans IAM Identity Center)	Utilisez des informations d'identification temporaires pour signer les demandes programmatiques adressées au AWS CLI, AWS SDKs, ou AWS APIs.	Suivez les instructions de l’interface que vous souhaitez utiliser. Pour AWS CLI, voir Configuration du AWS CLI à utiliser AWS IAM Identity Center dans le .AWS Command Line Interface Guide de l'utilisateur Dans AWS SDKs, des outils et AWS APIs, consultez la section Authentification du centre d'IAMidentité dans le AWS SDKset guide de référence sur les outils.
IAM	Utilisez des informations d'identification temporaires pour signer les demandes programmatiques adressées au AWS CLI, AWS SDKs, ou AWS APIs.	En suivant les instructions de la section Utilisation d'informations d'identification temporaires avec AWS ressources du guide de IAM l'utilisateur.
IAM	(Non recommandé) Utilisez des informations d'identification à long terme pour signer les demandes programmatiques adressées au AWS CLI, AWS SDKs, ou AWS APIs.	Suivez les instructions de l’interface que vous souhaitez utiliser. Pour AWS CLI, voir Authentification à l'aide des informations IAM d'identification de l'utilisateur dans AWS Command Line Interface Guide de l'utilisateur Dans AWS SDKset outils, voir Authentification à l'aide d'informations d'identification à long terme dans le AWS SDKset guide de référence sur les outils. Dans AWS APIs, voir Gestion des clés d'accès pour IAM les utilisateurs dans le Guide de IAM l'utilisateur.