IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Cloud Computing

Image non disponible

Ce chapitre du livre Cloud Computing - Maîtrisez la plateforme AWS - Amazon Web Services est publié dans le cadre d'un partenariat entre Developpez.com et les éditions ENI. Commandez le livre entier.

Ce livre s'adresse à toute personne désireuse de découvrir les concepts du Cloud computing et leur mise en œuvre concrète à travers la plateforme Amazon Web Services (AWS). Sa lecture ne nécessite aucun prérequis particulier, il s'adresse à toute personne curieuse et intéressée par ce domaine, aussi bien débutante que confirmée. L'approche choisie est celle de l'apprentissage par la pratique ; le lecteur est guidé pas à pas et à travers de nombreux exemples jusqu'à la maîtrise de l'administration des différents services.
Commentez Donner une note à l´article (5)

Article lu   fois.

L'auteur

Liens sociaux

Viadeo Twitter Facebook Share on Google+   

I. Création d'un compte

Avant de pouvoir profiter des services web Amazon, vous devez tout d'abord créer un compte sur http://aws.amazon.com.

Cet unique compte vous permettra d'accéder à l'ensemble des services, avec un niveau administrateur sur chacun d'entre eux. Vous pourrez par la suite créer de nouveaux utilisateurs et groupes d'utilisateurs liés à ce compte pour lesquels vous pourrez définir des permissions bien précises.

Pour débuter la création de votre compte, rendez-vous sur le site d'AWS, http://aws.amazon.com, puis cliquez sur le bouton S'inscrire en haut à droite.

Vous arriverez alors sur une page intitulée Sing In or Create an AWS Account. Entrez votre adresse mail dans le champ My e-mail address is et sélectionnez I am a new user. Lorsque votre compte sera créé, vous pourrez utiliser cette page pour vous identifier en sélection I am a returning user and my password is et en entrant votre mot de passe dans le champ correspondant. Pour passer à l'étape suivante, cliquez sur Sign in using our secure server.

Un formulaire en anglais vous invitera à saisir :

  • votre nom ;
  • votre adresse e-mail ;
  • une confirmation de votre adresse e-mail ;
  • votre mot de passe ;
  • une confirmation de votre mot de passe.
Image non disponible

Passez ensuite à l'étape suivante en cliquant sur Continue. Un nouveau formulaire, en français cette fois-ci, vous invitera à entrer vos coordonnées et à confirmer que vous avez bien pris connaissance des conditions générales du contrat Amazon Web Services. On déplorera tout de même qu'à l'heure à laquelle cet ouvrage est rédigé ce contrat ne soit disponible qu'en anglais…

Validez ce formulaire en cliquant sur Créer un compte et Continuer et vous accéderez alors au formulaire vous permettant d'entrer vos informations de paiement et votre adresse de facturation. Même si vous ne comptez pas dépasser le niveau d'utilisation gratuit, cette étape est obligatoire. La carte de crédit est le seul mode de paiement supporté.

Il ne vous restera plus qu'à passer à l'étape suivante pour confirmer votre identité et valider la création de votre compte.

II. Gestion du compte

Une fois votre compte créé, vous pourrez accéder aux différentes options d'administration depuis http://aws.amazon.com en cliquant sur Compte-Console en haut à droite de toutes les pages du site.

Un menu déroulant vous donnera alors accès aux cinq options suivantes :

  • AWS Management Console ;
  • Mon compte ;
  • Activité du compte ;
  • Rapports d'utilisation ;
  • Identifiants de sécurité.

Nous allons commencer par étudier les quatre dernières, concernant plutôt les aspects administratifs de votre compte, puis nous présenterons la console de management Amazon Web Services (AWS Management Console).

Cette console est une interface graphique, en ligne, permettant de gérer vos instances. La majorité des opérations que nous réaliserons dans cet ouvrage seront effectuées depuis cette console.

II-A. Mon compte

En cliquant sur Compte-Console puis sur Mon Compte, vous accéderez à l'accueil de l'interface de gestion administrative de votre compte.

La page qui vous sera présentée est un récapitulatif des services auxquels vous avez souscrit. Ils sont listés sous la mention Services auxquels vous êtes inscrit, repérée par un point vert. Vous y verrez de nombreux services, il s'agit entre autres de ceux concernés par les quotas d'utilisation gratuite qui ont été activés à la création de votre compte.

Les liens dans la partie gauche de la page vous permettent alors d'accéder aux différentes pages d'administration.

- Coordonnées personnelles : comme son nom l'indique, cette page vous permet d'éditer votre adresse ou votre numéro de téléphone.

- Mode de paiement : vous pouvez ici changer la carte de crédit utilisée pour les paiements liés à votre compte.

- Facturation consolidée : cette option vous permet de regrouper, d'un point de vue facturation, plusieurs comptes AWS. Vous ne serez ainsi débité qu'une fois par mois pour l'ensemble des comptes concernés et une facture globale sera éditée. Cette consolidation comptable n'a aucune incidence technique : les comptes restent strictement indépendants, le compte payant ne dispose pas pour autant de droits d'administration sur les autres comptes.

- Billing Preferences : permet d'activer diverses options liées à la facturation : CSV Report : en cliquant sur la mention Inscrivez-vous maintenant à droite de la description de ce service, vous activerez la génération automatique de rapports CSV (Comma-separated values) détaillant vos différents coûts. Ce format standard permet l'échange de données numériques et peut être importé dans de nombreux logiciels, par exemple Microsoft Excel. Ce service est gratuit.

Programmatic Access : cette option n'est disponible que si la génération automatique de rapports CSV (option précédente) est activée. Elle permet la mise en ligne automatique de ces rapports CSV plusieurs fois par jour, via Amazon S3 (cf. chapitre Le stockage). Ce service est en lui-même gratuit, mais les frais classiques générés par le stockage des rapports sur S3 vous seront facturés.

Cost Allocation Report : cette option vous permet d'avoir une meilleure visibilité sur vos coûts en regroupant ces derniers selon des tags attribués à vos ressources (nous y reviendrons). Vous pouvez par exemple allouer les tags Ressources Humaines et Service Technique aux machines utilisées par les membres de ces services dans votre entreprise et ainsi obtenir la somme des coûts générés par chacun de ces pôles.

II-B. Activité du compte

Cliquer sur Compte - Console en haut à droite de la fenêtre puis sur Activité du compte (ou directement sur Activité du compte à droite de la page si vous vous trouvez déjà sur une page liée à l'administration de votre compte) vous dirigera vers une synthèse de vos coûts pour la période en cours. La partie supérieure de la page vous confirme la date et l'heure à laquelle ce rapport a été généré (ces derniers sont actualisés plusieurs fois par jour). Un menu déroulant vous permet de consulter les relevés des mois précédents.

Image non disponible

Juste en dessous, la section Récapitulatif vous donne le solde impayé à ce jour.

Image non disponible

En dessous, un tableau répartit ces coûts par service.

Image non disponible

Enfin, en cliquant sur le bouton + devant le nom d'un service vous obtiendrez plus de détails sur l'activité ayant engendré les différents coûts.

Image non disponible

Peut-être avez-vous repéré en haut de page la phrase Monitor your estimated charges. Enable Now to begin setting billing alerts that automatically e-mail you when charges reach a threshold you define que l'on peut traduire par : Surveillez des estimations de vos coûts. Activez cette fonction maintenant pour recevoir des alertes automatiques par courrier électronique lorsque vos coûts dépassent un seuil que vous avez défini. Si cette option vous intéresse, cliquez sur Enable Now pour l'activer.

Vous pourrez ensuite créer une alarme en cliquant, toujours depuis la même page, sur Set your first billing alarm. Vous serez alors redirigé vers la console de management d'Amazon CloudWatch, étudiée dans le chapitre Surveillance et dimensionnement automatique, où vous pourrez configurer cette alarme.

II-C. Rapports d'utilisation

Cette section, également accessible en utilisant le bouton Compte - Console en haut à droite du site AWS, vous donne accès à des rapports d'utilisation détaillés des différents services Amazon.

Pour accéder à ces rapports, la première étape consiste à sélectionner un service dans le menu déroulant Service. Vous pouvez à tout moment changer la valeur de ce champ pour basculer vers les rapports d'un autre service.

Image non disponible

Vous pourrez ensuite affiner votre demande grâce aux quatre champs suivants :

- Types d'Utilisation : ce champ vous permet de filtrer les opérations présentes dans le rapport pour n'en afficher qu'un type bien précis. Si vous avez sélectionné Amazon Elastic Compute Cloud comme service, vous pourrez par exemple sélectionner EU-EBS:VolumeIOUsage pour générer un rapport ne contenant que l'activité liée aux opérations de lecture ou d'écriture (IOUsage signifie ici Input Output Usage, i.e. Utilisation en lecture/écriture) des volumes EBS (cf. chapitre Amazon Elastic Compute Cloud) dans la région EU i.e. Europe. Pour afficher toutes les opérations, sélectionnez All Usage Types ;

- Opération : ce champ permet d'affiner encore plus les opérations à afficher dans le rapport. Avec les choix décrits ci-dessus, vous pourrez sélectionner dans ce champ EBS:IO-Read pour n'afficher que les opérations de lecture ou EBS:IO-Write pour n'afficher que les opérations d'écriture. Vous pouvez aussi sélectionner All Operations pour ne pas utiliser ce filtre ;

- Période de Temporelle (la faute de français dans le nom du champ est reportée ici telle qu'elle apparaît sur le site AWS) : permet de sélectionner la période couverte par le rapport ;

- Granularité : permet de sélectionner la granularité des données du rapport, au choix : Hours pour une granularité horaire, Days pour une granularité quotidienne ou Months pour une granularité mensuelle.

Une fois ces champs remplis, il ne vous reste plus qu'à cliquer sur Download report (XML) ou Download report (CSV) selon le format de fichier, XML (Extensible Markup Language , i.e. langage à balises extensibles) ou CSV, dans lequel vous voulez télécharger votre rapport.

Attention, comme Amazon vous le rappelle sous ces deux boutons, les très grandes demandes (longues périodes, granularité horaire, pas ou peu de filtres des opérations à inclure…) engendrent la création de rapports très volumineux. Il est recommandé de vérifier la fin de ces fichiers : - à la recherche d'éventuels messages d'erreurs ; - pour vous assurer qu'ils sont complets (i.e. vérifier que les dernières données correspondent bien à la fin de la période temporelle sélectionnée).

Image non disponible

II-D. Références de sécurité

Cette page vous donne accès aux différentes informations d'identification et de sécurité liées à votre compte. Elles sont organisées selon trois catégories :

  • justificatifs d'identité ;
  • justificatifs d'enregistrement ;
  • identifiants de compte.

II-D-1. Justificatifs d'identité

Cette section regroupe les informations vous permettant d'authentifier vos requêtes auprès des différents services AWS. Elle est elle-même divisée en trois sous-catégories, accessibles via trois onglets.

Clé d'accès

Ces clés sont utilisées pour communiquer avec l'API AWS via les protocoles REST (Representational State Transfer) ou Query. Nous utiliserons par exemple ces clés dans le chapitre Amazon Elastic Compute Cloud pour communiquer avec l'API dédiée à EC2.

Il s'agit en fait de paires de clés, composées d'une clé publique ou Identifiant de clé d'accès et d'une Clé d'accès secrète. Les clés d'accès sont masquées lorsque vous arrivez sur cette page. Pour les afficher, cliquez sur Afficher sur la ligne de la clé concernée. Une paire de clés a été créée en même temps que votre compte. Vous pouvez si vous le souhaitez en créer une seconde en cliquant sur Créer une nouvelle clé d'accès. Pour désactiver une clé, cliquez sur la mention Rendre Inactif sur la ligne de la clé concernée.

Image non disponible

Certificats X.509

Ces certificats sont utilisés pour les communications avec l'API Amazon utilisant le protocole SOAP (Simple Object Access Protocol). Nous l'utiliserons par exemple dans le chapitre Amazon Elastic Compute Cloud pour communiquer avec des instances RDS (bases de données relationnelles). Seul Amazon S3 fait exception à la règle et utilise des clés d'accès plutôt que des certificats pour des communications SOAP.

Ce panneau vous permet de :

- télécharger un certificat en cliquant sur Téléchargement à côté du nom du certificat ;

- désactiver un certificat en cliquant sur Rendre inactif ;

- générer un nouveau certificat en cliquant sur Créer un nouveau certificat ;

- envoyer votre propre certificat, généré par vos soins, afin de pouvoir l'utiliser pour vous identifier sur AWS. Cliquez pour cela sur Télécharger votre propre certificat (le terme Télécharger est ambigu, il s'agit bien d'envoyer un certificat depuis votre ordinateur vers Amazon).

Image non disponible

Paires de clés

À ne pas confondre avec les clés du premier onglet, ces paires de clés ne sont pas utilisées pour communiquer avec l'API, mais pour des actions bien spécifiques sur Amazon CloudFront et Amazon EC2.

La première partie de l'onglet vous permet de gérer les clés liées à Amazon CloudFront. Vous y retrouverez les mêmes options que pour gérer les certificats. Ces clés permettent d'accéder à du contenu privé sur CloudFront (cf. chapitre Le stockage).

Image non disponible

Les clés pour Amazon EC2 vous permettent d'accéder à vos instances de façon sécurisée. Elles sont mentionnées ici, mais leur gestion se fait depuis la console de management, nous y reviendrons dans le prochain chapitre.

II-D-2. Justificatifs d'enregistrement

Ces justificatifs vous permettent de vous identifier sur les pages sécurisées du site AWS et sur la console de management. Il s'agit en fait du couple adresse e-mail et mot de passe que vous avez utilisé pour accéder aux pages de gestion de compte étudiées dans cette section !

La sous-section Authentification multifactorielle AWS permet d'augmenter le niveau de sécurité de cette identification grâce à un dispositif physique. Vous devez pour cela acheter un périphérique compatible chez Gemalto, fournisseur tiers, en cliquant sur Purchase Device from Gemalto. Vous pourrez alors acheter un Ezio Time Token, petit périphérique ressemblant à une clé USB, mais avec un écran.

Une fois ce dernier en votre possession, revenez à la section dédiée aux justificatifs d'enregistrement et cliquez sur Enable AWS Multi-Factor Authentification with Gemalto Ezio. Un formulaire vous invitera alors à entrer le numéro de série de votre périphérique ainsi que deux codes d'authentification affichés sur l'écran de ce dernier. Vous pourrez ensuite cliquer sur Activer l'Appareil d'Authentification pour confirmer l'activation de l'authentification multifactorielle.

Dorénavant, vous devrez vous identifier non seulement avec votre adresse e-mail et votre mot de passe, mais aussi avec le code affiché sur votre appareil d'authentification, code qui change régulièrement. Cela augmente nettement le niveau de sécurité de votre compte ; même si vos identifiants tombaient entre de mauvaises mains, un utilisateur mal intentionné devrait être en possession de votre appareil d'authentification pour s'identifier à votre place sur AWS ou sur la console de management.

II-D-3. Identifiants de compte

Vous trouverez ici deux identifiants utilisés pour les interactions et partages de ressources entre comptes. L'ensemble des services AWS utilise l'ID de compte AWS, à l'exception de S3 qui utilise l'ID d'utilisateur Canonique.

II-E. Console de management

La console de management est le cœur de l'interface d'administration des services AWS, nous y réaliserons l'essentiel des opérations que nous allons découvrir dans cet ouvrage.

Elle est accessible en cliquant sur Compte - Console en haut à droite des pages du site AWS ou à l'adresse http://console.aws.amazon.com.

En y accédant, vous arriverez sur un écran de la forme suivante :

Image non disponible

Cette console peut être décomposée en trois parties :

- un bandeau supérieur vous permettant de naviguer entre les différents services AWS. Cliquez sur Services pour en faire apparaître la liste. Vous pouvez également cliquer sur Edit Shortcuts pour faire apparaître la liste des services et en ajouter certains au sein même du bandeau supérieur via un glisser-déposer afin de pouvoir y accéder plus rapidement.

Image non disponible

- un panneau latéral gauche permet de naviguer entre les différents panneaux de configuration du service sélectionné. Ce panneau est absent de l'interface d'administration de certains services dont le petit nombre d'options de configuration ne justifie pas sa présence.

Image non disponible

- en haut à droite, des menus déroulants vous permettent de sélectionner la région dans laquelle vous travaillez et d'accéder à l'aide en ligne ou l'administration de votre compte.

Image non disponible

- une fenêtre principale correspond au panneau de configuration sélectionné dans le menu latéral gauche. Elle sera souvent composée d'une barre supérieure contenant divers boutons et champs de recherche, puis une liste de divers éléments (instances, groupes de configuration, fichiers…) et enfin un panneau inférieur permettant d'accéder aux options de configuration de l'élément sélectionné dans la liste. Ce dernier sera souvent divisé par plusieurs onglets.

Image non disponible

Pour une utilisation optimale de cette console, Amazon recommande l'utilisation de Mozilla Firefox, Apple Safari, Google Chrome ou Internet Explorer dans sa version 9 ou supérieure.

III. Gestion des utilisateurs

III-A. Présentation

En parcourant la console de management présentée dans la section Gestion du compte, vous avez peut-être remarqué qu'elle vous donne accès à l'ensemble des services AWS sans restriction. En effet le compte que vous utilisez pour l'instant est le compte administrateur et possède l'ensemble des permissions sur toutes vos ressources.

Or, vous souhaitez peut-être accorder certains droits d'administration à des utilisateurs sans pour autant leur donner accès à toutes les ressources du compte. Amazon a créé pour cela le service IAM (Identity and Access Management) permettant de créer des utilisateurs et des groupes d'utilisateurs auxquels vous pouvez affecter des permissions bien précises.

Ces permissions sont définies par des listes d'actions autorisées ou interdites pour chaque groupe d'utilisateurs, et éventuellement par des conditions extérieures comme la date et l'heure, l'adresse IP d'origine et l'utilisation ou non d'une connexion sécurisée (SSL).

IAM vous permet également de définir des rôles IAM. Ces rôles sont analogues aux permissions affectées à des groupes d'utilisateurs sauf qu'ils sont liés à des applications EC2. Ils vous permettent ainsi d'autoriser vos applications à agir sur vos services AWS, via l'API Amazon, dans un périmètre bien défini.

Enfin, IAM permet de définir pour vos utilisateurs une politique de mot de passe (longueur minimale, présence obligatoire de caractères spéciaux…) afin de garantir la robustesse de ces derniers.

Amazon IAM est un service gratuit. Gardez cependant à l'esprit qu'à partir du moment où vous autorisez d'autres personnes à créer de nouvelles ressources ces dernières vous seront évidemment facturées. Assurez-vous donc que ces utilisateurs sont bien formés à l'utilisation d'AWS pour ne pas avoir de surprises sur votre facture ! Par prudence, vous pouvez également définir des alertes (par courrier électronique) en cas de dépassement de certains seuils de facturation (cf. chapitre Surveillance et dimensionnement automatique).

III-B. Création d'un groupe

III-B-1. Présentation de la console IAM

Pour créer votre premier utilisateur, vous devez d'abord créer le groupe dont il fera partie. Pour cela, commencez par vous connecter à la console de management. Comme nous l'avons vu dans la section Gestion du compte - Console de management, cette dernière est accessible depuis toutes les pages du site AWS en cliquant sur Compte - Console en haut à droite ou directement depuis l'adresse : http://console.aws.amazon.com.

Sélectionnez ensuite le service IAM en cliquant sur Services dans le bandeau supérieur de la console. Vous arriverez alors sur l'écran d'accueil du panneau d'administration IAM.

Image non disponible

On retrouve sur ce panneau le menu latéral gauche permettant de naviguer entre les catégories évoquées dans la présentation de la console, ainsi qu'une fenêtre principale. Vous pouvez remarquer que le menu déroulant permettant de sélectionner la région (en haut à droite) prend la valeur Global. IAM est en effet le seul service n'étant pas cloisonné par région : les utilisateurs et groupes peuvent accéder à l'ensemble des régions.

Pour débuter la création d'un groupe, cliquez sur le bouton Create a New Group of Users.

Un premier champ intitulé Group Name vous invitera à entrer le nom du groupe à créer. Dans l'ensemble de cette procédure, le passage à l'étape suivante se fait grâce au bouton Continue en bas de fenêtre. À partir de la prochaine étape, vous pourrez revenir à l'étape précédente en cliquant sur Back en bas à gauche de la fenêtre. Vous pouvez également interrompre la procédure à tout moment en cliquant sur Cancel en haut à droite de la fenêtre.

Image non disponible

Nous allons maintenant définir les permissions accordées aux membres de ce groupe.

III-B-2. Définition de permissions pour le groupe

La définition des permissions peut se faire par quatre méthodes, chacune correspondant à une des options proposées par le panneau auquel vous accédez après avoir validé le nom de votre groupe.

Select Policy Template

Cette méthode vous propose de choisir les permissions à accorder au groupe parmi une liste de choix prédéfinis. On y distingue cinq niveaux d'accès :

- Administrator Access : accès complet à l'ensemble des ressources AWS, au même titre que le compte que vous utilisez actuellement ;

- Power User Access : accès à l'ensemble des ressources AWS, sauf la gestion des utilisateurs ;

- Amazon EC2 Full Access : accès complet aux ressources Amazon EC2. On trouve ce niveau d'accès pour chacun des différents services AWS ;

- Read Only Access : accès en lecture seule à l'ensemble des ressources AWS ;

- Amazon EC Read Only Access : accès en lecture seule aux ressources Amazon EC2. On retrouve ce niveau d'accès pour chacun des différents services AWS.

Vous pouvez valider votre choix en cliquant sur le bouton Select à droite de l'option désirée.

Image non disponible

Policy Generator

Cette seconde option, après un clic sur le bouton Select qui apparaîtra une fois que vous l'aurez sélectionnée, vous amène sur un générateur de permissions permettant de définir des règles personnalisées.

Le panneau qui se présente à vous est alors composé des quatre champs suivants :

- Effect : vous avez ici le choix entre Allow et Deny. Vous définissez ainsi si les actions que vous allez définir grâce aux trois champs suivants sont (respectivement) autorisées ou interdites aux membres de ce groupe ;

- AWS Service : le service concerné. Sélectionnons par exemple Amazon EC2 que nous étudierons dans le prochain chapitre ;

- Actions : ce champ vous présente une liste d'actions associées au service sélectionné. Vous devez y cocher celles qui seront concernées par cette règle.

Ces actions seront plus parlantes une fois que vous serez familier aux différents services étudiés au fil de cet ouvrage. Nous pourrions par exemple sélectionner StartInstances. En supposant sur nous ayons sélectionné Allow dans le champ Effect, les membres de ce groupe pourront démarrer des instances EC2 ;

- Amazon Resource Name (ARN) : pour certains services (par exemple S3, mais pas EC2), des règles peuvent ne s'appliquer qu'à des ressources bien identifiées. Nous étudierons plus spécifiquement comment déterminer l'ARN d'un élément dans le chapitre Amazon Elastic Compute Cloud lorsque nous définirons des autorisations applicables uniquement à certains éléments stockés sur ce service.

Image non disponible

Vous pouvez maintenant si vous le souhaitez affiner cette règle pour la soumettre par exemple à une contrainte temporelle. Imaginons par exemple que ce groupe soit créé à l'intention d'un prestataire réalisant des opérations de maintenance sur vos instances pendant le mois de juillet 2012. Nous pouvons dès maintenant préciser que cette règle n'est valable que pendant cette période. Vous vous assurez ainsi de ne pas oublier de révoquer ces permissions le moment venu.

Cliquez pour cela sur Add Conditions (Optional). Trois champs apparaissent :

- Condition : le test à réaliser et qui doit renvoyer un résultat positif pour que la règle s'applique ;

- Key : la variable sur laquelle porte le test ;

- Value : la valeur par rapport à laquelle le la variable doit être testée.

Cette terminologie n'est pas toujours évidente à prendre en main, mais elle s'éclaircit rapidement avec un exemple. Reprenons donc notre autorisation d'accès en juillet 2012. Nous allons créer deux conditions :

Condition n°1 : - Condition : Date GreaterThan - Key : aws:CurrentTime - Value : 2012-07-01T00:00:00Z Condition n°2 : - Condition : DateLowerThan - Key : aws:CurrentTime - Value : 2012-08-01T00:00:00Z

Nous définissions ainsi que la variable aws:CurrentTime (date et heure actuelle) doit être supérieure (Condition 1, DateGreaterThan) au 01/07/2012 à minuit et inférieure (Condition 2, DateLowerThan) au 01/08/2012 à minuit.

Vous pouvez ensuite cliquer sur Add Statement pour ajouter cette règle élémentaire à notre nouvel ensemble de règles. Vous pouvez ajouter ainsi autant de règles que vous le souhaitez avant de passer à l'étape suivante en cliquant sur Continue.

Custom permissions

Avec cette option, un écran vous permet d'entrer vous-même, au format JSON (JavaScript Object Notation) et en respectant des champs propres à IAM, vos différentes permissions dans un champ de texte. Nous n'aborderons pas ici cette fonctionnalité avancée, toutes les politiques pouvant être définies à l'aide du générateur de permissions décrit précédemment (des informations sont disponibles dans la documentation en ligne à l'adresse http://docs.amazonwebservices.com/IAM/latest/UserGuide/ExampleIAMPolicies.html).

Cet écran présentant les permissions définies au format JSON sera affiché au terme des procédures décrites dans les deux cas précédents, prérempli selon vos choix de permissions. Vous n'aurez dans ces cas qu'à passer à l'étape suivante sans rien modifier.

No Permissions

Aucune permission n'est accordée aux membres du groupe. Cette option peut être utilisée pour commencer la création d'un groupe et l'ajout de ses différents membres avant de vous préoccuper des permissions que vous leur accorderez.

III-B-3. Ajout d'utilisateurs au groupe

L'étape suivante vous permet d'ajouter des utilisateurs au groupe. L'onglet Create New Users vous propose cinq champs pour créer de nouveaux utilisateurs et les ajouter au groupe. Il suffit de taper les noms des utilisateurs à créer.

Si vous cochez la case Generate an access key for each User en bas de la fenêtre, des clés d'accès seront générées pour ces nouveaux utilisateurs. Ces clés d'accès leur permettront d'utiliser les API Amazon. Pour qu'ils puissent accéder à la console de management, vous devrez leur attribuer un mot de passe. Vous pourrez faire cela une fois la création du groupe achevée, grâce à un clic droit sur l'utilisateur concerné dans la section Users (menu latéral gauche) puis en sélectionnant Manage password.

Image non disponible

L'onglet Add Existing Users, accessible uniquement si d'autres utilisateurs ont déjà été créés, permet quant à lui d'ajouter au groupe des utilisateurs existants. Il suffit de cocher les utilisateurs concernés dans la liste qui vous est proposée. Vous pouvez éventuellement affiner cette liste grâce au champ de recherche en haut de la fenêtre.

Image non disponible

Il ne vous reste plus qu'à vérifier le récapitulatif de la configuration de votre groupe sur le panneau suivant avant de confirmer sa création.

III-B-4. Gestion des groupes

Pour accéder au panneau de gestion des groupes, cliquez sur Groups dans le menu latéral gauche.

La fenêtre principale affichera alors la liste de vos groupes. En cliquant sur un de ces groupes, vous ferez apparaître un panneau inférieur composé de trois onglets.

- Users : vous y verrez la liste des membres du groupe. Vous pourrez exclure certains membres en cliquant sur Remove from Group à côté de leur nom ou en ajouter en cliquant sur le bouton Add Users to Group (vous retrouverez une liste d'utilisateurs similaire à celle rencontrée lors de la création du groupe).

- Permissions : vous verrez ici la liste des permissions associées au groupe. Le bouton Show sur chacune des lignes vous permet d'afficher les détails de ces permissions, tandis que les boutons Manage Policy et Remove Policy vous permettent de les modifier ou de les supprimer. Le bouton Attach Another Policy permet pour sa part d'ajouter de nouvelles permissions qui se cumuleront à celles existantes. Vous retrouverez l'interface de définition de permissions étudiée dans la section Définition de permissions pour le groupe.

- Summary : quelques informations liées au groupe, comme son nombre d'utilisateurs ou sa date de création. Vous pouvez également lire ces informations dans la fenêtre principale sur les lignes correspondant à chacun des groupes.

En haut de la fenêtre principale, le bouton Create New Group débute une procédure de création de groupe, similaire à celle étudiée dans la section Définition de permissions pour le groupe sauf qu'il ne vous sera pas proposé de créer de nouveaux utilisateurs.

Le bouton Group Action permet pour sa part, lorsqu'un groupe est sélectionné, d'accéder aux actions suivantes :

  • Add Users to Group : ajouter des utilisateurs ;
  • Delete Group : supprimer le groupe ;
  • Edit Group Name : modifier le nom du groupe ;
  • Remove Users from Group : supprimer des utilisateurs du groupe.

Vous avez aimé ce tutoriel ? Alors partagez-le en cliquant sur les boutons suivants : Viadeo Twitter Facebook Share on Google+   

Copyright © 2013 developpez Developpez LLC. Tous droits réservés Developpez LLC. Aucune reproduction, même partielle, ne peut être faite de ce site ni de l'ensemble de son contenu : textes, documents et images sans l'autorisation expresse de Developpez LLC. Sinon vous encourez selon la loi jusqu'à trois ans de prison et jusqu'à 300 000 € de dommages et intérêts.