Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Empêchez l'accès à Internet au niveau du compte en utilisant une politique de contrôle des services
<a name="prevent-internet-access-at-the-account-level-by-using-a-service-control-policy"></a>

*Sergiy Shevchenko, Sean O'Sullivan et Victor Mazeo Whitaker, Amazon Web Services*

## Résumé
<a name="prevent-internet-access-at-the-account-level-by-using-a-service-control-policy-summary"></a>

Organisations souhaitent souvent limiter l'accès à Internet pour les ressources du compte qui doivent rester privées. Dans ces comptes, les ressources des clouds privés virtuels (VPCs) ne doivent en aucun cas accéder à Internet. De nombreuses organisations optent pour une [architecture d'inspection centralisée](https://aws.amazon.com/blogs/networking-and-content-delivery/centralized-inspection-architecture-with-aws-gateway-load-balancer-and-aws-transit-gateway/). Pour le trafic est-ouest (VPC à VPC) dans une architecture d'inspection centralisée, vous devez vous assurer que les comptes parlés et leurs ressources n'ont pas accès à Internet. Pour le trafic nord-sud (sortie Internet et sur site), vous souhaitez autoriser l'accès à Internet uniquement via le VPC d'inspection.

Ce modèle utilise une [politique de contrôle des services (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) pour empêcher l'accès à Internet. Vous pouvez appliquer ce SCP au niveau du compte ou de l'unité organisationnelle (UO). Le SCP limite la connectivité Internet en empêchant ce qui suit :
+ Création ou connexion d'une IPv4 [passerelle IPv6 Internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html) permettant un accès Internet direct au VPC
+ Création ou acceptation d'une [connexion d'appairage VPC susceptible de](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html) permettre un accès indirect à Internet via un autre VPC
+ Création ou mise à jour d'une [AWS Global Accelerator](https://docs.aws.amazon.com/global-accelerator/latest/dg/what-is-global-accelerator.html)configuration susceptible d'autoriser un accès Internet direct aux ressources VPC

## Conditions préalables et limitations
<a name="prevent-internet-access-at-the-account-level-by-using-a-service-control-policy-prereqs"></a>

**Conditions préalables**
+ Une ou plusieurs Comptes AWS sont gérées en tant qu'organisation dans AWS Organizations.
+ [Toutes les fonctionnalités sont activées](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html) dans AWS Organizations.
+ [SCPs sont activés](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_enable-disable.html) dans l'organisation.
+ Autorisations pour :
  + Accédez au compte de gestion de l'organisation.
  + Créez SCPs. Pour plus d'informations sur les autorisations minimales, consultez la section [Création d'un SCP.](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_create.html#create-an-scp)
  + Associez le SCP aux comptes ou unités organisationnelles cibles (OUs). Pour plus d'informations sur les autorisations minimales, consultez la section [Attacher et détacher des politiques de contrôle des services](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_attach.html).

**Limites**
+ SCPs n'affectent pas les utilisateurs ni les rôles dans le compte de gestion. Elles affectent uniquement les comptes membres de votre organisation.
+ SCPs concernent uniquement les utilisateurs Gestion des identités et des accès AWS (IAM) et les rôles gérés par des comptes faisant partie de l'organisation. Pour de plus amples informations, veuillez consulter [Effets des SCP sur les autorisations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html#scp-effects-on-permissions).

## Outils
<a name="prevent-internet-access-at-the-account-level-by-using-a-service-control-policy-tools"></a>

**Services AWS**
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)est un service de gestion de comptes qui vous aide à Comptes AWS en regrouper plusieurs au sein d'une organisation que vous créez et gérez de manière centralisée. Dans ce modèle, vous utilisez les [politiques de contrôle des services (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) dans AWS Organizations.
+ [Amazon Virtual Private Cloud (Amazon VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) vous aide à lancer AWS des ressources dans un réseau virtuel que vous avez défini. Ce réseau virtuel ressemble à un réseau traditionnel que vous pourriez exécuter dans votre propre centre de données et présente l'avantage d'utiliser l'infrastructure évolutive d' AWS.

## Bonnes pratiques
<a name="prevent-internet-access-at-the-account-level-by-using-a-service-control-policy-best-practices"></a>

Après avoir mis en place ce SCP dans votre organisation, assurez-vous de le mettre à jour fréquemment pour tenir compte de toute nouvelle Services AWS fonctionnalité susceptible d'affecter l'accès à Internet.

## Épopées
<a name="prevent-internet-access-at-the-account-level-by-using-a-service-control-policy-epics"></a>

### Créez et attachez le SCP
<a name="create-and-attach-the-scp"></a>


| Sous-tâche | Description | Compétences requises | 
| --- | --- | --- | 
| Créez le SCP. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/prevent-internet-access-at-the-account-level-by-using-a-service-control-policy.html) | Administrateur AWS | 
| Fixez le SCP. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/prevent-internet-access-at-the-account-level-by-using-a-service-control-policy.html) | Administrateur AWS | 

## Ressources connexes
<a name="prevent-internet-access-at-the-account-level-by-using-a-service-control-policy-resources"></a>
+ [AWS Organizations documentation](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)
+ [Politiques de contrôle des services (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)
+ [Architecture d'inspection centralisée avec AWS Gateway Load Balancer et AWS Transit Gateway](https://aws.amazon.com/blogs/networking-and-content-delivery/centralized-inspection-architecture-with-aws-gateway-load-balancer-and-aws-transit-gateway/) (AWS article de blog)