Activer ou désactiver le contrôleur une fois l’intégration terminée

Grâce au contrôleur, vous pouvez décider du niveau d’accès à accorder dans la Gestion des autorisations.

• Activez pour accorder un accès en lecture et en écriture à vos environnements. Vous pouvez redimensionner et corriger des autorisations via Gestion des autorisations.

• Désactivez pour accorder un accès en lecture seule à vos environnements.

Cet article explique comment activer le contrôleur dans Amazon Web Services (AWS), Microsoft Azure et Google Cloud Platform (GCP) une fois l’intégration terminée.

Cet article explique comment désactiver le contrôleur dans Microsoft Azure et Google Cloud Platform (GCP). Une fois le contrôleur activé dans AWS, vous pouvez uniquement activer le contrôleur dans AWS ; vous ne pouvez pas le désactiver.

Activer le contrôleur dans AWS

Notes

Vous pouvez activer le contrôleur dans AWS si vous l’avez désactivé pendant l’intégration. Une fois le contrôleur activé dans AWS, vous ne pouvez pas le désactiver.

1. Dans une fenêtre de navigateur distincte, connectez-vous à la console AWS du compte membre.

2. Accédez à la page d'accueil Gestion des autorisations, sélectionnez Paramètres (icône d'engrenage), puis le sous-onglet Collecteurs de données.

3. Dans le tableau de bord Collecteur de données, sélectionnez AWS, puis Créer la configuration.

4. Dans la page Intégration à la Gestion des autorisations - Détails du compte membre AWS, sélectionnez Lancer le modèle.

   La page AWS CloudFormation create stack s’ouvre et affiche le modèle.

5. Dans la zone CloudTrailBucketName, entrez un nom.

   Vous pouvez copier et coller le nom CloudTrailBucketName à partir de la page Trails dans AWS.

   Notes

   Un compartiment cloud collecte toute l’activité dans un seul compte supervisé par la Gestion des autorisations. Entrez le nom d’un compartiment cloud ici afin de fournir à la Gestion des autorisations l’accès nécessaire pour collecter les données d’activité.

6. Dans la zone EnableController, dans la liste déroulante, sélectionnez True pour fournir à la Gestion des autorisations un accès en lecture et en écriture afin que les corrections que vous souhaitez effectuer à partir de la plateforme Gestion des autorisations puissent être effectuées automatiquement.

7. Faites défiler la page jusqu’en bas puis, dans la zone Capabilities, sélectionnez I acknowledge that AWS CloudFormation might create IAM resources with custom names (Je reconnais que AWS CloudFormation peut créer des ressources IAM avec des noms personnalisés). Sélectionnez ensuite Create stack.

   Cette pile AWS CloudFormation crée un rôle de collecte dans le compte membre avec les autorisations nécessaires (stratégies) pour la collecte de données. Une stratégie d’approbation est définie sur ce rôle pour autoriser le rôle OIDC créé dans votre compte OIDC AWS à y accéder. Ces entités sont listées sous l’onglet Resources de votre pile CloudFormation.

8. Revenez dans Gestion des autorisations, et dans Intégration à la Gestion des autorisations - Détails du compte membre AWS, sélectionnez Suivant.

9. Dans la page Intégration de la gestion des autorisations : résumé, passez en revue les informations que vous avez ajoutées, puis sélectionnez Vérifier maintenant et enregistrer.

   Le message suivant s’affiche : Successfully created configuration.

Activer ou désactiver le contrôleur dans Azure

Vous pouvez activer ou désactiver le contrôleur dans Azure au niveau de l’abonnement de votre ou de vos groupes d’administration.

1. Dans la page d’Accueil Azure, sélectionnez Groupes d’administration.

2. Repérez le groupe pour lequel vous souhaitez activer ou désactiver le contrôleur, puis sélectionnez la flèche pour développer le menu du groupe et afficher vos abonnements. Vous pouvez également sélectionner le nombre total d’abonnements répertorié pour votre groupe.

3. Sélectionnez l’abonnement pour lequel vous souhaitez activer ou désactiver le contrôleur, puis cliquez sur Contrôle d’accès (IAM) dans le menu de navigation.

4. Dans la section Vérifier l’accès, dans la zone Rechercher, entrez Cloud Infrastructure Entitlement Management.

   La page Attributions Cloud Infrastructure Entitlement Management affiche les rôles qui vous sont attribués.

   • Si vous disposez de l’autorisation de lecture seule, la colonne Rôle affiche Lecteur.
   • Si vous disposez d’une autorisation d’administrateur, la colonne Rôle affiche Accès utilisateur administrateur.

5. Pour ajouter l'attribution de rôle d'administrateur, revenez à la page Contrôle d'accès (IAM), puis sélectionnez Ajouter une attribution de rôle.

6. Ajoutez ou supprimez l’attribution de rôle pour Cloud Infrastructure Entitlement Management.

7. Accédez à la page d'accueil Gestion des autorisations, sélectionnez Paramètres (icône d'engrenage), puis le sous-onglet Collecteurs de données.

8. Dans le tableau de bord Collecteurs de données, sélectionnez Azure, puis Créer la configuration.

9. Dans la page Intégration à la gestion des autorisations – Détails de l'abonnement Azure, entrez l'ID d'abonnement, puis sélectionnez Suivant.

10. Dans la page Intégration de la gestion des autorisations : résumé, vérifiez les autorisations du contrôleur, puis sélectionnez Vérifier maintenant et enregistrer.

    Le message suivant s’affiche : Successfully created configuration.

Activer ou désactiver le contrôleur dans GCP

1. Exécutez gcloud auth login.

2. Suivez les instructions affichées à l’écran pour autoriser l’accès à votre compte Google.

3. Exécutez sh mciem-workload-identity-pool.sh pour créer le pool d’identités de charge de travail, le fournisseur et le compte de service.

4. Exécutez sh mciem-member-projects.sh pour accorder à Permissions Management des autorisations d’accès à chacun des projets membres.

   • Si vous souhaitez gérer les autorisations par le biais de Permissions Management, sélectionnez Y pour Activer le contrôleur.
   • Si vous souhaitez intégrer vos projets en mode lecture seule, sélectionnez N pour désactiver le contrôleur.

5. Exécutez éventuellement mciem-enable-gcp-api.sh pour activer toutes les API GCP recommandées.

6. Accédez à la page d'accueil Gestion des autorisations, sélectionnez Paramètres (icône d'engrenage), puis le sous-onglet Collecteurs de données.

7. Dans le tableau de bord Data Collectors, sélectionnez GCP, puis Create Configuration.

8. Dans la page Intégration à la Gestion des autorisations – Création d’applications OIDC Microsoft Entra ID, sélectionnez Suivant.

9. Dans la page Intégration de la gestion des autorisations : détails du compte OIDC GCP et accès IDP, entrez le Numéro de projet OIDC et l’ID de projet OIDC, puis sélectionnez Suivant.

10. Dans la page Intégration à la gestion des autorisations – ID de projet GCP, entrez les ID de projet et sélectionnez Suivant.

11. Dans la page Intégration de la gestion des autorisations : résumé, passez en revue les informations que vous avez ajoutées et sélectionnez Vérifier maintenant et enregistrer.

    Le message suivant s’affiche : Successfully created configuration.

Étapes suivantes

• Pour plus d’informations sur la façon d’ajouter un compte/abonnement/projet une fois l’intégration terminée, consultez Ajouter un compte/abonnement/projet une fois l’intégration terminée.