Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Planifiez votre déploiement
Cette section décrit la région, le [coût](cost.md), [la sécurité](aws-well-architected-design-considerations.md#security) et d'autres considérations avant le déploiement de la solution.
## Régions AWS prises en charge
Cette solution utilise le service Amazon Cognito, qui n'est actuellement pas disponible dans toutes les régions AWS. Pour connaître la disponibilité la plus récente des services AWS par région, consultez la [liste des services régionaux AWS](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).
Workload Discovery sur AWS est disponible dans les régions AWS suivantes :
| Nom de la région | |
| --- | --- |
| USA Est (Virginie du Nord) | Canada (Centre) |
| USA Est (Ohio) | Europe (Londres) |
| USA Ouest (Oregon) | Europe (Francfort) |
| Asie-Pacifique (Mumbai) | Europe (Irlande) |
| Asie-Pacifique (Séoul) | Europe (Paris) |
| Asie-Pacifique (Singapour) | Europe (Stockholm) |
| Asie-Pacifique (Sydney) | Amérique du Sud (São Paulo) |
| Asie-Pacifique (Tokyo) | |
La découverte de la charge de travail sur AWS n'est pas disponible dans les régions AWS suivantes :
| Nom de la région | Service non disponible |
| --- | --- |
| AWS GovCloud (USA Est) | AWS AppSync |
| AWS GovCloud (ouest des États-Unis) | AWS AppSync |
| Chine (Beijing) | Amazon Cognito |
| Chine (Ningxia) | Amazon Cognito |
# Coût
Vous êtes responsable du coût des services AWS fournis lors de l'exécution de cette solution. À compter de cette révision, le coût d'exécution de cette solution à l'aide de l'option de déploiement à instance unique dans la région de l'est des États-Unis (Virginie du Nord) est d'environ **0,58 USD par heure** ou **425,19** USD par mois.
**Note**
Le coût d'exécution de Workload Discovery sur AWS dans le cloud AWS dépend de la configuration de déploiement que vous choisissez. Les exemples suivants fournissent une ventilation des coûts pour les configurations de déploiement à instance unique et à instances multiples dans la région de l'est des États-Unis (Virginie du Nord). Les services AWS répertoriés dans les exemples de tableaux ci-dessous sont facturés sur une base mensuelle.
Nous vous recommandons de créer un [budget](https://docs.aws.amazon.com/cost-management/latest/userguide/budgets-create.html) via [AWS Cost Explorer](https://aws.amazon.com/aws-cost-management/aws-cost-explorer/) pour vous aider à gérer les coûts. Les prix sont susceptibles d’être modifiés. Pour plus de détails, consultez la page Web de tarification de chaque service AWS utilisé dans cette solution.
## Exemples de tableaux de coûts
### Option 1 : déploiement d'une instance unique (par défaut)
Lors du déploiement de cette solution à l'aide d'un CloudFormation modèle AWS, la modification du **OpensearchMultiAz**paramètre pour `No` déployer une seule instance pour le domaine OpenSearch Service et la modification du **CreateNeptuneReplica**paramètre pour `No` déployer une instance unique pour le magasin de données Neptune. L'option de déploiement à instance unique est moins coûteuse, mais elle réduit la disponibilité de Workload Discovery sur AWS en cas de défaillance d'une zone de disponibilité.
| Service AWS | Type d’instance | Coût horaire [USD] | Coût mensuel [USD] |
| --- | --- | --- | --- |
| Amazon Neptune | `db.r5.large` | 0,348\$1 | 254,04\$1 |
| Amazon OpenSearch Service | `m6g.large.search` | 0,128\$1 | 93,44\$1 |
| Amazon VPC (passerelle NAT) | N/A | \$10.090 | 65,7\$1 |
| AWS Config | N/A | 0,003\$1 par ressource | 0,003\$1 par ressource |
| Amazon ECS (tâche AWS Fargate) | N/A | 0,02\$1 | 12,01\$1 |
| Total | | **0,586\$1** | **425,19\$1** |
### Option 2 : déploiement de plusieurs instances
Lorsque vous déployez cette solution à l'aide d'un CloudFormation modèle AWS, modifiez le **OpensearchMultiAz**paramètre pour `Yes` déployer deux instances dans deux zones de disponibilité pour le domaine OpenSearch Service, et modifiez le **CreateNeptuneReplica**paramètre pour `Yes` déployer deux instances dans deux zones de disponibilité pour le magasin de données Neptune. L'option de déploiement d'instances multiples coûtera plus cher à exécuter, mais elle augmente la disponibilité de Workload Discovery sur AWS en cas de défaillance d'une zone de disponibilité.
| Service AWS | Type d’instance | Coût horaire | Coût mensuel [USD] |
| --- | --- | --- | --- |
| Amazon Neptune | `db.r5.large` | 0,696\$1 | 508,08\$1 |
| Amazon OpenSearch Service | `m6g.large.search` | 0,256\$1 | 186,88\$1 |
| Amazon VPC (passerelle NAT) | N/A | \$10.090 | 65,7\$1 |
| AWS Config | N/A | 0,003\$1 par ressource | 0,003\$1 par ressource |
| Amazon ECS (tâche AWS Fargate) | N/A | 0,02\$1 | 12,01\$1 |
| Total | | **1,062\$1** | **772,67\$1** |
+ Votre coût final dépend du nombre de ressources détectées par AWS Config. 0,003 USD par élément de ressource enregistré seront engagés en plus du montant indiqué dans le tableau.
**Important**
Le coût d'Amazon Neptune et d'Amazon OpenSearch Service varie en fonction du type d'instance que vous sélectionnez.
# Sécurité
Lorsque vous créez des systèmes sur l'infrastructure AWS, les responsabilités en matière de sécurité sont partagées entre vous et AWS. Ce [modèle de responsabilité partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) réduit votre charge opérationnelle car AWS exploite, gère et contrôle les composants, notamment le système d'exploitation hôte, la couche de virtualisation et la sécurité physique des installations dans lesquelles les services fonctionnent. Pour plus d'informations sur la sécurité AWS, consultez le [centre de sécurité AWS](https://aws.amazon.com/security/).
## Accès aux ressources
### Rôles IAM
Les rôles IAM permettent aux clients d'attribuer des politiques d'accès et des autorisations détaillées aux services et aux utilisateurs sur le cloud AWS. Plusieurs rôles sont nécessaires pour exécuter Workload Discovery sur AWS et découvrir des ressources dans des comptes AWS.
### Amazon Cognito
Amazon Cognito est utilisé pour authentifier l'accès à l'aide d'informations d'identification fiables et de courte durée donnant accès aux composants nécessaires à Workload Discovery sur AWS.
## Accès réseau
### Amazon VPC
Workload Discovery sur AWS est déployé au sein d'un Amazon VPC et configuré conformément aux meilleures pratiques pour garantir sécurité et haute disponibilité. Pour plus de détails, reportez-vous aux [meilleures pratiques de sécurité pour votre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-best-practices.html). Les points de terminaison VPC permettent le transit hors Internet entre les services et sont configurés lorsqu'ils sont disponibles.
Les groupes de sécurité sont utilisés pour contrôler et isoler le trafic réseau entre les composants nécessaires à l'exécution de Workload Discovery sur AWS.
Nous vous recommandons de passer en revue les groupes de sécurité et de restreindre davantage l'accès, le cas échéant, une fois le déploiement terminé.
### Amazon CloudFront
Cette solution déploie une interface utilisateur de console Web [hébergée](https://docs.aws.amazon.com/AmazonS3/latest/dev/WebsiteHosting.html) dans un compartiment Amazon S3 distribué par Amazon CloudFront. En utilisant la fonctionnalité d'identité d'accès à l'origine, le contenu de ce compartiment Amazon S3 n'est accessible que via CloudFront. Pour plus d'informations, reportez-vous à la section [Restreindre l'accès à une origine Amazon S3](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html) dans le manuel *Amazon CloudFront Developer Guide*.
CloudFront active des mesures de sécurité supplémentaires pour ajouter des en-têtes de sécurité HTTP à chaque réponse du spectateur. Pour plus de détails, reportez-vous à la section [Ajout ou suppression d'en-têtes HTTP dans les CloudFront réponses](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/adding-response-headers.html).
Cette solution utilise le CloudFront certificat par défaut dont le protocole de sécurité minimum pris en charge est TLS v1.0. Pour imposer l'utilisation de TLS v1.2 ou TLS v1.3, vous devez utiliser un certificat SSL personnalisé au lieu du certificat par défaut. CloudFront Pour plus d'informations, reportez-vous à [Comment configurer ma CloudFront distribution pour utiliser un certificat SSL/TLS](https://aws.amazon.com/premiumsupport/knowledge-center/install-ssl-cloudfront/).
## Configuration de l'application
### AWS AppSync
[Workload Discovery sur AWS GraphQL APIs dispose d'une validation des demandes fournie par AWS AppSync conformément à la spécification GraphQL.](https://spec.graphql.org/June2018/#sec-Validation) En outre, l'authentification et l'autorisation sont mises en œuvre à l'aide d'IAM et d'Amazon Cognito, qui utilisent le JWT fourni par Amazon Cognito lorsqu'un utilisateur s'authentifie avec succès dans l'interface utilisateur Web.
### AWS Lambda
Par défaut, les fonctions Lambda sont configurées avec la version stable la plus récente du moteur d'exécution du langage. Aucune donnée sensible ou aucun secret n'est enregistré. Les interactions de service sont effectuées avec le moins de privilèges requis. Les rôles qui définissent ces privilèges ne sont pas partagés entre les fonctions.
### Amazon OpenSearch Service
Les domaines Amazon OpenSearch Service sont configurés avec une politique d'accès qui restreint l'accès afin d'arrêter toute demande non signée envoyée au cluster de OpenSearch services. Ceci est limité à une seule fonction Lambda.
Le cluster de OpenSearch services est conçu avec node-to-node le chiffrement activé pour ajouter une couche supplémentaire de protection des données en plus des [fonctionnalités de sécurité](https://docs.aws.amazon.com/elasticsearch-service/latest/developerguide/security.html) du OpenSearch service existantes.
# Quotas
Les quotas de service, également appelés limites, représentent le nombre maximal de ressources ou d'opérations de service pour votre compte AWS.
## Quotas pour les services AWS dans cette solution
Assurez-vous de disposer d'un quota suffisant pour chacun des [services mis en œuvre dans cette solution](aws-services-in-this-solution.md). Pour de plus amples informations, veuillez consulter [Quotas de service AWS](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html).
Utilisez les liens suivants pour accéder à la page de ce service. Pour consulter les quotas de service pour tous les services AWS dans la documentation sans changer de page, consultez plutôt les informations de la page [Points de terminaison et quotas du service](https://docs.aws.amazon.com/general/latest/gr/aws-general.pdf#aws-service-information) dans le PDF.
| | |
| --- |--- |
| [Amplifier](https://docs.aws.amazon.com/general/latest/gr/amplify.html) | [Amazon ECR](https://docs.aws.amazon.com/general/latest/gr/ecr.html) |
| [Athéna](https://docs.aws.amazon.com/general/latest/gr/athena.html) | [Lambda](https://docs.aws.amazon.com/general/latest/gr/lambda-service.html) |
| [CloudFront](https://docs.aws.amazon.com/general/latest/gr/cf_region.html) | [OpenSearch Service](https://docs.aws.amazon.com/general/latest/gr/opensearch-service.html) |
| [Cognito](https://docs.aws.amazon.com/general/latest/gr/cognito_identity.html) | [Neptune](https://docs.aws.amazon.com/general/latest/gr/neptune.html) |
| [Config](https://docs.aws.amazon.com/general/latest/gr/awsconfig.html) | [Amazon S3](https://docs.aws.amazon.com/general/latest/gr/s3.html) |
| [Amazon ECS](https://docs.aws.amazon.com/general/latest/gr/ecs-service.html) | |
## CloudFormation Quotas AWS
Votre compte AWS comporte CloudFormation des quotas AWS dont vous devez tenir compte lorsque vous [lancez la pile](launch-the-stack.md) dans cette solution. En comprenant ces quotas, vous pouvez éviter les erreurs de limitation qui vous empêcheraient de déployer correctement cette solution. Pour plus d'informations, consultez [ CloudFormation les quotas AWS](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cloudformation-limits.html) dans le *guide de CloudFormation l'utilisateur AWS*.
## Quotas AWS Lambda
Votre compte dispose d'un quota d'exécution simultanée AWS Lambda de 1 000. Si la solution est utilisée dans un compte sur lequel d'autres charges de travail sont exécutées et utilisent Lambda, définissez ce quota sur une valeur appropriée. Cette valeur est ajustable ; pour plus d'informations, consultez les [quotas AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/gettingstarted-limits.html) dans le guide de l'utilisateur *AWS Lambda*.
**Note**
Cette solution nécessite que 150 exécutions par rapport au quota d'exécutions simultanées soient disponibles sur le compte sur lequel la solution est déployée. Si moins de 150 exécutions sont disponibles sur ce compte, le CloudFormation déploiement échouera.
## Quotas Amazon VPC
Votre compte AWS peut contenir cinq VPCs et deux Elastic IPs (EIPs). Si la solution est utilisée dans un compte auprès VPCs d'un autre EIPs opérateur, cela pourrait vous empêcher de déployer correctement cette solution. Si vous risquez d'atteindre ce quota, vous pouvez fournir votre propre VPC pour le déploiement en le fournissant lorsque vous suivez les étapes de la section [Launch the Stack](launch-the-stack.md). Pour plus d'informations, consultez les [quotas Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html) dans le guide de l'*[utilisateur Amazon VPC.](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html)*
# Choix du compte de déploiement
Si vous déployez Workload Discovery sur AWS au sein d'une organisation AWS, la solution doit être installée sur un compte d'administrateur délégué sur lequel [StackSets](https://aws.amazon.com/blogs/mt/cloudformation-stacksets-delegated-administration/)les fonctionnalités [AWS Config multirégionales](https://docs.aws.amazon.com/config/latest/developerguide/aggregated-register-delegated-administrator.html) ont été activées.
Si vous n'utilisez pas AWS Organizations, nous vous recommandons de déployer Workload Discovery sur AWS sur un compte AWS dédié créé spécifiquement pour cette solution. Cette approche signifie que Workload Discovery sur AWS est isolée de vos charges de travail existantes et fournit un emplacement unique pour configurer la solution, par exemple pour ajouter des utilisateurs et importer de nouvelles régions. Il est également plus facile de suivre les coûts engagés lors de l'exécution de la solution.
Une fois Workload Discovery sur AWS déployé, vous pouvez importer des régions à partir de tous les comptes que vous avez déjà provisionnés.