1. Livres & vidéos
  2. Architecture AWS
  3. Les fondamentaux
Extrait - Architecture AWS Concevez des infrastructures cloud robustes, sécurisées et évolutives
Extraits du livre
Architecture AWS Concevez des infrastructures cloud robustes, sécurisées et évolutives Revenir à la page d'achat du livre

Les fondamentaux

Introduction

Avant de pousser plus loin l’exploration des services AWS, il est crucial de consolider vos bases.

Ce chapitre présente les cinq piliers sur lesquels repose toute infrastructure cloud réussie : la connexion à votre compte AWS, la gestion des identités et des accès avec IAM, l’organisation des comptes via AWS Organizations et les SCP, l’automatisation de l’infrastructure grâce à l’Infrastructure as Code, et enfin les règles d’or de la sécurité et de la conformité.

Chacun de ces éléments, s’il est mal calibré, peut devenir un point de rupture. À l’inverse, parfaitement maîtrisé, il transforme la complexité du cloud en un véritable levier d’agilité et de sérénité.

IAM : gestion des identités et des accès

Se connecter à la console AWS

 Ouvrez votre navigateur sur https://aws.amazon.com/ et cliquez sur Sign In to the Console.

 Sur l’écran de connexion, choisissez Root user si vous utilisez le compte principal, ou IAM user si vous vous connectez avec un utilisateur IAM.

 Pour un Root user, saisissez votre adresse e-mail puis votre mot de passe et, le cas échéant, le code MFA.

 Pour un IAM user, fournissez d’abord l’Account ID ou son alias, puis votre nom d’utilisateur. Confirmez avec votre mot de passe et votre code MFA si configuré.

 Une fois authentifié, vous arrivez sur le AWS Management Console, où la barre de recherche en haut, le sélecteur de région et votre nom d’utilisateur affichés en haut à droite vous donnent le contrôle immédiat de votre environnement.

Images/ei02sanstitre.png

Dès votre arrivée dans la console, IAM devient votre point d’ancrage en matière de sécurité. Vous modélisez d’abord les entités : les utilisateurs représentent les personnes ou applications nécessitant un accès direct, tandis que les rôles correspondent à des identités temporaires que l’on « endosse » pour exécuter une tâche précise, sans stocker de clés longue durée. Plutôt que d’attribuer arbitrairement des droits d’administrateur, vous créez des politiques JSON qui spécifient exactement les actions autorisées, par exemple parcourir un bucket S3 ou démarrer une instance EC2 et vous associez ces politiques aux groupes d’utilisateurs ou aux rôles adaptés.

Pour renforcer la protection, vous privilégiez systématiquement les clés d’accès temporaires délivrées par AWS STS, qui en lieu et place des clés IAM à longue durée de vie : ces jetons ne restent valables que quelques minutes ou quelques heures seulement. Vous imposerez également le MFA sur les comptes sensibles, notamment le root et tous...

AWS Organizations et SCP : organiser plusieurs comptes efficacement

À mesure que votre usage d’AWS grandit, concentrer tous vos projets dans un seul compte finit par devenir ingérable. Entre les environnements de développement, de test, de production et les services transverses tels que la journalisation ou la sécurité, il devient impossible de séparer clairement qui dépense quoi et qui accède à quelles ressources. C’est pourquoi AWS met à disposition AWS Organizations, un service qui vous permet de regrouper plusieurs comptes sous une même entité, chacune structurée par des Unités Organisationnelles (OU) et protégée par des Service Control Policies (SCP). Le schéma ci-après illustre la mise en place typique : un compte de management en haut, suivi des OU « Development », « Test » et « Production », chacune hébergeant plusieurs comptes enfants, et chaque OU soumise à une SCP spécifique.

1. Le compte de management et l’arborescence des comptes

Images/figure.png

Lorsque vous créez votre première Organisation, le compte avec lequel vous vous connectez sert automatiquement de « compte de management ». Ce compte centralise la facturation et l’administration de l’ensemble des comptes enfants, tout en restant lui-même vierge de services métier : il ne contient que les paramètres généraux, les budgets globaux et les politiques d’Organisation. Dans l’exemple du schéma, le carré violet au sommet représente ce compte de management.

Sous ce compte, vous structurez vos environnements à l’aide d’OU. Par exemple, sur le schéma, l’OU Development (cadre pointillé bleu) contient deux comptes enfants : « AWS Development Account 1 » et « AWS Development Account 2 ». De la même manière, la Test OU (cadre pointillé jaune) regroupe deux comptes dédiés aux tests, et la Production OU (cadre pointillé vert) contient plusieurs comptes de production. Cette hiérarchie vous permet d’appliquer des règles ou configurations qui se propagent automatiquement à tous les comptes d’une OU, sans devoir intervenir...

Infrastructure as Code : pourquoi automatiser plutôt que cliquer

À la naissance d’AWS, la création d’un serveur web demandait à peine plus qu’un clic sur « Launch Instance » dans la console. Cette simplicité, en apparence libératrice, cache un piège : dès que l’on répète l’opération dans trois régions, cinq environnements et une dizaine de comptes, la console se transforme en labyrinthe. On oublie un tag « Owner » ici, on ouvre inopinément le port 22 au monde-là, et l’on se retrouve sans moyen simple de refaire à l’identique ce que l’on vient de déployer à la main. C’est pour briser ce cycle que l’Infrastructure as Code, ou IaC, a vu le jour. L’idée est de prendre les « clics » que nous effectuons dans l’interface graphique, de les transformer en fichiers texte décrivant l’état voulu de l’infrastructure, puis de confier à un moteur d’orchestration le soin de matérialiser cet état.

Une définition d’IaC tient en trois points : d’abord, chaque ressource (VPC, bucket S3, rôle IAM, cluster EKS) existe sous la forme d’une déclaration lisible, versionnable et comparable d’une version à l’autre (un simple diff suffit à visualiser les modifications) comme n’importe quel fichier source. Ensuite, tout déploiement se fait selon le modèle « plan / apply » : on compare le monde désiré (décrit dans le code) au monde réel, et l’outil génère la liste des changements nécessaires avant de les appliquer. Enfin, toute...

Sécurité et conformité : établir des bases solides

Après avoir décrit votre infrastructure en code et distribué vos ressources dans plusieurs comptes bien gouvernés, il reste à verrouiller l’ensemble : c’est la mission de la sécurité et de la conformité. Sur AWS, ces deux sujets se nourrissent l’un de l’autre : la conformité impose un niveau de sécurité mesurable ; la sécurité fournit les preuves nécessaires à vos audits. L’objectif n’est pas seulement de cocher des cases SOC 2 ou ISO 27001, mais d’empêcher un incident avant qu’il ne se transforme en crise de confiance.

1. La responsabilité partagée, version opérationnelle

Tout commence par la frontière classique : AWS protège l’infrastructure physique et les services managés, vous protégez vos données, vos configurations et vos identités.

En pratique, cela signifie : aucun mot de passe root stocké dans un gestionnaire d’équipe ; les clés KMS ne dorment pas dans un wiki ; le port 22 n’est pas ouvert à 0.0.0.0 « en attendant la mise en place du bastion ».

Le périmètre identité : verrouiller l’humain et les machines

Les chapitres précédents ont insisté sur le moindre privilège et sur l’usage...