Partage de portefeuille - AWS Service Catalog

Partage de portefeuille

Pour mettre vos produits AWS Service Catalog à disposition d'utilisateurs qui ne sont pas dans votre compte AWS (par exemple, des utilisateurs qui appartiennent à d'autres organisations ou à d'autres comptes AWS de votre organisation), vous pouvez partager vos portefeuilles avec eux. Plusieurs options sont possibles, y compris le partage de compte à compte, le partage au niveau de l'organisation et le déploiement de catalogues à l'aide d'ensembles de piles.

Avant de partager vos produits et portefeuilles avec d'autres comptes, vous devez décider si vous souhaitez partager une référence du catalogue ou déployer une copie du catalogue dans chaque compte destinataire. Notez que si vous déployez une copie, vous devez effectuer un nouveau déploiement en cas de mises à jour que vous souhaitez propager aux comptes destinataires. Vous pouvez utiliser des ensembles de piles pour déployer votre catalogue dans de nombreux comptes en même temps. Si vous souhaitez partager une référence (une version importée de votre portefeuille qui reste synchronisée avec l'original), vous pouvez utiliser le partage de compte à compte ou AWS Organizations.

Si vous souhaitez utiliser des ensembles de piles pour déployer une copie de votre catalogue, consultez Comment configurer un catalogue multi-régions et multi-comptes de produits AWS Service Catalog standard de l'entreprise.

Lorsque vous partagez un portefeuille avec le partage de compte à compte ou AWS Organizations, vous permettez à un administrateur AWS Service Catalog d'un autre compte AWS d'importer votre portefeuille dans son compte et de distribuer les produits aux utilisateurs finaux de ce compte. Ce portefeuille importé n'est pas une copie indépendante. Les produits et les contraintes du portefeuille importé restent synchronisés avec les modifications que vous apportez au portefeuille partagé, le portefeuille d'origine que vous avez partagé. L'administrateur destinataire, l'administrateur avec lequel vous partagez un portefeuille, ne peut pas modifier les produits ou les contraintes, mais il peut ajouter un accès AWS Identity and Access Management (IAM) pour les utilisateurs finaux. Pour de plus amples informations, veuillez consulter Octroi d'accès à des utilisateurs.

L'administrateur destinataire peut distribuer les produits aux utilisateurs finaux qui appartiennent à son compte AWS comme suit :

  • En ajoutant des utilisateurs, des groupes et des rôles IAM au portefeuille importé.

  • En ajoutant des produits du portefeuille importé dans un portefeuille local, un portefeuille distinct que l'administrateur destinataire crée et qui appartient à son compte AWS. L'administrateur destinataire ajoute ensuite des utilisateurs, des groupes et des rôles IAM au portefeuille local. Les contraintes que vous avez appliquées aux produits dans le portefeuille partagé sont également présentes dans le portefeuille local. L'administrateur destinataire peut ajouter des contraintes supplémentaires au portefeuille local, mais ne peut pas supprimer les contraintes importées.

Lorsque vous ajoutez des produits ou des contraintes au portefeuille partagé, ou que vous supprimez des produits ou des contraintes de celui-ci, la modification est propagée à toutes les instances importées du portefeuille. Par exemple, si vous supprimez un produit du portefeuille partagé, ce produit est également supprimé du portefeuille importé. Il est également supprimé de tous les portefeuilles locaux auxquels le produit importé a été ajouté. Si un utilisateur final a lancé un produit avant que vous ne le supprimiez, le produit provisionné de l'utilisateur final continue de s'exécuter, mais le produit devient indisponible pour les futurs lancements.

Si vous appliquez une contrainte de lancement à un produit dans un portefeuille partagé, celle-ci est propagée à toutes les instances importées du produit. Pour remplacer cette contrainte de lancement, l'administrateur destinataire ajoute le produit dans un portefeuille local, puis applique une contrainte de lancement différente à ce produit. La contrainte de lancement en vigueur définit un rôle de lancement pour le produit. Un rôle de lancement est un rôle IAM utilisé par AWS Service Catalog pour provisionner des ressources AWS (par exemple, des instances EC2 ou des bases de données RDS) lorsqu'un utilisateur final lance le produit. En tant qu'administrateur, vous pouvez choisir de désigner un ARN de rôle de lancement spécifique ou un nom de rôle local. Si vous utilisez l'ARN de rôle, le rôle sera utilisé même si l'utilisateur final appartient à un compte AWS différent de celui qui possède le rôle de lancement. Si vous utilisez un nom de rôle local, le rôle IAM portant ce nom dans le compte de l'utilisateur final sera utilisé. Pour plus d'informations sur les contraintes de lancement et les rôles de lancement, consultez Contraintes de lancement AWS Service Catalog. Le compte AWS qui possède le rôle de lancement provisionne les ressources AWS, et les coûts d'utilisation sont facturés à ce compte pour ces ressources. Pour de plus amples informations, veuillez consulter Tarification AWS Service Catalog.

Note

Vous ne pouvez pas repartager des produits à partir d'un portefeuille qui a été importé ou partagé.

Relation entre des portefeuilles partagés et des portefeuilles importés

Le tableau suivant récapitule la relation entre un portefeuille importé et un portefeuille partagé, et les actions qu'un administrateur qui importe un portefeuille peut et ne peut pas exécuter avec ce portefeuille et les produits contenus dans ce dernier.

Élément de portefeuille partagé Relation avec un portefeuille importé L'administrateur destinataire peut L'administrateur destinataire ne peut pas
Produits et versions de produit

Héritées.

Si le créateur du portefeuille ajoute des produits ou supprime des produits dans le portefeuille partagé, la modification est propagée vers le portefeuille importé.

Ajouter des produits importés à portefeuilles locaux. Les produits restent synchronisés avec le portefeuille partagé.

Télécharger ou ajouter des produits au portefeuille importé, ou supprimer des produits du portefeuille importé.

Contraintes de lancement

Héritées.

Si le créateur du portefeuille ajoute des contraintes de lancement à un produit partagé ou en supprime, la modification est propagée à toutes les instances importées du produit.

Si l'administrateur destinataire ajoute un produit importé à un portefeuille local, la contrainte de lancement importée qui est appliquée à ce produit est présente dans le portefeuille local.

Dans un portefeuille local, l'administrateur peut remplacer la contrainte de lancement importée en appliquant une autre au produit.

Ajouter des contraintes de lancement au portefeuille importé ou en supprimer.

Contraintes de modèle

Héritées.

Si le créateur du portefeuille ajoute une contrainte de modèle ou supprime des contraintes de modèle dans un produit partagé, la modification est propagée à toutes les instances importées du produit.

Si l'administrateur destinataire ajoute un produit importé à un portefeuille local, les contraintes de modèle importées qui sont appliquées à ce produit sont héritées par le portefeuille local.

Dans un portefeuille local, l'administrateur peut ajouter des contraintes de modèle qui sont appliquées en plus des contraintes importées.

Supprimer les contraintes de modèle importées.

Utilisateurs, groupes et rôles IAM Non héritée. Ajouter des utilisateurs, des groupes et des rôles IAM qui sont dans un compte AWS de l'administrateur. Ne s'applique pas.

Partage d'un portefeuille

Pour permettre à un administrateur AWS Service Catalog d'un autre compte AWS de distribuer vos produits aux utilisateurs finaux, partagez votre portefeuille AWS Service Catalog avec lui en utilisant le partage de compte à compte ou AWS Organizations.

Lorsque vous partagez un portefeuille avec le partage de compte à compte ou Organisations, vous donnez accès à une référence de ce portefeuille. Les produits et les contraintes du portefeuille importé restent synchronisés avec les modifications que vous apportez au portefeuille partagé, le portefeuille d'origine que vous avez partagé. Le destinataire ne peut pas modifier les produits ni les contraintes, mais peut ajouter un accès AWS Identity and Access Management (IAM) pour les utilisateurs finaux.

Note

Vous ne pouvez pas partager une ressource partagée. Cela inclut les portefeuilles contenant un produit partagé.

Partage de compte à compte

Pour effectuer les étapes suivantes, vous devez obtenir l'ID de compte du compte AWS cible. L'ID est fourni sur la page My Account dans la AWS Management Console du compte cible.

Pour partager un portefeuille avec un compte AWS

  1. Ouvrez la console AWS Service Catalog à l'adresse https://console.aws.amazon.com/servicecatalog/.

  2. Sur la page Portfolios, sélectionnez le portefeuille que vous souhaitez partager, puis choisissez Actions et Partager.

  3. Dans la fenêtre Enter AWS account ID, tapez l'ID du compte AWS avec lequel vous partagez. Puis, choisissez Share. Si le partage réussit, un message sur la page Portfolios confirme que le portefeuille est lié au compte cible. Il fournit aussi une URL que l'administrateur destinataire doit utiliser pour importer le portefeuille.

  4. Envoyez l'URL à l'administrateur AWS Service Catalog du compte cible. L'URL ouvre la page Import Portfolio avec l'ARN du portefeuille partagé automatiquement fourni.

Importation d'un portefeuille

Si un administrateur AWS Service Catalog pour un autre compte AWS partage un portefeuille avec vous, importez ce portefeuille dans votre compte pour pouvoir distribuer ses produits à vos utilisateurs finaux.

Pour importer le portefeuille, vous devez obtenir une URL pour importer le portefeuille de l'administrateur.

Ouvrez l'URL puis, sur la page Import Portfolio, choisissez Import. La page Portfolios s'affiche et le portefeuille apparaît dans le tableau Imported Portfolios.

Vous n'avez pas besoin d'importer un portefeuille si celui-ci a été partagé via AWS Organizations.

Partage avec AWS Organizations

Vous pouvez partager des portefeuilles AWS Service Catalog à l'aide d'AWS Organizations. Tout d'abord, vous devez décider si vous partagez à partir du compte principal ou d'un compte administrateur délégué. Si vous ne souhaitez pas partager à partir de votre compte principal, enregistrez un compte administrateur délégué et utilisez-le pour le partage. Ensuite, vous devez décider avec qui le partager. Vous pouvez le partager avec les entités suivantes :

  • Un compte d'organisation.

  • Une unité d'organisation (UO).

  • L'organisation elle-même. Dans ce cas, le partage se fait avec chaque compte de l'organisation.

Partage à partir d'un compte principal

Pour partager un portefeuille avec une organisation

  1. Ouvrez la console AWS Service Catalog à l'adresse https://console.aws.amazon.com/servicecatalog/.

  2. Sur la page Portfolios, sélectionnez le portefeuille que vous souhaitez partager, puis choisissez Actions et Partager.

  3. Dans la fenêtre Enter AWS account ID, choisissez Organisation.

  4. Sélectionnez le type de nœud et entrez la valeur d'entrée de l'organisation avec laquelle vous souhaitez partager.

  5. Choisissez Share.

Partage à partir d'un compte administrateur délégué

Le compte principal d'une organisation peut enregistrer et annuler d'autres comptes en tant qu'administrateurs délégués pour l'organisation. Un administrateur délégué peut partager des ressources AWS Service Catalog dans son organisation de la même manière qu'avec un compte principal. Il est autorisé à créer, supprimer et partager des portefeuilles, et bien plus encore.

Pour enregistrer ou annuler l'inscription d'un administrateur délégué, vous devez utiliser l'API ou l'interface de ligne de commande du compte principal. Pour plus d'informations, consultez RegisterDelegatedAdministrator et DeRegisterDelegatedAdministrator dans le Référence de l'API AWS Organizations.

Note

Avant de pouvoir désigner un administrateur délégué, vous devez appeler EnableAWSOrganizationsAccess.

La procédure de partage d'un portefeuille à partir d'un compte administrateur délégué est la même que le partage à partir d'un compte principal, comme indiqué ci-dessus à la section Partage à partir d'un compte principal.

Si un membre est désinscrit en tant qu'administrateur délégué, voici ce qui se produit :

  • Les actions de portefeuille créées à partir de ce compte sont supprimées.

  • Il ne peut plus créer d'actions de portefeuille.

Note

Si le portefeuille et les partages créés par un administrateur délégué ne sont pas supprimés après la désinscription de l'administrateur délégué, enregistrez et désenregistrez à nouveau l'administrateur délégué. Cette opération supprimera le portefeuille et les actions créés par ce compte.