Tutoriel : Commencez avec Verified Access - AWS Accès vérifié
Prérequis du didacticiel Verified AccessCréer une instanceConfiguration d'un fournisseur de confianceAssociez votre fournisseur de confiance à l'instanceCréez un groupePartagez votre groupe via AWS RAMAjoutez votre application en créant un point de terminaisonConfigurer DNS les paramètres du point de terminaisonTester la connectivité à l'applicationConfiguration d'une politique d'accès au niveau du groupeTestez à nouveau la connectivité à l'applicationNettoyage

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Tutoriel : Commencez avec Verified Access

Utilisez ce didacticiel pour commencer avec Accès vérifié par AWS. Vous allez apprendre à créer et à configurer des ressources d'accès vérifié.

Dans le cadre de ce didacticiel, vous allez ajouter une application à Verified Access. À la fin du didacticiel, des utilisateurs spécifiques pourront accéder à cette application via Internet, sans l'utiliserVPN.

Note

Ce didacticiel ne montre pas l'intégration avec le fournisseur de confiance basé sur votre appareil. Au lieu de cela, nous travaillons uniquement avec un fournisseur de confiance basé sur l'identité.

Prérequis du didacticiel Verified Access

Les conditions requises pour suivre ce didacticiel sont les suivantes :

  • La disponibilité de deux Comptes AWS. Un compte héberge votre application cible et les ressources d'accès vérifié sont créées dans l'autre compte.

  • AWS IAM Identity Center activé dans le Région AWS dans lequel vous travaillez. Vous pouvez ensuite utiliser IAM Identity Center en tant que fournisseur de confiance avec Verified Access. Pour plus d'informations, voir Activer le centre IAM d'identité dans le AWS IAM Identity Center Guide de l'utilisateur.

  • Un domaine public hébergé et les autorisations requises pour mettre à jour les DNS enregistrements du domaine.

  • Une application exécutée derrière un équilibreur de charge interne dans un Compte AWS. L'exemple de nom de domaine d'application que nous allons utiliser estwww.myapp.example.com.

  • Un TLS certificat autosigné ou public. Utilisez un RSA certificat dont la longueur de clé est de 1 024 ou 2 048.

  • Une IAM politique qui dispose de toutes les autorisations requises pour créer un Accès vérifié par AWS instance notée iciPolitique de création d'instances d'accès vérifié.

Étape 1 : créer une instance d'accès vérifié

Utilisez la procédure suivante pour créer une instance Verified Access.

Pour créer une instance d'accès vérifié

  1. Ouvrez la VPC console Amazon à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le volet VPC de navigation Amazon, choisissez Verified Access instances, puis Create Verified Access instance.

  3. (Facultatif) Dans Nom et description, entrez un nom et une description pour l'instance d'accès vérifié.

  4. Pour Trust provider, conservez l'option par défaut.

  5. (Facultatif) Pour ajouter une identification, choisissez Add new tag (Ajouter une identification) et saisissez la clé et la valeur de l’identification.

  6. Choisissez Créer une instance d'accès vérifié.

Étape 2 : Configuration d'un fournisseur de confiance d'accès vérifié

Vous pouvez configurer AWS IAM Identity Center en tant que fournisseur de confiance.

Pour créer un fournisseur de confiance IAM Identity Center

  1. Dans le volet VPC de navigation Amazon, choisissez Verified Access trust providers, puis Create Verified Access trust provider.

  2. (Facultatif) Dans le champ Nom et description, entrez le nom et la description du fournisseur de confiance Verified Access.

  3. Entrez un identifiant personnalisé à utiliser ultérieurement lorsque vous utiliserez des règles de stratégie pour le nom de référence de la stratégie. Par exemple, vous pouvez entreridc.

  4. Sous Type de fournisseur de confiance, sélectionnez Fournisseur de confiance utilisateur.

  5. Sous Type de fournisseur de confiance utilisateur, sélectionnez IAMIdentity Center.

  6. (Facultatif) Pour ajouter une identification, choisissez Add new tag (Ajouter une identification) et saisissez la clé et la valeur de l’identification.

  7. Choisissez Create Verified Access trust provider.

Étape 3 : associer votre fournisseur de confiance à l'instance Verified Access

Maintenant que vous avez configuré un fournisseur de confiance, vous pouvez l'associer à l'instance Verified Access que vous avez créée précédemment. Utilisez la procédure suivante pour associer le fournisseur de confiance à votre instance Verified Access.

Pour associer un fournisseur de confiance à votre instance

  1. Dans le volet VPC de navigation Amazon, sélectionnez Verified Access instances.

  2. Sélectionnez votre instance.

  3. Choisissez Actions, puis attachez le fournisseur de confiance Verified Access.

  4. Pour le fournisseur de confiance Verified Access, choisissez votre fournisseur de confiance.

  5. Choisissez Attach Verified Access Trust Provider.

Étape 4 : créer un groupe d'accès vérifié

Au cours de cette étape, vous créez un groupe que vous utiliserez comme point de terminaison à l'étape 5.

Pour créer un groupe d'accès vérifié

  1. Dans le volet VPC de navigation Amazon, choisissez Verified Access groups, puis Create Verified Access group.

  2. (Facultatif) Pour le tag de nom et la description, entrez un nom et une description pour le groupe.

  3. Pour l'instance Verified Access, choisissez votre instance Verified Access.

  4. Pour la définition de la politique, laissez ce champ vide. Vous allez créer une politique plus loin dans ce didacticiel.

  5. (Facultatif) Pour ajouter une identification, choisissez Add new tag (Ajouter une identification) et saisissez la clé et la valeur de l’identification.

  6. Choisissez Créer un groupe d'accès vérifié.

Étape 5 : Partagez votre groupe d'accès vérifié via AWS Resource Access Manager

Au cours de cette étape, vous partagez le groupe que vous venez de créer avec Compte AWS dans lequel votre application cible est exécutée. Pour partager un groupe à accès vérifié, vous devez l'ajouter à un partage de ressources. Si vous ne disposez pas d'un partage de ressources, vous devez d'abord en créer un.

Si vous faites partie d'une organisation en AWS Organizations, et le partage au sein de votre organisation est activé, les clients de votre organisation ont automatiquement accès au groupe Verified Access partagé. Dans le cas contraire, les consommateurs reçoivent une invitation à rejoindre le partage de ressources et ont accès au groupe d'accès vérifié partagé après avoir accepté l'invitation.

Suivez les étapes décrites dans la section Créer un partage de ressources dans AWS RAM Guide de l'utilisateur. Pour Sélectionner le type de ressource, choisissez le groupe d'accès vérifié, puis cochez la case correspondant à votre groupe d'accès vérifié.

Pour plus d'informations, consultez la section Mise en route dans AWS RAM Guide de l'utilisateur.

Étape 6 : Ajoutez votre application en créant un point de terminaison d'accès vérifié

Utilisez les procédures suivantes pour créer un point de terminaison d'accès vérifié. Cette étape suppose qu'une application s'exécute derrière un équilibreur de charge interne d'Elastic Load Balancing.

Pour créer un point de terminaison d'accès vérifié

  1. Dans le volet de VPC navigation Amazon, choisissez Verified Access endpoints, puis Create Verified Access endpoint.

  2. (Facultatif) Dans les champs Name tag et Description, entrez un nom et une description pour le point de terminaison.

  3. Pour le groupe Verified Access, choisissez votre groupe Verified Access.

  4. Pour les détails de l'application, procédez comme suit :

    1. Dans le champ Domaine de l'application, entrez DNS le nom de votre application.

    2. Sous Certificat de domaine ARN, sélectionnez le nom de ressource Amazon (ARN) de votre TLS certificat public.

  5. Pour obtenir des informations détaillées sur le point de terminaison, procédez comme suit :

    1. Pour Type de pièce jointe, sélectionnez VPC.

    2. Pour les groupes de sécurité, sélectionnez un groupe de sécurité à associer au point de terminaison.

    3. Pour le préfixe de domaine Endpoint, entrez un identifiant personnalisé. Il sera ajouté au début du DNS nom généré par Verified Access. Pour cet exemple, nous pouvons utilisermy-ava-app.

    4. Pour le type de point de terminaison, choisissez l'équilibreur de charge.

    5. Pour Protocole, sélectionnez HTTPSou HTTP. Cela dépend de la configuration de votre équilibreur de charge.

    6. Pour Port, saisissez le numéro de port. Cela dépend de la configuration de votre équilibreur de charge.

    7. Pour Équilibreur de chargeARN, choisissez votre équilibreur de charge.

    8. Pour les sous-réseaux, sélectionnez les sous-réseaux associés à votre équilibreur de charge.

  6. Pour la définition de la stratégie, n'entrez pas de stratégie pour le moment. Nous aborderons ce sujet plus loin dans le didacticiel.

  7. (Facultatif) Pour ajouter une identification, choisissez Add new tag (Ajouter une identification) et saisissez la clé et la valeur de l’identification.

  8. Choisissez Créer un point de terminaison d'accès vérifié.

Étape 7 : Configuration des DNS paramètres du point de terminaison Verified Access

Pour cette étape, vous devez mapper le nom de domaine de votre application (par exemple, www.myapp.example.com) au nom de domaine de votre point de terminaison Verified Access. Pour terminer le DNS mappage, créez un enregistrement de nom canonique (CNAME) avec votre DNS fournisseur. Après avoir créé l'CNAMEenregistrement, toutes les demandes des utilisateurs adressées à votre application seront envoyées à Verified Access.

Pour obtenir le nom de domaine de votre terminal

  1. Dans le volet de VPC navigation Amazon, choisissez Verified Access endpoints.

  2. Sélectionnez le point de terminaison que vous avez créé précédemment.

  3. Choisissez l'onglet Détails du point de terminaison.

  4. Sous Domaine du point de terminaison, copiez le domaine du point de terminaison.

Pour ce didacticiel, le nom de domaine du point de terminaison seramy-ava-app.edge-1a2b3c4d5e6f7g.vai-1a2b3c4d5e6f7g.prod.verified-access.us-west-2.amazonaws.com.

Créez un CNAME enregistrement auprès de votre DNS fournisseur :

Nom de l'enregistrement Type Valeur

www.myapp.exemple.com

CNAME

my-ava-app.edge-1a2b3c4d5e6f7g.vai-1a2b3c4d5e6f7g.prod. verified-access.us-west-2.amazonaws.com

Étape 8 : tester la connectivité à l'application que vous avez ajoutée à Verified Access

Vous pouvez désormais tester la connectivité à votre application. Entrez le nom de domaine de votre application dans votre navigateur Web. Le comportement par défaut des politiques d'accès vérifié est de refuser toutes les demandes. Comme nous n'avons pas encore mis en place de politique permettant à quiconque d'y accéder, toutes les demandes devraient être refusées.

Étape 9 : Configuration d'une politique d'accès au niveau du groupe d'accès vérifié

Utilisez la procédure suivante pour modifier le groupe d'accès vérifié et configurer une politique d'accès qui autorise la connectivité à votre application. Les détails de la politique dépendront des utilisateurs et des groupes configurés dans IAM Identity Center. Pour plus d'informations sur la création d'une politique, consultezPolitiques d'accès vérifiées.

Pour modifier un groupe d'accès vérifié

  1. Dans le volet VPC de navigation Amazon, sélectionnez Verified Access groups.

  2. Sélectionnez le groupe .

  3. Choisissez Actions, Modifier la politique de groupe d'accès vérifié.

  4. Entrez la politique.

  5. Choisissez Modifier la politique de groupe d'accès vérifié.

Étape 10 : retester la connectivité à l'application que vous avez ajoutée à Verified Access

Maintenant que votre politique de groupe est en place, vous pouvez accéder à votre application. Entrez le nom de domaine de votre application dans votre navigateur Web. La demande doit être autorisée et vous devez être redirigé vers l'application.

Nettoyez les ressources d'accès vérifié que vous avez créées

Une fois le test terminé, suivez les étapes ci-dessous pour supprimer les ressources créées.

Pour supprimer les ressources d'accès vérifié créées avec ce didacticiel

  1. Dans le volet de VPC navigation Amazon, choisissez Verified Access endpoints. Sélectionnez le point de terminaison que vous souhaitez supprimer. Choisissez Actions, puis Supprimer le point de terminaison d'accès vérifié.

  2. Dans le volet de navigation, sélectionnez Groupes d'accès vérifiés. Sélectionnez le groupe que vous souhaitez supprimer. Choisissez Actions, puis Supprimer le groupe d'accès vérifié. Remarque : vous devrez peut-être attendre quelques minutes jusqu'à ce que le processus de suppression du terminal soit terminé.

  3. Dans le volet VPC de navigation Amazon, sélectionnez Verified Access instances. Sélectionnez l'instance que vous avez créée pour ce didacticiel. Choisissez Actions, détachez le fournisseur de confiance Verified Access. Sélectionnez le fournisseur de confiance dans la liste déroulante, puis choisissez Detach Verified Access Trust Provider.

  4. Dans le volet VPC de navigation Amazon, sélectionnez Verified Access trust providers. Sélectionnez le fournisseur de confiance que vous avez créé pour ce didacticiel. Choisissez Actions, puis Supprimer le fournisseur de confiance Verified Access.

  5. Dans le volet VPC de navigation Amazon, sélectionnez Verified Access instances. Sélectionnez l'instance que vous avez créée pour ce didacticiel. Choisissez Actions, puis Supprimer l'instance d'accès vérifié.