AWS Firewall Manager et AWS Organizations - AWS Organizations
Rôles liés à un servicePrincipaux de serviceActiver l'accès approuvéDésactiver l'accès approuvéActiver un administrateur délégué

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS Firewall Manager et AWS Organizations

AWS Firewall Manager est un service de gestion de la sécurité que vous utilisez pour configurer et gérer de manière centralisée les règles de pare-feu et autres protections au Comptes AWS sein des applications de votre entreprise. À l'aide de Firewall Manager, vous pouvez déployer des AWS WAF règles, créer AWS Shield Advanced des protections, configurer et auditer les groupes de sécurité Amazon Virtual Private Cloud (Amazon VPC) et déployer AWS Network Firewall des Utilisez Firewall Manager pour configurer vos protections une seule fois et les appliquer automatiquement à l'ensemble des comptes et des ressources de votre organisation, même lorsque de nouvelles ressources et de nouveaux comptes sont ajoutés. Pour plus d'informations à ce sujet AWS Firewall Manager, consultez le guide du AWS Firewall Manager développeur.

Utilisez les informations suivantes pour vous aider AWS Firewall Manager à intégrer AWS Organizations.

Création de rôles liés à un service lors de l'activation de l'intégration

Le rôle lié à un service suivant est automatiquement créé dans le compte de gestion de votre organisation lorsque vous activez l'accès approuvé. Ce rôle permet à Firewall Manager d'effectuer dans votre organisation les opérations prises en charge dans les comptes de celle-ci.

Vous pouvez supprimer ou modifier ce rôle uniquement si vous désactivez l'accès approuvé entre Firewall Manager et Organizations, ou si vous supprimez le compte membre de l'organisation.

  • AWSServiceRoleForFMS

Mandataires de service utilisés par les rôles liés à un service

Le rôle lié à un service dans la section précédente ne peut être assumé que par les mandataires de service autorisés par les relations d'approbation définies pour le rôle. Les rôles liés à un service utilisés par Firewall Manager autorisent l'accès aux mandataires de service suivants :

  • fms.amazonaws.com

Activation de l'accès approuvé avec Firewall Manager

Pour en savoir plus sur les autorisations requises pour activer l'accès approuvé, consultez Autorisations requises pour activer l'accès approuvé.

Vous pouvez activer l'accès sécurisé à l'aide de la AWS Firewall Manager console ou de la AWS Organizations console.

Important

Nous vous recommandons vivement, dans la mesure du possible, d'utiliser la AWS Firewall Manager console ou les outils pour permettre l'intégration avec Organizations. Cela permet AWS Firewall Manager d'effectuer toute configuration requise, telle que la création des ressources nécessaires au service. N'effectuez ces étapes que si vous ne pouvez pas activer l'intégration à l'aide des outils fournis par AWS Firewall Manager. Pour plus d'informations, consultez cette note.

Si vous activez l'accès sécurisé à l'aide de la AWS Firewall Manager console ou des outils, vous n'avez pas besoin de suivre ces étapes.

Vous devez vous connecter avec votre compte AWS Organizations de gestion et configurer un compte au sein de l'organisation en tant que compte AWS Firewall Manager administrateur. Pour de plus amples informations, consultez Définir le compte administrateur AWS Firewall Manager dans le Guide développeur AWS Firewall Manager .

Vous pouvez activer l'accès sécurisé en utilisant la AWS Organizations console, en exécutant une AWS CLI commande ou en appelant une opération d'API dans l'un des AWS SDK.

AWS Management Console
Pour activer l'accès approuvé aux services à l'aide de la console Organizations

  1. Connectez-vous à la console AWS Organizations. Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine (non recommandé) dans le compte de gestion de l'organisation.

  2. Dans le panneau de navigation, choisissez Services.

  3. Choisissez AWS Firewall Managerdans la liste des services.

  4. Choisissez Enable trusted access (Activer l'accès approuvé).

  5. Dans la boîte de AWS Firewall Manager dialogue Activer l'accès sécurisé pour, tapez enable pour le confirmer, puis choisissez Activer l'accès sécurisé.

  6. Si vous êtes l'administrateur de AWS Organizations Only, indiquez-lui AWS Firewall Manager qu'il peut désormais activer ce service à l'aide de sa console AWS Organizations.

AWS CLI, AWS API
Pour activer l'accès approuvé à l'aide de la CLI ou du SDK Organizations

Vous pouvez utiliser les AWS CLI commandes ou les opérations d'API suivantes pour activer un accès sécurisé aux services :

  • AWS CLI: enable-aws-service-access

    Vous pouvez exécuter la commande suivante pour l'activer AWS Firewall Manager en tant que service fiable auprès des Organizations.

    $ aws organizations enable-aws-service-access \ 
    --service-principal fms.amazonaws.com

    Cette commande ne produit aucune sortie lorsqu'elle réussit.

  • AWS API : Activer AWSServiceAccess

Désactivation de l'accès approuvé avec Firewall Manager

Pour en savoir plus sur les autorisations requises pour désactiver l'accès approuvé, consultez Autorisations requises pour désactiver l'accès approuvé.

Vous pouvez désactiver l'accès sécurisé à l'aide des AWS Organizations outils AWS Firewall Manager ou.

Important

Dans la mesure du possible, nous vous recommandons vivement d'utiliser la AWS Firewall Manager console ou les outils pour désactiver l'intégration avec Organizations. Cela permet AWS Firewall Manager d'effectuer tout nettoyage nécessaire, comme la suppression de ressources ou l'accès à des rôles dont le service n'a plus besoin. Procédez comme suit uniquement si vous ne pouvez pas désactiver l'intégration à l'aide des outils fournis par AWS Firewall Manager.

Si vous désactivez l'accès sécurisé à l'aide de la AWS Firewall Manager console ou des outils, vous n'avez pas besoin de suivre ces étapes.

Pour désactiver l'accès approuvé à l'aide de la console Firewall Manager

Vous pouvez modifier ou révoquer le compte AWS Firewall Manager administrateur en suivant les instructions de la section Désignation d'un autre compte comme compte AWS Firewall Manager administrateur dans le guide du AWS Firewall Manager développeur.

Si vous révoquez le compte administrateur, vous devez vous connecter au compte AWS Organizations de gestion et créer un nouveau compte administrateur pour AWS Firewall Manager.

Vous pouvez désactiver l'accès sécurisé en utilisant la AWS Organizations console, en exécutant une AWS CLI commande Organizations ou en appelant une opération d'API Organizations dans l'un des AWS SDK.

AWS Management Console
Pour désactiver l'accès approuvé à l'aide de la console Organizations

  1. Connectez-vous à la console AWS Organizations. Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine (non recommandé) dans le compte de gestion de l'organisation.

  2. Dans le panneau de navigation, choisissez Services.

  3. Choisissez AWS Firewall Managerdans la liste des services.

  4. Choisissez Disable trusted access (Désactiver l'accès approuvé).

  5. Dans la boîte de AWS Firewall Manager dialogue Désactiver l'accès sécurisé pour, tapez désactiver pour le confirmer, puis choisissez Désactiver l'accès sécurisé.

  6. Si vous êtes l'administrateur de Only AWS Organizations, informez-le AWS Firewall Manager qu'il peut désormais désactiver ce service à l'aide de sa console ou des outils qu'il n'utilise pas AWS Organizations.

AWS CLI, AWS API
Pour désactiver l'accès approuvé aux services à l'aide de la CLI ou du SDK Organizations

Vous pouvez utiliser les AWS CLI commandes ou les opérations d'API suivantes pour désactiver l'accès aux services sécurisés :

  • AWS CLI: disable-aws-service-access

    Vous pouvez exécuter la commande suivante pour la désactiver AWS Firewall Manager en tant que service sécurisé auprès des Organizations.

    $ aws organizations disable-aws-service-access \
    --service-principal fms.amazonaws.com

    Cette commande ne produit aucune sortie lorsqu'elle réussit.

  • AWS API : Désactiver AWSServiceAccess

Activation d'un compte administrateur délégué pour Firewall Manager

Lorsque vous désignez un compte membre en tant qu'administrateur délégué pour l'organisation, les utilisateurs et les rôles de ce compte peuvent effectuer des actions administratives pour Firewall Manager qui, autrement, ne peuvent être exécutées que par des utilisateurs ou des rôles dans le compte de gestion de l'organisation. Cela vous aide à séparer la gestion de l'organisation de la gestion de Firewall Manager.

Autorisations minimales

Seuls un utilisateur ou un rôle du compte de gestion d'Organizations peuvent configurer un compte membre en tant qu'administrateur délégué pour Firewall Manager dans l'organisation.

Pour savoir comment désigner un compte membre en tant qu'administrateur de Firewall Manager pour l'organisation, consultez la section Définir le compte AWS Firewall Manager administrateur dans le Guide du AWS Firewall Manager développeur.