Accélérateur de zone d'accueil

sur AWS
Guide de mise en œuvre
Mai 2022

Dernière mise à jour : décembre 2022

(consulter Révisions)

Copyright © 2022 – Amazon Web Services, Inc. et/ou ses sociétés affiliées. Tous droits réservés.
<solution-name> est régi par les termes de la licence Apache Version 2.0 que vous pouvez consulter en accédant à la page
suivante : The Apache Software Foundation
Les marques déposées et l'image d'Amazon ne peuvent pas être utilisées relativement à des produits ou services ne relevant pas
d'Amazon, si cette utilisation peut prêter à confusion pour la clientèle ou si elle peut être préjudiciable à Amazon. Toutes les autres
marques déposées n'appartenant pas à Amazon sont la propriété de leurs titulaires respectifs, qui peuvent être ou non affiliés ou
liés à Amazon ou commandités par celle-ci.
 Amazon Web Services – Accélérateur de zone d'accueil sur AWS Dernière mise à jour :
décembre 2022

Table des matières

Aperçu de la solution ..................................................................................................................... 5
Cas d'usage ........................................................................................................................................... 7
Concepts et définitions...................................................................................................................... 8
Présentation de l'architecture...................................................................................................... 9
Diagramme architectural .................................................................................................................. 9
Configuration selon les bonnes pratiques ................................................................................. 11
Bonnes pratiques sur la structure de compte organisationnelle ................................ 12
Bonnes pratiques de mise en réseau ................................................................................ 13
Pipelines de déploiement .............................................................................................................. 16
Installer (AWSAccelerator-InstallerStack) ...................................................... 16
Core (AWSAccelerator-PipelineStack) ............................................................... 17
Détails de l'architecture .............................................................................................................. 18
Pipeline Installer............................................................................................................................... 18
Pipeline Core ..................................................................................................................................... 18
Artefacts de pipeline des compartiments Amazon S3 ............................................................ 22
Rubriques Amazon SNS .................................................................................................................. 22
Création de comptes et détection des écarts ............................................................................ 23
Journalisation centralisée .............................................................................................................. 24
Gestion des clés ................................................................................................................................ 26
Tous les comptes ................................................................................................................. 26
Compte de gestion .............................................................................................................. 27
Compte LogArchive ............................................................................................................. 27
Compte d'audit..................................................................................................................... 27
Services AWS de cette solution .................................................................................................... 27
Planifier votre déploiement ....................................................................................................... 29

Page 2 sur 71
 Amazon Web Services – Accélérateur de zone d'accueil sur AWS Dernière mise à jour :
décembre 2022
Coût..................................................................................................................................................... 29
Exemple de tableau des coûts ........................................................................................... 29
Sécurité .............................................................................................................................................. 30
Rôles IAM ............................................................................................................................... 30
Clés AWS KMS ...................................................................................................................... 30
Régions AWS prises en charge ...................................................................................................... 30
Quotas ................................................................................................................................................ 31
Options de déploiement ................................................................................................................ 31
Comptes obligatoires ...................................................................................................................... 31
Rôle administratif ............................................................................................................................ 32
Personnalisation de la solution .................................................................................................... 32
Déployer la solution..................................................................................................................... 33
Modèle AWS CloudFormation ...................................................................................................... 33
Prérequis ............................................................................................................................................ 34
Activer une solution de gestion multicompte ................................................................ 34
Créer ou modifier des unités d'organisation .................................................................. 34
Créez un jeton d'accès personnel GitHub et stockez-le dans Secrets Manager ....... 35
Aperçu du processus de déploiement ......................................................................................... 35
Étape 1. Lancer la pile ..................................................................................................................... 36
Étape 2. Attendre le déploiement de l'environnement initial ............................................... 39
Étape 3. Mettre à jour les fichiers de configuration ................................................................. 39
Mettre à jour la solution ............................................................................................................. 40
Dépannage .................................................................................................................................... 42
Problème : problème de fichier de configuration .................................................................... 42
Problème : échec du pipeline Core .............................................................................................. 42
Problème : échec de l'inscription du compte et de la validation de l'environnement ..... 43
Échec général de l'inscription de compte ....................................................................... 43
Erreur de validation de l'environnement......................................................................... 44
Problème : erreur « Le nom du compartiment S3 existe déjà »............................................ 45
Désinstaller la solution................................................................................................................ 46
Utilisation de la console de gestion AWS ................................................................................... 46

Page 3 sur 71
 Amazon Web Services – Accélérateur de zone d'accueil sur AWS Dernière mise à jour :
décembre 2022
Utilisation de l'interface de la ligne de commande AWS ....................................................... 47
Suppression des compartiments Amazon S3............................................................................ 47
Suppression des piles CloudFormation ...................................................................................... 48
Guide du développeur ................................................................................................................. 48
Code source ....................................................................................................................................... 48
Fichiers de configuration................................................................................................................ 48
Description des fichiers de configuration........................................................................ 49
Référence de l'API du fichier de configuration ............................................................... 49
Tâches d'administrateur ................................................................................................................. 50
Ajout d'une unité d'organisation (UO) ............................................................................. 50
Ajouter un nouveau compte .............................................................................................. 51
Ajouter un compte existant ............................................................................................... 52
Ajouter une politique de contrôle des services (SCP) ................................................... 52
Ajouter une règle AWS Config........................................................................................... 53
Services de sécurité centraux ............................................................................................ 54
Ajouter une AWS Transit Gateway ................................................................................... 56
Ajouter un VPC Amazon ..................................................................................................... 57
Remplacement des variables de politique ................................................................................. 58
Prise en charge de régions et de secteurs d’activité spécifiques......................................... 60
Centre canadien pour la cybersécurité (CCCS) Cloud Medium .............................................. 60
Contrôles de sécurité .......................................................................................................... 60
Soins de santé................................................................................................................................... 62
Contrôles de sécurité .......................................................................................................... 62
Élections ............................................................................................................................................. 64
Contrôles de sécurité .......................................................................................................... 64
Finances (impôts) ............................................................................................................................. 65
Contrôles de sécurité .......................................................................................................... 66
Référence ....................................................................................................................................... 67
Collecte de données anonymes.................................................................................................... 67
Ressources connexes ....................................................................................................................... 68
Contributeurs .................................................................................................................................... 68

Page 4 sur 71
 Amazon Web Services – Accélérateur de zone d'accueil sur AWS Dernière mise à jour :
décembre 2022

Révisions ........................................................................................................................................ 70
Avis.................................................................................................................................................. 71

Aperçu de la solution
La solution de l'accélérateur de zone d'accueil sur AWS vous aide à déployer rapidement
une base infonuagique sécurisée, résiliente, évolutive et entièrement automatisée qui
accélère votre préparation pour votre programme de conformité du nuage.

De nombreuses organisations doivent respecter des normes de conformité et de sécurité

complexes pour protéger leurs données sensibles. L'architecture de cette solution a été
conçue pour s'aligner sur les bonnes pratiques d'AWS et se conformer à plusieurs cadres
de conformité internationaux, en pensant à ces organisations. Utilisée en coordination
avec des services tels que AWS Control Tower, cette solution offre une solution complète
à faible code couvrant plus de 35 services et fonctionnalités AWS. Plus précisément,
cette solution vous permet de gérer et de gouverner un environnement multicompte
conçu pour prendre en charge des charges de travail hautement réglementées et des
exigences de conformité complexes. L'accélérateur de zone d'accueil sur AWS vous aide
à établir l'état de préparation de la plateforme en la dotant de capacités relatives à la
sécurité, à la conformité et à l'exploitation.

Nous fournissons cette solution sous la forme d'un projet à source libre que nous avons
conçu à l'aide d'AWS Cloud Development Kit (AWS CDK). Vous pouvez l'installer
directement dans votre environnement, ce qui vous donne un accès complet à la solution
d'infrastructure en tant que code (IaC). Grâce à un ensemble simplifié de fichiers
de configuration, vous pouvez :

• Configurer des fonctionnalités, des barrières de protection et des services de sécurité

supplémentaires comme les règles gérées AWS Config et AWS Security Hub.
• Gérer votre topologie de réseau de base, comme Amazon Virtual Private Cloud
(Amazon VPC), AWS Transit Gateway et AWS Network Firewall.
• Générer des comptes de charge de travail supplémentaires à l'aide d'AWS Control
Tower Account Factory.
Il n'y a pas de frais supplémentaires ou d'engagement initial requis pour utiliser
l'accélérateur de zone d'accueil sur AWS. Vous ne payez que pour les services AWS activés
pour mettre en place votre plateforme et faire fonctionner vos barrières de protection.
De plus, cette solution peut prendre en charge les partitions AWS non standard, y
compris les régions AWS GovCloud (US), AWS Secret et AWS Top Secret.

Page 5 sur 71
 Amazon Web Services – Accélérateur de zone d'accueil sur AWS Dernière mise à jour :
décembre 2022
Ce guide de mise en œuvre décrit les considérations architecturales et les étapes
de configuration pour le déploiement de l'accélérateur de zone d'accueil sur AWS.
Il contient des liens d'accès à un modèle AWS CloudFormation synthétisé à partir d'AWS
CDK qui lance et configure les services AWS nécessaires au déploiement de cette solution
en utilisant les meilleures pratiques AWS de sécurité et de disponibilité.

Utilisez ce tableau de navigation pour trouver rapidement les réponses aux questions
suivantes :

Si vous souhaitez... Consultez...

Connaître le coût d'exploitation de cette solution. Coût

Le coût estimé pour l'exploitation de cette solution à l'aide de la configuration selon
les bonnes pratiques d'AWS avec AWS Control Tower dans la région US Est (Virginie
du Nord) dans un environnement de test (sandbox) non critique sans activité
ni application est d'environ 527,09 USD par mois.

Comprendre les considérations de sécurité pour cette solution. Sécurité

Savoir comment planifier les quotas pour cette solution. Quotas

Savoir quelles régions AWS sont prises en charge pour cette solution. Régions AWS prises en charge

Consulter ou télécharger le modèle AWS CloudFormation inclus dans cette solution Modèle AWS CloudFormation
afin de déployer automatiquement les ressources d'infrastructure (la « pile »)
de cette solution.

Ce guide s'adresse aux architectes de solutions, aux décideurs d'entreprise, aux ingénieurs
DevOps, aux scientifiques des données et aux professionnels du nuage qui souhaitent mettre
en œuvre la solution d'accélérateur de zone d'accueil sur AWS dans leur environnement.

Important : cette solution ne vous permettra pas d'être en conformité à elle seule.
Elle fournit l'infrastructure de base à partir de laquelle d'autres solutions
complémentaires peuvent être intégrées. Les informations contenues dans ce
guide de mise en œuvre de la solution ne sont pas exhaustives. Vous devez
examiner, évaluer, estimer et approuver la solution conformément aux
caractéristiques, outils et configurations de sécurité propres à votre organisation.
Il est de votre seule responsabilité et de celle de votre organisation de déterminer
quelles exigences réglementaires s'appliquent et de vous assurer que vous vous
conformez à toutes ces exigences. Bien que cette solution aborde à la fois des
exigences techniques et administratives, elle ne vous aide pas à vous conformer
aux exigences administratives non techniques.

Page 6 sur 71
 Amazon Web Services – Accélérateur de zone d'accueil sur AWS Dernière mise à jour :
décembre 2022

Cas d'usage
Nous incluons des notes spécifiques concernant l'utilisation de cette solution pour
soutenir l'harmonisation avec :

• Centre canadien pour la cybersécurité (CCCS) Cloud Medium

• Soins de santé
• Élections
• Finances (impôts)

Page 7 sur 71
 Amazon Web Services – Accélérateur de zone d'accueil sur AWS Dernière mise à jour :
décembre 2022

Concepts et définitions
Cette section décrit les concepts essentiels et définit la terminologie propre à cette solution :

Zone d'accueil
Un environnement infonuagique qui offre un point de départ recommandé, notamment
les comptes par défaut, la structure des comptes, l'infrastructure réseau de base et les
configurations de sécurité. En utilisant une zone d'accueil comme base, vous pouvez
déployer vos charges de travail et vos solutions d'applications essentielles dans un
environnement multicompte géré de manière centralisée.

Pipeline Installer (AWSAccelerator-Installer)

Déploie un programme d'installation qui, à son tour, déploie les fonctionnalités de base
de la solution. Comme ce programme d'installation fonctionne séparément du pipeline
principal, vous pouvez effectuer une mise à jour vers les versions futures de la solution à
l'aide d'un seul paramètre par le biais de la console AWS CloudFormation.

Pipeline Core (AWSAccelerator-Pipeline)

Déploie les fonctionnalités de base de la solution.

Pour obtenir une référence générale des termes AWS, consultez le glossaire AWS dans la
référence générale d'AWS.

Page 8 sur 71
 Amazon Web Services – Accélérateur de zone d'accueil sur AWS Dernière mise à jour :
décembre 2022

Présentation de l'architecture
Cette section fournit un diagramme architectural de mise en œuvre de référence pour les
composants déployés avec cette solution.

Diagramme architectural
Le déploiement de cette solution avec les paramètres par défaut déploie les composants
suivants dans votre compte AWS.

Illustration 1 : architecture de haut niveau de l'accélérateur de zone d'accueil sur AWS – ressources par
défaut déployées avec la solution

1. Vous utilisez AWS CloudFormation pour installer la solution dans votre environnement.
Votre environnement doit répondre à des conditions préalables pour que la solution
puisse être déployée. Le modèle CloudFormation fourni permettra de déployer un
AWS CodePipeline qui contient le moteur d'installation de l'accélérateur de zone
d'accueil sur AWS.
2. Le pipeline Installer (AWSAccelerator-InstallerStack) fonctionne séparément
du pipeline Core et de l'infrastructure de solution. De cette façon, vous pouvez

Page 9 sur 71
 Amazon Web Services – Accélérateur de zone d'accueil sur AWS Dernière mise à jour :
décembre 2022

effectuer une mise à jour vers les versions futures de la solution à l'aide d'un seul
paramètre via la console AWS CloudFormation.
3. Un projet AWS CodeBuild fonctionne comme un moteur d'orchestration pour créer et
exécuter l'application AWS CDK de la solution qui déploie le pipeline Core (AWSAccelerator-
PipelineStack) et ses dépendances associées.
4. La solution déploie les rubriques Amazon Simple Notification Service (Amazon SNS)
auxquelles vous pouvez vous abonner pour recevoir des alertes sur les événements du
pipeline principal, ce qui peut augmenter l'observabilité de vos opérations du pipeline Core.
De plus, la solution déploie deux clés gérées par le client AWS Key Management Service
(AWS KMS) afin de gérer le chiffrement de données inactives des dépendances des pipelines
Installer et Core.
5. Le pipeline Core valide et synthétise les entrées et déploie des piles CloudFormation
supplémentaires avec AWS CDK. Un référentiel AWS CodeCommit nommé aws-
accelerator-config stocke les fichiers de configuration utilisés par la solution. Ces
fichiers de configuration constituent le principal mécanisme de configuration et de
gestion de la solution.
6. Un projet AWS CodeBuild compile et valide la configuration de l'application AWS CDK
de la solution.
7. Plusieurs étapes de déploiement AWS CodeBuild déploient dans votre environnement
multicompte les ressources définies dans les fichiers de configuration de la solution.
Une étape facultative de révision manuelle peut être incluse, vous permettant de voir
toutes les modifications que ces étapes auront appliquées.
8. La solution déploie des ressources qui surveillent les événements du cycle de vie d'AWS
Control Tower afin de détecter l'écart potentiel par rapport à un bon état connu
(autrement dit, lorsque la configuration réelle d'une ressource d'infrastructure diffère
de sa configuration prévue). La solution déploie également des ressources qui peuvent
automatiser l'inscription de nouveaux comptes AWS dans votre environnement
multicompte. Lorsque vous utilisez AWS Control Tower avec cette solution, assurez-
vous que les comptes et les unités d'organisation (UO) de votre environnement AWS
Control Tower sont correctement inscrits. Vous pouvez gérer cela à l'aide de la console
AWS Control Tower.

Remarque : nous vous donnons des conseils dans la section Installation basée sur
AWS Organizations (sans AWS Control Tower) plus loin dans ce document si vous
ne souhaitez pas utiliser AWS Control Tower.

Page 10 sur 71
 Amazon Web Services – Accélérateur de zone d'accueil sur AWS Dernière mise à jour :
décembre 2022

9. La solution déploie des ressources de journalisation centralisées dans le compte Log

Archive (Archive de journaux) dans votre environnement multicompte. Cela comprend
les ressources Amazon Kinesis pour diffuser et ingérer les journaux, les clés AWS KMS
pour faciliter le chiffrement de données inactives et les compartiments Amazon Simple
Storage Service (Amazon S3) comme destinations de stockage des journaux.
10. Vous pouvez inscrire et approvisionner des comptes de charge de travail dans votre
environnement multicompte avec une infrastructure supplémentaire grâce aux fichiers
de configuration de la solution. Au minimum, les nouveaux comptes sont fournis avec
des ressources qui facilitent la diffusion en continu des groupes de journaux Amazon
CloudWatch vers l'infrastructure de journalisation centralisée du compte Log Archive
(Archive de journaux).

Remarque : le déploiement initial comprend, au minimum, la création de comptes,

la détection d'écart, la gestion des clés et l'infrastructure de journalisation
centralisée. Ces composantes obligatoires font partie de l'ensemble de
caractéristiques de base de la solution et sont décrites plus en détail dans la
section Détails de l'architecture. Le reste de l'infrastructure que la solution déploie
dépend du contenu des fichiers de configuration définis par l'utilisateur.

Configuration selon les bonnes pratiques

L'accélérateur de zone d'accueil sur AWS offre des exemples de configurations selon les
bonnes pratiques qui vous permettent de déployer rapidement des comptes, une
infrastructure et des barrières de protection de sécurité dans votre environnement
multicompte. Le référentiel comprend des exemples de configurations pour chacun des
six fichiers YAML personnalisables dans les régions standard et AWS GovCloud (US).
Lorsqu'elles sont utilisées avec cette solution, les configurations selon les bonnes
pratiques permettent de déployer une architecture de sécurité et de réseau de base. Une
personnalisation supplémentaire de la solution de base sera probablement nécessaire
pour répondre aux besoins de conformité de votre entreprise.

Nous avons élaboré les configurations selon les bonnes pratiques sur la base des modèles
autorisés et des directives fournies dans l'architecture de référence de sécurité (SRA) des
recommandations AWS. Cette solution est une mise en œuvre entièrement automatisée
d'AWS SRA et vous offre en outre la possibilité de personnaliser votre zone d'accueil en
fonction des exigences de sécurité, de mise en réseau et de conformité de votre organisation.

Page 11 sur 71
 Amazon Web Services – Accélérateur de zone d'accueil sur AWS Dernière mise à jour :
décembre 2022

Bonnes pratiques sur la structure de compte

organisationnelle
Les configurations selon les bonnes pratiques organization-config.yaml et
accounts-config.yaml déploient une structure de compte organisationnelle qui
s'aligne sur AWS SRA.

Illustration 2 : architecture de l'accélérateur de zone d'accueil sur AWS – comptes, unités d'organisation
et services de base

1. Une UO Racine héberge le compte de Gestion. La solution de l'accélérateur de zone

d'accueil s'installe sur ce compte et orchestre les piles CloudFormation par
l'intermédiaire d'AWS CDK sur tous les comptes.

Remarque : en raison des privilèges administratifs associés à ce compte, nous vous

recommandons de suivre nos bonnes pratiques pour le compte de gestion.

2. Une UO Sécurité héberge les comptes Log Archive (Archive de journaux) et Audit.
Si vous utilisez AWS Control Tower, cette UO et ces comptes sont configurés

Page 12 sur 71
 Amazon Web Services – Accélérateur de zone d'accueil sur AWS Dernière mise à jour :
décembre 2022

automatiquement pour vous. AWS Control Tower met également en place des
contrôles et des barrières de protection supplémentaires dans ces comptes pour
gouverner le reste de votre organisation.
3. Une UO Infrastructure héberge les comptes Network (Réseau) et Shared Services
(Services partagés). Un compte Network (Réseau) central héberge et gère de manière
centralisée l'infrastructure de réseau de base de votre organisation. Des passerelles de
transit centrales, des Amazon Virtual Private Cloud (Amazon VPC) et des ressources de
réseau hybride telles que les connexions AWS Direct Connect ou AWS Site-to-Site
Virtual Private Network (AWS Site-to-Site VPN) sont couramment déployées sur ce
compte. Le compte Shared Services (Services partagés) est un modèle couramment
utilisé par les organisations qui disposent de ressources autres que l'infrastructure de
réseau de base (telles que des applications partagées, des hôtes bastion, etc.) que
l'organisation doit partager.
4. Les comptes de charge de travail supplémentaires sont définis dans le fichier accounts-
config.yaml. Vous pouvez déployer des comptes de charge de travail supplémentaires
dans leur propre structure d'UO à l'aide des fichiers organization-config.yaml et
accounts-config.yaml. Vous pouvez également choisir d'appliquer une
infrastructure réseau et des barrières de protection de sécurité supplémentaires à ces
comptes en fonction de la configuration que vous avez définie dans les autres fichiers de
configuration de la solution. L'utilisation de la solution comme point de gestion
centralisé pour le provisionnement des comptes vous permet de vous assurer que les
nouveaux comptes répondent à vos critères de sécurité et de réseau.

Bonnes pratiques de mise en réseau

La configuration selon les bonnes pratiques network-config.yaml est conçue pour
mettre en place diverses constructions de réseau centralisées que vous pouvez utiliser
pour personnaliser et créer une infrastructure supplémentaire. Les plages d'adresses IP
spécifiques, les configurations de routage AWS Transit Gateway et les fonctionnalités
avancées comme Amazon Route 53 Resolver, Amazon VPC IP Address Manager et
AWS Network Firewall nécessitent probablement une personnalisation supplémentaire.
La solution ne déploie pas par défaut ces éléments de configuration. À titre de ressource,
nous fournissons des exemples de ces éléments de configuration sous forme de
commentaires dans les fichiers de configuration selon les bonnes pratiques afin que vous
puissiez les personnaliser en fonction des besoins de votre organisation.

Page 13 sur 71
 Amazon Web Services – Accélérateur de zone d'accueil sur AWS Dernière mise à jour :
décembre 2022

Illustration 3 : architecture de l'accélérateur de zone d'accueil sur AWS – ressources de mise en réseau

1. Cette solution offre une connectivité hybride optionnelle via AWS Direct Connect vers un
centre de données sur site. AWS Site-to-Site VPN (non représenté) est une autre option
de connectivité hybride. Vous pouvez choisir de déployer cette infrastructure pour une
connectivité hybride à votre environnement AWS. La passerelle Direct Connect (ou
connexion VPN AWS) est associée à une passerelle centrale AWS Transit Gateway, qui
permet la communication entre votre réseau sur site et le réseau infonuagique.
2. Le VPC d'inspection fournit un point central pour l'inspection approfondie des paquets.
Vous pouvez également utiliser ce VPC pour gérer de manière centralisée Network
Firewall ou des appareils tiers de système de détection d'intrusion ou de système de
prévention des intrusions (IDS/IPS). Vous pouvez également utiliser un équilibreur de
charge de passerelle pour la capacité de mise à l'échelle et la haute disponibilité de vos
appareils tiers. L'équilibreur de charge de passerelle n'est pas requis pour les
déploiements d'AWS Network Firewall.

Remarque : nous avons conçu le VPC d'inspection de façon générique. Il se peut

que vous ayez besoin d'une configuration supplémentaire si vous utilisez des
appareils tiers. Par exemple, une bonne pratique lors de l'utilisation de
l'équilibreur de charge de passerelle consiste à séparer le sous-réseau de
l'équilibreur de charge et le sous-réseau du point de terminaison afin de pouvoir

Page 14 sur 71
 Amazon Web Services – Accélérateur de zone d'accueil sur AWS Dernière mise à jour :
décembre 2022
gérer les listes de contrôle d'accès (ACL) au réseau indépendamment les unes des
autres. Pour des raisons similaires, vous pouvez également séparer les interfaces
réseau de gestion et de données de vos appareils en sous-réseaux distincts.
Pour plus d'informations sur les modèles d'inspection centralisée, consultez le livre
blanc AWS Building a Scalable and Secure Multi-VPC AWS Network Infrastructure
(Création d'une infrastructure réseau AWS multi-VPC évolutive et sécurisée).

3. Lorsque vous concevez des points de terminaison d'un VPC selon un modèle centralisé,
vous pouvez accéder à plusieurs points de terminaison d'un VPC dans votre
environnement à partir d'un VPC des points de terminaison central. Cela peut vous
aider à réduire les coûts et les frais généraux de gestion liés au déploiement de points
de terminaison d'interface sur plusieurs VPC de charges de travail. Cette solution
déploie des constructions pour gérer la centralisation de ces points de terminaison et
de leurs dépendances (par exemple, les zones hébergées privées Route 53). Pour plus
d'informations sur ce modèle, reportez-vous à Accès centralisé aux points de
terminaison privés du VPC.

Remarque : les points de terminaison centralisés ne sont pas disponibles dans les
régions de GovCloud (US).

4. Une passerelle de transit centrale fournit un routeur virtuel qui vous permet de
connecter plusieurs VPC Amazon et des connexions de réseaux hybrides en un seul
endroit. Vous pouvez l'utiliser en combinaison avec des modèles de routage via les
tables de routage de la passerelle de transit pour isoler le réseau, procéder à une
inspection centralisée et mettre en place d'autres stratégies répondant à vos besoins
en matière de conformité.
5. Vous pouvez également utiliser AWS Resource Access Manager (AWS RAM) pour
partager des ressources de mise en réseau avec d'autres UO ou comptes principaux et
de charge de travail. Par exemple, vous pouvez partager les politiques de Network
Firewall créées dans le compte Network (Réseau) avec des comptes d'applications qui
nécessitent un contrôle d'accès au réseau précis et une inspection approfondie des
paquets au sein des VPC d'application.
6. Le compte Shared Services (Services partagés) et le VPC fournissent des modèles
couramment utilisés par les organisations qui disposent de ressources autres que
l'infrastructure de réseau de base et qu’elles doivent partager. Entre autres exemples,
mentionnons AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft
AD), les applications de collaboration agiles et les référentiels de paquets ou de conteneurs.

Page 15 sur 71
 Amazon Web Services – Accélérateur de zone d'accueil sur AWS Dernière mise à jour :
décembre 2022

7. Un VPC d'accès externe optionnel pour les applications partagées, les hôtes bastion
d'accès à distance (RDP/SSH) ou d'autres ressources nécessitant un accès public à
Internet ne sont pas inclus dans la configuration selon les bonnes pratiques et sont
représentés à titre d'illustration seulement.
8. D'autres comptes de charge de travail peuvent comporter des VPC d'application et des
attachements de la passerelle de transit déployés lorsqu'ils sont fournis par la solution.
Le déploiement de l'infrastructure réseau dans ces comptes de charge de travail dépend
de vos entrées dans le fichier network-config.yaml.

Pipelines de déploiement
Le modèle AWS CloudFormation déploie deux AWS CodePipeline, un programme
d'installation et le pipeline de déploiement principal, ainsi que les dépendances
associées. Cette solution utilise AWS CodeBuild pour créer et déployer une série de piles
CloudFormation basées sur CDK qui sont responsables du déploiement des ressources
prises en charge dans l'environnement multicomptes et multirégions.

Remarque : les ressources AWS CloudFormation sont créées à partir des

constructions AWS Cloud Development Kit (AWS CDK).

Installer (AWSAccelerator-InstallerStack)
Ce modèle CloudFormation déploie les ressources suivantes :

• Un CodePipeline (AWSAccelerator-Installer) utilisé pour orchestrer la création et

le déploiement du modèle AWSAccelerator-PipelineStack AWS CloudFormation.

• Un projet AWS CodeBuild est utilisé comme moteur d'orchestration au sein du pipeline
pour créer le code source de l'accélérateur de zone d'accueil sur AWS, puis synthétiser
et déployer le modèle AWSAccelerator-PipelineStack CloudFormation.

• Un compartiment Amazon S3 utilisé pour le stockage des artefacts du pipeline.

• Une clé AWS KMS qui est utilisée pour activer le chiffrement de données inactives pour
les ressources applicables déployées dans AWSAccelerator-InstallerStack et
AWSAccelerator-PipelineStack.

• Prise en charge des rôles Gestion des identités et des accès AWS (IAM) pour que
CodePipeline et CodeBuild puissent effectuer leurs actions.

Page 16 sur 71
 Amazon Web Services – Accélérateur de zone d'accueil sur AWS Dernière mise à jour :
décembre 2022

Core (AWSAccelerator-PipelineStack)
Cette pile AWS CloudFormation est déployée par CDK avec les ressources suivantes :
• Un CodePipeline (AWSAccelerator-Pipeline) qui est utilisé pour la validation
d'entrée, la synthèse et le déploiement de piles CloudFormation supplémentaires
via CDK. Le pipeline comporte plusieurs étapes qui sont abordées dans la section
Détails de l'architecture.
• Deux projets CodeBuild. Les projets sont utilisés dans les étapes du pipeline pour :
• Créer le code source de l'accélérateur de zone d'accueil sur AWS.
• Exécuter diverses commandes de la boîte à outils AWS CDK à travers les
étapes du pipeline.
• Un référentiel AWS CodeCommit (aws-accelerator-config) qui est utilisé pour
stocker les fichiers de configuration utilisés par AWSAccelerator-Pipeline. Ces
fichiers de configuration seront votre principal mécanisme de configuration et de
gestion de l'ensemble de la solution d'accélérateur de zone d'accueil sur AWS.
• Deux rubriques Amazon SNS sont créées et il est possible de s'y abonner pour les
notifications d'exécution d'AWS CodePipeline. Aucun abonnement à une rubrique
n'est créé par défaut. Une rubrique SNS signalera tous les événements liés à
l'exécution du pipeline. L'autre rubrique signale uniquement les événements de
défaillance du pipeline.
• Une troisième rubrique SNS facultative est créée si l'option EnableApprovalStage
est définie sur Yes dans AWSAccelerator-InstallerStack. La ou les adresses
électroniques dans la liste ApprovalStageNotifyEmailList seront automatiquement
abonnées à cette rubrique.
• Un rôle lié au service AWS IAM est créé pour permettre aux notifications d'AWS CodeStar
de publier les événements d'exécution du pipeline AWS CodePipeline dans les rubriques
Amazon SNS.
• Une alarme CloudWatch est créée pour signaler les défaillances de traitement
du pipeline.
• Un compartiment Amazon S3 utilisé pour le stockage des artefacts du pipeline.

Page 17 sur 71
 Amazon Web Services – Accélérateur de zone d'accueil sur AWS Dernière mise à jour :
décembre 2022

Détails de l'architecture
Cette section décrit les composants et les services AWS qui composent cette solution, ainsi
que les détails de l'architecture grâce à laquelle ces composants fonctionnent ensemble.

Pipeline Installer
Ce pipeline comporte les étapes suivantes :
1. Source : le code source de l'accélérateur de zone d'accueil sur AWS provenant du
référentiel GitHub des solutions AWS
2. Installation : un projet CodeBuild est utilisé pour exécuter le projet CDK de pipeline
de l'accélérateur de zone d'accueil sur AWS, ce qui entraîne le déploiement de la
pile AWSAccelerator-PipelineStack

Remarque : le programme d'installation de l'accélérateur de zone d'accueil sur

AWS et le pipeline principal sont séparés de par leur conception. La fonctionnalité
d'AWSAccelerator-InstallerStack a été réduite afin de soutenir
uniquement le déploiement du pipeline principal, AWSAccelerator-Pipeline.
Cela vous permet de mettre à jour votre version de l'accélérateur de zone d'accueil
sur AWS en mettant à jour un seul paramètre par l'intermédiaire de la console de
mise à jour de la pile AWS CloudFormation.

Pipeline Core
La solution utilise CodeBuild comme moteur d'orchestration pour chaque action réalisée
après l'étape Source dans ce pipeline. Ces actions exécutent une application CDK, qui
déploie des piles CloudFormation sur chacun des comptes et régions AWS gérés par
l'accélérateur de zone d'accueil sur AWS, sauf indication contraire :
1. Source : il y a deux actions source à cette étape :
• Source : le code source de l'accélérateur de zone d'accueil sur AWS provenant
du référentiel GitHub des solutions AWS.
• Configuration : le référentiel de configuration de l'accélérateur de zone
d'accueil sur AWS, nommé aws-accelerator-config.
2. Créer : à cette étape, le code source de l'accélérateur de zone d'accueil sur AWS est
transposé, y compris la validation des entrées et des types pour les fichiers de
configuration.
3. Préparation : tous les comptes AWS qui sont définis dans la configuration sont
créés ou validés au besoin. Si vous utilisez AWS Control Tower, de nouveaux

Page 18 sur 71
 Amazon Web Services – Accélérateur de zone d'accueil sur AWS Dernière mise à jour :
décembre 2022

comptes AWS sont générés à l'aide de Control Tower Account Factory et inscrits
dans l'unité d'organisation (UO) d'AWS Organizations appropriée. Nous vous
recommandons vivement d'utiliser AWS Control Tower pour générer et inscrire de
nouvelles UO. Toutefois, si vous déployez la solution dans une région AWS qui n'est
pas encore prise en charge par AWS Control Tower, toutes les UO définies dans la
configuration sont créées ou validées au besoin.
4. Comptes : une validation supplémentaire des comptes est effectuée dans
l'environnement. Tous les comptes de la configuration sont contrôlés pour vérifier
s'ils font partie d'une organisation AWS. Toutes les politiques de contrôle des
services (SCP) d'AWS Organization configurées sont également créées et attachées
aux cibles de déploiement spécifiées dans la configuration lors de cette étape.
5. Amorçage : l'amorçage AWS CDK est exécuté. Cela permet d'initialiser
l'environnement pour CDK. Un modèle CloudFormation de la boîte à outils CDK
spécifique à la solution (AWS Accelerator-CDKToolkit) est déployé dans tous
les comptes et régions sans amorçage préalable. Si vous souhaitez déployer d'autres
applications CDK, nous vous recommandons de déployer votre propre modèle
d'amorçage CDK afin d'éviter toute collision possible avec l'utilisation de CDK par
l'accélérateur de zone d'accueil sur AWS.
6. Bilan (optionnel) : étape optionnelle qui peut être activée et désactivée à l'aide du
paramètre de configuration EnableApprovalStage du modèle CloudFormation
AWSAccelerator-InstallerStack. L'activation de cette option ajoute cette
étape au pipeline, qui comprend les actions suivantes :
• Diff : l'action AWS CDK diff est exécutée sur les modèles CloudFormation
synthétisés par rapport à chaque compte cible et région. Le résultat de l'action
diff peut être examiné dans les journaux de construction du projet CodeBuild.
• Approuver : une mesure d'approbation manuelle. Il s'agit d'une porte permettant
d'examiner et d'approuver ou de refuser les changements représentés dans
l'action Diff. Cette action est publiée dans une rubrique SNS afin de notifier la ou
les listes de courriels configurées de l'approbation en attente.
7. Journalisation : il y a deux actions dans cette étape :
• Clé : déploiement d'une clé AWS KMS centralisée sur le compte AWS désigné
comme compte d'audit dans la configuration. Cette clé est utilisée dans les
déploiements ultérieurs pour activer le chiffrement de données inactives pour
les ressources concernées. La solution déploie également les paramètres
Systems Manager Parameter Store contenant la valeur des Amazon Resource
Name (ARN) clés ainsi qu'un rôle IAM qui permet l'accès en lecture intercompte
pour les paramètres.

Page 19 sur 71
 Amazon Web Services – Accélérateur de zone d'accueil sur AWS Dernière mise à jour :
décembre 2022

• Journalisation : la solution déploie un compartiment Amazon S3 de journalisation

centralisée, un flux de données Amazon Kinesis et Amazon Kinesis Data Firehose dans
le compte AWS désigné comme LogArchive dans la configuration. La solution
utilise le flux de données Kinesis comme destination pour les groupes de journaux
CloudWatch dans les comptes membres afin que les journaux puissent être diffusés
en continu vers le compartiment central des journaux via Kinesis Data Firehose. Vous
pouvez également spécifier une configuration de partitionnement dynamique pour
associer des groupes de journaux CloudWatch spécifiques à des préfixes de
compartiments Amazon S3 spécifiques.
La solution crée des compartiments Amazon S3 pour la journalisation des accès au
serveur Amazon S3 dans chaque compte et région AWS activés dans la
configuration. En option, vous pouvez activer la fonctionnalité Amazon S3 Block
Public Access (Blocage de l'accès public à Amazon S3) au niveau du compte et
activer la journalisation de Systems Manager Session Manager pour chaque compte
et région configurés.
La solution déploie également des clés AWS KMS pour Amazon S3, AWS Lambda et
CloudWatch Logs. Ces clés sont déployées dans chaque compte et région AWS
activés dans la configuration. Un document d'automatisation de Systems Manager
déployé par la solution appelé Accelerator-Put-S3-Encryption utilise la clé
AWS KMS pour Amazon S3 pour chiffrer tous les compartiments Amazon S3 créés
sans chiffrement. La solution utilise la clé AWS KMS pour Lambda afin d'invoquer le
chiffrement des variables d'environnement Lambda, et elle utilise la clé AWS KMS
pour CloudWatch Logs afin de chiffrer les groupes de journaux CloudWatch créés
par la solution.
8. Organisation : déploiement des ressources AWS à l'échelle de l'organisation. Ces
ressources sont déployées dans la région désignée comme étant la région d'origine
de l'organisation dans le compte de gestion de l'organisation. Cela comprend des
actions telles que l'activation de services de confiance, la création de politiques de
balisage et de sauvegarde d'AWS Organizations, la création de définitions de
rapport pour le Rapport d'utilisation et de coûts AWS et AWS Budgets.
9. Security_Audit : déploiement des dépendances des ressources pour les services de
sécurité centralisés dans le compte AWS désigné comme compte d'audit dans la
configuration. Cela comprend les compartiments S3 ou les configurations pour
Amazon Macie, Amazon GuardDuty, AWS Security Hub et les documents
d'automatisation de Systems Manager.

Page 20 sur 71
 Amazon Web Services – Accélérateur de zone d'accueil sur AWS Dernière mise à jour :
décembre 2022

10. Déploiement : plusieurs actions sont réalisées au cours de cette étape pour
déployer l'architecture restante telle que définie dans les fichiers de configuration.
Utilisez notre exemple de configuration comme référence pour commencer :
a. Network_Prepare : les ressources réseau que les piles de réseau suivantes
doivent référencer sont créées lors de cette action. Cela comprend les
partages AWS Transit Gateway et AWS Resource Access Manager (AWS RAM),
s'ils sont configurés.
b. Sécurité : les services de sécurité des comptes membres sont configurés.
c. Opérations : les utilisateurs, groupes et rôles IAM sont déployés. La configuration
du fournisseur d'identité IAM Security Assertion Markup Language (SAML) est
également déployée, si elle est configurée.
d. Network_VPC : trois piles sont déployées au cours de cette étape, chacune
étant liée à la mise en réseau des VPC :
i. NetworkVpcStack : les VPC, les sous-réseaux, les tables de routage, les
groupes de sécurité et d'autres ressources associées sont déployés. Les
attachements d'AWS Transit Gateway sont créés s'ils sont configurés.
ii. NetworkVpcEndpointsStack : les points de terminaison d'un VPC,
y compris les points de terminaison du résolveur Route 53 et les points
de terminaison d’AWS Network Firewall, sont déployés.
iii. NetworkVpcDnsStack : les zones hébergées privées Route 53 et les
règles du résolveur sont déployées.
e. Security_Resources : des services de sécurité supplémentaires pour les
comptes membres, tels qu'AWS Config, les mesures CloudWatch et les
alarmes, sont déployés.
f. Network_Associations : la solution déploie deux piles au cours de cette
étape, chacune étant liée aux associations de réseau qui dépendent des
ressources créées au cours de l'étape Network_VPCs :
i. NetworkAssociationsStack : les associations de réseau qui dépendent
des ressources Amazon VPC à créer, telles que les associations VPC
AWS Transit Gateway, sont déployées.
ii. NetworkAssociationsGwlbStack : les associations de réseau qui
dépendent des équilibreurs de charge de passerelle à créer, tels que
les points de terminaison d'un VPC de l'équilibreur de charge de
passerelle, sont déployées.

Page 21 sur 71
 Amazon Web Services – Accélérateur de zone d'accueil sur AWS Dernière mise à jour :
décembre 2022

g. Finaliser : si vous utilisez la fonction de quarantaines de comptes pour la

création de nouveaux comptes, la SCP de quarantaine est supprimée au cours
de cette action.

Artefacts de pipeline des compartiments

Amazon S3
Deux compartiments Amazon S3 sont créés par défaut avec la solution. Ces compartiments
sont utilisés pour héberger des artefacts pour les pipelines CodePipeline. Si vous le
souhaitez, les artefacts peuvent être supprimés après la fin des invocations du pipeline.
Toutefois, ne supprimez pas les compartiments eux-mêmes. Cela interromprait la
fonctionnalité des pipelines. Pour plus d'informations, reportez-vous à la section
Artefacts d'entrée et de sortie dans le Guide de l'utilisateur AWS CodePipeline.

Rubriques Amazon SNS

Deux rubriques Amazon SNS sont créées par défaut avec la solution. L'une des rubriques
consiste à notifier tous les événements du pipeline AWSAccelerator-Pipeline. La
deuxième rubrique notifie uniquement les défaillances du pipeline AWSAccelerator-
Pipeline. Vous pouvez choisir de vous abonner à ces rubriques afin d'accroître
l'observabilité de vos opérations de pipeline. Pour plus d'informations, reportez-vous à la
section Abonnement à une rubrique Amazon SNS du Guide du développeur Amazon SNS.
Une troisième rubrique SNS facultative est créée si le paramètre EnableApprovalStage est
défini sur Yes (Oui) dans AWSAccelerator-InstallerStack. Vous pouvez fournir une liste
d'adresses électroniques séparées par des virgules dans le paramètre
ApprovalStageNotifyEmailList pour vous abonner automatiquement à cette rubrique SNS.

Page 22 sur 71
 Amazon Web Services – Accélérateur de zone d'accueil sur AWS Dernière mise à jour :
décembre 2022

Création de comptes et détection des écarts

Illustration 4 : architecture de l'accélérateur de zone d'accueil sur AWS – provisionnement des comptes
et détection des écarts de Control Tower

1. La solution déploie les règles Amazon EventBridge qui surveillent les événements du cycle
de vie d'AWS Control Tower. Ces règles déclenchent des fonctionnalités AWS Lambda qui
effectuent différentes actions en fonction de l'événement du cycle de vie. La solution
utilise la fonction AttachQuarantineScp pour attacher une politique de contrôle des
services (SCP) AWS Organizations aux comptes nouvellement inscrits, si elle est configurée.
La solution utilise la fonction ControlTowerOuEvents pour détecter les changements
apportés aux UO dans l'environnement multicomptes.
2. Les fonctions Lambda ont accès aux tables Amazon DynamoDB qui contiennent des
informations détaillées sur l'environnement multicomptes. Les fonctions utilisent ces
données pour valider les changements apportés à l'environnement par rapport à un
bon état connu.
3. Le flux de travail de création de comptes est invoqué par l'étape Préparation du
pipeline AWSAccelerator-Pipeline lorsqu'un nouveau compte est ajouté au fichier
accounts-config.yaml. Deux machines d'état AWS Step Functions gèrent ce flux de

Page 23 sur 71
 Amazon Web Services – Accélérateur de zone d'accueil sur AWS Dernière mise à jour :
décembre 2022

travail : l'une pour les zones d'accueil basées sur AWS Control Tower et l'autre pour les
zones d'accueil basées sur AWS Organizations.
4. Les machines d'état ont accès aux tables DynamoDB qui contiennent des informations
détaillées sur l'environnement multicomptes. Cela permet aux fonctions Lambda sous-
jacentes de valider l'environnement et de stocker l'état de l'environnement dans les
tables DynamoDB.
5. Les machines d'état lancent le processus de création de comptes si un nouveau compte
est ajouté à la configuration de l'accélérateur. Le flux de travail de création du compte
dépend du type de zone d'accueil dans laquelle la solution a été déployée. Pour les
zones d'accueil basées sur AWS Control Tower, la solution s'appuie sur le catalogue de
services de Control Tower Account Factory pour provisionner un nouveau compte. Pour
les zones d'accueil basées sur AWS Organizations, l'API Organizations invoque la
création de comptes. Nous fournissons des options de configuration pour différencier
le type de zone d'accueil dans le fichier global-config.yaml.

Remarque : la création d'un compte est un processus asynchrone, de sorte que le

flux de travail de la machine d'état est utilisé pour vérifier périodiquement l'état
de la création de comptes basé sur Account Factory ou Organizations. Ainsi, la
machine d'état interrompt la progression des étapes du pipeline jusqu'à ce que la
création du compte réussisse ou échoue.

Journalisation centralisée

Illustration 5 : architecture de l'accélérateur de zone d'accueil sur AWS – journalisation centralisée

Page 24 sur 71
 Amazon Web Services – Accélérateur de zone d'accueil sur AWS Dernière mise à jour :
décembre 2022

1. Un flux de travail de mise à jour du groupe de journaux CloudWatch s'exécute pendant

l'étape de Journalisation du pipeline. Une ressource personnalisée CloudFormation
déclenche une fonction Lambda qui met à jour les groupes de journaux existants avec
la période de conservation des journaux configurée, la clé AWS KMS CloudWatch et le
filtre d'abonnement. La destination du filtre d'abonnement est un flux de données
Amazon Kinesis déployé sur le compte Log Archive (Archive de journaux).
2. Une règle EventBridge surveille les nouveaux groupes de journaux CloudWatch créés
dans les comptes principaux et les comptes de charge de travail.
3. Lorsque de nouveaux groupes de journaux sont créés, la règle EventBridge déclenche
une fonction Lambda qui met à jour le groupe de journaux avec la période de
conservation des journaux configurée, la clé AWS KMS CloudWatch et le filtre
d'abonnement. La destination du filtre d'abonnement est le flux de données Kinesis
déployé sur le compte Log Archive (Archive de journaux).
4. Les groupes de journaux transmettent leurs journaux dans le flux de données Kinesis.
Le flux de données est chiffré au repos à l'aide de la clé AWS KMS de réplication.
5. Un flux de diffusion est configuré avec le flux de données Kinesis et Kinesis Data
Firehose, ce qui permet aux journaux d'être transformés et répliqués dans Amazon S3.
6. La destination du flux de diffusion de Kinesis Data Firehose est le compartiment
Amazon S3 aws-accelerator-central-logs. Ce compartiment est chiffré au
repos à l'aide de la clé AWS KMS de journalisation centrale. De plus, les compartiments
aws-accelerator-s3-access-logs et aws-accelerator-elb-access-logs
sont chiffrés au repos avec le chiffrement côté serveur géré par Amazon S3 (SSE-S3),
car ces services ne prennent pas en charge les clés AWS KMS gérées par le client. Les
journaux livrés au compartiment aws-accelerator-elb-access-logs sont
répliqués dans le compartiment de journaux central avec la réplication Amazon S3.

Page 25 sur 71
 Amazon Web Services – Accélérateur de zone d'accueil sur AWS Dernière mise à jour :
décembre 2022

Gestion des clés

Illustration 6 : architecture de l'accélérateur de zone d'accueil sur AWS – gestion des clés

L'accélérateur utilise les clés AWS KMS pour fournir des capacités de chiffrement au
repos pour les ressources déployées par la solution. Certaines clés AWS KMS sont
déployées dans chaque compte et région gérés par la solution, tandis que d'autres sont
centralisées dans un seul compte principal.

Tous les comptes

• Clé Amazon CloudWatch : utilisée pour chiffrer les groupes de journaux
CloudWatch créés par la solution
• Clé Amazon S3 : utilisée pour chiffrer les compartiments Amazon S3 créés par
la solution
• Clé AWS Lambda : utilisée pour chiffrer les variables d'environnement pour les
fonctions Lambda créées par la solution
• Clé du gestionnaire de session AWS System Manager (optionnel) : utilisée pour
chiffrer les sessions Session Manager si la journalisation de Session Manager est
activée dans le fichier global-config.yaml
• Clé Amazon Elastic Block Store (Amazon EBS) (optionnel) : utilisée pour le
chiffrement par défaut des volumes Amazon EBS si elle est activée dans le fichier
security-config.yaml

Page 26 sur 71
 Amazon Web Services – Accélérateur de zone d'accueil sur AWS Dernière mise à jour :
décembre 2022

Compte de gestion
• Clé du programme d'installation : créée par AWSAccelerator-InstallerStack
pour activer le chiffrement au repos pour les dépendances du pipeline du
programme d'installation
• Clé de gestion : créée par AWSAccelerator-PipelineStack pour activer
le chiffrement au repos pour les dépendances principales du pipeline
• Clé AWS Backup (optionnel) : utilisée pour activer le chiffrement au repos pour
le coffre-fort AWS Backup si elle est configurée dans le fichier organization-
config.yaml

Compte LogArchive
• Clé de journaux centraux : utilisée pour chiffrer le compartiment Amazon S3
aws-accelerator-central-logs

Remarque : cette clé est différente de la clé par compte ou région, car des services
supplémentaires comme Config, CloudTrail et la diffusion de journaux nécessitent
un accès. Macie, GuardDuty et Audit Manager peuvent également nécessiter un
accès, s'ils sont activés.

• Clé de réplication des journaux : utilisée pour chiffrer un flux de données Kinesis
utilisé comme destination pour la réplication des journaux de CloudWatch Logs
vers Amazon S3

Compte d'audit
• Clé Accelerator KMS : utilisée par l'ensemble de l'organisation pour déchiffrer les
paramètres d'AWS Systems Manager (paramètres SSM) stockés de manière
centralisée dans le compte Audit
• Clé S3 d'audit : utilisée pour chiffrer les compartiments Amazon S3 de CloudTrail
créés avec autorisation et le compartiment de publication Audit Manager, s'ils sont
configurés
• Clé Amazon SNS (optionnel) : utilisée pour chiffrer les rubriques Amazon SNS
créées pour signaler les événements de sécurité, si elles sont configurées

Services AWS de cette solution

Services AWS de base Services AWS optionnels

AWS CloudFormation Amazon Elastic Block Store (EBS)

Page 27 sur 71
 Amazon Web Services – Accélérateur de zone d'accueil sur AWS Dernière mise à jour :
décembre 2022

Amazon S3 Amazon GuardDuty

AWS CodePipeline Amazon Macie

Amazon SNS Amazon Route 53

Amazon CloudWatch Amazon Virtual Private Cloud (VPC)

AWS Lambda AWS Backup

Amazon EventBridge AWS Budgets

AWS IAM AWS CloudTrail

AWS CodeCommit AWS Config

AWS CodeBuild AWS Control Tower

AWS KMS Rapport d'utilisation et de coûts AWS

Amazon DynamoDB AWS Lambda

Amazon Kinesis AWS Network Firewall

AWS Step Functions AWS Organizations

AWS Resource Access Manager (RAM)

AWS Secrets Manager

AWS Security Hub

AWS Auto Scaling

AWS Application Load Balancer

AWS Network Load Balancer

AWS EC2

Page 28 sur 71
 Amazon Web Services – Accélérateur de zone d'accueil sur AWS Dernière mise à jour :
décembre 2022

Planifier votre déploiement

Cette section décrit les facteurs relatifs aux coûts, à la sécurité, à la région et aux quotas à
prendre en considération pour la planification de votre déploiement.

Coût
Remarque : le coût des services AWS utilisés lors de l'exécution de cette solution
vous est facturé. En décembre 2022, le coût pour l'exploitation de cette solution à
l'aide de la configuration selon les bonnes pratiques d'AWS avec AWS Control Tower
dans la région US Est (Virginie du Nord) dans un environnement de test (sandbox)
non critique sans activité ni application est d'environ 527,09 USD par mois.

Nous vous recommandons de créer un budget par l'intermédiaire de l'explorateur de

coûts AWS pour vous aider à gérer les coûts. Les prix sont susceptibles d'être modifiés.
Pour plus d'informations, reportez-vous à la page Web de la tarification de chaque
service AWS utilisé dans cette solution.

Exemple de tableau des coûts

Le tableau suivant présente un exemple de décomposition des coûts pour le déploiement
de cette solution avec les paramètres par défaut dans la région US Est (Virginie du Nord)
pendant un mois.
Service AWS Coût [USD]
AWS CloudTrail 43,66 USD
AWS Config 325,02 USD
AWS Key Management Service (AWS KMS) 64,47 USD
Amazon Kinesis 24,27 USD
Amazon Kinesis Data Firehose 0,79 USD
Amazon Simple Storage Service (Amazon S3) 3,15 USD
Amazon Virtual Private Cloud (Amazon VPC) 65,73 USD
Coût total mensuel 527,09 USD

Page 29 sur 71
 Amazon Web Services – Accélérateur de zone d'accueil sur AWS Dernière mise à jour :
décembre 2022

Remarque : le transfert de données, Amazon CloudWatch, AWS CodeArtifact,

Amazon Detective, Amazon DynamoDB, Amazon GuardDuty, AWS Lambda,
Amazon Macie, AWS Secrets Manager, AWS Security Hub, AWS Service Catalog,
Amazon Simple Notification Service (Amazon SNS), Amazon Simple Queue Service
(Amazon SQS), AWS Step Functions, et AWS Systems Manager sont facturés au
tarif gratuit ou à moins de 0,01 USD par mois.

Sécurité
Lorsque vous construisez des systèmes sur l'infrastructure AWS, les responsabilités de
sécurité sont partagées entre vous et AWS. Ce modèle de responsabilité partagée réduit
votre charge opérationnelle, car AWS exploite, gère et contrôle les composants,
notamment le système d'exploitation hôte, la couche de virtualisation et la sécurité
physique des installations dans lesquelles les services fonctionnent. Pour plus
d'informations sur la sécurité AWS, accédez à Sécurité du nuage AWS.

Rôles IAM
Les rôles AWS Identity and Access Management (IAM) permettent aux clients d'attribuer
des politiques d'accès et des autorisations granulaires aux services et aux utilisateurs sur
le nuage AWS. Cette solution crée des rôles IAM qui accordent aux pipelines CodePipeline
de la solution un accès en lecture/écriture à leurs compartiments S3 d'artefact respectifs,
aux référentiels de codes sources et aux projets CodeBuild exécutés. Des rôles IAM
supplémentaires sont créés pour permettre aux projets CodeBuild d'écrire dans les
groupes de journaux Amazon CloudWatch Logs et de créer des ressources régionales.

Clés AWS KMS

AWS KMS vous permet de créer et de gérer facilement des clés de chiffrement, et de contrôler
leur utilisation dans un large éventail de services AWS et au sein de vos applications. Cette
solution utilise les clés AWS KMS pour activer le chiffrement au repos des services applicables
qu'elle déploie. Dans une installation par défaut, ces clés seront renouvelées
automatiquement une fois par an. De plus amples informations sur l'infrastructure de gestion
des clés de cette solution sont présentées dans Détails de l'architecture.

Régions AWS prises en charge

Cette solution utilise les services AWS Control Tower et AWS Organizations, qui ne sont
pas actuellement disponibles dans toutes les régions AWS. Nous vous recommandons
d'utiliser AWS Control Tower et AWS Organizations lors du lancement de cette solution
dans une région AWS où ces services sont disponibles. Pour connaître les disponibilités
les plus récentes des services AWS par région, consultez la liste Services régionaux AWS.

Page 30 sur 71
 Amazon Web Services – Accélérateur de zone d'accueil sur AWS Dernière mise à jour :
décembre 2022

Quotas
Les quotas de service (Service Quotas), aussi appelés limites, correspondent au nombre
maximal de ressources ou d'opérations de service pour votre compte AWS. Assurez-vous que
vous disposez d'un quota suffisant pour chacun des services mis en œuvre dans cette solution.
Pour plus d'informations, reportez-vous à la section Quotas de service AWS.

Pour afficher les quotas de service pour tous les services AWS dans la documentation
sans changer de page, consultez plutôt les informations de la page Points de terminaison
et quotas de service dans le PDF.

Options de déploiement
Avant de déployer l'accélérateur de zone d'accueil sur AWS, vous devez choisir une
méthode pour centraliser la gestion des ressources provisionnées par cette solution.
Vous pouvez utiliser soit AWS Control Tower, soit AWS Organizations pour les capacités
de gestion. Nous recommandons fortement AWS Control Tower si vous déployez
l’accélérateur dans une région où cette solution est prise en charge, car elle met
automatiquement en place des configurations de sécurité et des barrières de protection
de sécurité conformes aux bonnes pratiques dans votre environnement multicomptes.

Comptes obligatoires
L'accélérateur de zone d'accueil sur AWS s'appuie sur une structure multicompte AWS
Control Tower ou AWS Organizations existante. Si vous utilisez AWS Control Tower, cette
solution utilise les mêmes comptes initiaux qui sont générés par le déploiement de la zone
d'accueil de Control Tower. Si vous utilisez AWS Organizations uniquement dans une
région sans AWS Control Tower, les comptes obligatoires suivants doivent être créés :
• Compte de gestion : ce compte est désigné lors de la création d'une organisation
AWS. Il s'agit d'un compte privilégié où se déroulent toutes les activités de gestion
de la configuration globale et du regroupement des factures d'AWS Organizations.
• Compte LogArchive : ce compte est utilisé pour la journalisation centralisée des
journaux de service AWS et des pistes AWS CloudTrail.
• Compte d'audit : ce compte est utilisé pour centraliser toutes les opérations de
sécurité et les activités de gestion. Ce compte est généralement utilisé en tant
qu'administrateur délégué de services de sécurité centralisés tels qu'Amazon
Macie, Amazon GuardDuty et AWS Security Hub.

Page 31 sur 71
 Amazon Web Services – Accélérateur de zone d'accueil sur AWS Dernière mise à jour :
décembre 2022

Rôle administratif
L'accélérateur de zone d'accueil sur AWS utilise un rôle IAM avec des privilèges
administratifs pour gérer l'orchestration des ressources dans l'ensemble de
l'environnement. Nous vous recommandons d'activer AWS Control Tower et d'utiliser le
rôle AWSControlTowerExecution. Vous pouvez également tirer parti d'autres rôles
d'accès intercompte existants tels que OrganizationAccountAccessRole, qui est le rôle
intercompte par défaut utilisé par AWS Organizations.
Si vous préférez utiliser des rôles personnalisés, un rôle avec des privilèges administratifs
doit être déployé dans chaque compte membre géré par l'accélérateur de zone d'accueil
sur AWS. Une relation de confiance doit être définie pour ces rôles, qui accorde la
permission sts:AssumeRole à la fonction du service IAM des projets CodeBuild de
l'accélérateur de zone d'accueil sur AWS. Les éléments suivants illustrent les
modifications d'ARN basées sur la partition de la ressource :

{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS":
"arn:$PARTITION:iam::$MANAGEMENT_ACCOUNT_ID:root"
},
"Action": "sts:AssumeRole"
}
]
}

Personnalisation de la solution
Cette solution déploie un référentiel AWS CodeCommit ainsi que six fichiers de
configuration YAML personnalisables. Les fichiers YAML sont préremplis avec une
configuration minimale pour la solution. Vous pouvez personnaliser la configuration YAML
pour déployer des ressources et une infrastructure supplémentaires dans l'environnement
de l'accélérateur. Pour plus d'informations, reportez-vous aux fichiers de configuration et à
notre exemple de configuration pour obtenir un exemple de mise en œuvre selon les
bonnes pratiques.

Page 32 sur 71
 Amazon Web Services – Accélérateur de zone d'accueil sur AWS Dernière mise à jour :
décembre 2022

Déployer la solution
Cette solution utilise des modèles et des piles AWS CloudFormation pour automatiser
son déploiement. Le ou les modèles CloudFormation décrivent les ressources AWS
incluses dans cette solution et leurs propriétés. La pile CloudFormation provisionne les
ressources décrites dans le modèle.

Modèle AWS CloudFormation

Vous pouvez télécharger le modèle CloudFormation pour cette solution avant de la
déployer.

AWSAccelerator-InstallerStack.template − Utilisez ce modèle pour

lancer la solution et tous les composants associés. La configuration
par défaut déploie les services répertoriés dans la Présentation de l'architecture.
Les modifications manuelles du modèle sont fortement déconseillées.

Remarque : les ressources AWS CloudFormation sont créées à partir des

constructions AWS Cloud Development Kit (AWS CDK).

Remarque : si vous avez déjà déployé cette solution, reportez-vous à la section

Mettre à jour la pile pour obtenir les instructions de mise à jour.

Avant de lancer la solution, vérifiez le coût, l'architecture et la sécurité du réseau, et prenez

en compte les autres considérations abordées précédemment dans le présent guide.

Important : cette solution dispose d'une option permettant d'envoyer des mesures
opérationnelles anonymes à AWS. Nous utilisons ces données pour mieux
comprendre comment les clients utilisent cette solution et les services et produits
associés. AWS est propriétaire des données recueillies dans le cadre de cette enquête.
La collecte des données est soumise à la politique de confidentialité d'AWS.
Pour désactiver cette fonctionnalité, téléchargez le modèle, modifiez la section de
mappage AWS CloudFormation, puis utilisez la console AWS CloudFormation pour
charger votre modèle mis à jour et déployer la solution. Pour plus d'informations,
consultez la section Collecte de mesures opérationnelles du présent guide.

Page 33 sur 71
 Amazon Web Services – Accélérateur de zone d'accueil sur AWS Dernière mise à jour :
décembre 2022

Prérequis
Vous devez remplir les conditions préalables suivantes avant de lancer la pile.

Activer une solution de gestion multicompte

Avant de déployer l'accélérateur de zone d'accueil sur AWS, activez AWS Control Tower
ou AWS Organizations. AWS Control Tower est fortement recommandée si le
déploiement est effectué dans une région où elle est prise en charge.
Pour l'installation basée sur AWS Control Tower (recommandée)
Pour configurer AWS Control Tower, reportez-vous à la section Démarrer avec AWS
Control Tower dans le Guide de l'utilisateur d'AWS Control Tower.

Remarque : si vous utilisez AWS Control Tower, nous vous recommandons

fortement de créer une clé KMS gérée par le client avant de déployer votre zone
d'accueil. Cette clé KMS est utilisée par les services qu'AWS Control Tower gère
pour appliquer le chiffrement au repos aux fichiers journaux sensibles.
Pour plus d'informations sur l'activation du chiffrement pour AWS Control Tower,
reportez-vous à la section Configurer vos comptes partagés et le chiffrement.

Pour une installation basée sur AWS Organizations (sans AWS

Control Tower)
Pour configurer AWS Organizations, reportez-vous à la section Démarrer avec AWS
Organizations dans le Guide de l'utilisateur AWS Organizations.

Assurez-vous que les comptes obligatoires sont créés. L'accélérateur de zone d'accueil sur
AWS nécessite ces trois comptes au minimum pour être déployé correctement dans votre
environnement.

Pour plus d'informations sur la gestion des comptes au sein d'une organisation AWS,
reportez-vous à la section Gestion des comptes AWS dans votre organisation dans le
Guide de l'utilisateur de l'organisation AWS.

Créer ou modifier des unités d'organisation

La configuration par défaut de l'accélérateur de zone d'accueil sur AWS suppose qu'une
UO nommée Infrastructure a été créée. Cette UO est destinée à être utilisée pour les
comptes de charge de travail de l'infrastructure principale que vous pouvez ajouter à
votre organisation, comme la mise en réseau principale ou les services partagés. Avant
d'exécuter AWSAccelerator-Pipeline, créez l'UO Infrastructure ou modifiez le fichier de
configuration organization-config.yaml pour représenter la configuration de base
de votre zone d'accueil.

Page 34 sur 71
 Amazon Web Services – Accélérateur de zone d'accueil sur AWS Dernière mise à jour :
décembre 2022

Créez un jeton d'accès personnel GitHub et stockez-le dans

Secrets Manager
Vous avez besoin d'un jeton d'accès GitHub pour accéder au référentiel de code de
l'accélérateur de zone d'accueil sur AWS. Les instructions sur la façon de créer un jeton
d'accès personnel se trouvent dans la documentation GitHub.
Stockez le jeton d'accès personnel dans Secrets Manager sous forme de texte brut.
Nommez le secret accelerator/github-token (sensible à la casse).
Via la console de gestion AWS :
1. Enregistrez un nouveau secret et sélectionnez Other type of secrets (Autre type de
secrets), Plaintext (Texte brut).
2. Collez votre secret sans mise en forme ni espace au début ou à la fin (supprimez
complètement le texte d'exemple).
3. Sélectionnez une clé de chiffrement.
4. Définissez le nom secret sur accelerator/github-token (sensible à la casse).
5. Sélectionnez Disable rotation (Désactiver la rotation).

Aperçu du processus de déploiement

Avant de lancer la solution, vérifiez les coûts, l'architecture et la sécurité, et prenez en
compte les autres considérations abordées dans le présent guide. Suivez les instructions
étape par étape de cette section pour configurer et déployer la solution dans votre compte.

Temps de déploiement : environ huit minutes pour la pile CloudFormation

AWSAccelerator-Installer et 45 minutes pour l'exécution initiale du pipeline
AWSAccelerator-Pipeline.

Remarque : si vous avez déjà déployé cette solution, reportez-vous à la section

Mettre à jour la solution pour obtenir les instructions de mise à jour.

Procédez comme suit pour déployer cette solution sur AWS. Pour obtenir les instructions
détaillées, suivez les liens correspondant à chaque étape.

Étape 1. Lancer la pile

• Lancez le modèle AWS CloudFormation dans votre compte AWS.

• Passez en revue les paramètres des modèles et saisissez ou ajustez les valeurs par
défaut au besoin.

Page 35 sur 71
 Amazon Web Services – Accélérateur de zone d'accueil sur AWS Dernière mise à jour :
décembre 2022
Étape 2. Attendre le déploiement de l'environnement initial

• Attendez que le pipeline AWSAccelerator-Pipeline se termine avec succès.

Étape 3. Mettre à jour les fichiers de configuration

• Naviguez jusqu'au référentiel AWS CodeCommit aws-accelerator-config.

• Mettez à jour les fichiers de configuration pour qu'ils correspondent à l'état souhaité
de votre environnement.
• Publiez manuellement un changement dans le pipeline AWSAccelerator-Pipeline.

Étape 1. Lancer la pile

Important : cette solution dispose d'une option permettant d'envoyer des mesures
opérationnelles anonymes à AWS. Nous utilisons ces données pour mieux
comprendre comment les clients utilisent cette solution et les services et produits
associés. AWS est propriétaire des données recueillies dans le cadre de cette enquête.
La collecte des données est soumise à la politique de confidentialité d'AWS.
Pour désactiver cette fonctionnalité, téléchargez le modèle, modifiez la section de
mappage AWS CloudFormation, puis utilisez la console AWS CloudFormation pour
téléverser votre modèle et déployer la solution. Pour plus d'informations,
consultez la section Collecte de mesures opérationnelles du présent guide.

Ce modèle automatisé AWS CloudFormation déploie l'accélérateur de zone d'accueil

sur AWS dans le nuage AWS. Vous devez effectuer les étapes applicables dans
les Conditions préalables avant de lancer la pile.

Remarque : le coût des services AWS utilisés lors de l'exécution de cette solution
vous est facturé. Pour plus d'informations, consultez la section Coût du présent
guide, et consultez la page Web de la tarification de chaque service AWS utilisé
dans cette solution.

1. Connectez-vous à la console de gestion AWS du compte de gestion

de votre organisation et cliquez sur le bouton pour lancer le modèle
AWS CloudFormation AWSAccelerator-InstallerStack.
Vous pouvez également télécharger le modèle comme point de départ de votre propre
processus de mise en œuvre.
2. Le modèle est lancé par défaut dans la région US Est (Virginie du Nord). Pour lancer la
solution dans une autre région AWS, utilisez le sélecteur de région dans la barre de
navigation de la console.

Page 36 sur 71
 Amazon Web Services – Accélérateur de zone d'accueil sur AWS Dernière mise à jour :
décembre 2022

Remarque : cette solution recommande l'utilisation du service AWS Control Tower

actuellement indisponible dans certaines régions AWS. Il est fortement
recommandé de lancer cette solution dans une région AWS où AWS Control Tower
est disponible. Pour connaître les disponibilités les plus récentes par région,
consultez la Liste des services régionaux AWS.

3. Sur la page Create stack (Créer une pile), vérifiez que la bonne URL du modèle se trouve
dans la zone de texte URL Amazon S3 et choisissez Next (Suivant).
4. Sur la page Specify stack details (Spécifier les informations de la pile), attribuez un
nom à la pile de votre solution. Nous vous recommandons de nommer votre pile
AWSAccelerator-InstallerStack afin que son nom corresponde à la convention
d'appellation utilisée pour les piles supplémentaires qui seront créées par
l'accélérateur de zone d'accueil sur AWS. Pour plus d'informations sur les limitations
des caractères de dénomination, consultez la section Quotas IAM et STS dans le
Manuel du développeur AWS Identity and Access Management.
5. Sous Parameters (Paramètres), examinez les paramètres du modèle de la solution et
modifiez-les si nécessaire. Cette solution utilise les valeurs par défaut suivantes.

Paramètre Valeur par défaut Description

Source github Spécifie l'hôte git.

Propriétaire du awslabs Propriétaire du référentiel git hébergeant le code de

référentiel l'accélérateur.

Nom du référentiel landing-zone- Nom du référentiel git hébergeant le code de

accelerator-on-aws l'accélérateur.

Nom de la branche <entrée obligatoire> Nom de la branche git à utiliser pour l'installation.

Remarque : le paramètre Branch Name (Nom

de la branche) correspond par défaut au nom
de la branche de la version la plus récente.
Pour déterminer le nom de la branche,
accédez à la page des branches GitHub de
l'accélérateur de zone d'accueil sur AWS et
choisissez la branche de la version que vous
souhaitez déployer. Les noms des branches
de la version s'aligneront sur la gestion des
versions sémantiques de nos versions GitHub.
De nouvelles versions seront disponibles au
fur et à mesure que le projet en code source
libre sera mis à jour avec de nouvelles
fonctionnalités.

Page 37 sur 71
 Amazon Web Services – Accélérateur de zone d'accueil sur AWS Dernière mise à jour :
décembre 2022

Paramètre Valeur par défaut Description

Activer l'étape Oui Sélectionnez Yes pour ajouter une étape d'approbation
d'approbation manuelle au pipeline de l'accélérateur.

Liste de courriels de <entrée obligatoire> Fournit une liste d'ID de courriels séparés par des virgules
notification de l'étape (,) pour recevoir un courriel de notification de l'étape de
d'approbation l'approbation manuelle.
manuelle

Adresse électronique <entrée obligatoire> L'adresse électronique du compte de gestion (principal).

du compte de gestion
Remarque : utilisez une adresse
électronique unique.

Adresse électronique <entrée obligatoire> Adresse électronique du compte d'archive de

du compte LogArchive journalisation.

Remarque : utilisez une adresse

électronique unique.

Adresse électronique <entrée obligatoire> Le compte d'audit de sécurité (aussi appelé le compte
du compte d'audit d'audit).

Remarque : utilisez une adresse

électronique unique.

6. Choisissez Next (Suivant).

7. Sur la page Configure stack options (Configurer les options de pile), choisissez
Next (Suivant).
8. Sur la page Review (Vérifier), vérifiez et confirmez les paramètres. Cochez la case
indiquant que le modèle créera des ressources de gestion des identités et des accès
AWS (AWS IAM).
9. Choisissez Create stack (Créer la pile) pour déployer la pile.
Vous pouvez consulter le statut de la pile dans la console AWS CloudFormation dans la
colonne Status (Statut). Le statut CREATE_COMPLETE doit apparaître au bout de
huit minutes.

Page 38 sur 71
 Amazon Web Services – Accélérateur de zone d'accueil sur AWS Dernière mise à jour :
décembre 2022

Étape 2. Attendre le déploiement de

l'environnement initial
Suivez la procédure ci-dessous pour vous assurer que l'accélérateur de zone d'accueil sur
AWS déploie une configuration minimale dans votre environnement.

1. Connectez-vous à la console de gestion AWS et accédez à la console AWS

CodePipeline. Le pipeline AWSAccelerator-Installer doit afficher le statut
In Progress (En cours) ou Completed (Terminé). Si le statut est In Progress (En cours),
attendez que le pipeline soit terminé.
2. Lorsque le pipeline AWSAccelerator-Installer est terminé, un nouveau pipeline
AWSAccelerator-Pipeline est créé qui est maintenant In Progress (En cours).
Rafraîchissez la console AWS CodePipeline si le nouveau pipeline n'est pas visible.
3. L'exécution du pipeline AWSAccelerator-Pipeline prendra environ 45 minutes. Ce
déploiement initial permettra de préparer votre environnement pour l'accélérateur de
zone d'accueil sur AWS et de déployer une configuration minimale. Les ressources
déployées comprennent des ressources personnalisées AWS CloudFormation, des
groupes de journaux CloudWatch Logs pour les ressources personnalisées, des clés AWS
KMS pour le chiffrement au repos et des compartiments Amazon S3 pour la
journalisation des services AWS.
4. Une fois les étapes ci-dessus terminées, votre environnement est prêt à être personnalisé.

Étape 3. Mettre à jour les fichiers de configuration

Utilisez la procédure suivante pour personnaliser l'accélérateur de zone d'accueil sur AWS
en fonction des besoins de votre environnement.

1. Connectez-vous à la console de gestion AWS et accédez à la console AWS CodeCommit.

Accédez au référentiel appelé aws-accelerator-configuration. Les fichiers de configuration
de l'accélérateur de zone d'accueil sur AWS vous seront présentés.
2. Chaque fichier de configuration est nommé en fonction de son rôle dans l'accélérateur
de zone d'accueil sur AWS. Un exemple de configuration selon les bonnes pratiques est
disponible dans notre référentiel GitHub. Personnalisez chaque fichier de configuration
pour déployer les services et l'infrastructure AWS supplémentaires requis. Vous pouvez
utiliser la console CodeCommit ou un client Git compatible pour manipuler ces fichiers.
Pour plus d'informations, reportez-vous à la section Modifier le contenu d'un fichier
dans un référentiel AWS CodeCommit dans le Guide de l'utilisateur AWS CodeCommit.

Page 39 sur 71
 Amazon Web Services – Accélérateur de zone d'accueil sur AWS Dernière mise à jour :
décembre 2022

3. Lorsque vous avez terminé de modifier les fichiers de configuration, accédez à la

console AWS CodePipeline. Sélectionnez AWSAccelerator-Pipeline, puis Release
change (Publier le changement). Cela déclenchera une nouvelle instanciation du
pipeline et déploiera les modifications de configuration dans votre environnement.
4. Attendez que le pipeline soit terminé. En cas d'échec, la console CodePipeline affiche
en rouge le stade d'échec et l'action. Pour dépanner toute erreur, choisissez Details
(Détails) sur l'action CodeBuild pour accéder à l'action qui a échoué. Dans la console
CodeBuild, vous pouvez consulter les Journaux de construction, qui indiqueront
l'erreur rencontrée pendant le déploiement. Pour plus d'informations, reportez-vous à
la section Dépannage.

Mettre à jour la solution

Si vous avez déjà déployé cette solution, suivez cette procédure pour mettre à jour la pile
CloudFormation de l'accélérateur de zone d'accueil AWS, afin d'obtenir la dernière
version du cadre de la solution.

1. Connectez-vous à la console AWS CloudFormation, puis sélectionnez votre pile accélérateur

de zone d'accueil sur AWS CloudFormation existante, puis Update (Mettre à jour).
2. Sélectionnez Replace current template (Remplacer le modèle actuel).
3. Sous Spécifier un modèle :
a. Sélectionnez Amazon S3 URL (URL Amazon S3).
b. Copiez le lien du dernier modèle.
c. Collez le lien dans la zone Amazon S3 URL.
d. Vérifiez que le bon URL de modèle figure dans la zone de texte Amazon S3 URL,
puis choisissez Next (Suivant). Choisissez de nouveau Next (Suivant).
4. Sous Parameters, examinez les paramètres du modèle et modifiez-les si nécessaire.
Reportez-vous à l'étape 1. Lancez la pile pour plus d'informations sur les paramètres.
5. Choisissez Next (Suivant).
6. Sur la page Configure stack options (Configurer les options de pile), choisissez Next
(Suivant).
7. Sur la page Review (Vérifier), vérifiez et confirmez les paramètres. Cochez la case
indiquant que le modèle peut créer des ressources IAM.
8. Sélectionnez View change set (Afficher les modifications) et vérifiez les modifications.

Page 40 sur 71
 Amazon Web Services – Accélérateur de zone d'accueil sur AWS Dernière mise à jour :
décembre 2022

9. Choisissez Update stack (Mettre à jour la pile) pour déployer la pile.

La mise à jour de la solution invoquera automatiquement le pipeline Core
(AWSAccelerator-PipelineStack*). Vous pouvez consulter le statut de la pile dans
la console AWS CloudFormation dans la colonne Status (Statut). Le statut
UPDATE_COMPLETE doit apparaître au bout de 10 minutes.

Page 41 sur 71
 Amazon Web Services – Accélérateur de zone d'accueil sur AWS Dernière mise à jour :
décembre 2022

Dépannage
Pour résoudre les problèmes liés aux déploiements utilisant l'accélérateur de zone
d'accueil sur AWS, il est essentiel de comprendre ses principaux composants
architecturaux. Les principales interfaces de cette solution sont les fichiers de
configuration et le pipeline Core. Tous les problèmes susceptibles de survenir lors des
déploiements dans votre environnement se situeront là.

Problème : problème de fichier de configuration

Résolution
Il est essentiel que les fichiers de configuration respectent les conventions de propriété
définies. Pour plus de détails, consultez la référence de configuration dans le fichier
README de notre référentiel GitHub. Tout écart entraînera une erreur au cours de l'étape
Build (Création) du pipeline. Au cours de cette étape, la validation des types de fichiers
de configuration a lieu, et toute variation entraîne l'échec du pipeline.

Problème : échec du pipeline Core

Résolution
Pour déterminer la cause d'un échec de déploiement, procédez comme suit :
1. Connectez-vous à la console de gestion AWS et accédez à la console
AWS CodePipeline. Sélectionnez AWSAccelerator-Pipeline et recherchez l'étape
du pipeline qui a échoué.
2. L'étape du pipeline disposera d'un projet AWS CodeBuild en tant que fournisseur
d'action. Sélectionnez le lien Details (Détails) sous l'indicateur d'état d'échec de
l'action, puis choisissez Link to execution details (Lien vers les détails de
l'exécution). Cela ouvrira le relevé d'échec du traitement du projet CodeBuild.
3. Sélectionnez l'onglet Build logs (Créer des journaux). Ceci affichera la sortie de
l'exécution du projet CodeBuild. Si vous faites défiler cette sortie vers le bas, vous
verrez un message d'erreur. Voici quelques exemples courants :
• Mauvaise configuration ou propriétés manquantes dans les fichiers de
configuration de l'accélérateur de zone d'accueil sur AWS. Cela fera échouer le
pipeline Core lors de l'étape Build (Création). Le validateur de configuration
retournera un message d'erreur spécifique indiquant ce qui a causé l'échec de la
validation de la propriété.

Page 42 sur 71
 Amazon Web Services – Accélérateur de zone d'accueil sur AWS Dernière mise à jour :
décembre 2022

• Erreur de déploiement CloudFormation. Cela peut se produire dans n'importe

quelle pile. CloudFormation retournera un message d'erreur spécifique
indiquant ce qui a provoqué l'échec du déploiement.

Remarque : quel que soit l'échec qui se produit, les journaux de construction
afficheront le message d'erreur suivant à la fin de l'exécution :
[Container] Phase context status code: COMMAND_EXECUTION_ERROR
Message: Error while executing command: yarn run ts-node --
transpile-only cdk.ts --require-approval never $CDK_OPTIONS --
config-dir $CODEBUILD_SRC_DIR_Config --partition aws --app
cdk.out. Reason: exit status 1
Il s'agit d'un message d'erreur générique que CodeBuild produit lorsque l'application
CDK échoue. Lors du dépannage des erreurs de déploiement, le texte précédant ce
message d'erreur indique la ou les ressources qui n'ont pas été déployées.

Problème : échec de l'inscription du compte et

de la validation de l'environnement
Lorsque vous inscrivez des nouveaux comptes ou des comptes existants dans la solution,
vous pouvez rencontrer des erreurs au cours de l'étape Prepare (Préparer) du pipeline.
Les échecs survenant à cette étape indiquent généralement un problème d'inscription du
compte dans AWS Organizations ou AWS Control Tower.

Voici les erreurs potentielles que vous pouvez voir dans des journaux de construction de
l'étape Prepare (Préparer) lors de l'inscription de comptes :

Échec général de l'inscription de compte

Vous recevrez le message d'erreur suivant en cas d'échec général de l'inscription de
compte :

AWSAccelerator-PrepareStack | UPDATE_FAILED |
Custom::CreateControlTowerAccounts |
CreateCTAccounts/Resource/Default (CreateCTAccounts)
Received response status [FAILED] from custom resource.
Message returned: Account creation failed. Error:
Accounts failed to enroll in Control Tower. Check Service
Catalog Console

Page 43 sur 71
 Amazon Web Services – Accélérateur de zone d'accueil sur AWS Dernière mise à jour :
décembre 2022

Résolution
Effectuez les étapes suivantes lorsque cette erreur se produit :

1. Assurez-vous que les conditions préalables indiquées dans la section Ajout d'un compte
existant sont remplies.
2. Accédez à la console de gestion AWS Service Catalog à partir de votre compte de gestion.
3. Dans le volet de navigation de gauche, sélectionnez Provisioned products (Produits
provisionnés).
4. Choisissez Account (Compte) dans le menu déroulant Access Filter (Filtre d'accès).
5. L'écran indiquera la raison de l'échec du provisionnement. Sélectionnez le produit
Control Tower Account Factory dont le provisionnement a échoué. Dans le menu
déroulant, sélectionnez Terminate (Interrompre).
6. Accédez à la console de gestion AWS CloudFormation.
7. Sélectionnez la pile Prepare (Préparer), qui sera à l'état ROLLBACK_FAILED ou
UPDATE_ROLLBACK_FAILED après l'échec de l'inscription du compte.
8. Dans le menu déroulant Stack actions (Actions de pile), sélectionnez Continue update
rollback (Continuer la restauration de la mise à jour). Choisissez Advanced troubleshooting
(Dépannage avancé). Sélectionnez la ressource avec le préfixe CreateCTAccounts*, puis
choisissez Continue update rollback (Continuer la restauration de la mise à jour).
9. Attendez la fin de la restauration.
10. Recommencez l'étape Prepare (Préparer) d'AWSAccelerator-Pipeline.

Erreur de validation de l'environnement

Vous recevrez le message d'erreur suivant en cas d'erreur de validation d'environnement :

AWSAccelerator-PrepareStack | UPDATE_FAILED |
Custom::ValidateEnvironmentConfig |
ValidateEnvironmentConfig/Resource/Default
(ValidateEnvironmentConfig) Received response status
[FAILED] from custom resource. Message returned: Error:
AWS Control Tower has detected that the managed account
<account_ID> has been removed from organization
<organization_ID>.

Si vous avez apporté des modifications à vos comptes, à vos UO ou à vos SCP gérés en
dehors de la console de gestion Control Tower, la fonctionnalité de détection de l'écart

Page 44 sur 71
 Amazon Web Services – Accélérateur de zone d'accueil sur AWS Dernière mise à jour :
décembre 2022
de la solution a probablement détecté ces changements et causé cette erreur. Vous ne
pouvez pas exécuter le pipeline tant que vous n'avez pas annulé ces modifications ou que
vous n'avez pas inscrit les comptes ou les UO modifiées dans AWS Control Tower.

Résolution
Effectuez les étapes suivantes lorsque cette erreur se produit :
1. Assurez-vous que tous les comptes, UO et SCP gérés par AWS Control Tower sont
correctement inscrits dans Control Tower. Pour plus d'informations, veuillez consulter
la section Détecter et résoudre l'écart dans AWS Control Tower dans le Guide de
l'utilisateur d'AWS Control Tower.
2. Accédez à la console de gestion de Systems Manager Parameter Store à partir de votre
compte de gestion.
3. Recherchez le paramètre nommé /accelerator/controlTower/driftDetected.
4. Si la valeur de ce paramètre est true, sélectionnez Edit (Modifier) et remplacez la
valeur du paramètre par false.
5. Accédez à la console de gestion AWS CloudFormation.
6. Sélectionnez la pile Prepare (Préparer), qui sera à l'état ROLLBACK_FAILED ou
UPDATE_ROLLBACK_FAILED après l'échec de la validation de l'environnement.
7. Dans le menu déroulant Stack actions (Actions de pile), sélectionnez Continue update
rollback (Continuer la restauration de la mise à jour). Sélectionnez Advanced
troubleshooting (Dépannage avancé). Sélectionnez la ressource avec le préfixe
ValidateEnvironmentConfig*, puis choisissez Continue update rollback
(Continuer la restauration de la mise à jour).
8. Attendez la fin de la restauration.
9. Recommencez l'étape Prepare (Préparer) d'AWSAccelerator-Pipeline.

Problème : erreur « Le nom du compartiment S3

existe déjà »
Cette solution crée plusieurs compartiments Amazon S3 lors du déploiement. Certains de
ces compartiments (comme ceux déployés en même temps que l'infrastructure de
journalisation centralisée) sont obligatoires. D'autres (comme les compartiments de
destination des rapports créés pour les rapports d'utilisation et de coûts et AWS Audit
Manager) se déploient en fonction de la configuration que vous avez définie.

Page 45 sur 71
 Amazon Web Services – Accélérateur de zone d'accueil sur AWS Dernière mise à jour :
décembre 2022

Remarque : par défaut, les compartiments Amazon S3 déployés par

CloudFormation disposent d'une politique de suppression qui est définie pour
conserver les ressources. L'accélérateur de zone d'accueil sur AWS utilise cette
politique par défaut afin que vous puissiez désactiver un service précédemment
géré par la solution tout en conservant vos données stockées dans Amazon S3.

Les scénarios qui peuvent provoquer cette erreur sont les suivants :
1. Si vous désactivez un service géré par une solution, puis le réactivez ultérieurement.
2. Si vous désinstallez la solution, puis la réinstallez ultérieurement dans le même
environnement.
Ces erreurs résultent d'une convention de dénomination standard pour les compartiments
Amazon S3 que cette solution déploie. Comme les compartiments Amazon S3 doivent être
uniques au monde, vous recevrez le message d'erreur si les compartiments Amazon S3
précédents n'ont pas été supprimés.

Résolution
Effectuez les étapes suivantes lorsque cette erreur se produit :
1. Si vous souhaitez conserver les données, effectuez une copie locale ou copiez les
données vers un autre compartiment Amazon S3 de votre compte.
2. Supprimez le compartiment Amazon S3 créé par la solution et qui est à l'origine
du conflit.
3. Recommencez l'étape AWSAccelerator-Pipeline qui a échoué.

Désinstaller la solution
Vous pouvez désinstaller la solution de l'accélérateur de zone d'accueil sur AWS à partir
de la console de gestion AWS ou en utilisant l'interface de la ligne de commande AWS.
Vous devez supprimer manuellement les compartiments S3 et les piles CloudFormation
créés par cette solution. Les mises en œuvre des solutions AWS ne suppriment pas
automatiquement ces ressources au cas où vous auriez des données à conserver.

Utilisation de la console de gestion AWS

1. Connectez-vous à la console AWS CloudFormation.
2. Sur la page Stacks (Piles), sélectionnez les piles AWSAccelerator-InstallerStack et
AWSAccelerator-PipelineStack.
3. Choisissez Delete (Supprimer) pour chaque pile.

Page 46 sur 71
 Amazon Web Services – Accélérateur de zone d'accueil sur AWS Dernière mise à jour :
décembre 2022

Utilisation de l'interface de la ligne de

commande AWS
Déterminez si l'interface de la ligne de commande AWS (AWS CLI) est disponible dans votre
environnement. Pour obtenir des instructions d'installation, reportez-vous à la section
Qu'est-ce que l'interface de la ligne de commande AWS du Guide de l'utilisateur d'AWS CLI.
Après avoir vérifié la disponibilité d'AWS CLI, exécutez les commandes suivantes.

$ aws cloudformation delete-stack --stack-name

AWSAccelerator-InstallerStack

$ aws cloudformation delete-stack --stack-name

AWSAccelerator-PipelineStack

Suppression des compartiments Amazon S3

Cette solution est configurée de manière à conserver les compartiments Amazon S3 créés
par la solution si vous décidez de supprimer la pile AWS CloudFormation afin d'éviter toute
perte accidentelle de données. Après avoir désinstallé la solution, vous pouvez supprimer
manuellement les compartiments Amazon S3 si vous n'avez pas besoin de conserver les
données. Suivez ces étapes pour supprimer les compartiments Amazon S3 de chaque
compte que l'accélérateur de zone d'accueil sur AWS a été configuré pour gérer.

1. Connectez-vous à la console Amazon S3.

2. Choisissez Buckets (Compartiments) dans le volet de navigation de gauche.
3. Localisez les compartiments Amazon S3 aws-accelerator-*.
4. Sélectionnez chaque compartiment Amazon S3 et choisissez Empty (Vide).
5. Sélectionnez chaque compartiment Amazon S3 et choisissez Delete (Supprimer).
Pour supprimer les compartiments Amazon S3 à l'aide d'AWS CLI, exécutez la commande
suivante pour chaque compartiment :

$ aws s3 rb s3://<bucket-name> --force

Page 47 sur 71
 Amazon Web Services – Accélérateur de zone d'accueil sur AWS Dernière mise à jour :
décembre 2022

Suppression des piles CloudFormation

Cette solution déploie plusieurs piles CloudFormation sur chaque compte et chaque
région AWS qui sont activés pour la gestion par l’accélérateur de zone d'accueil sur AWS.
Chaque pile déployée par la solution répond à la convention de dénomination suivante :

AWSAccelerator-<pipeline action>-<account number>-

<region>

Pour pouvoir supprimer toutes les piles sans rencontrer de problèmes de dépendance,
vous devez les supprimer dans l'ordre inverse de leur déploiement. Vous pouvez consulter
la section AWSAccelerator-Pipeline pour obtenir une liste des actions orchestrées par le
pipeline. Suivez les étapes suivantes pour supprimer chacune des piles :
1. Connectez-vous à la console AWS CloudFormation.
2. Sur la page Stacks (Piles), sélectionnez la pile de cette solution.
3. Choisissez Delete (Supprimer).

Guide du développeur
Cette section traite du code source, des fichiers de configuration et des tâches
d'administrateur de cette solution.

Code source
Accédez à notre référentiel GitHub pour télécharger les fichiers sources de cette solution et
partager vos personnalisations avec d'autres utilisateurs. Les modèles de l'accélérateur de
zone d'accueil sur AWS sont générés en utilisant AWS Cloud Development Kit (AWS CDK).
Consultez le fichier README.md pour plus d'informations.

Fichiers de configuration
L'accélérateur de zone d'accueil sur AWS comprend six fichiers de configuration qui
peuvent être utilisés pour personnaliser la solution. La solution orchestre la création de
ressources et de configurations sur la base des données fournies par les fichiers de
configuration. Les ressources sont générées à l'aide des constructions AWS CDK définies
dans le code source de la solution. Le fait d'avoir votre configuration dans un référentiel
compatible Git présente les avantages suivants :

Page 48 sur 71
 Amazon Web Services – Accélérateur de zone d'accueil sur AWS Dernière mise à jour :
décembre 2022

• Contrôlez les versions de votre configuration comme vous le feriez pour un code source.
Vous pouvez introduire le branchement des fonctionnalités et d'autres stratégies
couramment utilisées pour garantir que les changements apportés à l'environnement
répondent à vos normes.
• Vérifiez l'historique des modifications des fichiers de configuration.
• Les fichiers servent de manifestes déclaratifs pour la configuration de votre
environnement. Vous obtenez ce que vous voyez. L'AWSAccelerator-Pipeline
apporte des modifications à la branche principale du référentiel et orchestre vos
propriétés de configuration définies via les projets AWS CodeBuild et la boîte à outils
AWS CDK. Les utilisateurs qui modifient ces fichiers de configuration ne sont pas tenus
de savoir écrire du code.
• Le référentiel étant hébergé dans AWS CodeCommit, AWS IAM peut être utilisé pour
définir quels utilisateurs et quels rôles peuvent consulter le référentiel ou y apporter des
modifications. Cette stratégie peut être utilisée comme une porte pour les membres de
votre organisation qui sont autorisés à apporter des changements à l'environnement.

Description des fichiers de configuration

• accounts-config.yaml : utilisé pour gérer tous les comptes AWS au sein de l'organisation
AWS. L'ajout d'un nouveau compte à ce fichier de configuration invoquera le processus
de création du compte à partir de l'accélérateur de zone d'accueil sur AWS.
• global-config.yaml : utilisé pour gérer toutes les propriétés globales qui peuvent être
héritées au sein de l'organisation AWS.
• iam-config.yaml : utilisé pour gérer toutes les ressources IAM au sein de l'organisation AWS.
• network-config.yaml : utilisé pour gérer et mettre en œuvre des ressources réseau afin
d'établir une architecture WAN/LAN pour prendre en charge les opérations
infonuagiques et les charges de travail des applications dans AWS.
• organization-config.yaml : utilisé pour gérer toutes les unités d'organisation dans
l'organisation AWS.
• security-config.yaml : utilisé pour gérer la configuration des services de sécurité AWS.

Référence de l'API du fichier de configuration

Une référence complète de l'API de configuration de l'accélérateur de zone d'accueil est
offerte dans le fichier README du référentiel GitHub de la solution.

Page 49 sur 71
 Amazon Web Services – Accélérateur de zone d'accueil sur AWS Dernière mise à jour :
décembre 2022

Tâches d'administrateur
La solution de l'accélérateur de zone d'accueil sur AWS vous permet d'automatiser les tâches
opérationnelles associées à la gestion d'un environnement multicompte. Cette section
comprend des instructions et des exemples courants pour gérer vos unités d'organisation,
vos comptes, votre réseau de base et vos barrières de protection de sécurité.

Remarque : les exemples suivants ne constituent pas une liste exhaustive de ce

que vous pouvez définir dans les fichiers de configuration de la solution. Pour
obtenir une référence complète de la configuration, reportez-vous au fichier
README sur GitHub.

Ajout d'une unité d'organisation (UO)

L'approche de l'ajout d'une UO à l'accélérateur de zone d'accueil sur AWS dépend de
votre choix entre AWS Control Tower et AWS Organizations comme outil de gestion pour
votre environnement multicompte.
Si vous utilisez AWS Control Tower, enregistrez d'abord l'UO dans la console de gestion
d'AWS Control Tower. Pour plus d'informations, reportez-vous à la section Créer une
nouvelle UO dans le Guide de l'utilisateur d'AWS Control Tower.

Si vous utilisez AWS Organizations ou que vous avez terminé l'inscription de l'UO dans
AWS Control Tower, suivez les étapes suivantes pour ajouter l'UO à la configuration de
l'accélérateur :

1. Ouvrez la console de gestion AWS CodeCommit.

2. Sélectionnez le référentiel aws-accelerator-config.
3. Sélectionnez le fichier organization-config.yaml.
4. Choisissez Edit (Modifier).
5. Dans le bloc de configuration organizationalUnits, ajoutez les noms et les chemins
d'accès des UO détaillées supplémentaires. Par exemple, pour ajouter des UO de
Testing et de Production, votre configuration devrait être comme dans l'exemple
suivant :

enable: true
organizationalUnits:
- name: Security
- name: Infrastructure
- name: Testing
- name: Production
serviceControlPolicies: []

Page 50 sur 71
 Amazon Web Services – Accélérateur de zone d'accueil sur AWS Dernière mise à jour :
décembre 2022

Remarque : lorsque vous utilisez AWS Organizations, l'accélérateur de zone

d'accueil sur AWS utilise l'API AWS Organizations pour créer et gérer vos UO.
L'étape supplémentaire pour AWS Control Tower est nécessaire afin d'éviter tout
écart dans la configuration de votre zone d'accueil.

Ajouter un nouveau compte

Pour ajouter un compte à l'aide de l'accélérateur de zone d'accueil, mettez à jour le
fichier accounts-config.yaml avec de nouvelles définitions de compte. Les noms de
compte et les courriels de chaque compte doivent être uniques. Vous pouvez ajouter de
nouveaux comptes à la configuration de la solution en procédant comme suit :
1. Accédez à la console AWS CodeCommit.
2. Sélectionnez le référentiel aws-accelerator-config.
3. Sélectionnez le fichier accounts-config.yaml
4. Choisissez Edit (Modifier).
5. Dans le bloc de configuration workloadAccounts, ajoutez des définitions de compte
supplémentaires. Par exemple, pour ajouter des comptes SharedServices et
Network à l'UO Infrastructure et le compte Testing-Workload à l'UO Testing,
votre configuration devrait être comme dans l'exemple suivant :

workloadAccounts:
- name: SharedServices
description: The SharedServices account
email: <shared-services>@example.com <----- UPDATE
EMAIL ADDRESS
organizationalUnit: Infrastructure
- name: Network
description: The Network account
email: <network>@example.com <----- UPDATE EMAIL
ADDRESS
organizationalUnit: Infrastructure
- name: Testing-Workload
description: The Workload account
email: <workload>@example.com <----- UPDATE EMAIL
ADDRESS
organizationalUnit: Testing

Page 51 sur 71
 Amazon Web Services – Accélérateur de zone d'accueil sur AWS Dernière mise à jour :
décembre 2022

Ajouter un compte existant

Si votre compte existant a déjà été enregistré auprès d'AWS Organizations et d'AWS
Control Tower, vous pouvez suivre les étapes indiquées dans la section Ajouter un
nouveau compte pour ajouter le compte à la configuration de l'accélérateur.
Si le compte n'a pas encore été invité dans votre organisation, suivez les étapes de la
section Inviter un compte à rejoindre votre organisation dans le Guide de l'utilisateur
d'AWS Organizations.
Pour les installations basées sur AWS Control Tower, reportez-vous à la section
Conditions préalables à l'inscription dans le Guide de l'utilisateur d'AWS Control Tower.
La solution d'accélérateur de zone d'accueil sur AWS peut inscrire le compte dans AWS
Control Tower pour vous une fois que ces conditions préalables sont remplies.

Ajouter une politique de contrôle des services (SCP)

Nous vous recommandons de créer un nouveau répertoire dans votre référentiel
aws-accelerator-config pour stocker les SCP. Suivez ces étapes pour ajouter une SCP
personnalisée à votre environnement multicompte :
1. Ouvrez la console de gestion AWS CodeCommit.
2. Sélectionnez le référentiel aws-accelerator-config.
3. Choisissez Create file (Créer un fichier).
4. Copiez et collez la politique suivante dans le champ de texte vide :

{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "NoInternet",
"Effect": "Deny",
"Action": [
"ec2:CreateInternetGateway",
"ec2:CreateEgressOnlyInternetGateway"
],
"Resource": "*",
"Condition": {
"ArnNotLike": {
"aws:PrincipalARN": [

"arn:${PARTITION}:iam::*:role/${ACCELERATOR_PREFIX}-*",

Page 52 sur 71
 Amazon Web Services – Accélérateur de zone d'accueil sur AWS Dernière mise à jour :
décembre 2022

"arn:${PARTITION}:iam::*:role/AWSControlTowerExecution",
"arn:${PARTITION}:iam::*:role/cdk-accel-*"
]
}
}
}
]
}

5. Pour File name (Nom de fichier), enregistrez le fichier en tant que service-control-
policies/block-internet.json.
6. Saisissez le nom de l'auteur et son adresse de courriel.
7. Choisissez Commit changes (Valider les modifications).
8. Sélectionnez le fichier organization-config.yaml.
9. Choisissez Edit (Modifier).
10. Dans le bloc de configuration serviceControlPolicies, ajoutez la définition de la
SCP. Par exemple, pour ajouter la SCP block-internet à l'UO Testing, votre
configuration devrait être comme dans l'exemple suivant :

serviceControlPolicies:
- name: BlockInternetAccess
description: >
Blocks creating Internet gateways
policy: service-control-policies/block-internet.json
type: customerManaged
deploymentTargets:
organizationalUnits:
- Testing

Ajouter une règle AWS Config

Vous pouvez ajouter des règles AWS Config gérées et personnalisées à des comptes et
des UO au sein de votre organisation. Suivez les étapes suivantes pour ajouter une règle
à la configuration de votre solution :
1. Accédez à la console AWS CodeCommit
2. Sélectionnez le référentiel aws-accelerator-config.
3. Ouvrez le fichier nommé security-config.yaml.

Page 53 sur 71
 Amazon Web Services – Accélérateur de zone d'accueil sur AWS Dernière mise à jour :
décembre 2022

4. Ajoutez les lignes suivantes au bloc de configuration awsConfig du fichier

security-config.yaml. Cet exemple ajoute la règle gérée
IAM_USER_GROUP_MEMBERSHIP_CHECK à tous les comptes gérés par l'accélérateur :

awsConfig :
enableConfigurationRecorder: true
enableDeliveryChannel: true
ruleSets:
- deploymentTargets:
organizationalUnits:
- Root
rules:
- name: accelerator-iam-user-group-membership-
check
complianceResourceTypes:
- AWS::IAM::User
identifier: IAM_USER_GROUP_MEMBERSHIP_CHECK

Services de sécurité centraux

Cette solution prend en charge le concept d'administration déléguée pour les services de
sécurité tels que AWS Security Hub, Amazon GuardDuty, Amazon Macie, Amazon Detective
et AWS Audit Manager. La solution permet de configurer facilement votre compte
d'administrateur délégué et de configurer les comptes des membres de l'organisation pour
qu'ils transmettent leurs résultats à un emplacement central. Suivez les étapes suivantes
pour activer les services de sécurité centraux dans la configuration de la solution :
1. Ouvrez la console de gestion AWS CodeCommit.
2. Sélectionnez le référentiel aws-accelerator-config.
3. Ouvrez le fichier security-config.yaml.
4. Ajoutez les lignes suivantes au bloc de configuration centralSecurityServices.
Cet exemple active tous les services de sécurité centraux pris en charge (sauf Amazon
Detective) :

Important : Amazon Detective n'est pas activé dans notre exemple de

configuration, car Amazon GuardDuty doit être activé pendant 48 heures avant
d'activer Amazon Detective. Pour plus d'informations, reportez-vous à la section
Conditions préalables et recommandations relatives à Amazon Detective dans le
Guide de l'utilisateur d'Amazon Detective.

Page 54 sur 71
 Amazon Web Services – Accélérateur de zone d'accueil sur AWS Dernière mise à jour :
décembre 2022

Remarque : lors de l'activation d'Audit Manager, le service crée un compartiment

Amazon S3 dans le compte Audit de votre organisation, spécifiquement pour les
rapports Audit Manager. Ceci est créé pour les scénarios où des auditeurs tiers ont
besoin d'accéder aux rapports. Il s'agit d'une différence par rapport aux autres services
de sécurité centraux, qui envoient les journaux au compartiment de journalisation
central du compte Log Archive (Archive de journaux) de votre organisation.

centralSecurityServices:
delegatedAdminAccount: Audit
ebsDefaultVolumeEncryption:
enable: true
excludeRegions: []
s3PublicAccessBlock:
enable: true
excludeAccounts: []
macie:
enable: true
excludeRegions: []
policyFindingsPublishingFrequency: FIFTEEN_MINUTES
publishSensitiveDataFindings: true
guardduty:
enable: true
excludeRegions: []
s3Protection:
enable: true
excludeRegions: []
exportConfiguration:
enable: true
destinationType: S3
exportFrequency: FIFTEEN_MINUTES
auditManager:
enable: true
excludeRegions: []
defaultReportsConfiguration:
enable: true
destinationType: S3
detective:
enable: false
excludeRegions: []
securityHub:
enable: true
regionAggregation: true
excludeRegions: []
standards:

Page 55 sur 71
 Amazon Web Services – Accélérateur de zone d'accueil sur AWS Dernière mise à jour :
décembre 2022
- name: AWS Foundational Security Best Practices
v1.0.0
enable: true
controlsToDisable:[]
- name: PCI DSS v3.2.1
enable: true
controlsToDisable: []
- name: CIS AWS Foundations Benchmark v1.2.0
enable: true
controlsToDisable:[]

Ajouter une AWS Transit Gateway

Suivez les étapes suivantes pour déployer une passerelle de transit dans votre
environnement multicompte :
1. Ouvrez la console de gestion AWS CodeCommit.
2. Sélectionnez le référentiel aws-accelerator-config.
3. Ouvrez le fichier network-config.yaml.
4. Ajoutez les lignes suivantes au bloc de configuration transitGateways. Cet exemple
ajoute une passerelle de transit avec un partage d'AWS Resource Access Manager (AWS
RAM) pour l'ensemble de l'organisation au compte Network (Réseau) dans la région US
Est (Virginie du Nord) :

transitGateways:
- name: Network-Main
account: Network
region: us-east-1
shareTargets:
organizationalUnits:
- Root
asn: 65521
dnsSupport: enable
vpnEcmpSupport: enable
defaultRouteTableAssociation: disable
defaultRouteTablePropagation: disable
autoAcceptSharingAttachments: enable
routeTables:
- name: Network-Main-Core
routes: []
- name: Network-Main-Segregated
routes: []
- name: Network-Main-Shared

Page 56 sur 71
 Amazon Web Services – Accélérateur de zone d'accueil sur AWS Dernière mise à jour :
décembre 2022
routes: []
- name: Network-Main-Standalone
routes: []

Ajouter un VPC Amazon

Suivez les étapes suivantes pour déployer un VPC dans votre environnement
multicompte :
1. Ouvrez la console de gestion AWS CodeCommit.
2. Sélectionnez le référentiel aws-accelerator-config.
3. Ouvrez le fichier network-config.yaml.
4. Ajoutez les lignes suivantes au bloc de configuration vpcs. Cet exemple ajoute un VPC
avec des routes pour la passerelle de transit créés dans Ajouter une AWS Transit
Gateway.

vpcs:
- name: Network-Example
account: Network
region: us-east-1
cidrs:
- 10.1.0.0/22
internetGateway: false
enableDnsHostnames: true
enableDnsSupport: true
instanceTenancy: default
routeTables:
- name: Network-Endpoints-Tgw-A
routes: []
- name: Network-Endpoints-Tgw-B
routes: []
- name: Network-Endpoints-A
routes:
- name: TgwRoute
destination: 0.0.0.0/0
type: transitGateway
target: Network-Main
- name: Network-Endpoints-B
routes:
- name: TgwRoute
destination: 0.0.0.0/0
type: transitGateway
target: Network-Main

Page 57 sur 71
 Amazon Web Services – Accélérateur de zone d'accueil sur AWS Dernière mise à jour :
décembre 2022
subnets:
- name: Network-Endpoints-A
availabilityZone: a
routeTable: Network-Endpoints-A
ipv4CidrBlock: 10.1.0.0/24
- name: Network-Endpoints-B
availabilityZone: b
routeTable: Network-Endpoints-B
ipv4CidrBlock: 10.1.1.0/24
- name: Network-EndpointsTgwAttach-A
availabilityZone: a
routeTable: Network-Endpoints-Tgw-A
ipv4CidrBlock: 10.1.3.208/28
- name: Network-EndpointsTgwAttach-B
availabilityZone: b
routeTable: Network-Endpoints-Tgw-B
ipv4CidrBlock: 10.1.3.224/28
transitGatewayAttachments:
- name: Network-Endpoints
transitGateway:
name: Network-Main
account: Network
routeTableAssociations:
- Network-Main-Shared
routeTablePropagations:
- Network-Main-Core
- Network-Main-Shared
- Network-Main-Segregated
subnets:
- Network-EndpointsTgwAttach-A
- Network-EndpointsTgwAttach-B

Remplacement des variables de politique

Cette solution prend en charge le concept de variables d'environnement dans les
documents de politique. Ces variables sont traitées au moment de l'exécution de
l'application CDK et sont remplacées par des valeurs contextuelles basées sur
l'environnement d'exécution et, le cas échéant, les configurations définies par l'utilisateur.
Les types de politiques suivants prennent en charge les remplacements de variables :
• Politiques de l'organisation AWS (SCP, politiques d'étiquettes, politiques de sauvegarde)
• Politiques AWS IAM
• Politiques de clé AWS KMS

Page 58 sur 71
 Amazon Web Services – Accélérateur de zone d'accueil sur AWS Dernière mise à jour :
décembre 2022
Les remplacements de variables de politique prennent en charge les clés variables
suivantes :
• ${ACCELERATOR_DEFAULT_PREFIX_SHORTHAND} : version abrégée du préfixe
appliqué aux ressources fournies par la solution (à partir de la version v1.3.0, cette
valeur est AWSA)
• ${ACCELERATOR_PREFIX_ND} : préfixe appliqué aux ressources fournies par la
solution sans tirets
• ${ACCELERATOR_PREFIX_LND} : préfixe appliqué aux ressources fournies par la
solution, en minuscules sans tirets
• ${ACCELERATOR_PREFIX} : préfixe appliqué aux ressources fournies par la solution
(à partir de la version v1.3.0, cette valeur est AWSAccelerator)
• ${ACCOUNT_ID} : ID de compte du compte dans lequel la politique est déployée
• ${AUDIT_ACCOUNT_ID} : ID de compte du compte d'audit
• ${HOME_REGION} : région AWS dans laquelle la solution est déployée
• ${LOGARCHIVE_ACCOUNT_ID} : ID de compte du compte d'archive de journalisation
• ${MANAGEMENT_ACCOUNT_ACCESS_ROLE} : nom de rôle utilisé par la solution pour
l'accès intercompte (par exemple, AWSControlTowerExecution)
• ${MANAGEMENT_ACCOUNT_ID} : ID de compte du compte de gestion
• ${PARTITION} : partition sur laquelle la politique est déployée
• ${REGION} : région AWS dans laquelle la politique est déployée
L'exemple de politique suivant montre comment vous pouvez mettre en œuvre les
variables :

{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyAllAWSServicesExceptBreakglassRoles",
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"ArnNotLike": {
"aws:PrincipalArn": [

"arn:${PARTITION}:iam::*:role/${MANAGEMENT_ACCOUNT_ACCESS
_ROLE}",

Page 59 sur 71
 Amazon Web Services – Accélérateur de zone d'accueil sur AWS Dernière mise à jour :
décembre 2022
"arn:${PARTITION}:iam::*:role/aws*",

"arn:${PARTITION}:iam::*:role/${ACCELERATOR_PREFIX}*",
"arn:${PARTITION}:iam::*:role/cdk-accel-*"
]
}
}
}
]
}

Prise en charge de régions et de

secteurs d’activité spécifiques
Étant donné que nombre de nos clients doivent suivre des directives spécifiques à leur
secteur d'activité et à leur région en matière de sécurité et de conformité, nous incluons
dans cette section des notes spécifiques concernant l'utilisation de cette solution pour
soutenir l'harmonisation avec :

• Centre canadien pour la cybersécurité (CCCS) Cloud Medium

• Soins de santé
• Élections
• Finances (impôts)

Centre canadien pour la cybersécurité (CCCS)

Cloud Medium
Nous avons créé la configuration du Centre canadien pour la cybersécurité (CCCS) Cloud
Medium (anciennement Protégé B, Intégrité moyenne, disponibilité moyenne [PBMM])
pour la solution d'accélérateur de zone d'accueil sur AWS afin de déployer une
architecture personnalisée et normative. Nous avons conçu cette architecture pour aider
les clients à prendre en charge les contrôles requis pour recevoir une autorisation
d'opérer (ATO), comme décrit dans le document ITSP.50.105 – Guide de l'évaluation et
de l'autorisation de la sécurité du nuage.

Contrôles de sécurité

Page 60 sur 71
 Amazon Web Services – Accélérateur de zone d'accueil sur AWS Dernière mise à jour :
décembre 2022
Les clients peuvent également se conformer aux barrières de protection minimales du
gouvernement du Canada dans le cadre du contexte du cadre d'opérationnalisation sur le
nuage du gouvernement du Canada (GC). Le respect des barrières de protection
minimales avec la solution de l'accélérateur de zone d'accueil sur AWS vous aide
également à prendre en charge les contrôles CCCS Cloud Medium si la sensibilité de votre
application change. Le réglage des paramètres dans le fichier de configuration vous
permet de déployer des architectures personnalisées pour répondre aux exigences d'un
éventail de gouvernements et d'organisations du secteur public.

Le déploiement de cette configuration peut vous aider à réduire le temps nécessaire pour
mettre en œuvre les contrôles CCCS Cloud Medium de façon à passer de plus de 90 jours
à 2 jours. L'héritage des contrôles couverts par l'évaluation de CCCS Cloud Medium, ainsi
que l'utilisation de la solution de l'accélérateur de zone d'accueil sur AWS pour traiter les
contrôles courants qui relèvent de la responsabilité du client, peuvent accélérer un
processus d'évaluation et d'autorisation de sécurité (SA&A).

Remarque : la solution de l'accélérateur de zone d'accueil sur AWS est maintenant

la solution recommandée pour les organisations du secteur public qui cherchent à
déployer un environnement AWS conforme aux exigences du profil CCCS Cloud
Medium.
Auparavant, les clients du secteur public canadien qui cherchaient à s'aligner sur le
profil CCCS Cloud Medium ont déployé l'AWS Secure Environment Accelerator
pour prendre en charge les contrôles qui relèvent de la responsabilité du client
dans le modèle de responsabilité partagée. La version 1.3.0 de la solution de
l'accélérateur de zone d'accueil sur AWS offre la même couverture de contrôle que
la solution AWS Secure Environment Accelerator.
Si vous utilisez actuellement la solution AWS Secure Environment Accelerator, il
n'y a actuellement aucune date limite pour migrer vers la solution de l'accélérateur
de zone d'accueil sur AWS.

Important : cette configuration n'a pas pour but d'être complète en termes de
fonctionnalités ou d'être entièrement conforme, mais plutôt d'aider à accélérer les
migrations vers le nuage et les efforts de remaniement du nuage par les entités
tenues de respecter les exigences de sécurité de CCCS Cloud Medium. Bien que
cette configuration puisse vous aider à réduire les efforts nécessaires pour créer
manuellement une infrastructure prête à la production, vous devrez tout de même
l'adapter aux besoins uniques de votre entreprise.

Page 61 sur 71
 Amazon Web Services – Accélérateur de zone d'accueil sur AWS Dernière mise à jour :
décembre 2022
Le déploiement de l'accélérateur de zone d'accueil sur AWS avec l'exemple de fichier de
configuration CCCS Cloud Medium peut aider à accélérer la rapidité avec laquelle votre
organisation parvient à traiter les contrôles qui comportent un élément technique.
Consultez votre équipe AWS sur la façon dont vous pouvez déployer cette solution dans
le cadre d'une stratégie globale visant à réduire le temps nécessaire pour obtenir une
autorisation d'exploiter vos applications.

Soins de santé
Nous avons conçu la configuration des soins de santé pour la solution de l'accélérateur
de zone d'accueil sur AWS afin d'inclure des contrôles provenant de cadres de différentes
régions, comme HIPAA, NCSC, ENS High, C5 et Fascicolo Sanitario Elettronico.

Important : cette configuration n'a pas pour but d'être complète en termes de
fonctionnalités ou d'être entièrement conforme, mais plutôt d'aider à accélérer les
migrations vers le nuage et les efforts de remaniement du nuage par les entités au
service des organismes de santé. Bien que cette configuration puisse vous aider à
réduire les efforts nécessaires pour créer manuellement une infrastructure prête à
la production, vous devrez tout de même l'adapter aux besoins uniques de votre
entreprise.

Cette section fournit des directives spécifiques pour le déploiement de cette solution
pour soutenir les cas d'usage dans le domaine de la santé. Si vous déployez la solution de
l'accélérateur de zone d'accueil sur AWS dans un environnement de soins de santé,
veuillez consulter votre équipe AWS pour comprendre les contrôles à effectuer pour
répondre à vos besoins.

Contrôles de sécurité
Nous avons créé ces contrôles en tant que barrières de protection de détection et de
prévention dans l'environnement AWS grâce aux règles AWS Config ou aux SCP. Le
fichier organization-config.yaml comprend des sections pour déclarer les SCP, les
politiques de balisage et les politiques de sauvegarde. Les SCP peuvent être très
spécifiques à votre organisation et à ses charges de travail. Nous vous recommandons
donc de les revoir et de les modifier pour répondre à vos besoins. Nous fournissons des
exemples de politiques pour ce qui suit :

• Politiques de contrôle des services : le fichier service-control-

policies/scp-hlc-base-root.json fournit un fichier SCP qui empêche les
comptes de quitter votre organisation ou de désactiver le blocage de l'accès
public. La politique service-control-policies/scp-hlc-hipaa-
service.json est un exemple de politique que vous pouvez utiliser pour vous
assurer que seuls les services admissibles à HIPAA peuvent être utilisés dans une
UO ou un compte spécifique.

Page 62 sur 71
 Amazon Web Services – Accélérateur de zone d'accueil sur AWS Dernière mise à jour :
décembre 2022

Remarque : les SCP ne sont pas automatiquement mises à jour, et vous devrez
intégrer des modifications à la liste des services admissibles à HIPAA.

• Stratégies de balisage : le fichier tagging-policies/org-tag-

policy.json fournit un exemple de politique de balisage montrant comment
vous pouvez étendre les politiques afin de définir les éléments suivants et de les
appliquer à des services AWS spécifiques :
o Type d'environnement pour les charges de travail Prod, AQ et Dev.
o Classification des données pour suivre les charges de travail sensibles et non
sensibles, comme les Informations sur la santé des patients et les
Informations confidentielles de l'entreprise.

Nous vous recommandons de modifier l'exemple de politique pour qu'elle reflète les
centres de coûts de votre propre organisation afin que les ressources fournies par la
solution soient automatiquement balisées en fonction des besoins de votre entreprise.

• Politique de sauvegarde : le fichier backup-policies/backup-plan.json

fournit un exemple de politique de sauvegarde pour illustrer la façon dont vous
pouvez planifier les sauvegardes et les paramètres de gestion du cycle de vie et de
la rétention.

Dans le fichier security-config.yaml, vous pouvez configurer les services de sécurité

AWS tels qu'AWS Config et AWS Security Hub, et activer le chiffrement du stockage. Le fichier
fournit des alarmes et des mesures supplémentaires pour vous informer des actions au sein
de votre environnement de solution. Pour obtenir la liste de tous les services et paramètres qui
peuvent être configurés, consultez la section Services AWS de cette solution. Ce fichier
contient également les règles AWS Config qui forment la liste des barrières de protection de
détection utilisées pour répondre aux contrôles de divers cadres. Ces règles sont mises en
œuvre à l'aide d'une combinaison de Security Hub, des bonnes pratiques de sécurité de base
d'AWS, de CIS AWS Foundations Benchmark et des règles du dossier de conformité
d'exemple des bonnes pratiques opérationnelles pour la sécurité HIPAA.

Le fichier global-config.yaml contient les paramètres qui activent les régions, la

journalisation centralisée à l'aide d'AWS CloudTrail et d'Amazon CloudWatch Logs, ainsi
que la période de conservation de ces journaux pour vous aider à répondre à vos besoins
d'audit et de surveillance.

Nous vous recommandons d'examiner ces paramètres pour mieux comprendre ce qui a
déjà été configuré et ce qui doit être modifié en fonction de vos besoins spécifiques. Pour
plus de détails, reportez-vous à l'exemple de configuration selon les bonnes pratiques pour
le domaine de la santé.

Page 63 sur 71
 Amazon Web Services – Accélérateur de zone d'accueil sur AWS Dernière mise à jour :
décembre 2022

Élections
Nous avons conçu la configuration du secteur électoral pour la solution de l'accélérateur
de zone d'accueil sur AWS pour qu'elle prenne en charge :

• Les clients du secteur électoral, tels que les comités et les campagnes, les agences
électorales fédérales, étatiques et locales, et les fournisseurs indépendants de logiciels
qui produisent des solutions pour les clients du secteur électoral.
• Des bonnes pratiques adaptées à toute organisation, en plus des barrières de protection
permettant d'atténuer les menaces auxquelles font face les clients du secteur électoral.

Important : cette configuration n'a pas pour but d'être complète en termes de
fonctionnalités ou d'être entièrement conforme, mais plutôt d'aider à accélérer les
migrations vers le nuage et les efforts de remaniement du nuage par les entités au
service des organisations électorales. Bien que cette configuration puisse vous
aider à réduire les efforts nécessaires pour créer manuellement une infrastructure
prête à la production, vous devrez tout de même l'adapter aux besoins uniques de
votre entreprise.

Cette section fournit des conseils spécifiques pour le déploiement de cette solution pour
soutenir les cas d'usage dans le domaine électoral. Si vous déployez la solution de
l'accélérateur de zone d'accueil sur AWS dans un environnement électoral, veuillez
consulter votre équipe AWS pour comprendre les contrôles à effectuer pour répondre à
vos besoins.

Contrôles de sécurité
Nous avons créé ces contrôles en tant que barrières de protection de détection et de
prévention dans l'environnement AWS grâce aux règles AWS Config et aux SCP. Le fichier
organization-config.yaml comprend des sections pour déclarer les SCP, les
politiques de balisage et les politiques de sauvegarde. Les SCP peuvent être spécifiques à
votre organisation et à ses applications. Nous vous recommandons donc de les revoir et
de les modifier pour répondre à vos besoins. Nous fournissons des exemples de
politiques pour ce qui suit :

• Politiques de contrôle des services : l'exemple de fichier service-control-

policies/deny-non-us-regions.json interdit de lancer des ressources dans les
régions AWS non américaines. Pour permettre une utilisation plus large, nous vous
recommandons de modifier cette SCP afin de répondre à vos besoins. La politique
autorise les ressources uniquement dans les quatre régions AWS standard aux États-
Unis (us-east-1, us-east-2, us-west-1, us-west-2) et dans les deux régions AWS

Page 64 sur 71
 Amazon Web Services – Accélérateur de zone d'accueil sur AWS Dernière mise à jour :
décembre 2022
GovCloud (US) (us-gov-east-1, us-gov-west-1). Telle qu'elle est définie, la
politique prévoit des exceptions pour les services mondiaux qui échoueraient
autrement s'ils étaient explicitement refusés (par exemple, IAM). Vous pouvez modifier
cette configuration en fonction des exigences géographiques et de sécurité.

Remarque : les SCP ne sont pas automatiquement mises à jour. Vous devrez
intégrer les modifications apportées aux régions AWS dans ce fichier en fonction
des besoins en matière de conformité.

• Politiques d'étiquetage : nous avons personnalisé le fichier tagging-

policies/elections-sample-policy.json pour refléter les types de centres de
coûts généralement associés à une organisation électorale, par exemple, le Campaign
budget et la in-kind contribution.

Remarque : nous vous recommandons de modifier l'exemple de politique pour

refléter les centres de coûts de votre propre organisation afin que la solution
balise automatiquement les ressources qu'elle fournit en fonction des besoins de
votre entreprise.

Nous vous recommandons d'examiner ces fichiers pour mieux comprendre ce qui a déjà
été configuré et ce qui doit être modifié en fonction de vos besoins spécifiques. Pour plus
de détails, reportez-vous à l'exemple de configuration selon les bonnes pratiques pour le
secteur électoral.

Finances (impôts)
Nous avons conçu la configuration Finances (impôts) pour la solution de l'accélérateur de
zone d'accueil sur AWS afin de déployer une structure de compte couramment utilisée
avec les applications liées aux taxes ainsi que les contrôles de sécurité et les configurations
de réseau pour sécuriser les données FTI. Cette configuration est conforme aux exigences
IRS-1075 pour chiffrer les données FTI hébergées par Amazon S3, Amazon EBS et Amazon
FSx en utilisant des clés gérées par le client (CMK) sous son contrôle.

Important : cette configuration n'a pas pour but d'être complète en termes de
fonctionnalités ou d'être entièrement conforme, mais plutôt d'aider à accélérer les
migrations vers le nuage et les efforts de remaniement du nuage par les entités au
service des organisations financières américaines. Bien que cette configuration
puisse vous aider à réduire les efforts nécessaires pour créer manuellement une
infrastructure prête à la production, vous devrez tout de même l'adapter aux
besoins uniques de votre entreprise.

Page 65 sur 71
 Amazon Web Services – Accélérateur de zone d'accueil sur AWS Dernière mise à jour :
décembre 2022
Cette section fournit des conseils spécifiques pour le déploiement de cette solution pour
soutenir les cas d'usage dans le domaine des impôts. Si vous déployez la solution de
l'accélérateur de zone d'accueil sur AWS dans un environnement fiscal américain, veuillez
consulter votre équipe AWS pour comprendre les contrôles à effectuer pour répondre à
vos besoins.

Contrôles de sécurité
La configuration des taxes pour les États-unis s'harmonise avec l'exemple de
configuration selon les bonnes pratiques de la solution par défaut pour AWS.
Cette configuration s'écarte des bonnes pratiques en définissant la structure de
l'organisation. Pour ce faire, elle exploite une UO fiscale avec des comptes qui
s'harmonisent sur l'architecture de référence et où les données FTI sont censées résider.

Cette configuration permet d'utiliser des services de sécurité supplémentaires, comme

Amazon Macie. Cette configuration établit des barrières de protection détectives en utilisant
Security Hub et AWS Config, qui déploient des règles AWS Config gérées. Ces règles
évaluent si les paramètres de configuration de vos ressources AWS sont conformes aux
bonnes pratiques courantes, telles que CIS, qui s'harmonisent avec le SCSEM infonuagique.

Le fichier de configuration network-config.yaml établit l'utilisation de services de

réseau tels qu'AWS Transit Gateway et exploite un VPC de sortie central.

Les autres considérations à prendre en compte sont les suivantes :

• Dans le cas où un tiers gère vos environnements fiscaux, la CMK utilisée pour chiffrer
les données FTI doit être créée dans un compte distinct appartenant au client pour
chiffrer Amazon S3, les volumes Amazon EBS, les partages Amazon FSx et d'autres
magasins de données stockant les données FTI dans l'UO fiscale.
• Nous vous recommandons d'assigner à toutes les ressources AWS (telles que les
instances Amazon EC2, les volumes Amazon EBS et les compartiments Amazon S3
stockant des données FTI) une balise unique à des fins de contrôle d'accès par le biais
des politiques IAM et SCP.
• Vous devez activer les Application Load Balancer (ALB) déployés pour l'application
fiscale pour le mode FIPS 140-2.
Veuillez consulter votre équipe AWS pour répondre à vos besoins.

Page 66 sur 71
 Amazon Web Services – Accélérateur de zone d'accueil sur AWS Dernière mise à jour :
décembre 2022

Référence
Cette section contient des informations sur une fonctionnalité facultative permettant de
collecter des mesures uniques pour cette solution, des liens vers des ressources connexes
et la liste des créateurs qui ont contribué à cette solution.

Collecte de données anonymes

Cette solution dispose d'une option permettant d'envoyer des mesures opérationnelles
anonymes à AWS. Nous utilisons ces données pour mieux comprendre comment les
clients utilisent cette solution et les services et produits associés. Lorsque l'option est
appelée, les informations suivantes sont collectées et envoyées à AWS :

• ID de la solution : identificateur de la solution AWS

• Identificateur unique (UUID) : identificateur unique généré aléatoirement pour
chaque déploiement de l'accélérateur de zone d'accueil sur AWS
• Horodatage : horodatage de la collecte des données
AWS est propriétaire des données recueillies dans le cadre de cette enquête. La collecte des
données est soumise à la politique de confidentialité d'AWS. Pour désactiver cette
fonctionnalité, suivez les étapes suivantes avant de lancer le modèle AWS CloudFormation.

1. Téléchargez le modèle AWS CloudFormation sur votre disque dur local.

2. Ouvrez le modèle AWS CloudFormation à l'aide d'un éditeur de texte.
3. Modifiez la section d'association du modèle AWS CloudFormation de :

AnonymousData:
SendAnonymousData:
Data: Yes

à:

AnonymousData:
SendAnonymousData:
Data: No

4. Connectez-vous à la console AWS CloudFormation.

5. Sélectionnez Create stack (Créer une pile).

Page 67 sur 71
 Amazon Web Services – Accélérateur de zone d'accueil sur AWS Dernière mise à jour :
décembre 2022

6. Sur la page Create stack (Créer une pile), dans la section Specify template (Spécifier le
modèle), sélectionnez Upload a template file (Charger un fichier modèle).
7. Sous Upload a template file (Charger un fichier modèle), sélectionnez Choose file
(Choisir un fichier) et sélectionnez le modèle modifié depuis votre disque dur local.
8. Choisissez Next (Suivant) et suivez les étapes de la section Lancer la pile.

Ressources connexes
• L'accélérateur de zone d'accueil sur AWS est une mise en œuvre entièrement
automatisée des directives architecturales documentées dans l'architecture de
référence de sécurité pour AWS (AWS SRA).
• L'accélérateur de zone d'accueil sur AWS intègre des caractéristiques et des leçons
tirées des solutions d'accélérateur précédentes, comme le Cadre de conformité pour les
charges de travail fédérales et DoD dans la région GovCloud (US) et l'AWS Secure
Environnement Accelerator.

Contributeurs
• James Armitage
• Mark Burr
• Jimmy Clem
• Brian Crissup
• Partha Debnath
• Randy Domingo
• Dustin Hickey
• Nagmesh Kumar
• Bo Lechangeur
• Melinda Mosholder
• John Reynolds
• Aasim Sayani
• Jeremy Spell
Gouvernement fédéral et département de la Défense (DoD) des États-Unis (US)

• Bhavish Khatri

Page 68 sur 71
 Amazon Web Services – Accélérateur de zone d'accueil sur AWS Dernière mise à jour :
décembre 2022

• Nagmesh Kumar
Aérospatiale américaine

• Tim Sills
Service informatique central des gouvernements locaux et d'État américains

• Jason Hammett
• Brian Stucker
National Cyber Security Centre (NCSC) du Royaume-Uni

• Charlie Llewellyn
• Muhammad Khas
Centre canadien pour la cybersécurité (CCCS) Cloud Medium

• Brian Stucker
• James Kierstead
• Brian Mycroft
• Ryan Jaegar
Architecture de référence de Trusted Secure Enclaves Sensitive Edition (TSE-SE) pour
la sécurité nationale, la défense et les forces de l'ordre.

• Brian Mycroft
• Dave Liggat
Soins de santé

• Donny Wilson
• Cate Hennard
• Parthiban Dhayalan
• Brian Stucker
• Jason Hammett
Élections

• Lawrence Gohar
Finances (impôts)

Page 69 sur 71
 Amazon Web Services – Accélérateur de zone d'accueil sur AWS Dernière mise à jour :
décembre 2022

• Sohaib Tahir
• David Schmidt
• Brian Stucker

Révisions
Date Changement

Mai 2022 Version initiale

Juin 2022 Version v1.0.1 : corrections de bogues. Pour plus d'informations, consultez le fichier
CHANGELOG.md dans le référentiel GitHub.

Juillet 2022 Version v1.0.2 : ajout de la prise en charge des régions AWS GovCloud (US). Pour plus
d'informations, consultez le fichier CHANGELOG.md dans le référentiel GitHub.

Août 2022 Version v1.1.0 : corrections de bogues. Pour plus d'informations, consultez le fichier
CHANGELOG.md dans le référentiel GitHub.

Septembre 2022 Version v1.2.0 : mise à jour de la journalisation centralisée et des stratégies de clés AWS
KMS. Pour plus d'informations, consultez le fichier CHANGELOG.md dans le référentiel
GitHub.

Octobre 2022 Version v1.2.1 : ajout de la prise en charge des déploiements du NCSC du Royaume-Uni et
des soins de santé. Pour plus d'informations, consultez le fichier CHANGELOG.md dans le
référentiel GitHub.

Novembre 2022 Version v1.2.2 : corrections de bogues. Pour plus d'informations, consultez le fichier
CHANGELOG.md dans le référentiel GitHub.

Décembre 2022 Version v1.3.0 : ajout d'un guide du développeur, prise en charge supplémentaire de
secteurs d’activité et de régions, et étapes de dépannage supplémentaires. Pour plus
d'informations, consultez le fichier CHANGELOG.md dans le référentiel GitHub.

Page 70 sur 71
 Amazon Web Services – Accélérateur de zone d'accueil sur AWS Dernière mise à jour :
décembre 2022

Avis
Les clients sont tenus d'évaluer de façon indépendante les renseignements présentés
dans ce document. Ce document : (a) est fourni à titre indicatif, (b) représente les offres
de produits et les pratiques AWS actuelles, qui sont susceptibles d'être modifiées sans
préavis, et (c) ne crée aucun engagement ou garantie de la part d'AWS et de ses filiales,
fournisseurs ou concédants de licence. Les produits ou services AWS sont fournis « tels
quels » sans garanties, obligations ou conditions d'aucune sorte, expresse ou tacite.
Les responsabilités et les obligations d'AWS envers ses clients sont contrôlées par les
accords d'AWS, et ce document ne fait partie d'aucun accord entre AWS et ses clients
ni n'en modifie aucun.

L'accélérateur de zone d'accueil sur AWS est régi par les termes de la licence Apache
Version 2.0 que vous pouvez consulter en accédant à la page suivante : The Apache
Software Foundation.

Page 71 sur 71