Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Mise en réseau dans AWS Control Tower
<a name="networking"></a>

AWS Control Tower fournit un support de base pour la mise en réseau via VPCs.

Si la configuration ou les fonctionnalités par défaut du VPC AWS Control Tower ne répondent pas à vos besoins, vous pouvez utiliser d'autres AWS services pour configurer votre VPC. Pour plus d'informations sur l'utilisation d'AWS Control Tower, consultez la section [Création d'une infrastructure AWS réseau multi-VPC évolutive et sécurisée](https://d1.awsstatic.com/whitepapers/building-a-scalable-and-secure-multi-vpc-aws-network-infrastructure.pdf). VPCs 

AWS Control Tower prend en charge IPv4 et établit IPv6 des protocoles, via des adresses IP à double pile. Pour plus d'informations, consultez les sections [Points de terminaison et quotas AWS Control Catalog](https://docs.aws.amazon.com//general/latest/gr/controlcatalog.html) et [Points de terminaison et quotas AWS Control Tower](https://docs.aws.amazon.com//general/latest/gr/controltower.html).

**Rubriques en relation**
+ Pour plus d'informations sur le fonctionnement d'AWS Control Tower lorsque vous inscrivez des comptes existants VPCs, consultez[Inscrivez des comptes existants avec VPCs](enroll-account.md#enroll-existing-accounts-with-vpcs).
+ Avec Account Factory, vous pouvez provisionner des comptes qui incluent un VPC AWS Control Tower, ou vous pouvez provisionner des comptes sans VPC. Pour plus d'informations sur la façon de supprimer le VPC AWS Control Tower ou de configurer des comptes AWS Control Tower sans VPC, consultez. [Procédure pas à pas : configurer AWS Control Tower sans VPC](configure-without-vpc.md)
+ Pour plus d'informations sur la modification des paramètres de compte pour VPCs, consultez la [documentation d'Account Factory sur la](https://docs.aws.amazon.com//controltower/latest/userguide/account-factory.html#configuring-account-factory-with-VPC-settings) mise à jour d'un compte.
+ Pour plus d'informations sur l'utilisation du réseau et VPCs dans AWS Control Tower, consultez la section relative à la [mise en réseau](https://docs.aws.amazon.com//controltower/latest/userguide/related-information.html#networking) sur la page *d'informations connexes* de ce *guide de l'utilisateur*.

## VPCs et AWS régions dans AWS Control Tower
<a name="vpcs-and-regions"></a>

Lors de la création d'un compte, un VPC AWS par défaut est AWS créé dans chaque région, même dans les régions que vous ne gérez pas avec AWS Control Tower. Ce VPC par défaut n'est pas le même qu'un VPC créé par AWS Control Tower pour un compte provisionné, mais le AWS VPC par défaut dans une région non gouvernée peut être accessible aux utilisateurs IAM.

Les administrateurs peuvent activer le refus de contrôle par région, afin que vos utilisateurs finaux ne soient pas autorisés à se connecter à un VPC dans *une région prise en charge par AWS Control Tower mais en dehors de vos régions gouvernées*. Pour configurer le refus de contrôle par région, rendez-vous sur la page des **paramètres de la zone d'atterrissage** et sélectionnez **Modifier les paramètres**.

Le refus de contrôle de la région bloque les appels d'API vers la plupart des services non gouvernés Régions AWS. Pour plus d'informations, consultez la section [Refuser l'accès AWS en fonction de la demande Région AWS.](https://docs.aws.amazon.com//controltower/latest/userguide/primary-region-deny-policy.html) .

**Note**  
Le refus de contrôle de la région peut ne pas empêcher les utilisateurs IAM de se connecter à un VPC AWS par défaut dans une région où AWS Control Tower n'est pas pris en charge.

Vous pouvez éventuellement supprimer la AWS valeur par défaut VPCs dans les régions non gouvernées. Pour répertorier le VPC par défaut dans une région, vous pouvez utiliser une commande CLI similaire à cet exemple :

```
aws ec2 --region us-west-1 describe-vpcs --filter Name=isDefault,Values=true
```

# Présentation d'AWS Control Tower et VPCs
<a name="vpc-concepts"></a>

Voici quelques informations essentielles concernant AWS Control Tower VPCs :
+ Le VPC créé par AWS Control Tower lorsque vous configurez un compte dans Account Factory n'est pas le même que le AWS VPC par défaut.
+ Lorsqu'AWS Control Tower crée un nouveau compte dans une AWS région prise en charge, AWS Control Tower supprime automatiquement le AWS VPC par défaut et configure un nouveau VPC configuré par AWS Control Tower.
+ Chaque compte AWS Control Tower a droit à un VPC créé par AWS Control Tower. Un compte peut en avoir d'autres AWS VPCs dans la limite du compte.
+ Chaque VPC AWS Control Tower possède trois zones de disponibilité dans toutes les régions, à l'exception de la région de l'ouest des États-Unis (Californie du Nord)`us-west-1`, et deux zones de disponibilité dans. `us-west-1` Par défaut, chaque zone de disponibilité se voit attribuer un sous-réseau public et deux sous-réseaux privés. Par conséquent, dans les régions à l'exception de l'ouest des États-Unis (Californie du Nord), chaque VPC AWS Control Tower contient neuf sous-réseaux par défaut, répartis sur trois zones de disponibilité. Dans l'ouest des États-Unis (Californie du Nord), six sous-réseaux sont répartis sur deux zones de disponibilité.
+ Chacun des sous-réseaux de votre VPC AWS Control Tower se voit attribuer une plage unique, de taille égale.
+ Le nombre de sous-réseaux dans un VPC est configurable. Pour plus d'informations sur la modification de la configuration de votre sous-réseau VPC, consultez [la rubrique Account Factory](https://docs.aws.amazon.com//controltower/latest/userguide/account-factory.html).
+ Comme les adresses IP ne se chevauchent pas, les six ou neuf sous-réseaux de votre VPC AWS Control Tower peuvent communiquer entre eux sans restriction.

Lorsque vous travaillez avec AWS Control Tower VPCs, aucune distinction n'est faite au niveau de la région. Chaque sous-réseau est alloué à partir de la plage d'adresses CIDR exacte que vous spécifiez. Les sous-réseaux VPC peuvent exister dans n'importe quelle région.

**Remarques**

**Gérez les coûts des VPC**  
Si vous configurez le VPC Account Factory de telle sorte que les sous-réseaux publics soient activés lors de l'approvisionnement d'un nouveau compte, Account Factory configure le VPC pour créer une passerelle NAT. Vous serez facturé pour votre utilisation par Amazon VPC.

**VPC et paramètres de contrôle**  
Si vous configurez des comptes Account Factory avec les paramètres d'accès Internet VPC activés, ce paramètre annule le contrôle Interdire l'accès à [Internet pour une instance Amazon VPC gérée](https://docs.aws.amazon.com//controltower/latest/controlreference/data-residency-controls.html#disallow-vpc-internet-access) par un client. Pour éviter d'activer l'accès à Internet pour les comptes nouvellement provisionnés, vous devez modifier le paramètre dans Account Factory. Pour plus d'informations, consultez [Procédure pas à pas : configurer AWS Control Tower sans VPC.](https://docs.aws.amazon.com//controltower/latest/userguide/configure-without-vpc.html)

# CIDR et peering pour VPC et AWS Control Tower
<a name="vpc-ct-cidr"></a>

Cette section est destinée principalement aux administrateurs réseau. L'administrateur réseau de votre entreprise est généralement la personne qui sélectionne la plage d'adresses CIDR globale pour votre organisation AWS Control Tower. L'administrateur réseau alloue ensuite des sous-réseaux à partir de cette plage à des fins spécifiques.

Lorsque vous choisissez une plage d'adresses CIDR pour votre VPC, AWS Control Tower valide les plages d'adresses IP conformément à la spécification RFC 1918. Account Factory autorise un bloc CIDR allant jusqu'`/16`à une valeur comprise entre : 
+ `10.0.0.0/8`
+ `172.16.0.0/12`
+ `192.168.0.0/16`
+ `100.64.0.0/10`(uniquement si votre fournisseur d'accès Internet autorise l'utilisation de cette plage)

Le délimiteur `/16` permet jusqu'à 65 536 adresses IP distinctes.

Vous pouvez attribuer des adresses IP valides à partir des plages suivantes :
+ `10.0.x.x to 10.255.x.x`
+ `172.16.x.x – 172.31.x.x`
+ `192.168.0.0 – 192.168.255.255`(pas IPs hors de `192.168` portée)

Si la plage que vous spécifiez se situe en dehors de ces valeurs, AWS Control Tower affiche un message d'erreur.

La plage d'adresses CIDR par défaut est `172.31.0.0/16`.

Lorsqu'AWS Control Tower crée un VPC à l'aide de la plage d'adresses CIDR que vous sélectionnez, elle attribue la même plage d'adresses CIDR à chaque *VPC* pour chaque compte que vous créez au sein de l'unité organisationnelle (UO). En raison du chevauchement par défaut des adresses IP, cette implémentation n'autorise initialement pas le peering entre les différentes entités de votre AWS Control Tower VPCs au sein de l'unité d'organisation.

**Sous-réseaux**

Au sein de chaque VPC, AWS Control Tower divise la plage de CIDR spécifiée de manière égale en neuf sous-réseaux (sauf dans l'ouest des États-Unis (Californie du Nord), où elle est de six sous-réseaux). Aucun des sous-réseaux au sein d'un VPC ne se chevauche. Ils peuvent donc tous communiquer entre eux, au sein du VPC.

En résumé, par défaut, les communications de sous-réseau au sein du VPC ne sont pas restreintes. La bonne pratique pour contrôler la communication entre vos sous-réseaux VPC, si nécessaire, consiste à configurer les listes de contrôle d'accès avec des règles qui définissent le flux de trafic autorisé. Utilisez des groupes de sécurité pour contrôler le trafic entre des instances spécifiques. Pour plus d'informations sur la configuration des groupes de sécurité et des pare-feux dans AWS Control Tower, consultez la section [Procédure pas à pas : configurer des groupes de sécurité dans AWS Control Tower With AWS Firewall Manager](https://docs.aws.amazon.com//controltower/latest/userguide/firewall-setup-walkthrough.html).

**Appairage**

AWS Control Tower ne limite pas le VPC-to-VPC peering pour les communications entre plusieurs VPCs. Cependant, par défaut, toutes les AWS Control Tower VPCs ont la même plage d'adresses CIDR par défaut. Pour prendre en charge le peering, vous pouvez modifier la plage CIDR dans les paramètres d'Account Factory afin que les adresses IP ne se chevauchent pas.

Si vous modifiez la plage d'adresses CIDR dans les paramètres d'Account Factory, la nouvelle plage d'adresses CIDR est attribuée à tous les nouveaux comptes créés ultérieurement par AWS Control Tower (à l'aide de Account Factory). Les anciens comptes ne sont pas mis à jour. Par exemple, vous pouvez créer un compte, puis modifier la plage d'adresses CIDR et créer un nouveau compte, et le VPCs montant alloué à ces deux comptes peut être comparé. L'appairage est possible, car leurs plages d'adresses IP ne sont pas identiques.

# Accédez à AWS Control Tower à l'aide d'un point de terminaison d'interface (AWS PrivateLink)
<a name="networking-privatelink"></a>

Vous pouvez l'utiliser AWS PrivateLink pour créer une connexion privée entre votre VPC et AWS Control Tower. Vous pouvez accéder à AWS Control Tower comme si elle se trouvait dans votre VPC, sans passer par une passerelle Internet, un appareil NAT, une connexion VPN ou Direct Connect une connexion. Les instances de votre VPC n'ont pas besoin d'adresses IP publiques pour accéder à AWS Control Tower.

Vous établissez cette connexion privée en créant un *point de terminaison d’interface* optimisé par AWS PrivateLink. Nous créons une interface réseau de point de terminaison dans chaque sous-réseau que vous activez pour le point de terminaison d’interface. Il s'agit d'interfaces réseau gérées par les demandeurs qui servent de point d'entrée pour le trafic destiné à AWS Control Tower.

Pour plus d'informations, consultez la section [Accès Services AWS par AWS PrivateLink le biais](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html) du *AWS PrivateLink guide*.

## Considérations relatives à AWS Control Tower
<a name="privatelink-vpc-endpoint-considerations"></a>

Avant de configurer un point de terminaison d'interface pour AWS Control Tower, consultez les [considérations](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints) du *AWS PrivateLink guide*.

AWS Control Tower permet d'appeler toutes ses actions d'API via le point de terminaison de l'interface.

## Création d'un point de terminaison d'interface pour AWS Control Tower
<a name="privatelink-vpc-endpoint-create"></a>

Vous pouvez créer un point de terminaison d'interface pour AWS Control Tower à l'aide de la console Amazon VPC ou du AWS Command Line Interface ()AWS CLI. Pour plus d’informations, consultez [Création d’un point de terminaison d’interface](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) dans le *Guide AWS PrivateLink *.

Créez un point de terminaison d'interface pour AWS Control Tower à l'aide des noms de service suivants :

```
com.amazonaws.region.controltower
com.amazonaws.region.controltower-fips
```

Si vous activez le DNS privé pour le point de terminaison de l'interface, vous pouvez envoyer des demandes d'API à AWS Control Tower en utilisant son nom DNS régional par défaut. Par exemple, `controltower.us-east-1.amazonaws.com`.

## Création d’une politique de point de terminaison pour votre point de terminaison d’interface
<a name="privatelink-vpc-endpoint-policy"></a>

Une politique de point de terminaison est une ressource IAM que vous pouvez attacher à votre point de terminaison d’interface. La politique de point de terminaison par défaut autorise un accès complet à AWS Control Tower via le point de terminaison de l'interface. Pour contrôler l'accès autorisé à AWS Control Tower depuis votre VPC, associez une politique de point de terminaison personnalisée au point de terminaison de l'interface.

Une politique de point de terminaison spécifie les informations suivantes :
+ Les principaux qui peuvent effectuer des actions (Comptes AWS, utilisateurs IAM et rôles IAM).
+ Les actions qui peuvent être effectuées.
+ La ressource sur laquelle les actions peuvent être effectuées.

Pour plus d’informations, consultez [Contrôle de l’accès aux services à l’aide de politiques de point de terminaison](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) dans le *Guide AWS PrivateLink *.

**Exemple : politique de point de terminaison VPC pour les actions d'AWS Control Tower**  
Voici un exemple de politique de point de terminaison personnalisée. Lorsque vous associez cette politique au point de terminaison de votre interface, elle accorde l'accès aux actions AWS Control Tower répertoriées à tous les principaux sur toutes les ressources.

```
{
   "Statement": [
      {
         "Principal": "*",
         "Effect": "Allow",
         "Action": [
            "controltower:ListEnabledControls",
            "controltower:ListLandingZones"
         ],
         "Resource":"*"
      }
   ]
}
```

**Note**  
Pour obtenir la liste complète des opérations de l'API AWS Control Tower, consultez le document de [référence sur les API AWS Control Tower](https://docs.aws.amazon.com//controltower/latest/APIReference/Welcome.html).