Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Instances d'accès vérifié
Une Accès vérifié par AWS instance est une AWS ressource qui vous aide à organiser vos fournisseurs de confiance et vos groupes d'accès vérifié. Une instance évalue les demandes d'application et n'accorde l'accès que lorsque vos exigences de sécurité sont satisfaites.
**Topics**
+ [Création et gestion d'une instance d'accès vérifié](create-verified-access-instance.md)
+ [Supprimer une instance d'accès vérifié](delete-verified-access-instance.md)
+ [Intégrez Verified Access à AWS WAF](waf-integration.md)
+ [Conformité à la norme FIPS pour l'accès vérifié](fips-compliance.md)
# Création et gestion d'une instance d'accès vérifié
Vous utilisez une instance d'accès vérifié pour organiser vos fournisseurs de confiance et vos groupes d'accès vérifié. Utilisez les procédures suivantes pour créer une instance d'accès vérifié, puis attachez un fournisseur de confiance à Verified Access ou détachez un fournisseur de confiance de Verified Access.
**Topics**
+ [Création d'une instance d'accès vérifié](#create-instance)
+ [Associer un fournisseur de confiance à une instance d'accès vérifié](#attach-trust-provider)
+ [Détacher un fournisseur de confiance d'une instance d'accès vérifié](#detach-trust-provider)
+ [Ajouter un sous-domaine personnalisé](#modify-custom-subdomain)
## Création d'une instance d'accès vérifié
Utilisez la procédure suivante pour créer une instance d'accès vérifié.
**Pour créer une instance d'accès vérifié à l'aide de la console**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation, choisissez **Instances d'accès vérifié**, puis **Créer une instance d'accès vérifié**.
1. (Facultatif) **Dans Nom** et **description**, entrez un nom et une description pour l'instance d'accès vérifié.
1. (Points de terminaison CIDR réseau) Dans **Sous-domaine personnalisé pour point de terminaison CIDR réseau**, entrez un sous-domaine personnalisé.
1. (Facultatif) Choisissez **Activer** pour les **normes fédérales de traitement de l'information (FIPS)** si vous avez besoin d'un accès vérifié pour être conforme à la norme FIPS.
1. (Facultatif) Pour le **fournisseur de confiance Verified Access**, choisissez un fournisseur de confiance à associer à l'instance Verified Access.
1. (Facultatif) Pour ajouter une balise, choisissez **Ajouter une nouvelle balise** et entrez la clé et la valeur de la balise.
1. Choisissez **Créer une instance d'accès vérifié**.
**Pour créer une instance d'accès vérifié à l'aide du AWS CLI**
Utilisez la commande [create-verified-access-instance](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-verified-access-instance.html).
## Associer un fournisseur de confiance à une instance d'accès vérifié
Utilisez la procédure suivante pour associer un fournisseur de confiance à une instance Verified Access.
**Pour associer un fournisseur de confiance à une instance d'accès vérifié à l'aide de la console**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation, sélectionnez **Verified Access instances**.
1. Sélectionnez l’instance.
1. Choisissez **Actions, puis** **attachez le fournisseur de confiance Verified Access**.
1. Pour le **fournisseur de confiance Verified Access**, choisissez un fournisseur de confiance.
1. Choisissez **Attach Verified Access Trust Provider**.
**Pour associer un fournisseur de confiance à une instance d'accès vérifié à l'aide du AWS CLI**
Utilisez la commande [attach-verified-access-trust-provider](https://docs.aws.amazon.com/cli/latest/reference/ec2/attach-verified-access-trust-provider.html).
## Détacher un fournisseur de confiance d'une instance d'accès vérifié
Utilisez la procédure suivante pour détacher un fournisseur de confiance d'une instance Verified Access.
**Pour détacher un fournisseur de confiance d'une instance d'accès vérifié à l'aide de la console**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation, sélectionnez **Verified Access instances**.
1. Sélectionnez l’instance.
1. Choisissez **Actions**, **détachez le fournisseur de confiance Verified Access**.
1. Pour le **fournisseur de confiance Verified Access**, choisissez le fournisseur de confiance.
1. Choisissez le **fournisseur de confiance Detach Verified Access**.
**Pour détacher un fournisseur de confiance d'une instance d'accès vérifié à l'aide du AWS CLI**
Utilisez la commande [detach-verified-access-trust-provider](https://docs.aws.amazon.com/cli/latest/reference/ec2/detach-verified-access-trust-provider.html).
## Ajouter un sous-domaine personnalisé
Suivez la procédure ci-dessous pour ajouter ou mettre à jour un sous-domaine personnalisé. Ce sous-domaine est utilisé uniquement lorsque vous créez un point de terminaison [CIDR réseau](create-network-cidr-endpoint.md).
**Pour ajouter un sous-domaine personnalisé à l'aide de la console**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation, sélectionnez **Verified Access instances**.
1. Sélectionnez l’instance.
1. Choisissez **Actions**, **Modifier l'instance d'accès vérifié**.
1. Pour **Sous-domaine personnalisé pour le point de terminaison réseau CIDR**, entrez un sous-domaine personnalisé.
1. Choisissez **Modifier l'instance d'accès vérifié**.
1. Mettez à jour les serveurs de noms de votre sous-domaine en saisissant les serveurs de noms fournis par Verified Access. Cette liste est disponible sous **Nameservers** dans l'onglet **Détails** de l'instance.
**Pour ajouter un sous-domaine personnalisé à l'aide du AWS CLI**
Utilisez la commande [modify-verified-access-instance](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-verified-access-instance.html).
# Supprimer une instance d'accès vérifié
Lorsque vous avez terminé d'utiliser une instance Verified Access, vous pouvez la supprimer. Avant de pouvoir supprimer une instance, vous devez supprimer tous les fournisseurs de confiance ou groupes d'accès vérifié associés.
**Pour supprimer une instance d'accès vérifié à l'aide de la console**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation, sélectionnez **Verified Access instances**.
1. Sélectionnez l'instance Verified Access.
1. Choisissez **Actions**, puis **Supprimer l'instance d'accès vérifié**.
1. Lorsque vous êtes invité à confirmer, saisissez **delete**, puis choisissez **Delete (Supprimer)**.
**Pour supprimer une instance d'accès vérifié à l'aide du AWS CLI**
Utilisez la commande [delete-verified-access-instance](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-verified-access-instance.html).
# Intégrez Verified Access à AWS WAF
Outre les règles d'authentification et d'autorisation appliquées par Verified Access, vous souhaiterez peut-être également appliquer une protection périmétrique. Cela peut vous aider à protéger vos applications contre des menaces supplémentaires. Vous pouvez y parvenir AWS WAF en l'intégrant à votre déploiement de Verified Access. AWS WAF est un pare-feu d'applications Web qui vous permet de surveiller les requêtes HTTP transmises aux ressources protégées de votre application Web. Pour plus d’informations, consultez le [Guide du développeur AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/).
Vous pouvez intégrer AWS WAF Verified Access en associant une liste de contrôle d'accès AWS WAF Web (ACL) à une instance Verified Access. Une ACL Web est une AWS WAF ressource qui vous permet de contrôler avec précision toutes les requêtes Web HTTP auxquelles répond votre ressource protégée. Pendant le traitement de la demande d' AWS WAF association ou de dissociation, le statut de tous les points de terminaison Verified Access attachés à l'instance est affiché sous la forme. `updating` Une fois la demande terminée, le statut revient à`active`. Vous pouvez consulter le statut dans le AWS Management Console ou en décrivant le point de terminaison à l'aide du AWS CLI.
Le fournisseur de confiance en matière d'identité utilisateur détermine à quel moment AWS WAF inspecte le trafic. Si vous utilisez IAM Identity Center, AWS WAF inspecte le trafic avant l'authentification de l'utilisateur. Si vous utilisez OpenID Connect (OIDC), AWS WAF inspecte le trafic après l'authentification de l'utilisateur.
**Topics**
+ [Autorisations IAM requises](#waf-permissions)
+ [Associer une ACL AWS WAF Web](#associate-web-acl)
+ [Vérifiez le statut de l'association](#waf-integration-status)
+ [Dissocier une ACL AWS WAF Web](#disassociate-web-acl)
## Autorisations IAM requises
L'intégration à Verified Access inclut des actions AWS WAF avec autorisation uniquement qui ne correspondent pas directement à une opération d'API. Ces actions sont indiquées dans la *référence d'autorisation de Gestion des identités et des accès AWS service* avec`[permission only]`. Consultez la section [Actions, ressources et clés de condition pour Amazon EC2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html) dans la référence *d'autorisation de service*.
Pour utiliser une ACL Web, votre Gestion des identités et des accès AWS principal doit disposer des autorisations suivantes.
+ `ec2:AssociateVerifiedAccessInstanceWebAcl`
+ `ec2:DisassociateVerifiedAccessInstanceWebAcl`
+ `ec2:DescribeVerifiedAccessInstanceWebAclAssociations`
+ `ec2:GetVerifiedAccessInstanceWebAcl`
## Associer une ACL AWS WAF Web
Les étapes suivantes montrent comment associer une liste de contrôle d'accès AWS WAF Web (ACL) à une instance Verified Access à l'aide de la console Verified Access.
**Prérequis**
Avant de commencer, créez une ACL AWS WAF Web. Pour plus d'informations, voir [Création d'une ACL Web](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-creating.html) dans le *Guide du AWS WAF développeur*.
**Pour associer une ACL AWS WAF Web à une instance d'accès vérifié**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation, sélectionnez **Verified Access instances**.
1. Sélectionnez l'instance Verified Access.
1. Sélectionnez l'onglet **Intégrations**.
1. Choisissez **Actions**, puis **Associer une ACL Web**.
1. Pour l'**ACL Web**, choisissez une ACL Web existante, puis choisissez **Associate Web ACL**.
Vous pouvez également utiliser la AWS WAF console. Si vous utilisez la AWS WAF console ou l'API, vous avez besoin du nom de ressource Amazon (ARN) de votre instance Verified Access. Un ARN AVA a le format suivant :`arn:${Partition}:ec2:${Region}:${Account}:verified-access-instance/${VerifiedAccessInstanceId}`. Pour plus d'informations, voir [Associer une ACL Web à une AWS ressource](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-associating.html) dans le *Guide du AWS WAF développeur*.
## Vérifiez le statut de l'association
Vous pouvez vérifier si une liste de contrôle d'accès AWS WAF Web (ACL) est associée ou non à une instance d'accès vérifié à l'aide de la console Verified Access.
**Pour consulter l'état de l' AWS WAF intégration avec une instance Verified Access**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation, sélectionnez **Verified Access instances**.
1. Sélectionnez l'instance Verified Access.
1. Sélectionnez l'onglet **Intégrations**.
1. Vérifiez les informations répertoriées sous **État de l'intégration WAF**. Le statut sera affiché comme **Associé** ou **Non associé**, ainsi que l'identifiant ACL Web, s'il est dans l'état **Associé**.
## Dissocier une ACL AWS WAF Web
Les étapes suivantes montrent comment dissocier une liste de contrôle d'accès AWS WAF Web (ACL) d'une instance Verified Access à l'aide de la console Verified Access.
**Pour dissocier une ACL AWS WAF Web d'une instance d'accès vérifié**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation, sélectionnez **Verified Access instances**.
1. Sélectionnez l'instance Verified Access.
1. Sélectionnez l'onglet **Intégrations**.
1. Choisissez **Actions**, puis **Dissocier l'ACL Web**.
1. Confirmez en choisissant **Dissociate Web ACL**.
Vous pouvez également utiliser la AWS WAF console. Pour plus d'informations, voir [Dissocier une ACL Web d'une AWS ressource](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-dissociating-aws-resource.html) dans le *Guide du AWS WAF développeur*.
# Conformité à la norme FIPS pour l'accès vérifié
La norme fédérale de traitement de l'information (FIPS) est une norme gouvernementale américaine et canadienne qui spécifie les exigences de sécurité pour les modules cryptographiques qui protègent les informations sensibles. Accès vérifié par AWS offre la possibilité de configurer votre environnement pour qu'il adhère à la publication FIPS 140-2. La conformité FIPS pour l'accès vérifié est disponible dans les AWS régions suivantes :
+ USA Est (Ohio)
+ USA Est (Virginie du Nord)
+ USA Ouest (Californie du Nord)
+ US West (Oregon)
+ Canada (Centre)
+ AWS GovCloud (US) Ouest
+ AWS GovCloud (US) Est
Cette page explique comment configurer un environnement d'accès vérifié, nouveau ou existant, pour qu'il soit conforme à la norme FIPS.
**Topics**
+ [Environnement existant](#migrate-configuration)
+ [Nouvel environnement](#new-configuration)
## Configuration d'un environnement d'accès vérifié existant pour la conformité à la norme FIPS
Si vous disposez d'un environnement d'accès vérifié existant et que vous souhaitez le configurer pour qu'il soit conforme à la norme FIPS, certaines ressources devront être supprimées et recréées afin d'activer la conformité FIPS.
Pour reconfigurer un Accès vérifié par AWS environnement existant afin qu'il soit conforme à la norme FIPS, suivez les étapes ci-dessous.
1. Supprimez vos points de terminaison, groupes et instance Verified Access d'origine. Vos fournisseurs de confiance configurés peuvent être réutilisés.
1. Créez une instance d'accès vérifié, en veillant à activer les **normes fédérales de traitement de l'information (FIPS)** lors de la création. Lors de la création, associez également le **fournisseur de confiance Verified Access** que vous souhaitez utiliser en le sélectionnant dans la liste déroulante.
1. Créez un [groupe](verified-access-groups.md) d'accès vérifié. Lors de la création du groupe, vous l'associez à l'instance Verified Access qui vient d'être créée.
1. Créez-en un ou plusieurs[Points de terminaison d'accès vérifiés](verified-access-endpoints.md). Lors de la création de vos points de terminaison, vous les associez au groupe créé à l'étape précédente.
## Configuration d'un nouvel environnement d'accès vérifié pour la conformité à la norme FIPS
Pour configurer un nouvel Accès vérifié par AWS environnement conforme à la norme FIPS, suivez les étapes ci-dessous.
1. Configurez un [fournisseur de confiance](trust-providers.md). Vous devrez créer un fournisseur de confiance en matière [d'identité utilisateur](user-trust.md) et (éventuellement) un fournisseur de confiance [basé sur l'appareil](device-trust.md), en fonction de vos besoins.
1. Créez une [instance](verified-access-instances.md) d'accès vérifié, en veillant à activer les **normes fédérales de traitement de l'information (FIPS)** pendant le processus. Lors de la création, attachez également le **fournisseur de confiance Verified Access** que vous avez créé à l'étape précédente, en le sélectionnant dans la liste déroulante.
1. Créez un [groupe](verified-access-groups.md) d'accès vérifié. Lors de la création du groupe, vous l'associez à l'instance Verified Access qui vient d'être créée.
1. Créez-en un ou plusieurs[Points de terminaison d'accès vérifiés](verified-access-endpoints.md). Lors de la création de vos points de terminaison, vous les associez au groupe créé à l'étape précédente.