

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Présentation d'AWS Control Tower et VPCs
<a name="vpc-concepts"></a>

Voici quelques informations essentielles concernant AWS Control Tower VPCs :
+ Le VPC créé par AWS Control Tower lorsque vous configurez un compte dans Account Factory n'est pas le même que le AWS VPC par défaut.
+ Lorsqu'AWS Control Tower crée un nouveau compte dans une AWS région prise en charge, AWS Control Tower supprime automatiquement le AWS VPC par défaut et configure un nouveau VPC configuré par AWS Control Tower.
+ Chaque compte AWS Control Tower a droit à un VPC créé par AWS Control Tower. Un compte peut en avoir d'autres AWS VPCs dans la limite du compte.
+ Chaque VPC AWS Control Tower possède trois zones de disponibilité dans toutes les régions, à l'exception de la région de l'ouest des États-Unis (Californie du Nord)`us-west-1`, et deux zones de disponibilité dans. `us-west-1` Par défaut, chaque zone de disponibilité se voit attribuer un sous-réseau public et deux sous-réseaux privés. Par conséquent, dans les régions à l'exception de l'ouest des États-Unis (Californie du Nord), chaque VPC AWS Control Tower contient neuf sous-réseaux par défaut, répartis sur trois zones de disponibilité. Dans l'ouest des États-Unis (Californie du Nord), six sous-réseaux sont répartis sur deux zones de disponibilité.
+ Chacun des sous-réseaux de votre VPC AWS Control Tower se voit attribuer une plage unique, de taille égale.
+ Le nombre de sous-réseaux dans un VPC est configurable. Pour plus d'informations sur la modification de la configuration de votre sous-réseau VPC, consultez [la rubrique Account Factory](https://docs.aws.amazon.com//controltower/latest/userguide/account-factory.html).
+ Comme les adresses IP ne se chevauchent pas, les six ou neuf sous-réseaux de votre VPC AWS Control Tower peuvent communiquer entre eux sans restriction.

Lorsque vous travaillez avec AWS Control Tower VPCs, aucune distinction n'est faite au niveau de la région. Chaque sous-réseau est alloué à partir de la plage d'adresses CIDR exacte que vous spécifiez. Les sous-réseaux VPC peuvent exister dans n'importe quelle région.

**Remarques**

**Gérez les coûts des VPC**  
Si vous configurez le VPC Account Factory de telle sorte que les sous-réseaux publics soient activés lors de l'approvisionnement d'un nouveau compte, Account Factory configure le VPC pour créer une passerelle NAT. Vous serez facturé pour votre utilisation par Amazon VPC.

**VPC et paramètres de contrôle**  
Si vous configurez des comptes Account Factory avec les paramètres d'accès Internet VPC activés, ce paramètre annule le contrôle Interdire l'accès à [Internet pour une instance Amazon VPC gérée](https://docs.aws.amazon.com//controltower/latest/controlreference/data-residency-controls.html#disallow-vpc-internet-access) par un client. Pour éviter d'activer l'accès à Internet pour les comptes nouvellement provisionnés, vous devez modifier le paramètre dans Account Factory. Pour plus d'informations, consultez [Procédure pas à pas : configurer AWS Control Tower sans VPC.](https://docs.aws.amazon.com//controltower/latest/userguide/configure-without-vpc.html)

# CIDR et peering pour VPC et AWS Control Tower
<a name="vpc-ct-cidr"></a>

Cette section est destinée principalement aux administrateurs réseau. L'administrateur réseau de votre entreprise est généralement la personne qui sélectionne la plage d'adresses CIDR globale pour votre organisation AWS Control Tower. L'administrateur réseau alloue ensuite des sous-réseaux à partir de cette plage à des fins spécifiques.

Lorsque vous choisissez une plage d'adresses CIDR pour votre VPC, AWS Control Tower valide les plages d'adresses IP conformément à la spécification RFC 1918. Account Factory autorise un bloc CIDR allant jusqu'`/16`à une valeur comprise entre : 
+ `10.0.0.0/8`
+ `172.16.0.0/12`
+ `192.168.0.0/16`
+ `100.64.0.0/10`(uniquement si votre fournisseur d'accès Internet autorise l'utilisation de cette plage)

Le délimiteur `/16` permet jusqu'à 65 536 adresses IP distinctes.

Vous pouvez attribuer des adresses IP valides à partir des plages suivantes :
+ `10.0.x.x to 10.255.x.x`
+ `172.16.x.x – 172.31.x.x`
+ `192.168.0.0 – 192.168.255.255`(pas IPs hors de `192.168` portée)

Si la plage que vous spécifiez se situe en dehors de ces valeurs, AWS Control Tower affiche un message d'erreur.

La plage d'adresses CIDR par défaut est `172.31.0.0/16`.

Lorsqu'AWS Control Tower crée un VPC à l'aide de la plage d'adresses CIDR que vous sélectionnez, elle attribue la même plage d'adresses CIDR à chaque *VPC* pour chaque compte que vous créez au sein de l'unité organisationnelle (UO). En raison du chevauchement par défaut des adresses IP, cette implémentation n'autorise initialement pas le peering entre les différentes entités de votre AWS Control Tower VPCs au sein de l'unité d'organisation.

**Sous-réseaux**

Au sein de chaque VPC, AWS Control Tower divise la plage de CIDR spécifiée de manière égale en neuf sous-réseaux (sauf dans l'ouest des États-Unis (Californie du Nord), où elle est de six sous-réseaux). Aucun des sous-réseaux au sein d'un VPC ne se chevauche. Ils peuvent donc tous communiquer entre eux, au sein du VPC.

En résumé, par défaut, les communications de sous-réseau au sein du VPC ne sont pas restreintes. La bonne pratique pour contrôler la communication entre vos sous-réseaux VPC, si nécessaire, consiste à configurer les listes de contrôle d'accès avec des règles qui définissent le flux de trafic autorisé. Utilisez des groupes de sécurité pour contrôler le trafic entre des instances spécifiques. Pour plus d'informations sur la configuration des groupes de sécurité et des pare-feux dans AWS Control Tower, consultez la section [Procédure pas à pas : configurer des groupes de sécurité dans AWS Control Tower With AWS Firewall Manager](https://docs.aws.amazon.com//controltower/latest/userguide/firewall-setup-walkthrough.html).

**Appairage**

AWS Control Tower ne limite pas le VPC-to-VPC peering pour les communications entre plusieurs VPCs. Cependant, par défaut, toutes les AWS Control Tower VPCs ont la même plage d'adresses CIDR par défaut. Pour prendre en charge le peering, vous pouvez modifier la plage CIDR dans les paramètres d'Account Factory afin que les adresses IP ne se chevauchent pas.

Si vous modifiez la plage d'adresses CIDR dans les paramètres d'Account Factory, la nouvelle plage d'adresses CIDR est attribuée à tous les nouveaux comptes créés ultérieurement par AWS Control Tower (à l'aide de Account Factory). Les anciens comptes ne sont pas mis à jour. Par exemple, vous pouvez créer un compte, puis modifier la plage d'adresses CIDR et créer un nouveau compte, et le VPCs montant alloué à ces deux comptes peut être comparé. L'appairage est possible, car leurs plages d'adresses IP ne sont pas identiques.