Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Étape 2. Ressources de gestion de l'intégration dans Accelerate
Voici un aperçu du processus d'intégration des ressources de gestion.
**Vous acceptez les conditions**
Votre responsable de prestation de services cloud (CSDM) vous guide tout au long du processus d'acceptation. Vous devez accepter les conditions générales, la sélection Régions AWS, les modules complémentaires et un accord de niveau de service (SLA).
**Vous accordez des autorisations aux rôles AMS**
Vous devez autoriser l'accès aux processus AMS et à votre architecte cloud. Pour ce faire, créez une CloudFormation pile pour chaque rôle. Voir [Le modèle pour créer des rôles AMS](acc-onb-roles.md) et ensuite[Créez `aws_managedservices_onboarding_role` avec CloudFormation for Accelerate](acc-onb-create-roles-with-cf.md). Pour de plus amples informations, veuillez consulter [Gestion des accès dans AMS Accelerate](acc-access.md).
**AMS examine votre configuration**
Votre architecte cloud (CA) recherche également les éventuels problèmes de configuration de votre compte, tels que les politiques de contrôle des services (SCPs), et les résultats de sécurité susceptibles d'empêcher AMS de déployer les outils et les ressources requis par AMS. Votre autorité de certification travaille avec vous pour vous aider à corriger les résultats et à supprimer les obstacles au déploiement des outils et ressources AMS.
**AMS examine les configurations de vos AWS CloudTrail sentiers**
Votre architecte cloud (CA) examinera vos configurations de CloudTrail suivi et confirmera si vous souhaitez qu'AMS déploie un suivi global CloudTrail ou intègre Accelerate aux ressources de suivi de votre CloudTrail compte ou de votre organisation. Si vous choisissez d'intégrer Accelerate à votre CloudTrail sentier, votre autorité de certification vous guidera à travers les mises à jour requises des configurations de vos ressources de CloudTrail sentiers.
**AMS déploie des ressources de gestion**
L'équipe AMS déploie des outils et des AWS ressources pour fournir les différents services d'AMS Accelerate. Une fois l'opération terminée, AMS a créé le compte AWS Managed Services et AMS vous informe que votre compte est actif.
Ceci conclut la phase des *ressources de gestion de l'intégration*. Vous pouvez passer directement à l'étape suivante du processus d'intégration :[Étape 3. Intégration des fonctionnalités AMS avec des politiques par défaut](acc-get-feature-config.md).
**Note**
Maintenant que votre compte est actif, vous pouvez effectuer l'une des tâches suivantes :
Créez des incidents et des demandes de service pour l' AWS infrastructure à l'aide de la console Support Center. Consultez [Rapports d'incidents, demandes de service et questions de facturation dans AMS Accelerate](acc-supp-ex.md).
Consultez l'état de conformité des AWS Config règles déployées par AMS dans votre compte. [Conformité des configurations dans Accelerate](acc-sec-compliance.md)
Localisez GuardDuty et analysez les résultats ainsi que Macie (facultatif). Consultez [Moniteur avec GuardDuty](acc-sec-data-protect.md#acc-sec-data-protect-gd).
CloudTrail Journaux d'accès et d'audit
Suivez les modifications apportées à votre compte AMS Accelerate. Consultez [Suivi des modifications apportées à vos comptes AMS Accelerate](acc-change-record.md).
Utilisez Resource Tagger pour créer des balises. Consultez [Accélérez Resource Tagger](acc-resource-tagger.md).
Demandez un correctif, une sauvegarde et AWS Config des rapports. Consultez [Rapports et options](ams-reporting.md).
# Passez en revue et mettez à jour vos configurations pour permettre à AMS Accelerate d'utiliser votre CloudTrail parcours
AMS Accelerate s'appuie sur la AWS CloudTrail connexion pour gérer les audits et la conformité de toutes les ressources de votre compte. Lors de l'intégration, vous choisissez si Accelerate déploie un suivi dans CloudTrail votre AWS région principale ou utilise les événements générés par votre CloudTrail compte existant ou le journal de votre organisation. Si aucun suivi n'est configuré sur votre compte, Accelerate déploiera un suivi géré lors CloudTrail de l'intégration.
**Important**
CloudTrail la configuration de la gestion des journaux n'est requise que lorsque vous choisissez d'intégrer AMS Accelerate à votre CloudTrail compte ou à votre historique d'organisation.
## Passez en revue les configurations de vos CloudTrail sentiers, la politique relative aux compartiments Amazon S3 et les politiques AWS KMS clés relatives à la destination de diffusion de vos CloudTrail événements avec votre architecte cloud (CA)
Avant qu'Accelerate puisse utiliser CloudTrail votre historique, vous devez travailler avec votre architecte cloud (CA) pour revoir et mettre à jour vos configurations afin de répondre aux exigences d'Accelerate. Si vous choisissez d'intégrer Accelerate à votre historique d' CloudTrail organisation, votre autorité de certification travaille avec vous pour mettre à jour le bucket Amazon S3 de destination de diffusion des CloudTrail événements et les politiques AWS KMS clés afin de permettre les requêtes entre comptes depuis votre compte Accelerate. Votre compartiment Amazon S3 peut se trouver dans un compte géré par Accelerate ou dans un compte que vous gérez. Pendant l'intégration, Accelerate vérifie que des requêtes peuvent être adressées à la destination de diffusion des événements de suivi de votre CloudTrail organisation, et suspend l'intégration si les requêtes échouent. Vous collaborez avec votre autorité de certification pour corriger ces configurations afin que l'intégration puisse reprendre.
### Vérifiez et mettez à jour les configurations de suivi de votre CloudTrail compte ou de votre organisation
Les configurations suivantes sont requises pour intégrer la gestion accélérée des CloudTrail journaux à votre CloudTrail compte ou aux ressources de suivi de l'organisation :
+ Votre CloudTrail parcours est configuré pour enregistrer les événements de tous Régions AWS.
+ Les [événements de service mondiaux](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-concepts.html#cloudtrail-concepts-global-service-events) sont activés sur votre CloudTrail parcours.
+ Le journal de votre CloudTrail compte ou de votre organisation enregistre tous les [événements de gestion](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-management-events-with-cloudtrail.html#logging-management-events), y compris les [événements de lecture et d'écriture](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-management-events-with-cloudtrail.html#read-write-events-mgmt), AWS KMS et la journalisation des événements de l'API Amazon RDS Data est activée.
+ La [validation de l'intégrité du fichier journal](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-log-file-validation-enabling.html) est activée sur votre CloudTrail trace.
+ [Le compartiment Amazon S3 que vous suivez fournit CloudTrail des événements pour chiffrer les événements à l'aide du chiffrement [SSE-S3 ou SSE-KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html).](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html)
+ La [journalisation des accès au serveur](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ServerLogs.html) est activée dans le compartiment Amazon S3 auquel votre CloudTrail trace envoie un événement.
+ Le compartiment Amazon S3 auquel votre CloudTrail trace envoie un événement possède une [configuration de cycle de vie](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-to-set-lifecycle-configuration-intro.html) qui conserve les données de votre CloudTrail trace pendant au moins 18 mois.
+ La [propriété de l'objet](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) définie sur le propriétaire du compartiment (bucket owner) est appliquée au bucket (propriétaire du compartiment) Amazon S3 vers lequel votre CloudTrail trace envoie un événement.
+ Le compartiment Amazon S3 auquel votre CloudTrail trace envoie un événement est accessible par Accelerate.
#### Passez en revue et mettez à jour la politique relative aux compartiments Amazon S3 pour la destination de diffusion de vos CloudTrail événements
Lors de l'intégration, vous collaborez avec votre architecte cloud (CA) pour ajouter les déclarations de politique relatives aux compartiments Amazon S3 à la destination de diffusion de vos CloudTrail événements. Pour permettre à vos utilisateurs de demander des modifications dans le compartiment Amazon S3 de destination de diffusion de vos CloudTrail événements depuis votre compte Accelerate, vous pouvez déployer un rôle IAM portant le même nom dans chaque compte de votre organisation géré par Accelerate, et l'ajouter à la `aws:PrincipalArn` liste figurant dans toutes les déclarations de politique relatives aux compartiments Amazon S3. Grâce à cette configuration, vos utilisateurs peuvent interroger et analyser les événements de suivi de CloudTrail l'organisation de votre compte dans Accelerate using Athena. Pour plus d'informations sur la mise à jour d'une politique de compartiment Amazon S3, consultez [Ajouter une politique de compartiment à l'aide de la console Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) dans le *guide de l'utilisateur d'Amazon Simple Storage Service*.
**Important**
La mise à jour de votre politique de compartiment Amazon S3 n'est requise que lorsque Accelerate s'intègre à un CloudTrail journal qui transmet les événements à un compartiment S3 centralisé. Accelerate ne prend pas en charge l'intégration à un CloudTrail suivi qui livre vers un compartiment centralisé mais qui ne possède pas les comptes d'une AWS organisation.
**Note**
Avant de mettre à jour votre politique relative aux compartiments Amazon S3, remplacez *red* les champs par les valeurs applicables :
*amzn-s3-demo-bucket*avec le nom du compartiment Amazon S3 qui contient les événements de suivi de vos comptes.
*your-organization-id*avec l'identifiant de l' AWS organisation dont vos comptes sont membres.
*your-optional-s3-log-delievery-prefix*avec le préfixe de livraison du compartiment Amazon S3 de votre CloudTrail parcours. Par exemple`my-bucket-prefix`, celui que vous avez peut-être défini lors de la [création de votre CloudTrail parcours](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html).
Si vous n'avez pas configuré de préfixe de livraison de compartiment Amazon S3 pour votre parcours, supprimez « *your-optional-s3-log-delievery-prefix* » et la barre oblique (`/`) des déclarations de politique relatives aux compartiments Amazon S3 suivantes.
Les trois déclarations de politique relatives aux compartiments Amazon S3 suivantes accordent à Accelerate l'accès pour récupérer les configurations et exécuter des requêtes AWS Athena afin d'[analyser les CloudTrail événements dans le](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-change-record.html) compartiment Amazon S3 de destination de diffusion des événements à partir de votre compte Accelerate.
```
{
"Sid": "DONOTDELETE-AMS-ALLOWBUCKETCONFIGAUDIT",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"s3:GetBucketLogging",
"s3:GetBucketObjectLockConfiguration",
"s3:GetLifecycleConfiguration",
"s3:GetEncryptionConfiguration"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "your-organization-id"
},
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::*:role/ams-access-*"
]
}
}
},
{
"Sid": "DONOTDELETE-AMS-ALLOWLISTBUCKET",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": "athena.amazonaws.com"
},
"StringLike": {
"s3:prefix": "your-optional-s3-log-delievery-prefix/AWSLogs/*"
},
"StringEquals": {
"aws:PrincipalOrgID": "your-organization-id"
},
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::*:role/ams-access-*"
]
}
}
},
{
"Sid": "DONOTDELETE-AMS-ALLOWGETOBJECT",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/your-optional-s3-log-delievery-prefix/AWSLogs/*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": "athena.amazonaws.com"
},
"StringEquals": {
"aws:PrincipalOrgID": "your-organization-id"
},
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::*:role/ams-access-*"
]
}
}
}
```
#### Passez en revue et mettez à jour la politique AWS KMS clé pour la destination de livraison de vos CloudTrail événements
Lors de l'intégration, vous collaborez avec votre architecte cloud (CA) pour mettre à jour la politique AWS KMS clé utilisée pour chiffrer les événements de CloudTrail suivi transmis à votre compartiment Amazon S3. Assurez-vous d'ajouter les déclarations de politique AWS KMS clés de référence à votre AWS KMS clé existante. Cela permet de configurer Accelerate pour l'intégrer à votre compartiment Amazon S3 CloudTrail de destination de diffusion d'événements de suivi existant et pour déchiffrer les événements. Pour permettre à vos utilisateurs de demander des modifications dans le compartiment Amazon S3 de destination de diffusion de vos CloudTrail événements depuis votre compte Accelerate, vous pouvez déployer un rôle IAM portant le même nom dans chaque compte de votre organisation géré par Accelerate, et l'ajouter à la liste « aws : PrincipalArn ». Avec cette configuration, vos utilisateurs peuvent interroger les événements.
Il existe différents scénarios AWS KMS clés de mise à jour des politiques à envisager. Il se peut que vous n'ayez configuré qu'une AWS KMS clé pour votre CloudTrail parcours afin de chiffrer tous les événements, et qu'aucune AWS KMS clé ne chiffre les objets de votre compartiment Amazon S3. Vous pouvez également avoir une AWS KMS clé qui chiffre les événements transmis par CloudTrail, et une autre AWS KMS clé qui chiffre tous les objets stockés dans votre compartiment Amazon S3. Lorsque vous disposez de deux AWS KMS clés, vous mettez à jour la politique AWS KMS clé pour chaque clé afin d'autoriser Accelerate à accéder à vos CloudTrail événements. Assurez-vous de modifier la déclaration de politique AWS KMS clé de référence par rapport à votre politique AWS KMS clé existante avant de mettre à jour la politique. Pour plus d'informations sur la mise à jour d'une politique AWS KMS clé, consultez la section [Modification d'une politique clé](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html) dans le *Guide de AWS Key Management Service l'utilisateur*.
**Important**
Vous êtes tenu de mettre à jour votre politique en matière de AWS KMS clés uniquement lorsque Accelerate s'intègre à un journal CloudTrail avec le chiffrement SSE-KMS des fichiers journaux activé.
**Note**
Avant d'appliquer cette déclaration de politique AWS KMS clé à la AWS KMS clé utilisée pour chiffrer vos AWS CloudTrail événements transmis à votre compartiment Amazon S3, remplacez les *red* champs suivants par les valeurs applicables :
*YOUR-ORGANIZATION-ID*avec l'identifiant de l' AWS organisation dont vos comptes sont membres.
Cette déclaration de politique AWS KMS clé accorde à Accelerate l'accès au déchiffrement et à l'interrogation des événements transmis au compartiment Amazon S3 à partir de chaque compte de votre organisation avec un accès restreint à Athena, utilisée par Accelerate [pour interroger et CloudTrail ](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-change-record.html) analyser les événements. .
```
{
"Sid": "DONOTDELETE-AMS-ALLOWTRAILOBJECTDECRYPTION",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": "athena.amazonaws.com"
},
"StringEquals": {
"aws:PrincipalOrgID": "YOUR-ORGANIZATION-ID"
},
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::*:role/ams-access-*"
]
}
}
}
```
# Le modèle pour créer des rôles AMS
Le rôle AMS suivant accorde des autorisations à votre architecte cloud AMS (CA). Le fichier zip suivant contient du code Terraform et un CloudFormation modèle qui simplifient la création du rôle IAM, de la politique d'autorisation et de la politique de confiance. Pour plus d'informations, contactez votre autorité de certification.
| Nom du rôle | Requis par | Exemples de modèles |
| --- |--- |--- |
| `aws_managedservices_onboarding_role` | Personnel AMS uniquement lors de l'intégration | [onboarding\$1role\$1minimal.zip](samples/onboarding_role_minimal.zip) |
**Note**
Après avoir sélectionné et téléchargé un exemple de modèle (un par rôle), vous le téléchargerez sous forme de définitions de CloudFormation piles dans[Créez `aws_managedservices_onboarding_role` avec CloudFormation for Accelerate](acc-onb-create-roles-with-cf.md).
# Créez `aws_managedservices_onboarding_role` avec CloudFormation for Accelerate
Vous pouvez créer le Gestion des identités et des accès AWS rôle`aws_managedservices_onboarding_role`, à CloudFormation partir du AWS Management Console. Vous pouvez également utiliser les commandes de AWS CloudShell pour déployer le rôle.
## Utilisez le AWS Management Console
**Note**
Avant de commencer, préparez un fichier JSON ou YAML pour chaque rôle, prêt à être chargé. Pour de plus amples informations, veuillez consulter [Le modèle pour créer des rôles AMS](acc-onb-roles.md).
Pour créer le rôle à partir du AWS Management Console, procédez comme suit :
1. Connectez-vous à la CloudFormation console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/cloudformation.](https://console.aws.amazon.com/cloudformation/)
![\[CloudFormation Stacks interface showing no stacks and options to create or view guide.\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/accelerate-guide/images/image1.png)
1. Choisissez **Create Stack > Avec de nouvelles ressources (standard)**. La page suivante s'affiche.
![\[Create stack interface with options to specify template and upload template file.\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/accelerate-guide/images/image2.png)
1. **Choisissez **Télécharger un fichier modèle**, chargez le fichier JSON ou YAML du rôle IAM, puis choisissez Next.** La page suivante s'affiche.
![\[Form for specifying stack details, including stack name and parameters fields.\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/accelerate-guide/images/image3.png)
1. Entrez le nom de la pile « **ams-onboarding-role** » dans le champ **Nom de la pile**. Entrez un **DateOfExpiry**en utilisant le format « YYYY-MM-DDT 00:00:00 Z » (30 jours à compter de la date actuelle sont recommandés). Continuez à faire défiler l'écran vers le bas et à sélectionner Suivant jusqu'à ce que vous atteigniez cette page :
![\[Capabilities section with AWSIAM role requirement and checkbox for custom names.\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/accelerate-guide/images/image4.png)
1. Assurez-vous que la case est cochée, puis sélectionnez **Create Stack**.
1. Assurez-vous que la pile a été créée avec succès.
## Utilisez les commandes de AWS CloudShell
Pour déployer le rôle `aws_managedservices_onboarding_role` IAM, exécutez la commande suivante dans [AWS CloudShell](https://docs.aws.amazon.com/cloudshell/latest/userguide/welcome.html):
------
#### [ AWS CLI ]
```
curl -s "https://docs.aws.amazon.com/en_us/managedservices/latest/accelerate-guide/samples/onboarding_role_minimal.zip" -o "onboarding_role_minimal.zip"
unzip -q -o onboarding_role_minimal.zip
aws cloudformation create-stack \
--stack-name "aws-managedservices-onboarding-role" \
--capabilities CAPABILITY_NAMED_IAM \
--template-body file://onboarding_role_minimal.json \
--parameters ParameterKey=DateOfExpiry,ParameterValue="`date -d '+30 days' -u '+%Y-%m-%dT%H:%M:%SZ'`"
```
------
#### [ AWS Tools for PowerShell ]
```
Invoke-WebRequest -Uri 'https://docs.aws.amazon.com/en_us/managedservices/latest/accelerate-guide/samples/onboarding_role_minimal.zip' -OutFile 'onboarding_role_minimal.zip'
Expand-Archive -Path 'onboarding_role_minimal.zip' -DestinationPath . -Force
New-CFNStack `
-StackName 'aws-managedservices-onboarding-role' `
-Capability CAPABILITY_NAMED_IAM `
-TemplateBody (Get-Content 'onboarding_role_minimal.json' -Raw) `
-Parameter @{ParameterKey = "DateOfExpiry"; ParameterValue = (Get-Date).AddDays(30).ToString('yyyy-MM-ddTHH:mm:ssZ')}
```
------
Après avoir créé le rôle, collaborez avec votre architecte cloud (CA) pour terminer le [Étape 2. Ressources de gestion de l'intégration dans Accelerate](acc-get-mgmt-resource-onboard.md) processus. Une fois qu'AMS vous a informé que votre compte est actif, vous êtes prêt à intégrer vos instances.