Partage et importation de portefeuilles - AWS Service Catalog

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Partage et importation de portefeuilles

Pour mettre vos AWS Service Catalog produits à la disposition d'utilisateurs qui ne font pas partie de la vôtreComptes AWS, tels que les utilisateurs appartenant à d'autres organisations ou Comptes AWS à d'autres membres de votre organisation, vous partagez vos portefeuilles avec eux. Vous pouvez partager de différentes manières, notamment le account-to-account partage, le partage organisationnel et le déploiement de catalogues à l'aide d'ensembles de piles.

Avant de partager vos produits et portefeuilles avec d'autres comptes, vous devez décider si vous souhaitez partager une référence du catalogue ou déployer une copie du catalogue dans chaque compte destinataire. Notez que si vous déployez une copie, vous devez effectuer un nouveau déploiement en cas de mises à jour que vous souhaitez propager aux comptes destinataires.

Vous pouvez utiliser des ensembles de piles pour déployer votre catalogue dans de nombreux comptes en même temps. Si vous souhaitez partager une référence (une version importée de votre portfolio qui reste synchronisée avec l'original), vous pouvez utiliser le account-to-account partage ou le partager en utilisantAWS Organizations.

Pour utiliser des ensembles de piles pour déployer une copie de votre catalogue, consultez Comment configurer un catalogue multirégional et multi-comptes de produits standard AWS Service Catalog de l'entreprise.

Lorsque vous partagez un portefeuille en utilisant le account-to-account partage ouAWS Organizations, vous autorisez AWS Service Catalog l'administrateur d'un autre AWS compte à importer votre portefeuille dans son compte et à distribuer les produits aux utilisateurs finaux via ce compte.

Ce portefeuille importé n'est pas une copie indépendante. Les produits et les contraintes du portefeuille importé restent synchronisés avec les modifications que vous apportez au portefeuille partagé, le portefeuille d'origine que vous avez partagé. L'administrateur destinataire, l'administrateur avec lequel vous partagez un portefeuille, ne peut pas modifier les produits ou les contraintes, mais peut ajouter un accès AWS Identity and Access Management (IAM) pour les utilisateurs finaux. Pour plus d’informations, consultez Octroi d'accès à des utilisateurs.

L'administrateur destinataire peut distribuer les produits aux utilisateurs finaux associés à son AWS compte de la manière suivante :

  • En ajoutant des utilisateurs, des groupes et des rôles au portefeuille importé.

  • En ajoutant des produits du portefeuille importé à un portefeuille local, un portefeuille distinct créé par l'administrateur du destinataire et appartenant à son AWS compte. L'administrateur du destinataire ajoute ensuite des utilisateurs, des groupes et des rôles à ce portefeuille local. Toutes les contraintes initialement appliquées aux produits du portefeuille partagé sont également présentes dans le portefeuille local. L'administrateur local du destinataire du portefeuille peut ajouter des contraintes supplémentaires, mais ne peut pas supprimer les contraintes initialement importées depuis le portefeuille partagé.

Lorsque vous ajoutez des produits ou des contraintes au portefeuille partagé, ou que vous supprimez des produits ou des contraintes de celui-ci, la modification est propagée à toutes les instances importées du portefeuille. Par exemple, si vous supprimez un produit du portefeuille partagé, ce produit est également supprimé du portefeuille importé. Il est également supprimé de tous les portefeuilles locaux auxquels le produit importé a été ajouté. Si un utilisateur final a lancé un produit avant que vous ne le supprimiez, le produit provisionné de l'utilisateur final continue de s'exécuter, mais le produit devient indisponible pour les futurs lancements.

Si vous appliquez une contrainte de lancement à un produit dans un portefeuille partagé, celle-ci est propagée à toutes les instances importées du produit. Pour remplacer cette contrainte de lancement, l'administrateur destinataire ajoute le produit dans un portefeuille local, puis applique une contrainte de lancement différente à ce produit. La contrainte de lancement en vigueur définit un rôle de lancement pour le produit.

Un rôle de lancement est un rôle IAM AWS Service Catalog utilisé pour fournir des AWS ressources (telles que des instances Amazon EC2 ou des bases de données Amazon RDS) lorsqu'un utilisateur final lance le produit. En tant qu'administrateur, vous pouvez choisir de désigner un ARN de rôle de lancement spécifique ou un nom de rôle local. Si vous utilisez le rôle ARN, celui-ci sera utilisé même si l'utilisateur final appartient à un AWS compte différent de celui qui possède le rôle de lancement. Si vous utilisez un nom de rôle local, le rôle IAM portant ce nom dans le compte de l'utilisateur final est utilisé.

Pour plus d'informations sur les contraintes de lancement et les rôles de lancement, consultez Contraintes de lancement AWS Service Catalog. Le compte AWS qui possède le rôle de lancement provisionne les ressources AWS, et les coûts d'utilisation sont facturés à ce compte pour ces ressources. Pour plus d’informations, consultez Tarification d’AWS Service Catalog.

Cette vidéo vous montre comment partager des portefeuilles entre différents comptes dansAWS Service Catalog.

Note

Vous ne pouvez pas repartager des produits à partir d'un portefeuille qui a été importé ou partagé.

Note

Les importations de portefeuille doivent avoir lieu dans la même région entre le compte de gestion et le compte dépendant.

Relation entre des portefeuilles partagés et des portefeuilles importés

Ce tableau résume la relation entre un portefeuille importé et un portefeuille partagé, ainsi que les actions qu'un administrateur qui importe un portefeuille peut et ne peut pas effectuer avec ce portefeuille et les produits qu'il contient.

Élément de portefeuille partagé Relation avec un portefeuille importé L'administrateur destinataire peut L'administrateur destinataire ne peut pas
Produits et versions de produit

Héritées.

Si le créateur du portefeuille ajoute des produits ou supprime des produits dans le portefeuille partagé, la modification est propagée vers le portefeuille importé.

Ajouter des produits importés à portefeuilles locaux. Les produits restent synchronisés avec le portefeuille partagé.

Télécharger ou ajouter des produits au portefeuille importé, ou supprimer des produits du portefeuille importé.

Contraintes de lancement

Héritées.

Si le créateur du portfolio ajoute des contraintes de lancement ou supprime des contraintes de lancement d'un produit partagé, la modification se propage à toutes les instances importées du produit.

Si l'administrateur du destinataire ajoute un produit importé à son portefeuille local, cette contrainte de lancement importée n'est pas répercutée sur le portefeuille partagé.

Dans un portefeuille local, l'administrateur peut appliquer des contraintes de lancement qui affectent le lancement local du produit.

Ajouter des contraintes de lancement au portefeuille importé ou en supprimer.

Contraintes de modèle

Héritées.

Si le créateur du portefeuille ajoute une contrainte de modèle ou supprime des contraintes de modèle dans un produit partagé, la modification est propagée à toutes les instances importées du produit.

Si l'administrateur du destinataire ajoute un produit importé à un portefeuille local, les contraintes du modèle importé ne sont pas répercutées sur le portefeuille local.

Dans un portefeuille local, l'administrateur peut ajouter des contraintes de modèle qui limitent le produit local.

Supprimer les contraintes de modèle importées.

Utilisateurs, groupes et rôles Non héritée. Ajoutez des utilisateurs, des groupes et des rôles figurant dans le AWS compte de l'administrateur. Non applicable.