Partage d'un portefeuille - AWS Service Catalog
Un ccount-to-account partagePartage avec AWS OrganizationsPartage TagOptions lors du partage de portefeuillesPartage des principaux noms lors du partage de portefeuilles

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Partage d'un portefeuille

Pour permettre à AWS Service Catalog l'administrateur d'un autre AWS compte de distribuer vos produits aux utilisateurs finaux, partagez votre AWS Service Catalog portefeuille avec eux en utilisant account-to-account le partage ouAWS Organizations.

Lorsque vous partagez un portefeuille à l'aide du account-to-account partage ou d'Organizations, vous partagez une référence de ce portefeuille. Les produits et les contraintes du portefeuille importé restent synchronisés avec les modifications que vous apportez au portefeuille partagé, le portefeuille d'origine que vous avez partagé.

Le destinataire ne peut pas modifier les produits ou les contraintes, mais peut ajouter AWS Identity and Access Management un accès pour les utilisateurs finaux.

Note

Vous ne pouvez pas partager une ressource partagée. Cela inclut les portefeuilles contenant un produit partagé.

Un ccount-to-account partage

Pour effectuer ces étapes, vous devez obtenir l'identifiant du AWS compte cible. Vous pouvez trouver l'identifiant sur la page Mon compte AWS Management Console du compte cible.

Pour partager un portefeuille avec un AWS compte

  1. Ouvrez la console Service Catalog à l'adresse https://console.aws.amazon.com/servicecatalog/.

  2. Dans le menu de navigation de gauche, choisissez Portefeuilles, puis sélectionnez le portefeuille que vous souhaitez partager. Dans le menu Actions, sélectionnez Partager.

  3. Dans Entrez l'identifiant du compte, entrez l'identifiant du AWS compte avec lequel vous partagez. (Facultatif) Sélectionnez TagOption Partage. Choisissez ensuite Partager.

  4. Envoyez l'URL à l'administrateur AWS Service Catalog du compte cible. L'URL ouvre la page Importer le portefeuille avec l'ARN du portefeuille partagé automatiquement fourni.

Importation d'un portefeuille

Si AWS Service Catalog l'administrateur d'un autre AWS compte partage un portefeuille avec vous, importez ce portefeuille dans votre compte afin de pouvoir distribuer ses produits à vos utilisateurs finaux.

Il n'est pas nécessaire d'importer un portefeuille s'il a été partagé viaAWS Organizations.

Pour importer le portefeuille, vous devez obtenir l'identifiant du portefeuille auprès de l'administrateur.

Pour afficher tous les portfolios importés, ouvrez la AWS Service Catalog console à l'adresse https://console.aws.amazon.com/servicecatalog/. Sur la page Portefeuilles, sélectionnez l'onglet Importé. Consultez le tableau des portefeuilles importés.

Partage avec AWS Organizations

Vous pouvez partager des portefeuilles AWS Service Catalog à l'aide d'AWS Organizations.

Tout d'abord, vous devez décider si vous partagez à partir du compte de gestion ou d'un compte d'administrateur délégué. Si vous ne souhaitez pas partager depuis votre compte de gestion, créez un compte d'administrateur délégué que vous pouvez utiliser pour le partage. Pour plus d'informations, veuillez consulter la rubrique Enregistrer un administrateur délégué dans le Guide de l'utilisateur AWS CloudFormation.

Ensuite, vous devez décider avec qui le partager. Vous pouvez le partager avec les entités suivantes :

  • Un compte d'organisation.

  • Une unité d'organisation (UO).

  • L'organisation elle-même. Dans ce cas, le partage se fait avec chaque compte de l'organisation.

Partage depuis un compte de gestion

Vous pouvez partager un portefeuille avec une organisation en utilisant votre structure organisationnelle ou en saisissant l'ID d'un nœud d'organisation.

Pour partager un portefeuille avec une organisation en utilisant la structure organisationnelle

  1. Ouvrez la AWS Service Catalog console à l'adresse https://console.aws.amazon.com/servicecatalog/.

  2. Sur la page Portefeuilles, sélectionnez le portefeuille que vous souhaitez partager. Dans le menu Actions, sélectionnez Partager.

  3. Sélectionnez AWS Organizationset filtrez dans votre structure organisationnelle.

    Vous pouvez sélectionner le nœud racine pour partager le portefeuille avec l'ensemble de votre organisation, une unité organisationnelle (UO) parent, une unité organisationnelle enfant ou un AWS compte au sein de votre organisation.

    Le partage avec une unité d'organisation mère partage le portefeuille entre tous les comptes et les unités d'organisation enfants au sein de cette unité d'organisation mère.

    Vous pouvez sélectionner Afficher AWS les comptes uniquement pour afficher la liste de tous les AWS comptes de votre organisation.

Pour partager un portefeuille avec une organisation en saisissant l'ID du nœud organisationnel

  1. Ouvrez la AWS Service Catalog console à l'adresse https://console.aws.amazon.com/servicecatalog/.

  2. Sur la page Portefeuilles, sélectionnez le portefeuille que vous souhaitez partager. Dans le menu Actions, sélectionnez Partager.

  3. Sélectionnez Organization Node.

    Indiquez si vous souhaitez partager avec l'ensemble de votre organisation, un AWS compte au sein de votre organisation ou une unité d'organisation.

    Entrez l'ID du nœud organisationnel que vous avez sélectionné, que vous pouvez trouver dans la AWS Organizations console à l'adresse https://console.aws.amazon.com/organizations/.

Partage à partir d'un compte administrateur délégué

Le compte de gestion d'une organisation peut enregistrer ou désenregistrer d'autres comptes en tant qu'administrateurs délégués de l'organisation.

Un administrateur délégué peut partager AWS Service Catalog les ressources de son organisation de la même manière qu'un compte de gestion. Ils sont autorisés à créer, supprimer et partager des portefeuilles.

Pour enregistrer ou désenregistrer un administrateur délégué, vous devez utiliser l'API ou la CLI depuis le compte de gestion. Pour plus d'informations, veuillez consulter les sections RegisterDelegatedAdministrator et DeregisterDelegatedAdministrator (français non garanti) de la Référence d'API AWS Organizations.

Note

Avant de pouvoir désigner un délégué, l'administrateur doit appeler EnableAWSOrganizationsAccess.

La procédure de partage d'un portefeuille à partir d'un compte d'administrateur délégué est identique à celle du partage à partir d'un compte de gestion, comme indiqué ci-dessus dansPartage depuis un compte de gestion.

Si un membre est désenregistré en tant qu'administrateur délégué, les événements suivants se produisent :

  • Les actions de portefeuille créées à partir de ce compte sont supprimées.

  • Il ne peut plus créer d'actions de portefeuille.

Note

Si le portefeuille et les actions créés par un administrateur délégué ne sont pas supprimés après la désinscription de l'administrateur délégué, enregistrez et désenregistrez à nouveau l'administrateur délégué. Cette action supprime le portefeuille et les actions créés par ce compte.

Déplacer des comptes au sein de votre organisation

Si vous déplacez un compte au sein de votre organisation, les AWS Service Catalog portefeuilles partagés avec ce compte peuvent changer.

Les comptes ont uniquement accès aux portefeuilles partagés avec leur organisation ou unité organisationnelle de destination.

Partage TagOptions lors du partage de portefeuilles

En tant qu'administrateur, vous pouvez créer un partage à inclure TagOptions. TagOptions sont des paires clé-valeur qui permettent aux administrateurs de :

  • Définissez et appliquez la taxonomie des balises.

  • Définissez les options de balise et associez-les aux produits et aux portefeuilles.

  • Partagez les options de tag associées aux portefeuilles et aux produits avec d'autres comptes.

Lorsque vous ajoutez ou supprimez des options de balise dans le compte principal, les modifications apparaissent automatiquement dans les comptes des destinataires. Dans les comptes destinataires, lorsqu'un utilisateur final approvisionne un produit TagOptions, il doit choisir des valeurs pour les balises qui deviennent des balises sur le produit approvisionné.

Dans les comptes des destinataires, les administrateurs peuvent associer des TagOptions éléments locaux supplémentaires à leur portefeuille importé afin d'appliquer les règles de balisage spécifiques à ce compte.

Note

Pour partager un portefeuille, vous avez besoin de l'identifiant de AWS compte du consommateur. Trouvez l'identifiant du AWS compte dans Mon compte de la console.

Note

Si TagOption a une valeur unique, applique AWS automatiquement cette valeur pendant le processus de provisionnement.

À partager TagOptions lors du partage de portefeuilles

  1. Dans le menu de navigation de gauche, choisissez Portfolios.

  2. Dans Portefeuilles locaux, choisissez et ouvrez un portefeuille.

  3. Choisissez Partager dans la liste ci-dessus, puis cliquez sur le bouton Partager.

  4. Choisissez de partager avec un autre AWS compte ou une autre organisation.

  5. Entrez le numéro d'identification du compte à 12 chiffres, sélectionnez Activer, puis sélectionnez Partager.

    Le compte que vous avez partagé apparaît dans la section Comptes partagés avec. Il indique si elles TagOptions ont été activées.

Vous pouvez également mettre à jour une part de portefeuille pour l'inclure TagOptions. Tout TagOptions ce qui appartient au portefeuille et au produit est désormais partagé sur ce compte.

Pour mettre à jour une part de portefeuille afin d'inclure TagOptions

  1. Dans le menu de navigation de gauche, choisissez Portfolios.

  2. Dans Portefeuille local, choisissez et ouvrez un portefeuille.

  3. Choisissez Partager dans la liste ci-dessus.

  4. Dans Comptes partagés avec, choisissez un identifiant de compte, puis sélectionnez Actions.

  5. Sélectionnez Mettre à jour, annuler le partage ou Annuler le partage.

    Lorsque vous sélectionnez Mettre à jour et annuler le partage, choisissez Activer pour lancer le partage TagOptions. Le compte que vous avez partagé apparaît dans la section Comptes partagés avec.

    Lorsque vous sélectionnez Annuler le partage, confirmez que vous ne souhaitez plus partager le compte.

Partage des principaux noms lors du partage de portefeuilles

En tant qu'administrateur, vous pouvez créer un partage de portefeuille qui inclut les noms principaux. Les noms principaux sont des noms de groupes, de rôles et d'utilisateurs que les administrateurs peuvent spécifier dans un portefeuille, puis partager avec le portefeuille. Lorsque vous partagez le portefeuille, AWS Service Catalog vérifiez si ces noms principaux existent déjà. S'ils existent, associe AWS Service Catalog automatiquement les principaux IAM correspondants au portefeuille partagé pour accorder l'accès aux utilisateurs.

Note

Lorsque vous associez un principal à un portefeuille, une escalade des privilèges peut potentiellement se produire si ce portefeuille est ensuite partagé avec d'autres comptes. Pour un utilisateur d'un compte destinataire qui n'est pas AWS Service Catalog administrateur, mais qui est toujours en mesure de créer des principaux (utilisateurs/rôles), cet utilisateur peut créer un directeur IAM correspondant à une association de noms principaux pour le portefeuille. Bien que cet utilisateur ne sache pas quels noms de principaux sont associés par le biais de AWS Service Catalog, il peut être en mesure de deviner l'identité de l'utilisateur. Si cette escalade potentielle pose problème, AWS Service Catalog recommande d'utiliser PrincipalType comme IAM. Avec cette configuration, le PrincipalARN doit déjà exister sur le compte destinataire avant de pouvoir être associé.

Lorsque vous ajoutez ou supprimez des noms principaux dans le compte principal, ces modifications sont AWS Service Catalog automatiquement appliquées au compte destinataire. Les utilisateurs du compte destinataire peuvent ensuite effectuer des tâches en fonction de leur rôle :

  • Les utilisateurs finaux peuvent approvisionner, mettre à jour et résilier le produit du portefeuille.

  • Les administrateurs peuvent associer des IAM Principals supplémentaires à leur portefeuille importé pour accorder l'accès aux utilisateurs finaux spécifiques à ce compte.

Note

Le partage de nom principal n'est disponible que pourAWS Organizations.

Pour partager les noms principaux lors du partage de portefeuilles

  1. Dans le menu de navigation de gauche, choisissez Portfolios.

  2. Dans Portefeuilles locaux, choisissez le portefeuille que vous souhaitez partager.

  3. Dans le menu Actions, choisissez Partager.

  4. Sélectionnez une organisation dansAWS Organizations.

  5. Sélectionnez la racine de l'organisation dans son intégralité, une unité organisationnelle (UO) ou un membre de l'organisation.

  6. Dans les paramètres de partage, activez l'option de partage principal.

Vous pouvez également mettre à jour un partage de portefeuille pour inclure le partage du nom principal. Cela permet de partager tous les noms principaux appartenant à ce portefeuille avec le compte du destinataire.

Pour mettre à jour une part de portefeuille afin d'activer ou de désactiver les noms principaux

  1. Dans le menu de navigation de gauche, choisissez Portfolios.

  2. Dans Portefeuille local, choisissez le portefeuille que vous souhaitez mettre à jour.

  3. Choisissez l'onglet Partager.

  4. Sélectionnez le partage que vous souhaitez mettre à jour, puis choisissez Partager.

  5. Choisissez Mettre à jour le partage, puis sélectionnez Activer pour lancer le partage principal. AWS Service Catalogpartage ensuite les noms principaux dans les comptes des destinataires.

Désactivez le partage principal si vous souhaitez arrêter de partager les noms principaux avec les comptes des destinataires.

Utilisation de caractères génériques lors du partage de noms principaux

AWS Service Catalogpermet d'accorder l'accès au portefeuille aux principaux noms IAM (utilisateur, groupe ou rôle) avec des caractères génériques, tels que « * » ou « ? ». L'utilisation de modèles génériques vous permet de couvrir plusieurs noms principaux IAM à la fois. Le chemin ARN et le nom principal autorisent un nombre illimité de caractères génériques.

Exemples d'un ARN générique acceptable :

  • arn:aws:iam:::role/ResourceName_*

  • arn:aws:iam:::role/*/ResourceName_?

Exemples d'un ARN générique inacceptable :

  • arn:aws:iam:::*/ResourceName

Dans le format IAM Principal ARN (arn:partition:iam:::resource-type/resource-path/resource-name), les valeurs valides incluent user/, group/ ou role/. Le « ? » et « * » ne sont autorisés qu'après le type de ressource dans le segment resource-id. Vous pouvez utiliser des caractères spéciaux n'importe où dans l'identifiant de ressource.

Le caractère « * » correspond également au caractère «/», ce qui permet de former des chemins dans l'identifiant de ressource. Par exemple :

arn:aws:iam:::role/*/ResourceName_?correspond aux deux arn:aws:iam:::role/pathA/pathB/ResourceName_1 etarn:aws:iam:::role/pathA/ResourceName_1.