Prérequis Étape 1 : créer une instance d'accès vérifié Étape 2 : Configuration d'un fournisseur de confiance Étape 3 : associer votre fournisseur de confiance à l'instance Étape 4 : créer un groupe d'accès vérifié Étape 5 : Partagez votre groupe d'accès vérifié via AWS Resource Access Manager Étape 6 : Ajoutez votre application en créant un point de terminaison Étape 7 : Configuration des paramètres DNS Étape 8 : tester la connectivité à votre application Étape 9 : Configuration de la politique d'accès au niveau du groupe Étape 10 : retester la connectivité Nettoyage

Tutoriel : Premiers pas avec Verified Access

Utilisez ce didacticiel pour démarrer avec AWS Verified Access. Vous allez apprendre à créer et à configurer des ressources d'accès vérifié.

Avant d'ajouter cette application à Verified Access, l'application n'était accessible que via votre réseau privé. À la fin de ce didacticiel, des utilisateurs spécifiques peuvent accéder à la même application via Internet, sans utiliser de VPN.

Note

Cet exemple ne montre pas l'intégration avec le fournisseur de confiance basé sur votre appareil. Dans cet exemple, nous travaillons uniquement avec un fournisseur de confiance basé sur l'identité.

Tâches

Prérequis
Étape 1 : créer une instance d'accès vérifié
Étape 2 : Configuration d'un fournisseur de confiance
Étape 3 : associer votre fournisseur de confiance à l'instance
Étape 4 : créer un groupe d'accès vérifié
Étape 5 : Partagez votre groupe d'accès vérifié via AWS Resource Access Manager
Étape 6 : Ajoutez votre application en créant un point de terminaison
Étape 7 : Configuration des paramètres DNS
Étape 8 : tester la connectivité à votre application
Étape 9 : Configuration de la politique d'accès au niveau du groupe
Étape 10 : retester la connectivité
Nettoyage

Prérequis

Les prérequis pour ce didacticiel sont les suivants :

Pour illustrer cet exemple d'utilisation de l'accès vérifié, nous en utiliserons deuxComptes AWS. Un compte hébergera votre application cible et les ressources d'accès vérifié seront créées dans l'autre compte.
Activez AWS IAM Identity Center dans Région AWS celui dans lequel vous travaillez. Vous pouvez ensuite utiliser IAM Identity Center en tant que fournisseur de confiance avec Verified Access. Pour plus d'informations, consultez la section Activer le centre d'identité IAM dans le guide de l'AWS IAM Identity Centerutilisateur.
Un domaine public hébergé et les autorisations requises pour mettre à jour les enregistrements DNS du domaine.
Une application exécutée derrière un équilibreur de charge interne dans unCompte AWS. L'exemple de nom de domaine d'application que nous allons utiliser estwww.myapp.example.com.
Assurez-vous que votre politique IAM dispose de toutes les autorisations requises pour créer une instance d'accès AWS vérifié indiquée iciPolitique de création d'instances d'accès vérifié.

Étape 1 : créer une instance d'accès vérifié

Utilisez la procédure suivante pour créer une instance d'accès vérifié.

Pour créer une instance d'accès vérifié

Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/.
Dans le volet de navigation Amazon VPC, choisissez Verified Access instances, puis Create Verified Access instance.
(Facultatif) Dans Nom et description, entrez un nom et une description pour l'instance d'accès vérifié.
Pour Trust provider, conservez l'option par défaut.
(Facultatif) Pour ajouter une identification, choisissez Add new tag (Ajouter une identification) et saisissez la clé et la valeur de l’identification.
Choisissez Créer une instance d'accès vérifié.

Étape 2 : Configuration d'un fournisseur de confiance

Vous pouvez vous configurer en AWS IAM Identity Center tant que fournisseur de confiance.

Pour créer un fournisseur de confiance IAM Identity Center

Dans le volet de navigation Amazon VPC, choisissez Verified Access trust providers, puis Create Verified Access trust provider.
(Facultatif) Dans le champ Nom et description, entrez le nom et la description du fournisseur de confiance Verified Access.
Entrez un identifiant personnalisé à utiliser ultérieurement lorsque vous utiliserez des règles de stratégie pour le nom de référence de la stratégie. Par exemple, vous pouvez entreridc.
Sous Type de fournisseur de confiance, sélectionnez Fournisseur de confiance utilisateur.
Sous Type de fournisseur de confiance utilisateur, sélectionnez IAM Identity Center.
(Facultatif) Pour ajouter une identification, choisissez Add new tag (Ajouter une identification) et saisissez la clé et la valeur de l’identification.
Choisissez Create Verified Access trust provider.

Étape 3 : associer votre fournisseur de confiance à l'instance

Utilisez la procédure suivante pour associer le fournisseur de confiance à votre instance Verified Access.

Pour associer un fournisseur de confiance à votre instance

Dans le volet de navigation Amazon VPC, sélectionnez Verified Access instances.
Sélectionnez votre instance.
Choisissez Actions, puis attachez le fournisseur de confiance Verified Access.
Pour le fournisseur de confiance Verified Access, choisissez votre fournisseur de confiance.
Choisissez Attach Verified Access Trust Provider.

Étape 4 : créer un groupe d'accès vérifié

Créons un groupe que vous pourrez utiliser pour le point de terminaison que vous allez créer à l'étape suivante.

Pour créer un groupe d'accès vérifié

Dans le volet de navigation Amazon VPC, choisissez Verified Access groups, puis Create Verified Access group.
(Facultatif) Pour le tag de nom et la description, entrez un nom et une description pour le groupe.
Pour l'instance Verified Access, choisissez votre instance Verified Access.
Pour la définition de la politique, laissez ce champ vide. Vous allez créer une politique plus loin dans ce didacticiel.
(Facultatif) Pour ajouter une identification, choisissez Add new tag (Ajouter une identification) et saisissez la clé et la valeur de l’identification.
Choisissez Créer un groupe d'accès vérifié.

Étape 5 : Partagez votre groupe d'accès vérifié via AWS Resource Access Manager

Au cours de cette étape, vous allez partager le groupe que vous venez de créer avec le groupe Compte AWS dans lequel s'exécute votre application cible. Pour partager un groupe à accès vérifié, vous devez l'ajouter à un partage de ressources. Si vous ne disposez pas d'un partage de ressources, vous devez d'abord en créer un.

Si vous faites partie d'une organisation et que le partage au sein de votre organisation est activé, les clients de votre organisation ont automatiquement accès au groupe d'accès vérifié partagé. AWS Organizations Dans le cas contraire, les consommateurs reçoivent une invitation à rejoindre le partage de ressources et ont accès au groupe d'accès vérifié partagé après avoir accepté l'invitation.

Suivez les étapes décrites dans la section Créer un partage de ressources du Guide de l’utilisateur AWS RAM. Pour Sélectionner le type de ressource, choisissez le groupe d'accès vérifié, puis cochez la case correspondant à votre groupe d'accès vérifié.

Pour plus d'informations, consultez Démarrer dans le Guide de l'utilisateur AWS RAM.

Étape 6 : Ajoutez votre application en créant un point de terminaison

Utilisez les procédures suivantes pour créer un point de terminaison. Cette étape suppose qu'une application s'exécute derrière un équilibreur de charge interne d'Elastic Load Balancing.

Pour créer un point de terminaison d'accès vérifié

Dans le volet de navigation Amazon VPC, choisissez Verified Access endpoints, puis Create Verified Access endpoint.
(Facultatif) Dans les champs Name tag et Description, entrez un nom et une description pour le point de terminaison.
Pour le groupe Verified Access, choisissez votre groupe Verified Access.
Pour les détails de l'application, procédez comme suit :
1. Dans le champ Domaine de l'application, entrez le nom DNS de votre application.
2. Sous ARN du certificat de domaine, sélectionnez le nom de ressource Amazon (ARN) de votre certificat TLS public.
Pour obtenir des informations détaillées sur le point de terminaison, procédez comme suit :
1. Pour Attachment type (Type d'attachement), choisissez VPC.
2. Pour les groupes de sécurité, sélectionnez un groupe de sécurité à associer au point de terminaison.
3. Pour le préfixe de domaine Endpoint, entrez un identifiant personnalisé. Il sera ajouté au début du nom DNS généré par Verified Access. Pour cet exemple, nous pouvons utilisermy-ava-app.
4. Pour le type de point de terminaison, choisissez l'équilibreur de charge.
5. Pour Protocole, sélectionnez HTTPS ou HTTP. Cela dépend de la configuration de votre équilibreur de charge.
6. Pour Port, saisissez le numéro de port. Cela dépend de la configuration de votre équilibreur de charge.
7. Pour l'ARN de l'équilibreur de charge, choisissez votre équilibreur de charge.
8. Pour les sous-réseaux, sélectionnez les sous-réseaux associés à votre équilibreur de charge.
Pour la définition de la stratégie, n'entrez pas de stratégie pour le moment. Nous aborderons ce sujet plus loin dans le didacticiel.
(Facultatif) Pour ajouter une identification, choisissez Add new tag (Ajouter une identification) et saisissez la clé et la valeur de l’identification.
Choisissez Créer un point de terminaison d'accès vérifié.

Étape 7 : Configuration des paramètres DNS

Pour cette étape, vous devez mapper le nom de domaine de votre application (par exemple, www.myapp.example.com) au nom de domaine de votre point de terminaison Verified Access. Pour terminer le mappage DNS, créez un enregistrement de nom canonique (CNAME) auprès de votre fournisseur DNS. Après avoir créé l'enregistrement CNAME, toutes les demandes des utilisateurs adressées à votre application seront envoyées à Verified Access.

Pour obtenir le nom de domaine de votre terminal

Dans le volet de navigation Amazon VPC, sélectionnez Verified Access endpoints.
Sélectionnez le point de terminaison que vous avez créé précédemment.
Choisissez l'onglet Détails du point de terminaison.
Copiez le domaine du point de terminaison sous le domaine du point de terminaison.

Pour ce didacticiel, le nom de domaine du point de terminaison seramy-ava-app.edge-1a2b3c4d5e6f7g.vai-1a2b3c4d5e6f7g.prod.verified-access.us-west-2.amazonaws.com.

Créez un enregistrement CNAME auprès de votre fournisseur DNS :

Nom de l'enregistrement	Type	Valeur
www.myapp.exemple.com	CNAME	my-ava-app.edge-1a2b3c4d5e6f7g.vai-1a2b3c4d5e6f7g.prod. verified-access.us-west-2.amazonaws.com

Étape 8 : tester la connectivité à votre application

Vous pouvez désormais tester la connectivité à votre application. Entrez le nom de domaine de votre application dans votre navigateur Web. Le comportement par défaut des politiques d'accès vérifié est de refuser toutes les demandes. Comme nous n'avons pas encore mis en place de politique permettant à quiconque d'y accéder, toutes les demandes devraient être refusées.

Étape 9 : Configuration de la politique d'accès au niveau du groupe

Utilisez la procédure suivante pour modifier le groupe d'accès vérifié et configurer une politique d'accès qui autorise la connectivité à votre application. Les détails de la politique dépendront des utilisateurs et des groupes configurés dans IAM Identity Center. Pour plus d'informations sur la création d'une politique, consultezPolitiques d'accès vérifiées.

Pour modifier un groupe d'accès vérifié

Dans le volet de navigation Amazon VPC, sélectionnez Verified Access groups.
Sélectionnez le groupe .
Choisissez Actions, Modifier la politique de groupe d'accès vérifié.
Entrez la politique.
Choisissez Modifier la politique de groupe d'accès vérifié.

Étape 10 : retester la connectivité

Maintenant que votre politique de groupe est en place, vous pouvez accéder à votre application. Entrez le nom de domaine de votre application dans votre navigateur Web. La demande doit être autorisée et vous devez être redirigé vers l'application.

Nettoyage

Une fois le test terminé, suivez les étapes ci-dessous pour supprimer les ressources créées.

Pour supprimer les ressources d'accès vérifié créées avec ce didacticiel

Dans le volet de navigation Amazon VPC, sélectionnez Verified Access endpoints. Sélectionnez le point de terminaison que vous souhaitez supprimer. Choisissez Actions, puis Supprimer le point de terminaison d'accès vérifié.
Dans le volet de navigation, sélectionnez Groupes d'accès vérifiés. Sélectionnez le groupe que vous souhaitez supprimer. Choisissez Actions, puis Supprimer le groupe d'accès vérifié. Remarque : vous devrez peut-être attendre quelques minutes jusqu'à ce que le processus de suppression du terminal soit terminé.
Dans le volet de navigation Amazon VPC, sélectionnez Verified Access instances. Sélectionnez l'instance que vous avez créée pour ce didacticiel. Choisissez Actions, détachez le fournisseur de confiance Verified Access. Sélectionnez le fournisseur de confiance dans la liste déroulante, puis choisissez Detach Verified Access Trust Provider.
Dans le volet de navigation Amazon VPC, sélectionnez Verified Access trust providers. Sélectionnez le fournisseur de confiance que vous avez créé pour ce didacticiel. Choisissez Actions, puis Supprimer le fournisseur de confiance Verified Access.
Dans le volet de navigation Amazon VPC, sélectionnez Verified Access instances. Sélectionnez l'instance que vous avez créée pour ce didacticiel. Choisissez Actions, puis Supprimer l'instance d'accès vérifié.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Comment fonctionne l'accès vérifié

Instances d'accès vérifié