Comment partager des clusters CloudHSM avec d'autres comptes AWS ?

Dernière mise à jour : 22/12/2020

Mon organisation possède plusieurs comptes AWS. Comment partager mes clusters AWS CloudHSM avec ces comptes AWS ?

Brève description

Vous pouvez utiliser AWS Resource Access Manager pour partager des sous-réseaux pour l'instance Amazon Virtual Private Cloud (Amazon VPC) contenant votre CloudHSM avec d'autres comptes AWS.

Solution

Utilisez AWS RAM pour accéder à CloudHSM avec un autre compte AWS dans AWS Organizations. Dans l'exemple suivant, Compte 1 contient le cluster CloudHSM et Compte 2 contient l'instance client CloudHSM.

Utilisation d'AWS RAM pour activer le partage

  1. À partir de votre compte de gestion Organizations, ouvrez la console AWS RAM dans la même région que votre CloudHSM, puis choisissezSettings (Paramètres).
  2. Cochez la case Enable sharing within your AWS Organization (Activer le partage dans votre AWS Organization).
  3. À partir de votre compte de gestion Organizations, ouvrez la console AWS Organization.
  4. Choisissez Settings (Paramètres) et notez la valeur du champ Organization ID (ID d'organisation).

Création d'un partage de ressources avec Compte 1 avec d'autres comptes

  1. Ouvrez la console AWS RAM avec Compte 1 dans la même région que votre CloudHSM.
  2. Dans le volet de navigation, dans Shared by me (Partagé par moi), choisissez Resource shares (Partages de ressources).
  3. Choisissez Create resource share (Créer un partage de ressources).
  4. Dans Name (Nom), attribuez un nom au partage de ressources.
  5. Dans Resources (Ressources), choisissez le Subnet ID (ID de sous-réseau) Amazon VPC de votre CloudHSM.
  6. Dans Principals (Mandataires), décochez la case Allow external accounts (Autoriser les comptes externes).
  7. Dans le panneau de recherche Add AWS account number (Ajouter un numéro de compte AWS), saisissez l'Organization ID (Identifiant de l'organisation) et sélectionnez Add(Ajouter), puis Create resource share(Créer un partage de ressources).

Remarque : Vous pouvez également partager des unités d'organisation (UO) et des comptes AWS.

Configurer le groupe de sécurité pour permettre au client CloudHSM de se connecter au cluster CloudHSM

  1. Ouvrez la console CloudHSM avec Compte 1 dans la même région que votre cluster CloudHSM.
  2. Dans le panneau de navigation, sélectionnez Clusters.
  3. Dans Cluster ID (ID du cluster), sélectionnez le cluster CloudHSM que vous souhaitez partager.
  4. Dans Security group (Groupe de sécurité), choisissez le groupe de sécurité.
  5. Choisissez l'onglet Inbound (Entrant), puis Edit (Modifier).
  6. Choisissez Add rule (Ajouter une règle).
  7. Pour Port Range (Plage de ports), saisissez 2223-2225.
  8. Dans Source, entrez l'adresse IP privée de votre instance client, puis choisissez Save (Enregistrer).

Remarque : Pour obtenir l'adresse IP privée de l'instance client, consultez Affichage des adresses IPv4 à l'aide de la console EC2.

Création d'instances client pour les sous-réseaux partagés avec Compte 2

  1. Ouvrez la console Amazon EC2 avec Compte 2, choisissezLaunch Instance (Lancer une instance), puis sélectionnez une Amazon Machine Image (AMI).
  2. Choisissez Étape suivante : Configurer les détails de l'instance.
  3. Dans Réseau, sélectionnez l'instance Amazon VPC qui est partagée avec Compte 2.
  4. Dans Sous-réseau, choisissez le sous-réseau qui est partagé avec Compte 2.
  5. Dans Auto-assign Public IP (Attribuer automatiquement l'adresse IP publique), sélectionnez Enable (Activer), puis Next: Add Storage (Étape suivante : Ajouter le stockage).
  6. Sélectionnez Next : Add Storage (Étape suivante : Ajouter le stockage), puis Next: Configure Security Group (Étape suivante : Configurer un groupe de sécurité).
  7. Dans Attribuer un groupe de sécurité, choisissez Créer un groupe de sécurité ou Sélectionner un groupe de sécurité existant (en fonction du type de votre instance).
  8. Choisissez Vérifier et lancer, puis Lancer.
  9. Choisissez une paire de clés existante ou créez-en une nouvelle (en fonction du type de votre instance), puis cochez la case d'acceptation.
  10. Choisissez Lancer des instances.

Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?