Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Partage d'un portefeuille
Pour permettre à AWS Service Catalog l'administrateur d'un autre AWS compte de distribuer vos produits aux utilisateurs finaux, partagez votre AWS Service Catalog portefeuille avec eux en utilisant account-to-account le partage ou AWS Organizations.
Lorsque vous partagez un portefeuille à l'aide du account-to-account partage ou d'Organizations, vous partagez une *référence* de ce portefeuille. Les produits et les contraintes du portefeuille importé restent synchronisés avec les modifications que vous apportez au *portefeuille partagé*, le portefeuille d'origine que vous avez partagé.
Le destinataire ne peut pas modifier les produits ou les contraintes, mais peut ajouter Gestion des identités et des accès AWS un accès pour les utilisateurs finaux.
**Note**
Vous ne pouvez pas partager une ressource partagée. Cela inclut les portefeuilles contenant un produit partagé.
## Account-to-account partage
Pour effectuer ces étapes, vous devez obtenir l'identifiant du AWS compte cible. Vous pouvez trouver l'identifiant sur la page **Mon compte** AWS Management Console du compte cible.
**Pour partager un portefeuille avec un AWS compte**
1. Ouvrez la console Service Catalog à l'adresse [https://console.aws.amazon.com/servicecatalog/](https://console.aws.amazon.com/servicecatalog/).
1. Dans le menu de navigation de gauche, choisissez **Portefeuilles**, puis sélectionnez le portefeuille que vous souhaitez partager. Dans le menu **Actions**, sélectionnez **Partager**.
1. Dans **Entrer l'identifiant** du compte, entrez l'identifiant du AWS compte avec lequel vous partagez. (Facultatif) Sélectionnez [TagOption Partage](#tagoptions-share). Choisissez ensuite **Partager**.
1. Envoyez l'URL à l' AWS Service Catalog administrateur du compte cible. L'URL ouvre la page **Importer le portefeuille** avec l'ARN du portefeuille partagé automatiquement fourni.
### Importation d'un portefeuille
Si AWS Service Catalog l'administrateur d'un autre AWS compte partage un portefeuille avec vous, importez ce portefeuille dans votre compte afin de pouvoir distribuer ses produits à vos utilisateurs finaux.
Il n'est pas nécessaire d'importer un portefeuille s'il a été partagé via AWS Organizations.
Pour importer le portefeuille, vous devez obtenir l'identifiant du portefeuille auprès de l'administrateur.
Pour afficher tous les portefeuilles importés, ouvrez la AWS Service Catalog console à l'adresse [https://console.aws.amazon.com/servicecatalog/](https://console.aws.amazon.com/servicecatalog/). Sur la page **Portefeuilles**, sélectionnez l'onglet **Importé**. Consultez le tableau **des portefeuilles importés**.
## Partage avec AWS Organizations
Vous pouvez partager des AWS Service Catalog portefeuilles en utilisant AWS Organizations.
Tout d'abord, vous devez décider si vous partagez à partir du compte de gestion ou d'un compte d'administrateur délégué. Si vous ne souhaitez pas partager depuis votre compte de gestion, créez un compte d'administrateur délégué que vous pouvez utiliser pour le partage. Pour plus d'informations, veuillez consulter la rubrique [Enregistrer un administrateur délégué](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-delegated-admin.html) dans le *Guide de l'utilisateur CloudFormation *.
Ensuite, vous devez décider avec qui le partager. Vous pouvez le partager avec les entités suivantes :
+ Un compte d'organisation.
+ Une unité d'organisation (UO).
+ L'organisation elle-même. Dans ce cas, le partage se fait avec chaque compte de l'organisation.
### Partage depuis un compte de gestion
Vous pouvez partager un portefeuille avec une organisation en utilisant votre structure organisationnelle ou en saisissant l'ID d'un nœud d'organisation.
****Pour partager un portefeuille avec une organisation à l'aide de la structure organisationnelle****
1. Ouvrez la AWS Service Catalog console à l'adresse [https://console.aws.amazon.com/servicecatalog/](https://console.aws.amazon.com/servicecatalog/).
1. Sur la page **Portefeuilles**, sélectionnez le portefeuille que vous souhaitez partager. Dans le menu **Actions**, sélectionnez **Partager**.
1. Sélectionnez **AWS Organizations**et filtrez dans votre structure organisationnelle.
Vous pouvez sélectionner le nœud racine pour partager le portefeuille avec l'ensemble de votre organisation, une unité organisationnelle (UO) parent, une unité organisationnelle enfant ou un AWS compte au sein de votre organisation.
Le partage avec une unité d'organisation mère partage le portefeuille entre tous les comptes et les unités d'organisation enfants au sein de cette unité d'organisation mère.
Vous pouvez sélectionner **Afficher AWS les comptes uniquement** pour afficher la liste de tous les AWS comptes de votre organisation.
****Pour partager un portefeuille avec une organisation en saisissant l'ID du nœud organisationnel****
1. Ouvrez la AWS Service Catalog console à l'adresse [https://console.aws.amazon.com/servicecatalog/](https://console.aws.amazon.com/servicecatalog/).
1. Sur la page **Portefeuilles**, sélectionnez le portefeuille que vous souhaitez partager. Dans le menu **Actions**, sélectionnez **Partager**.
1. Sélectionnez **Organization Node**.
Indiquez si vous souhaitez partager avec l'ensemble de votre organisation, un AWS compte au sein de votre organisation ou une unité d'organisation.
Entrez l'ID du nœud organisationnel que vous avez sélectionné, que vous pouvez trouver dans la AWS Organizations console à l'adresse [ https://console.aws.amazon.com/organizations/](https://console.aws.amazon.com/organizations/).
### Partage à partir d'un compte administrateur délégué
Le compte de gestion d'une organisation peut enregistrer ou désenregistrer d'autres comptes en tant qu'administrateurs délégués de l'organisation.
Un administrateur délégué peut partager AWS Service Catalog les ressources de son organisation de la même manière qu'un compte de gestion. Ils sont autorisés à créer, supprimer et partager des portefeuilles.
Pour enregistrer ou désenregistrer un administrateur délégué, vous devez utiliser l'API ou la CLI depuis le compte de gestion. Pour plus d'informations, veuillez consulter les sections [RegisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_RegisterDelegatedAdministrator.html) et [DeregisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html) (français non garanti) de la *Référence d'API AWS Organizations *.
**Note**
Avant de pouvoir désigner un délégué, l'administrateur doit appeler [https://docs.aws.amazon.com/servicecatalog/latest/dg/API_EnableAWSOrganizationsAccess.html](https://docs.aws.amazon.com/servicecatalog/latest/dg/API_EnableAWSOrganizationsAccess.html).
La procédure de partage d'un portefeuille à partir d'un compte d'administrateur délégué est identique à celle du partage à partir d'un compte de gestion, comme indiqué ci-dessus dans[Partage depuis un compte de gestion](#sharing-from-master).
Si un membre est désenregistré en tant qu'administrateur délégué, les événements suivants se produisent :
+ Les actions de portefeuille créées à partir de ce compte sont supprimées.
+ Il ne peut plus créer d'actions de portefeuille.
**Note**
Si le portefeuille et les actions créés par un administrateur délégué ne sont pas supprimés après la désinscription de l'administrateur délégué, enregistrez et désenregistrez à nouveau l'administrateur délégué. Cette action supprime le portefeuille et les actions créés par ce compte.
### Déplacer des comptes au sein de votre organisation
Si vous déplacez un compte au sein de votre organisation, les AWS Service Catalog portefeuilles partagés avec ce compte peuvent changer.
Les comptes ont uniquement accès aux portefeuilles partagés avec leur organisation ou unité organisationnelle de destination.
## Partage TagOptions lors du partage de portefeuilles
En tant qu'administrateur, vous pouvez créer un partage à inclure TagOptions. TagOptions sont des paires clé-valeur qui permettent aux administrateurs de :
+ Définissez et appliquez la taxonomie des balises.
+ Définissez les options de balise et associez-les aux produits et aux portefeuilles.
+ Partagez les options de tag associées aux portefeuilles et aux produits avec d'autres comptes.
Lorsque vous ajoutez ou supprimez des options de balise dans le compte principal, les modifications apparaissent automatiquement dans les comptes des destinataires. Dans les comptes destinataires, lorsqu'un utilisateur final approvisionne un produit TagOptions, il doit choisir des valeurs pour les balises qui deviennent des balises sur le produit approvisionné.
Dans les comptes des destinataires, les administrateurs peuvent associer des TagOptions éléments locaux supplémentaires à leur portefeuille importé afin d'appliquer les règles de balisage spécifiques à ce compte.
**Note**
Pour partager un portefeuille, vous avez besoin de l'identifiant de AWS compte du consommateur. Trouvez l'identifiant du AWS compte dans **Mon compte** de la console.
**Note**
Si TagOption a une valeur unique, applique AWS automatiquement cette valeur pendant le processus de provisionnement.
**À partager TagOptions lors du partage de portefeuilles**
1. Dans le menu de navigation de gauche, choisissez **Portefeuilles**.
1. Dans **Portefeuilles locaux**, choisissez et ouvrez un portefeuille.
1. Choisissez **Partager** dans la liste ci-dessus, puis cliquez sur le bouton **Partager**.
1. Choisissez de partager avec un autre AWS compte ou une autre organisation.
1. Entrez le numéro d'identification du compte à 12 chiffres, sélectionnez **Activer**, puis sélectionnez **Partager**.
Le compte que vous avez partagé s'affiche dans la section **Comptes partagés avec**. Il indique si elles TagOptions ont été activées.
Vous pouvez également mettre à jour une part de portefeuille pour l'inclure TagOptions. Tout TagOptions ce qui appartient au portefeuille et au produit est désormais partagé sur ce compte.
**Pour mettre à jour une part de portefeuille afin d'inclure TagOptions**
1. Dans le menu de navigation de gauche, choisissez **Portefeuilles**.
1. Dans **Portefeuille local**, choisissez et ouvrez un portefeuille.
1. Choisissez **Partager** dans la liste ci-dessus.
1. Dans **Comptes partagés avec**, choisissez un identifiant de compte, puis sélectionnez **Actions**.
1. Sélectionnez **Mettre à jour, annuler le partage** ou Annuler le partage**.**
Lorsque vous sélectionnez **Mettre à jour et annuler le partage**, choisissez **Activer** pour lancer le partage TagOptions. Le compte que vous avez partagé s'affiche dans la section **Comptes partagés avec**.
Lorsque vous sélectionnez Annuler **le partage**, confirmez que vous ne souhaitez plus partager le compte.
## Partage des principaux noms lors du partage de portefeuilles
En tant qu'administrateur, vous pouvez créer un partage de portefeuille qui inclut les noms principaux. Les noms principaux sont des noms de groupes, de rôles et d'utilisateurs que les administrateurs peuvent spécifier dans un portefeuille, puis partager avec le portefeuille. Lorsque vous partagez le portefeuille, AWS Service Catalog vérifiez si ces noms principaux existent déjà. S'ils existent, associe AWS Service Catalog automatiquement les principaux IAM correspondants au portefeuille partagé pour accorder l'accès aux utilisateurs.
**Note**
Lorsque vous associez un principal à un portefeuille, une escalade des privilèges peut potentiellement se produire si ce portefeuille est ensuite partagé avec d'autres comptes. Pour un utilisateur d'un compte destinataire qui *n'est pas* AWS Service Catalog administrateur, mais qui est toujours en mesure de créer des principaux (utilisateurs/rôles), cet utilisateur peut créer un directeur IAM correspondant à une association de noms principaux pour le portefeuille. Bien que cet utilisateur ne sache pas par quels noms principaux sont associés AWS Service Catalog, il est possible qu'il soit en mesure de le deviner. Si cette trajectoire d'escalade potentielle pose problème, il est AWS Service Catalog recommandé d'utiliser `PrincipalType` as`IAM`. Avec cette configuration, le `PrincipalARN` doit déjà exister sur le compte destinataire avant de pouvoir être associé.
Lorsque vous ajoutez ou supprimez des noms principaux dans le compte principal, ces modifications sont AWS Service Catalog automatiquement appliquées au compte du destinataire. Les utilisateurs du compte destinataire peuvent ensuite effectuer des tâches en fonction de leur rôle :
+ **Les utilisateurs finaux** peuvent approvisionner, mettre à jour et résilier le produit du portefeuille.
+ **Les administrateurs** peuvent associer des IAM Principals supplémentaires à leur portefeuille importé pour accorder l'accès aux utilisateurs finaux spécifiques à ce compte.
**Note**
Le partage de nom principal n'est disponible que pour AWS Organizations.
**Pour partager les noms principaux lors du partage de portefeuilles**
1. Dans le menu de navigation de gauche, choisissez **Portefeuilles**.
1. Dans **Portefeuilles locaux**, choisissez le portefeuille que vous souhaitez partager.
1. Dans le menu **Actions**, choisissez **Partager**.
1. Sélectionnez une organisation dans AWS Organizations.
1. Sélectionnez la **racine de l'organisation** dans son intégralité, une **unité organisationnelle (UO)** ou un **membre de l'organisation**.
1. Dans les paramètres de **partage**, activez l'option **de partage principal**.
Vous pouvez également mettre à jour un partage de portefeuille pour inclure le partage du nom principal. Cela permet de partager tous les noms principaux appartenant à ce portefeuille avec le compte du destinataire.
**Pour mettre à jour une part de portefeuille afin d'activer ou de désactiver les noms principaux**
1. Dans le menu de navigation de gauche, choisissez **Portefeuilles**.
1. Dans **Portefeuille local**, choisissez le portefeuille que vous souhaitez mettre à jour.
1. Choisissez l'onglet **Partager**.
1. Sélectionnez le partage que vous souhaitez mettre à jour, puis choisissez **Partager**.
1. Choisissez **Mettre à jour le partage**, puis sélectionnez **Activer** pour lancer le partage principal. AWS Service Catalog partage ensuite les noms principaux dans les comptes des destinataires.
**Désactivez** le partage principal si vous souhaitez arrêter de partager les noms principaux avec les comptes des destinataires.
### Utilisation de caractères génériques lors du partage de noms principaux
AWS Service Catalog prend en charge l'octroi d'un accès au portefeuille aux principaux noms IAM (utilisateur, groupe ou rôle) avec des caractères génériques, tels que « \$1 » ou « ? ». L'utilisation de modèles génériques vous permet de couvrir plusieurs noms principaux IAM à la fois. Le chemin ARN et le nom principal autorisent un nombre illimité de caractères génériques.
Exemples d'un ARN générique **acceptable** :
+ **arn:aws:iam:::role/ResourceName\$1\$1**
+ **arn:aws:iam:::role/\$1/ResourceName\$1?**
Exemples d'un ARN générique **inacceptable** :
+ **arn:aws:iam:::\$1/ResourceName**
**Dans le format IAM Principal ARN (**arn:partition:iam:::resource-type/resource-path/resource-name**), les valeurs valides incluent **user/, group/** **ou role/**.** Le « ? » et « \$1 » ne sont autorisés qu'après le type de ressource dans le segment resource-id. Vous pouvez utiliser des caractères spéciaux n'importe où dans l'identifiant de ressource.
Le caractère « \$1 » correspond également au caractère «/», ce qui permet de former des chemins *dans l'identifiant* de ressource. Par exemple :
**arn:aws:iam:::role/**\$1**/ResourceName\$1?**correspond aux deux **arn:aws:iam:::role/pathA/pathB/ResourceName\$11** et**arn:aws:iam:::role/pathA/ResourceName\$11**.