Connexions aux comptes d'environnement

Présentation

Découvrez comment créer et gérer unAWS Protonenvironnement sur un compte et provisionnement de ses ressources d'infrastructure sur un autre compte. Cela peut contribuer à améliorer la visibilité et l'efficacité à grande échelle. Les connexions aux comptes d'environnement prennent uniquement en charge le provisionnement standard avecAWS CloudFormationinfrastructure sous forme de code.

Note

Les informations de cette rubrique concernent les environnements configurés avecAWSprovisionnement géré. Avec des environnements configurés avecprovisionnement autogéré,AWS Protonne provisionne pas directement votre infrastructure. Au lieu de cela, il envoie des pull requests (PR) à votre référentiel pour le provisionnement. Il est de votre responsabilité de vous assurer que votre code d'automatisation adopte la bonne identité et le bon rôle.

Pour plus d'informations sur les méthodes de provisionnement, voirComment AWS Proton approvisionne l'infrastructure.

Terminologie

AvecAWS Proton connexions aux comptes d'environnement, vous pouvez créer unAWS Protonenvironnement à partir d'un compte et provisionnement de son infrastructure sur un autre compte.

Compte de gestion

Le compte unique dans lequel vous, en tant qu'administrateur, créez unAWS Protonenvironnement qui fournit des ressources d'infrastructure dans un autrecompte d'environnement.

Compte environnemental

Un compte dans lequel l'infrastructure de l'environnement est provisionnée lorsque vous créez unAWS Protonenvironnement dans un autre compte.

Connexion au compte d'environnement

Une connexion bidirectionnelle sécurisée entrecompte de gestionet uncompte d'environnement. Il conserve les autorisations et les autorisations comme décrit plus en détail dans les sections suivantes.

Lorsque vous créez une connexion à un compte d'environnement dans un compte d'environnement d'une région spécifique, seuls les comptes de gestion de la même région peuvent voir et utiliser la connexion au compte d'environnement. Cela signifie que leAWS Protonl'environnement créé dans le compte de gestion et l'infrastructure d'environnement provisionnée dans le compte d'environnement doivent se trouver dans la même région.

Considérations concernant la connexion au compte d'environnement

• Vous avez besoin d'une connexion à un compte d'environnement pour chaque environnement que vous souhaitez provisionner dans un compte d'environnement.

• Pour plus d'informations sur les quotas de connexion aux comptes d'environnement, voirQuotas AWS Proton.

Balisage

Dans le compte d'environnement, utilisez la console ouAWS CLIpour afficher et gérer les balises gérées par le client concernant la connexion au compte d'environnement.AWSbalises géréesne sont pasgénéré pour les connexions aux comptes d'environnement. Pour plus d'informations, veuillez consulter AWS Protonressources et balises.

Création d'un environnement sur un compte et provisionnement de son infrastructure sur un autre compte

Pour créer et mettre en service un environnement à partir d'un compte de gestion unique, configurez un compte d'environnement pour l'environnement que vous envisagez de créer.

Démarrez dans le compte d'environnement et créez une connexion.

Dans le compte d'environnement, créez unAWS Protonrôle de service limité aux seules autorisations nécessaires au provisionnement des ressources d'infrastructure de votre environnement. Pour plus d'informations, veuillez consulter AWS Proton rôle de service pour le provisionnement à l'aide AWS CloudFormation.

Créez ensuite une demande de connexion à un compte d'environnement et envoyez-la à votre compte de gestion. Lorsque la demande est acceptée,AWS Protonpeut utiliser le rôle IAM associé qui permet le provisionnement des ressources d'environnement dans le compte d'environnement associé.

Dans le compte de gestion, acceptez ou refusez la connexion au compte d'environnement.

Dans le compte de gestion, acceptez ou rejetez la demande de connexion au compte d'environnement. Vousne peut passupprimez une connexion à un compte d'environnement depuis votre compte de gestion.

Si vous acceptez la demande,AWS Protonpeut utiliser le rôle IAM associé qui permet le provisionnement des ressources dans le compte d'environnement associé.

Les ressources de l'infrastructure d'environnement sont provisionnées dans le compte d'environnement associé. Vous pouvez uniquement utiliserAWS ProtonDes API permettant d'accéder à votre environnement et à ses ressources d'infrastructure et de les gérer à partir de votre compte de gestion. Pour plus d'informations, consultez Création d'un environnement sur un compte et provisionnement sur un autre compte et Mettre à jour un environnement.

Après avoir rejeté une demande, vousne peut pasacceptez ou utilisez la connexion au compte d'environnement refusée.

Note

Vousne peut pasrejeter la connexion d'un compte d'environnement connecté à un environnement. Pour refuser la connexion au compte d'environnement, vous devez d'abord supprimer l'environnement associé.

Dans le compte d'environnement, accédez aux ressources d'infrastructure provisionnées.

Dans le compte d'environnement, vous pouvez consulter et accéder aux ressources d'infrastructure provisionnées. Par exemple, vous pouvez utiliserCloudFormationActions d'API pour surveiller et nettoyer les piles si nécessaire. Vous ne pouvez pas utiliser leAWS ProtonActions d'API permettant d'accéder à ou de gérerAWS Protonenvironnement qui a été utilisé pour fournir les ressources d'infrastructure.

Dans le compte d'environnement, vous pouvez supprimer les connexions au compte d'environnement que vous avez créées dans le compte d'environnement. Vousne peut pasles accepter ou les rejeter. Si vous supprimez une connexion à un compte d'environnement qui est utilisée parAWS Protonenvironnement,AWS Protonne sera pas en mesure de gérer les ressources de l'infrastructure de l'environnement tant qu'une nouvelle connexion à l'environnement ne sera pas acceptée pour le compte d'environnement et l'environnement nommé. Vous êtes responsable du nettoyage des ressources provisionnées qui ne sont toujours pas connectées à l'environnement.

Utiliser la console ou l'interface de ligne de commande pour gérer les connexions aux comptes d'environnement

Vous pouvez utiliser la console ou l'interface de ligne de commande pour créer et gérer les connexions aux comptes d'environnement.

AWS Management Console

Utilisez la console pour créer une connexion au compte d'environnement et envoyer une demande au compte de gestion comme indiqué dans les étapes suivantes.

1. Choisissez le nom de l'environnement que vous envisagez de créer dans votre compte de gestion ou choisissez le nom d'un environnement existant qui nécessite une connexion à un compte d'environnement.

2. Dans un compte d'environnement, dans leAWS Protonconsole, choisissezConnexions aux comptes d'environnementdans le volet de navigation.

3. Dans leConnexions aux comptes d'environnementpage, choisissezDemande de connexion.

   Note

   Vérifiez l'identifiant du compte qui figure dansConnexion au compte d'environnementtitre de page. Assurez-vous qu'il correspond à l'ID du compte d'environnement dans lequel vous souhaitez que votre environnement désigné fasse le provisionnement.

4. Dans leDemande de connexionpage :

   1. Dans leConnectez-vous au compte de gestionsection, entrez leID du compte de gestionet leNom de l'environnementque vous avez saisi à l'étape 1.

   2. Dans leRôle environnementalsection, choisissezNouveau rôle de serviceetAWS Protoncrée automatiquement un nouveau rôle pour vous. Ou sélectionnezRôle de service existantet le nom du rôle de service que vous avez créé précédemment.

      Note

      Le rôle queAWS Protoncrée automatiquement pour vous des autorisations étendues. Nous vous recommandons de limiter le rôle aux autorisations requises pour provisionner les ressources d'infrastructure de votre environnement. Pour plus d'informations, veuillez consulter AWS Proton rôle de service pour le provisionnement à l'aide AWS CloudFormation.

   3. (Facultatif) Dans leÉtiquettessection, choisissezAjouter un nouveau tagpour créer un tag géré par le client pour la connexion à votre compte d'environnement.

   4. ChoisissezDemande de connexion.

5. Votre demande apparaît comme étant en attente dans leConnexions d'environnement envoyées à un compte de gestionUn tableau et un modal vous permettent de savoir comment accepter la demande depuis le compte de gestion.

Acceptez ou refusez une demande de connexion à un compte d'environnement.

1. Dans un compte de gestion, dans leAWS Protonconsole, choisissezConnexions aux comptes d'environnementdans le volet de navigation.

2. Dans leConnexions aux comptes d'environnementpage, dansDemandes de connexion à un compte d'environnementtable, choisissez la demande de connexion à l'environnement à accepter ou à rejeter.

   Note

   Vérifiez l'identifiant du compte qui figure dansConnexion au compte d'environnementtitre de page. Assurez-vous qu'il correspond à l'ID du compte de gestion associé à la connexion au compte d'environnement à rejeter. Après avoir refusé la connexion à ce compte d'environnement, vousne peut pasacceptez ou utilisez la connexion au compte d'environnement refusée.

3. ChoisissezRejeterouAccepter.

   • Si vous avez sélectionnéRejeter, le statut passe deen attentepourrejetés.

   • Si vous avez sélectionnéAccepter, le statut passe deen attentepourconnecté.

Supprimez la connexion à un compte d'environnement.

1. Dans un compte d'environnement, dans leAWS Protonconsole, choisissezConnexions aux comptes d'environnementdans le volet de navigation.

   Note

   Vérifiez l'identifiant du compte qui figure dansConnexion au compte d'environnementtitre de page. Assurez-vous qu'il correspond à l'ID du compte de gestion associé à la connexion au compte d'environnement à rejeter. Après avoir supprimé la connexion à ce compte d'environnement,AWS Proton ne peut pasgérez les ressources de l'infrastructure d'environnement dans le compte d'environnement. Il ne peut le gérer qu'après qu'une nouvelle connexion au compte d'environnement pour le compte d'environnement et que l'environnement nommé ait été accepté par le compte de gestion.

2. Dans leConnexions aux comptes d'environnementpage, dansDemandes envoyées pour se connecter au compte de gestionsection, choisissezSupprimer.

3. Une fenêtre modale vous invite à confirmer que vous souhaitez supprimer. Choisissez Delete (Supprimer).

AWS CLI

Choisissez le nom de l'environnement que vous envisagez de créer dans votre compte de gestion ou choisissez le nom d'un environnement existant qui nécessite une connexion à un compte d'environnement.

Créez une connexion à un compte d'environnement dans un compte d'environnement.

Exécutez la commande suivante :

$ aws proton create-environment-account-connection \
    --environment-name "simple-env-connected" \
    --role-arn "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role" \
    --management-account-id "111111111111"

Réponse :

{
    "environmentAccountConnection": {
        "arn": "arn:aws:proton:region-id:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "environmentAccountId": "222222222222",
        "environmentName": "simple-env-connected",
        "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "lastModifiedAt": "2021-04-28T23:13:50.847000+00:00",
        "managementAccountId": "111111111111",
        "requestedAt": "2021-04-28T23:13:50.847000+00:00",
        "roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role",
        "status": "PENDING"
    }
}

Acceptez ou refusez la connexion d'un compte d'environnement dans un compte de gestion, comme indiqué dans la commande et la réponse suivantes.

Note

Si vous refusez la connexion à ce compte d'environnement, vous ne serez pas en mesure d'accepter ou d'utiliser la connexion refusée au compte d'environnement.

Si vous spécifiezRejeter, le statut passe deen attentepourrejetés.

Si vous spécifiezAccepter, le statut passe deen attentepourconnecté.

Exécutez la commande suivante pour accepter la connexion au compte d'environnement :

$ aws proton accept-environment-account-connection \
    --id "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

Réponse :

{
    "environmentAccountConnection": {
        "arn": "arn:aws:proton:region-id:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "environmentAccountId": "222222222222",
        "environmentName": "simple-env-connected",
        "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "lastModifiedAt": "2021-04-28T23:15:33.486000+00:00",
        "managementAccountId": "111111111111",
        "requestedAt": "2021-04-28T23:13:50.847000+00:00",
        "roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role",
        "status": "CONNECTED"
    }
}

Exécutez la commande suivante pour rejeter la connexion au compte d'environnement :

$ aws proton reject-environment-account-connection \
    --id "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

Réponse :

{
    "environmentAccountConnection": {
        "arn": "arn:aws:proton:us-east-1:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "status": "REJECTED",
        "environmentAccountId": "222222222222",
        "environmentName": "simple-env-reject",
        "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "lastModifiedAt": "2021-04-28T23:13:50.847000+00:00",
        "managementAccountId": "111111111111",
        "requestedAt": "2021-04-28T23:13:50.847000+00:00",
        "roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role"
    }
}

Afficher les connexions d'un compte d'environnement. Tu peuxobteniroulisterconnexions aux comptes d'environnement.

Exécutez la commande get suivante :

$ aws proton get-environment-account-connection \
    --id "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

Réponse :

{
    "environmentAccountConnection": {
        "arn": "arn:aws:proton:region-id:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "environmentAccountId": "222222222222",
        "environmentName": "simple-env-connected",
        "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "lastModifiedAt": "2021-04-28T23:15:33.486000+00:00",
        "managementAccountId": "111111111111",
        "requestedAt": "2021-04-28T23:13:50.847000+00:00",
        "roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role",
        "status": "CONNECTED"
    }
}

Supprimez une connexion à un compte d'environnement dans un compte d'environnement.

Note

Si vous supprimez la connexion à ce compte d'environnement,AWS Protonne sera pas en mesure de gérer les ressources de l'infrastructure d'environnement dans le compte d'environnement tant qu'une nouvelle connexion à l'environnement n'aura pas été acceptée pour le compte d'environnement et l'environnement nommé. Vous êtes responsable du nettoyage des ressources provisionnées qui ne sont toujours pas connectées à l'environnement.

Exécutez la commande suivante :

$ aws proton delete-environment-account-connection \
    --id "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

Réponse :

{
    "environmentAccountConnection": {
        "arn": "arn:aws:proton:us-east-1:222222222222:environment-account-connection/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "environmentAccountId": "222222222222",
        "environmentName": "simple-env-connected",
        "id": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "lastModifiedAt": "2021-04-28T23:13:50.847000+00:00",
        "managementAccountId": "111111111111",
        "requestedAt": "2021-04-28T23:13:50.847000+00:00",
        "roleArn": "arn:aws:iam::222222222222:role/service-role/env-account-proton-service-role",
        "status": "CONNECTED"
    }
}