Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Gestion des identités et des accès dans AWS Transit Gateway
AWS utilise des identifiants de sécurité pour vous identifier et vous donner accès à vos AWS ressources. Vous pouvez utiliser les fonctionnalités de Gestion des identités et des accès AWS (IAM) pour permettre à d'autres utilisateurs, services et applications d'utiliser vos AWS ressources dans leur intégralité ou de manière limitée, sans partager vos informations d'identification de sécurité.
Par défaut, les utilisateurs IAM ne sont pas autorisés à créer, afficher ou modifier AWS des ressources. Pour permettre à un utilisateur d'accéder aux ressources, par exemple une passerelle de transit, et d'exécuter des tâches, vous devez créer une politique IAM qui accorde à l'utilisateur l'autorisation d'utiliser les ressources spécifiques et les actions d'API dont il a besoin, puis d'attacher la politique au groupe auquel cet utilisateur appartient. Quand vous attachez une politique à un utilisateur ou à un groupe d'utilisateurs, elle accorde ou refuse aux utilisateurs l'autorisation d'exécuter les tâches spécifiées sur les ressources spécifiées.
Pour utiliser une passerelle de transit, l'une des politiques AWS gérées suivantes peut répondre à vos besoins :
+ [AmazonEC2FullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2FullAccess.html)
+ [AmazonEC2ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ReadOnlyAccess.html)
+ [PowerUserAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/PowerUserAccess.html)
+ [ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ReadOnlyAccess.html)
## Exemples de stratégies pour gérer des passerelles de transit
Voici des exemples de stratégies IAM pour l'utilisation des passerelles de transit.
**Créer une passerelle de transit avec les balises requises**
L'exemple suivant permet aux utilisateurs de créer une passerelle de transit. La clé de condition `aws:RequestTag` oblige les utilisateurs à baliser la passerelle de transit avec la balise `stack=prod`. La clé de condition `aws:TagKeys` utilise le modificateur `ForAllValues` pour indiquer que seule la clé `stack` est autorisée dans la demande. Aucune autre balise ne peut être spécifiée. Si les utilisateurs n'utilisent pas cette balise spécifique lorsqu'ils créent la passerelle de transit, ou s'ils ne spécifient aucune balise, la demande échoue.
La deuxième déclaration utilise la clé de condition `ec2:CreateAction` pour permettre aux utilisateurs de créer des balises uniquement dans le contexte de `CreateTransitGateway`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCreateTaggedTGWs",
"Effect": "Allow",
"Action": "ec2:CreateTransitGateway",
"Resource": "arn:aws:ec2:us-east-1:123456789012:transit-gateway/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/stack": "prod"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"stack"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:us-east-1:123456789012:transit-gateway/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateTransitGateway"
}
}
}
]
}
```
------
**Utilisation des tables de routage de passerelle de transit**
L'exemple suivant permet aux utilisateurs de créer et de supprimer des tables de routage de passerelle de transit pour une seule passerelle de transit uniquement (`tgw-11223344556677889`). Les utilisateurs peuvent également créer et remplacer des routes dans n'importe quelle table de routage de passerelle de transit, mais uniquement pour les attachements qui ont la balise `network=new-york-office`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DeleteTransitGatewayRouteTable",
"ec2:CreateTransitGatewayRouteTable"
],
"Resource": [
"arn:aws:ec2:us-east-1:123456789012:transit-gateway/tgw-11223344556677889",
"arn:aws:ec2:*:*:transit-gateway-route-table/*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTransitGatewayRoute",
"ec2:ReplaceTransitGatewayRoute"
],
"Resource": "arn:aws:ec2:*:*:transit-gateway-attachment/*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/network": "new-york-office"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTransitGatewayRoute",
"ec2:ReplaceTransitGatewayRoute"
],
"Resource": "arn:aws:ec2:*:*:transit-gateway-route-table/*"
}
]
}
```
------
# Utiliser des rôles liés à un service pour les passerelles de transit dans Transit Gateway AWS
Amazon VPC utilise des rôles liés à un service pour les autorisations requises pour appeler d'autres services AWS en votre nom. Pour plus d’informations, consultez la section [Rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html) dans le *Guide de l’utilisateur IAM*.
## Rôle lié à un service de passerelle de transit
Amazon VPC utilise des rôles liés à un service pour les autorisations nécessaires pour appeler d'autres services AWS en votre nom lorsque vous utilisez une passerelle de transit.
### Autorisations accordées par le rôle lié à un service
Amazon VPC utilise le rôle lié au service nommé **AWSServiceRoleForVPCTransitGateway** pour effectuer les actions suivantes en votre nom lorsque vous travaillez avec une passerelle de transit :
+ `ec2:CreateNetworkInterface`
+ `ec2:DescribeNetworkInterfaces`
+ `ec2:ModifyNetworkInterfaceAttribute`
+ `ec2:DeleteNetworkInterface`
+ `ec2:CreateNetworkInterfacePermission`
+ `ec2:AssignIpv6Addresses`
+ `ec2:UnAssignIpv6Addresses`
Le rôle **AWSServiceRoleForVPCTransitGateway** fait confiance aux services suivants pour assumer ce rôle :
+ `transitgateway.amazonaws.com`
**AWSServiceRoleForVPCTransitGateway** utilise la politique gérée[AWSVPCTransitGatewayServiceRolePolicy](security-iam-awsmanpol.md#AWSVPCTransitGatewayServiceRolePolicy).
Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour plus d’informations, consultez [Autorisations de rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions) dans le *Guide de l’utilisateur IAM*.
### Création du rôle lié à un service
Il n'est pas nécessaire de créer manuellement le rôle **AWSServiceRoleForVPCTransitGateway**. Amazon VPC crée ce rôle pour vous lorsque vous associez un VPC dans votre compte à une passerelle de transit.
### Modifier le rôle lié à un service
Vous pouvez modifier la description de **AWSServiceRoleForVPCTransitGateway** à l'aide d'IAM. Pour plus d’informations, consultez la section [Modification d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html#edit-service-linked-role-iam-console) dans le *Guide de l’utilisateur IAM*.
### Supprimer le rôle lié à un service
Si vous n'avez plus besoin d'utiliser les passerelles de transit, nous vous recommandons de supprimer **AWSServiceRoleForVPCTransitGateway**.
Vous ne pouvez supprimer ce rôle lié à un service qu'après avoir supprimé toutes les pièces jointes VPC de passerelle de transit de votre compte. AWS Ainsi, vous ne pouvez pas involontairement supprimer l'autorisation d'accéder à vos attachements de VPC.
Vous pouvez utiliser la console IAM, l'IAM CLI ou l'IAM API pour supprimer les rôles liés aux services. Pour plus d’informations, consultez la section [Suppression d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr) dans le *Guide de l’utilisateur IAM*.
Après avoir supprimé **AWSServiceRoleForVPCTransitGateway**, Amazon VPC crée à nouveau le rôle si vous associez un VPC de votre compte à une passerelle de transit.
# AWS politiques gérées pour les passerelles de transit dans AWS Transit Gateway
Une politique AWS gérée est une politique autonome créée et administrée par AWS. AWS les politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.
N'oubliez pas que les politiques AWS gérées peuvent ne pas accorder d'autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles sont accessibles à tous les AWS clients. Nous vous recommandons de réduire encore les autorisations en définissant des [politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) qui sont propres à vos cas d’utilisation.
Vous ne pouvez pas modifier les autorisations définies dans les politiques AWS gérées. Si les autorisations définies dans une politique AWS gérée sont AWS mises à jour, la mise à jour affecte toutes les identités principales (utilisateurs, groupes et rôles) auxquelles la politique est attachée. AWS est le plus susceptible de mettre à jour une politique AWS gérée lorsqu'une nouvelle politique Service AWS est lancée ou lorsque de nouvelles opérations d'API sont disponibles pour les services existants.
Pour plus d’informations, consultez [Politiques gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dans le *Guide de l’utilisateur IAM*.
Pour utiliser une passerelle de transit, l'une des politiques AWS gérées suivantes peut répondre à vos besoins :
+ [AmazonEC2FullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2FullAccess.html)
+ [AmazonEC2ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ReadOnlyAccess.html)
+ [PowerUserAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/PowerUserAccess.html)
+ [ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ReadOnlyAccess.html)
## AWS politique gérée : AWSVPCTransit GatewayServiceRolePolicy
Cette politique est attachée au rôle [AWSServiceRoleForVPCTransitGateway](service-linked-roles.md). Cela permet à Amazon VPC de créer et de gérer des ressources pour les attachements de votre passerelle de transit.
Pour voir les autorisations de cette stratégie, consultez [AWSVPCTransitGatewayServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSVPCTransitGatewayServiceRolePolicy.html) dans le *AWS Guide de référence des stratégies gérées par*.
## Mises à jour des politiques AWS gérées par Transit Gateway
Consultez les détails des mises à jour des politiques AWS gérées pour les passerelles de transit depuis qu'Amazon VPC a commencé à suivre ces modifications en mars 2021.
| Modifier | Description | Date |
| --- | --- | --- |
| Amazon VPC a commencé à assurer le suivi des modifications | Amazon VPC a commencé à suivre les modifications apportées à ses politiques AWS gérées. | 1er mars 2021 |
# Réseau ACLs pour les passerelles de transit dans AWS Transit Gateway
Une liste de contrôle d'accès réseau (NACL) est une couche de sécurité facultative.
Les règles de liste de contrôle d'accès réseau (NACL) sont appliquées différemment, selon le scénario :
+ [Même sous-réseau pour les instances EC2 et l'association de la passerelle de transit](#nacl-tgw-same-subnet)
+ [Sous-réseaux différents pour les instances EC2 et l'association de la passerelle de transit](#nacl-tgw-different-subnet)
## Même sous-réseau pour les instances EC2 et l'association de la passerelle de transit
Imaginez une configuration dans laquelle vous disposez d'instances EC2 et d'une association de passerelle de transit dans le même sous-réseau. La même ACL réseau est utilisée pour le trafic des instances EC2 à la passerelle de transit et pour le trafic de la passerelle de transit aux instances.
Les règles NACL sont appliquées comme suit pour le trafic des instances à la passerelle de transit :
+ Les règles sortantes utilisent l'adresse IP de destination pour l'évaluation.
+ Les règles entrantes utilisent l'adresse IP source pour l'évaluation.
Les règles NACL sont appliquées de la manière suivante pour le trafic de la passerelle de transit aux instances :
+ Les règles sortantes ne sont pas évaluées.
+ Les règles entrantes ne sont pas évaluées.
## Sous-réseaux différents pour les instances EC2 et l'association de la passerelle de transit
Pensez à une configuration dans laquelle vous avez des instances EC2 dans un sous-réseau et une association de passerelle de transit dans un sous-réseau différent et chaque sous-réseau est associé à une ACL réseau différente.
Les règles ACL réseau sont appliquées comme suit pour le sous-réseau de l’instance EC2 :
+ Les règles sortantes utilisent l'adresse IP de destination pour évaluer le trafic des instances à la passerelle de transit.
+ Les règles entrantes utilisent l'adresse IP de destination pour évaluer le trafic de la passerelle de transit aux instances.
Les règles NACL sont appliquées comme suit pour le sous-réseau de la passerelle de transit :
+ Les règles sortantes utilisent l'adresse IP de destination pour évaluer le trafic de la passerelle de transit aux instances.
+ Les règles sortantes ne sont pas utilisées pour évaluer le trafic des instances à la passerelle de transit.
+ Les règles entrantes utilisent l'adresse IP source pour évaluer le trafic des instances à la passerelle de transit.
+ Les règles entrantes ne sont pas utilisées pour évaluer le trafic de la passerelle de transit aux instances.
## Bonnes pratiques
Utilisez un sous-réseau distinct pour chaque attachement de VPC de passerelle de transit. Pour chaque sous-réseau, utilisez un petit CIDR, par exemple /28, afin d'avoir plus d'adresses pour les ressources EC2. Lorsque vous utilisez un sous-réseau distinct, vous pouvez configurer les éléments suivants :
+ Gardez ouverte l’ACL réseau entrante et sortante associée aux sous-réseaux de la passerelle de transit.
+ En fonction de votre flux de trafic, vous pouvez l'appliquer NACLs à vos sous-réseaux de charge de travail.
Pour plus d'informations sur la façon dont les pièces jointes de VPC fonctionnent, consultez [Attachements de ressources](how-transit-gateways-work.md#tgw-attachments-overview).