Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Sécurité
<a name="security"></a>

Lorsque vous créez des systèmes sur l'infrastructure AWS, les responsabilités en matière de sécurité sont partagées entre vous et AWS. Ce [modèle partagé](https://aws.amazon.com/compliance/shared-responsibility-model/) peut réduire votre charge opérationnelle car AWS exploite, gère et contrôle les composants, depuis le système d'exploitation hôte et la couche de virtualisation jusqu'à la sécurité physique des installations dans lesquelles les services fonctionnent. Pour plus d'informations sur la sécurité sur AWS, consultez le [Centre de sécurité AWS](https://aws.amazon.com/security/).

## Rôles IAM
<a name="iam-roles"></a>

Cette solution crée des rôles IAM pour contrôler et isoler les autorisations, conformément à la meilleure pratique du moindre privilège. La solution accorde aux services les autorisations suivantes :

## Modèle de hub
<a name="hub-template"></a>

 `RegisterSpokeAccountsFunctionLambdaRole` 
+ Autorisation d'écriture sur la table Amazon DynamoDB où les comptes Spoke sont enregistrés

 `InvokeECSTaskRole` 
+ Autorisation de créer et d'exécuter des tâches Amazon ECS

 `CostOptimizerAdminRole` 
+ Autorisations de lecture d'une table Amazon DynamoDB dans laquelle les comptes Spoke sont enregistrés
+ Assumer des autorisations de rôle pour `WorkspacesManagementRole` les comptes in spoke
+ Autorisations en lecture seule pour AWS Directory Service
+ Rédiger des autorisations sur Amazon CloudWatch Logs
+ Autorisations d'écriture pour Amazon S3
+ Autorisations de lecture et d'écriture pour WorkSpaces

 `SolutionHelperRole` 
+ Autorisation d'invoquer une fonction AWS Lambda afin de générer un identifiant unique universel (UUID) pour les métriques de solution

## Modèle Spoke
<a name="spoke-template"></a>

 `WorkSpacesManagementRole` 
+ Autorisations en lecture seule pour AWS Directory Service
+ Rédiger des autorisations sur Amazon CloudWatch Logs
+ Autorisations d'écriture pour Amazon S3
+ Autorisations de lecture/écriture pour WorkSpaces

 `AccountRegistrationProviderRole` 
+ Invoquez la fonction Lambda pour enregistrer un compte Spoke auprès de Hub Account Stack