Configuration de Nimble Studio File Transfer

Avant d'utiliser Nimble Studio File Transfer pour la première fois, exécutez les tâches suivantes :

Inscrivez-vous pour un Compte AWS

Si vous n'en avez pas Compte AWS, procédez comme suit pour en créer un.

Pour vous inscrire à un Compte AWS

1. Ouvrez https://portal.aws.amazon.com/billing/signup.

2. Suivez les instructions en ligne.

   Dans le cadre de la procédure d‘inscription, vous recevrez un appel téléphonique et vous saisirez un code de vérification en utilisant le clavier numérique du téléphone.

   Lorsque vous vous inscrivez à un Compte AWS, un Utilisateur racine d'un compte AWSest créé. Par défaut, seul l‘utilisateur racine a accès à l‘ensemble des AWS services et des ressources de ce compte. La meilleure pratique en matière de sécurité consiste à attribuer un accès administratif à un utilisateur et à n'utiliser que l'utilisateur root pour effectuer les tâches nécessitant un accès utilisateur root.

AWS vous envoie un e-mail de confirmation une fois le processus d'inscription terminé. Vous pouvez afficher l‘activité en cours de votre compte et gérer votre compte à tout moment en accédant à https://aws.amazon.com/ et en choisissant Mon compte.

Création d'un utilisateur doté d'un accès administratif

Une fois que vous vous êtes inscrit à un utilisateur administratif Compte AWS, que vous Utilisateur racine d'un compte AWS l'avez sécurisé AWS IAM Identity Center, que vous l'avez activé et que vous en avez créé un, afin de ne pas utiliser l'utilisateur root pour les tâches quotidiennes.

Sécurisez votre Utilisateur racine d'un compte AWS

1. Connectez-vous en AWS Management Consoletant que propriétaire du compte en choisissant Utilisateur root et en saisissant votre adresse Compte AWS e-mail. Sur la page suivante, saisissez votre mot de passe.

   Pour obtenir de l‘aide pour vous connecter en utilisant l‘utilisateur racine, consultez Connexion en tant qu‘utilisateur racine dans le Guide de l‘utilisateur Connexion à AWS .

2. Activez l‘authentification multifactorielle (MFA) pour votre utilisateur racine.

   Pour obtenir des instructions, voir Activer un périphérique MFA virtuel pour votre utilisateur Compte AWS root (console) dans le guide de l'utilisateur IAM.

Création d'un utilisateur doté d'un accès administratif

1. Activez IAM Identity Center.

   Pour obtenir des instructions, consultez Activation d’ AWS IAM Identity Center dans le Guide de l’utilisateur AWS IAM Identity Center .

2. Dans IAM Identity Center, accordez un accès administratif à un utilisateur.

   Pour un didacticiel sur l'utilisation du Répertoire IAM Identity Center comme source d'identité, voir Configurer l'accès utilisateur par défaut Répertoire IAM Identity Center dans le Guide de AWS IAM Identity Center l'utilisateur.

Connectez-vous en tant qu'utilisateur disposant d'un accès administratif

• Pour vous connecter avec votre utilisateur IAM Identity Center, utilisez l‘URL de connexion qui a été envoyée à votre adresse e-mail lorsque vous avez créé l‘utilisateur IAM Identity Center.

  Pour obtenir de l'aide pour vous connecter en utilisant un utilisateur d'IAM Identity Center, consultez la section Connexion au portail AWS d'accès dans le guide de l'Connexion à AWS utilisateur.

Attribuer l'accès à des utilisateurs supplémentaires

1. Dans IAM Identity Center, créez un ensemble d'autorisations conforme aux meilleures pratiques en matière d'application des autorisations du moindre privilège.

   Pour obtenir des instructions, voir Création d'un ensemble d'autorisations dans le guide de AWS IAM Identity Center l'utilisateur.

2. Affectez des utilisateurs à un groupe, puis attribuez un accès d'authentification unique au groupe.

   Pour obtenir des instructions, voir Ajouter des groupes dans le guide de AWS IAM Identity Center l'utilisateur.

Création d'un compte membre

Note

Ignorez cette étape si vous configurez Nimble Studio dans votre compte de gestion.

Si vous êtes un administrateur informatique avec un compte AWS membre et que vous essayez de configurer Nimble Studio, votre utilisateur administratif doit d'abord accorder l'accès et les autorisations appropriés à ce compte de membre.

Vous pouvez configurer Nimble Studio dans un compte de gestion ou un compte membre, à condition que ce compte appartienne à une organisation de AWS Organizations. Une organisation dispose d'un compte de gestion unique. Les fonctionnalités centrales de l'organisation sont configurées et appliquées par le compte de gestion. Les comptes des membres permettent de configurer et d'utiliser différents services. Pour plus d'informations sur les comptes de gestion et les comptes membres, consultez AWS Organizations la section Terminologie et concepts.

En outre, AWS IAM Identity Center il doit être activé dans l'organisation. IAM Identity Center ne peut être activé que dans le compte de gestion, et le studio doit être Région AWS identique à IAM Identity Center. Pour activer le centre d'identité IAM dans votre organisation, suivez les instructions de la section Activer le centre d'identité IAM.

Note

Si vous essayez de configurer un studio dans un compte membre sans qu'IAM Identity Center soit activé, le compte membre ne pourra pas activer IAM Identity Center lui-même. Dans ce cas, le compte membre doit demander au service informatique de son entreprise de configurer IAM Identity Center dans son AWS organisation.

Pour créer un compte membre avec l'autorisation de créer un studio

1. Utilisez un compte de membre existant ou créez-en un nouveau en suivant les instructions de la section Ajouter des utilisateurs dans le guide de AWS IAM Identity Center l'utilisateur.

   1. Ce compte de membre doit appartenir à l'organisation qui configure votre studio dans Nimble Studio.

2. Déléguez l'accès administrateur au compte membre en suivant les instructions de la section Enregistrer un compte membre.

   1. L'accès administrateur délégué est une fonctionnalité d'IAM Identity Center. L'accès administrateur délégué n'est pas lié à l'accès administrateur IAM. Une personne peut disposer d'autorisations d'administrateur complètes pour accéder à son compte, mais pas d'accès administrateur délégué depuis le compte de gestion.

Votre administrateur informatique peut désormais effectuer les étapes suivantes dans les sections suivantes.

Configurer un studio dans Nimble Studio

Si vous possédez déjà un studio cloud Nimble Studio, ignorez cette étape.

Note

File Transferne nécessite pas que vos compartiments Amazon S3 soient associés à un Nimble Studio. File Transferne nécessite qu'un Nimble Studio car l'outil est disponible sans frais supplémentaires pour les clients de Nimble Studio uniquement.

Pour créer un studio, suivez les instructions de la section Configuration de Nimble Studio. Assurez-vous que les informations suivantes sont vraies lorsque vous configurez votre studio.

• Configurez votre Nimble Studio dans un compte de gestion ou dans un compte membre avec un accès administrateur délégué à IAM Identity Center.

• À l'étape 5 de l'étape 1 : Configuration de l'infrastructure du studio, choisissez Région AWS celle dans laquelle vous avez activé IAM Identity Center.

Création d’un compartiment S3

Avant de pouvoir l'utiliserFile Transfer, vous devez suivre le didacticiel de configuration d'Amazon S3. Si Amazon S3 n'est pas correctement configuré, la sécurité du contenu de votre compartiment risque d'être compromise.

Vous devez également suivre le didacticiel de création de votre premier compartiment S3. Cela crée un compartiment S3 à partir duquel vous pouvez charger et télécharger des fichiers.

• (Recommandé) À l'étape 8, activez le versionnement des compartiments.

  • Cela garantit que vos données ne sont pas perdues si vous remplacez accidentellement un fichier dans Amazon S3 par une nouvelle version.

  • L'activation de la gestion des versions des compartiments entraîne des coûts supplémentaires. Pour plus d'informations sur la tarification d'Amazon S3, consultez la page de tarification d'Amazon S3.

• (Recommandé) À l'étape 11, pour Type de clé de chiffrement, choisissez la AWS Key Management Service clé (SSE-KMS).

  • Si vous ne possédez pas de clé SSE-KMS, créez-en une en suivant les instructions du didacticiel Création d'une clé KMS de chiffrement symétrique.

  • Pour plus d'informations sur les différents types de clés, consultez la page Clés client et AWS clés du Guide du AWS Key Management Service développeur. Pour autoriser un utilisateur à utiliser le bucket d'un autre utilisateur Compte AWS, vous devez utiliser une clé gérée par le client. Il est difficile de changer de clé après avoir créé le bucket. Assurez-vous donc de créer votre bucket avec les bonnes clés.

• Conservez les valeurs par défaut de tous les autres paramètres et préférences utilisateur.

Création d'une politique d'accès IAM

Ensuite, vous devez créer une politique d'accès IAM qui autorise le compartiment Amazon S3 que vous avez créé dans la Création d’un compartiment S3 section. Ensuite, vous associerez cette politique IAM à un utilisateur IAM. Cet utilisateur IAM générera les informations d'identification File Transfer nécessaires pour accéder au compartiment Amazon S3.

Suivez le didacticiel relatif à la création de politiques dans l'onglet JSON du guide de l'utilisateur IAM et utilisez le document de politique JSON suivant. La politique que vous devez utiliser dépend du type de politique AWS KMS key que vous avez choisi.

Using an AWS KMS key (SSE-KMS)

• Entrez le texte suivant dans le modèle JSON pour fournir l'accès requis pour les chargements et téléchargements Amazon S3.

• Pour autoriser la suppression d'objets dans le compartiment S3, incluez les actions répertoriées dans l'instruction avec le Sid « OptionalActions » dans le texte suivant. Il n'est pas nécessaire d'inclure ces actions si vous ne souhaitez pas autoriser la suppression d'objets S3.

  {
      "Statement": [
          {
              "Sid": "ListBucketContents",
              "Action": [
                  "s3:ListBucket",
                  "s3:GetBucketLocation",
                  "s3:PutObject",
                  "s3:GetObject",
                  "s3:GetObjectTagging"
              ],
              "Effect": "Allow",
              "Resource": [
                  "arn:aws:s3:::bucket-name",
                  "arn:aws:s3:::bucket-name/*"
              ],
          },
          {
              "Sid": "KMSKeyAccess",
              "Action": [
                  "kms:GenerateDataKey*",
                  "kms:Encrypt",
                  "kms:Decrypt"
              ],
              "Effect": "Allow",
              "Resource": "arn:aws:kms:key-region:account-number:key/key-id"
          },
          {
              "Sid": "OptionalActions",
              "Action": [
                  "s3:DeleteObject",
                  "s3:DeleteObjectVersion",
                  "s3:ListBucketVersions",
                  "s3:AbortMultipartUpload"
              ],
              "Effect": "Allow",
              "Resource": [
                  "arn:aws:s3:::bucket-name",
                  "arn:aws:s3:::bucket-name/*"
              ],
          }
      ],
      "Version": "2012-10-17"
  }

• Remplacez bucket-name par le nom du bucket dans lequel vous l'avez créé. Création d’un compartiment S3

• Remplacez key-region par Région AWS celle dans laquelle vous avez créé votre clé.

• Remplacez le numéro de compte par votre Compte AWS numéro.

• Remplacez key-id par l'ID de la clé KMS que vous avez choisie à l'étape 2 de. Création d’un compartiment S3

  • Pour trouver l'ID de clé KMS, suivez les instructions de la section Pour afficher le paramètre de clé de compartiment S3 pour votre compartiment dans le didacticiel Affichage des paramètres d'une clé de compartiment S3.

  • Choisissez le compartiment que vous avez créé dans Création d’un compartiment S3.

  • Trouvez l'AWS KMS key ARN dans la section Chiffrement par défaut. L'ID de clé KMS est la dernière partie de l'ARN.

Using an Amazon Managed KMS key (SSE-S3)

• Vérifiez si votre bucket possède une clé KMS active.

  • Suivez les instructions de la section Pour afficher le paramètre de clé de compartiment S3 pour votre compartiment dans le didacticiel Affichage des paramètres d'une clé de compartiment S3.

  • Si vous n'utilisez pas de clé KMS, vous pouvez passer à l'étape 2.

  • Si une clé KMS est attachée au bucket, suivez les instructions de la section Pour utiliser un AWS KMS key (SSE-KMS).

• Entrez le texte suivant dans le modèle JSON pour fournir l'accès requis pour les chargements et téléchargements Amazon S3.

• Pour autoriser la suppression d'objets dans le compartiment S3, incluez les actions répertoriées dans l'instruction avec le Sid « OptionalActions » dans le texte suivant. Il n'est pas nécessaire d'inclure ces actions si vous ne souhaitez pas autoriser la suppression d'objets S3.

  {
      "Statement": [
          {
              "Sid": "ListBucketContents",
              "Action": [
                  "s3:ListBucket",
                  "s3:GetBucketLocation",
                  "s3:PutObject",
                  "s3:GetObject",
                  "s3:GetObjectTagging"
              ],
              "Effect": "Allow",
              "Resource": [
                  "arn:aws:s3:::bucket-name",
                  "arn:aws:s3:::bucket-name/*"
              ],
          },
          {
              "Sid": "OptionalActions",
              "Action": [
                  "s3:DeleteObject",
                  "s3:DeleteObjectVersion",
                  "s3:ListBucketVersions",
                  "s3:AbortMultipartUpload"
              ],
              "Effect": "Allow",
              "Resource": [
                  "arn:aws:s3:::bucket-name",
                  "arn:aws:s3:::bucket-name/*"
              ],
          }
      ],
      "Version": "2012-10-17"
  }

  • Remplacez bucket-name par le nom du bucket dans lequel vous l'avez créé. Création d’un compartiment S3

Vous avez maintenant créé une politique IAM qui accorde l'autorisation au compartiment S3 dans Création d’un compartiment S3 lequel vous l'avez créé.

Configurez le AWS CLI

Installez et configurez le AWS CLI si vous ne l'avez pas déjà fait. File Transferutilise les profils nommés AWS Command Line Interface (AWS CLI) uniquement pour gérer et stocker les informations d'identification IAM. Pour plus d'informations, consultez Démarrer avec le AWS CLI.

1. Pour installer ou mettre à niveau le AWS CLI sur votre ordinateur local, suivez les instructions de la section Installation de la AWS Command Line Interface version 2 du Guide de l'AWS Command Line Interface utilisateur.

2. Configurez le AWS CLI en suivant les instructions de la section Configuration de la nouvelle configuration et des informations d'identification.

3. Vérifiez l'installation ou la mise à niveau en exécutantaws nimble help. Cette commande affiche la liste des commandes Nimble Studio disponibles.

4. Créez un profil nommé en suivant les instructions de la section Utilisation de profils nommés. Ce profil nommé sera utilisé pour configurer File Transfer dans la Démarrer avec Nimble Studio File Transfer section.

   1. Pour créer une clé d'accès et une clé secrète, suivez les instructions de la section Création d'un utilisateur IAM dans votre Compte AWS. Après avoir créé un utilisateur, la console génère une clé d'accès et une valeur de clé secrète.

   2. À l'étape 4, choisissez l'interface de ligne de commande (CLI) pour le type d'accès dont bénéficiera cet utilisateur.

   3. À l'étape 6, sélectionnez Joindre directement les politiques existantes. Cochez la case correspondant à la politique que vous avez définieCréation d'une politique d'accès IAM .

5. Vérifiez que vous avez créé un profil nommé en exécutant la commande suivante : aws --profile [name of profile you created in step 4] sts get-caller-identity

   1. Cette commande doit générer une sortie similaire à l'exemple de sortie suivant. Dans cet exemple, le profil est nomméfiletransfer.

   $ aws --profile filetransfer sts get-caller-identity
       "UserId": "ARXXXXXXXXXXXXXXXXXXX:username",
       "Account": "123456789012",
       "Arn": "arn:aws:sts::123456789012:XXXXXXXXXXXXXXX..."
   }

Nous vous recommandons de prendre connaissance des contrôles AWS CLI de sécurité supplémentaires disponibles dans le Guide de AWS Command Line Interface l'utilisateur.