Prérequis - Centre des partenaires AWS
Rôles et autorisations des utilisateursChoisir le bon AWS compteOctroi d'autorisations IAMComprendre les autorisations des rôlesCréation d'un ensemble d'autorisations pour l'authentification unique

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Prérequis

Les rubriques suivantes répertorient les conditions requises pour associer AWS Partner Central et les AWS comptes. Nous vous recommandons de suivre les sujets dans l'ordre indiqué.

Note

En raison de problèmes liés à l'interface utilisateur, aux fonctionnalités et aux performances, la liaison de comptes n'est pas compatible avec Firefox Extended Support Release (Firefox ESR). Nous vous recommandons d'utiliser la version normale de Firefox ou l'un des navigateurs Chrome.

Rôles et autorisations des utilisateurs

Pour associer votre AWS compte à un compte AWS Partner Central, vous avez besoin de personnes occupant les rôles suivants :

Administrateur de la gestion des identités et des accès (IAM)

Gère les autorisations des utilisateurs via IAM. Travaille généralement dans le domaine de la sécurité informatique, de la sécurité de l'information, des équipes IAM dédiées ou des organisations de gouvernance et de conformité. Responsable de la mise en œuvre des politiques IAM, de la configuration des solutions SSO, de la gestion des examens de conformité et de la maintenance des structures de contrôle d'accès basées sur les rôles.

Responsable de l'alliance AWS Partner Central ou administrateur du cloud

L'administrateur principal du compte de votre entreprise. Cette personne doit avoir un rôle de développement commercial ou de direction commerciale et être légalement habilitée à accepter les conditions générales du réseau de AWS partenaires. Le responsable de l'alliance peut déléguer la liaison du compte à un utilisateur Partner Central ayant le rôle d'utilisateur Cloud Admin.

Utilisez les informations du tableau suivant pour décider quel AWS compte vous devez associer à votre compte Partner Central.

Important

Tenez compte des points suivants lors de la sélection d'un AWS compte :

  • AWS Partner Central nécessite un AWS compte qui utilise les politiques IAM pour contrôler l'accès.

  • Le AWS compte associé gère le paiement des frais APN, les solutions et le suivi des opportunités d'engagement client APN (ACE) à l'aide de Partner Central. APIs

  • AWS Les fonctionnalités du réseau de partenaires APIs sont disponibles via le AWS compte associé.

  • AWS des ressources telles que les opportunités ACE, l'historique des opportunités et les invitations à des opportunités multipartenaires sont créées dans le AWS compte associé et ne peuvent pas être transférées vers d'autres AWS comptes.

  • Le AWS compte auquel vous vous connectez doit être associé à un plan de AWS compte payant. Lorsque vous créez un AWS compte, choisissez le plan de compte payant. Pour passer au forfait payant d'un AWS AWS compte, reportez-vous à la section Choisir un plan AWS gratuit dans le Guide AWS de l'utilisateur de facturation.

  • AWS recommande de lier un AWS compte qui n'est pas utilisé aux fins suivantes.

    • Un compte de gestion, dans lequel vous gérez les informations de compte et les métadonnées de tous les AWS comptes de votre organisation.

    • Un compte de production, dans lequel les utilisateurs et les données interagissent avec les applications et les services.

    • Un compte développeur ou sandbox, dans lequel les développeurs écrivent du code.

    • Un compte personnel où les individus peuvent apprendre, expérimenter et travailler sur des projets personnels.

    • Un compte AWS Marketplace acheteur, auprès duquel vous achetez des produits AWS Marketplace.

    Le fait de séparer le compte associé de vos engagements au réseau de AWS partenaires garantit la flexibilité des configurations spécifiques à AWS Partner Central sans affecter les autres environnements. Cela simplifie également le suivi financier, les rapports fiscaux et les audits.

AWS Scénario partenaire exemple AWS options de compte Considérations

Scénario 1 : Vous possédez un ou plusieurs AWS comptes gérés par un tiers et vous n'êtes pas enregistré en tant que AWS Marketplace vendeur

AWS Partenaires travaillant avec des partenaires AWS distributeurs

Option 1 : créer un AWS compte et créer un lien vers celui-ci.

Option 2 : lien vers un AWS compte existant

Option 1 :

  • Est-il acceptable de facturer les frais APN sur ce compte ? Le compte AWS de gestion peut payer les frais si le compte appartient à une AWS organisation.

  • Est-ce ici que vous souhaitez accéder aux fonctionnalités du AWS Partner Network APIs ?

Option 2 :

  • Mêmes considérations que l'option 1

  • S'agit-il d'un compte AWS de gestion, de production, de développeur ou d'un compte personnel ?

  • Pouvez-vous autoriser le personnel externe à accéder au compte qui gère les engagements de AWS Partner Central ?

  • Ce compte est-il adapté à la gestion de l'accès des utilisateurs de Partner Central ?

Scénario 2 : Vous possédez AWS un ou plusieurs comptes et n'êtes pas enregistré en tant que AWS Marketplace vendeur

AWS Partenaires qui n'effectuent pas de transactions AWS Marketplace ou partenaires situés dans des pays où ce n' AWS Marketplace est pas disponible

Identique au scénario 1

Identique au scénario 1

Scénario 3 : vous possédez un ou plusieurs AWS comptes et vous êtes enregistré en tant que AWS Marketplace vendeur avec un seul compte vendeur Marketplace

AWS Partenaires disposant d'une liste de produits consolidée dans un seul pays ou opérant dans le monde entier

Option 1 : créer un nouveau AWS compte et créer un lien vers celui-ci

Option 2 : lien vers un AWS compte existant

Option 3 : lien vers un compte AWS Marketplace vendeur

Option 1 :

  • Avez-vous besoin d'accéder aux AWS Marketplace fonctionnalités qui nécessitent un compte vendeur Marketplace associé ?

  • Envisagez-vous de rejoindre le programme AWS ISV Accelerate ? Consultez les exigences du programme.

  • Avez-vous besoin de partager les ressources de AWS Partner Central et Marketplace, telles que les opportunités, les offres, les solutions et les listes de produits ?

  • Serait-il préférable de désigner AWS Marketplace le compte vendeur contenant le plus grand nombre d'offres de produits ou de transactions comme compte vendeur principal de Marketplace ?

  • Est-il acceptable de facturer les frais APN sur ce compte ?

Option 2 :

  • Mêmes considérations que l'option 1

  • S'agit-il d'un compte AWS de gestion, de production, de développeur ou d'un compte personnel ?

  • Ce compte est-il adapté à la gestion de l'accès des utilisateurs de Partner Central ?

Option 3 :

  • Mêmes considérations que les options 1 et 2

  • Prévoyez-vous de créer des comptes AWS Marketplace vendeurs supplémentaires ? Dans l'affirmative, est-il acceptable de désigner le compte vendeur Marketplace actuel comme compte vendeur Marketplace principal ?

Scénario 4 : vous possédez un ou plusieurs AWS comptes et vous êtes enregistré en tant que AWS Marketplace vendeur avec plusieurs comptes vendeurs

AWS Partenaires qui ont plusieurs listes de produits dans différents secteurs d'activité ou qui doivent satisfaire aux exigences réglementaires et de conformité

Identique au scénario 3

Identique au scénario 3

Octroi d'autorisations IAM

La politique IAM répertoriée dans cette section accorde aux utilisateurs d'AWS Partner Central un accès limité à un AWS compte associé. Le niveau d'accès dépend du rôle IAM attribué à l'utilisateur. Pour plus d'informations sur les niveaux d'autorisation, reportez-vous à la Comprendre les autorisations des rôles section suivante de cette rubrique.

Pour créer la politique, vous devez être un administrateur informatique responsable d'un AWS environnement. Lorsque vous avez terminé, vous devez attribuer la politique à un utilisateur ou à un rôle IAM.

Les étapes décrites dans cette section expliquent comment utiliser la console IAM pour créer la politique.

Note

Si vous êtes responsable d'alliance ou administrateur du cloud et que vous possédez déjà un utilisateur ou un rôle IAM avec des autorisations d' AWS administrateur, passez àAssocier AWS Partner Central et les AWS comptes.

Pour plus d'informations sur les rôles d'AWS Partner Central, consultez la Rôles d'AWS Partner Central suite de ce guide.

Pour créer la politique

  1. Connectez-vous à la console IAM.

  2. Sous Access Management (Gestion des accès), choisissez Policies (politiques).

  3. Choisissez Create policy, choisissez JSON et ajoutez la politique suivante :

    JSON
    {
    "Version": "2012-10-17"		 	 	 ,
    "Statement": [
        {
            "Sid": "CreatePartnerCentralRoles",
            "Effect": "Allow",
            "Action": [
                "iam:CreateRole"
            ],
            "Resource": [
                "arn:aws:iam::*:role/PartnerCentralRoleForCloudAdmin*",
                "arn:aws:iam::*:role/PartnerCentralRoleForAce*",
                "arn:aws:iam::*:role/PartnerCentralRoleForAlliance*"
            ]
        },
        {
            "Sid": "AttachPolicyToPartnerCentralCloudAdminRole",
            "Effect": "Allow",
            "Action": "iam:AttachRolePolicy",
            "Resource": "arn:aws:iam::*:role/PartnerCentralRoleForCloudAdmin*",
            "Condition": {
                "ArnLike": {
                    "iam:PolicyARN": [
                        "arn:aws:iam::*:policy/PartnerCentralAccountManagementUserRoleAssociation",
                        "arn:aws:iam::*:policy/AWSPartnerCentralFullAccess",
                        "arn:aws:iam::*:policy/AWSMarketplaceSellerFullAccess"
                    ]
                }
            }
        },
        {
            "Sid": "AttachPolicyToPartnerCentralAceRole",
            "Effect": "Allow",
            "Action": [
                "iam:AttachRolePolicy"
            ],
            "Resource": "arn:aws:iam::*:role/PartnerCentralRoleForAce*",
            "Condition": {
                "ArnLike": {
                    "iam:PolicyARN": [
                        "arn:aws:iam::*:policy/AWSPartnerCentralOpportunityManagement",
                        "arn:aws:iam::*:policy/AWSMarketplaceSellerOfferManagement"
                    ]
                }
            }
        },
        {
            "Sid": "AttachPolicyToPartnerCentralAllianceRole",
            "Effect": "Allow",
            "Action": [
                "iam:AttachRolePolicy"
            ],
            "Resource": "arn:aws:iam::*:role/PartnerCentralRoleForAlliance*",
            "Condition": {
                "ArnLike": {
                    "iam:PolicyARN": [
                        "arn:aws:iam::*:policy/AWSPartnerCentralFullAccess",
                        "arn:aws:iam::*:policy/AWSMarketplaceSellerFullAccess"
                    ]
                }
            }
        },
        {
            "Sid": "AssociatePartnerAccount",
            "Effect": "Allow",
            "Action": [
                "partnercentral-account-management:AssociatePartnerAccount"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SellerRegistration",
            "Effect": "Allow",
            "Action": [
                "aws-marketplace:ListChangeSets",
                "aws-marketplace:DescribeChangeSet",
                "aws-marketplace:StartChangeSet",
                "aws-marketplace:ListEntities",
                "aws-marketplace:DescribeEntity"
            ],
            "Resource": "*"
        }
    ]
}

  4. Choisissez Suivant.

  5. Sous Détails de la politique, dans le champ Nom de la stratégie, entrez le nom de la stratégie et une description facultative.

  6. Passez en revue les autorisations de politique, ajoutez des balises si nécessaire, puis choisissez Créer une politique.

  7. Associez votre utilisateur ou votre rôle IAM à la politique. Pour plus d'informations sur l'attachement, reportez-vous à la section Ajout d'autorisations d'identité IAM (console) dans le guide de l'utilisateur IAM.

Comprendre les autorisations des rôles

Une fois que l'administrateur informatique a effectué les étapes décrites dans la section précédente, les responsables d'alliance et les autres utilisateurs d'AWS Partner Central peuvent attribuer des politiques de sécurité et cartographier les rôles des utilisateurs. Le tableau suivant répertorie et décrit les rôles standard créés lors de la liaison des comptes, ainsi que les tâches disponibles pour chaque rôle.

Rôle IAM standard AWS Politiques gérées par Partner Central utilisées Peut faire Je ne peux pas faire
Administrateur du cloud

  • Mappez et attribuez des rôles IAM aux utilisateurs de AWS Partner Central.

  • Accomplissez les mêmes tâches que les équipes de l'alliance et de l'ACE.
L'équipe de l'Alliance

  • Accès complet à toutes les opérations des vendeurs sur AWS Marketplace, y compris le portail AWS Marketplace de gestion. Vous pouvez également gérer l' EC2 AMI Amazon utilisée dans les produits basés sur l'AMI.

  • Associez les opportunités d'engagement AWS client aux offres privées de AWS Marketplace.

  • Associez les solutions APN aux listes AWS Marketplace de produits.

  • Accédez au tableau de bord Partner Analytics.

 Mappez ou attribuez des rôles IAM aux utilisateurs d'AWS Partner Central. Seuls les responsables d'alliance et les administrateurs du cloud mappent ou attribuent des rôles.
L'équipe ACE

  • Créez des offres privées AWS sur Marketplace.

  • Associez les opportunités d'engagement AWS client aux offres privées de AWS Marketplace.

  • Mappez ou attribuez des rôles IAM aux utilisateurs de AWS Partner Central. Seuls les responsables d'alliance et les administrateurs du cloud peuvent mapper ou attribuer des rôles.

  • Utilisez tous les AWS Marketplace outils et fonctionnalités.

  • Utilisez le tableau de bord Partners Analytics.

Création d'un ensemble d'autorisations pour l'authentification unique

Les étapes suivantes expliquent comment utiliser l'IAM Identity Center pour créer un ensemble d'autorisations permettant l'authentification unique pour accéder à AWS Partner Central.

Pour plus d'informations sur les ensembles d'autorisations, reportez-vous à la section Créer un ensemble d'autorisations dans le guide de l'utilisateur d'AWS IAM Identity Center.

  1. Connectez-vous à la console IAM Identity Center.

  2. Sous Autorisations multi-comptes, choisissez Ensembles d'autorisations.

  3. Choisissez Create permission set (Créer un jeu d'autorisations).

  4. Sur la page Sélectionner le type d'ensemble d'autorisations, sous Type d'ensemble d'autorisations, choisissez Ensemble d'autorisations personnalisé, puis Suivant.

  5. Procédez comme suit :

    1. Sur la page Spécifier les politiques et les limites d'autorisation, choisissez les types de politiques IAM que vous souhaitez appliquer à l'ensemble d'autorisations.

      Par défaut, vous pouvez ajouter n'importe quelle combinaison de 10 politiques AWS gérées et de politiques gérées par le client à votre ensemble d'autorisations. IAM définit ce quota. Pour l'augmenter, demandez une augmentation du quota IAM. Politiques gérées associées à un rôle IAM dans la console Service Quotas de chaque AWS compte auquel vous souhaitez attribuer l'ensemble d'autorisations.

    2. Développez la politique intégrée pour ajouter un texte de politique personnalisé au format JSON. Les politiques intégrées ne correspondent pas aux ressources IAM existantes. Pour créer une politique intégrée, entrez un langage de politique personnalisé dans le formulaire fourni. IAM Identity Center ajoute la politique aux ressources IAM qu'il crée dans vos comptes membres. Pour plus d'informations, consultez la section Politiques intégrées.

    3. Copiez et collez la politique JSON depuis AWS Partner Central et la condition préalable à l'établissement de liens de AWS comptes

  6. Sur la page Spécifier les détails de l'ensemble d'autorisations, procédez comme suit :

    1. Sous Nom de l'ensemble d'autorisations, tapez un nom pour identifier cet ensemble d'autorisations dans IAM Identity Center. Le nom que vous spécifiez pour cet ensemble d'autorisations apparaît dans le portail AWS d'accès en tant que rôle disponible. Les utilisateurs se connectent AWS au portail d'accès, choisissent un AWS compte, puis le rôle.

    2. (Facultatif) Vous pouvez également saisir une description. La description apparaît uniquement dans la console IAM Identity Center, et non dans le portail AWS d'accès.

    3. (Facultatif) Spécifiez la valeur de la durée de la session. Cette valeur détermine la durée pendant laquelle un utilisateur peut être connecté avant que la console ne le déconnecte de sa session. Pour plus d'informations, voir Définir la durée de session pour les AWS comptes.

    4. (Facultatif) Spécifiez la valeur de l'état du relais. Cette valeur est utilisée dans le processus de fédération pour rediriger les utilisateurs au sein du compte. Pour plus d'informations, reportez-vous à la section Définir l'état du relais pour accéder rapidement à la console AWS de gestion.

      Note

      Vous devez utiliser une URL AWS de console de gestion pour l'état du relais. Par exemple : https://console.aws.amazon.com/ec2/

    5. Développez les balises (facultatif), choisissez Ajouter une balise, puis spécifiez les valeurs de clé et de valeur (facultatif).

      Pour plus d'informations sur les balises, reportez-vous aux ressources du Tagging AWS IAM Identity Center.

    6. Choisissez Suivant.

  7. Sur la page Réviser et créer, passez en revue les sélections que vous avez effectuées, puis choisissez Créer.

    Par défaut, lorsque vous créez un ensemble d'autorisations, celui-ci n'est pas provisionné (utilisé dans aucun AWS compte). Pour attribuer un ensemble d'autorisations à un AWS compte, vous devez attribuer l'accès à IAM Identity Center aux utilisateurs et aux groupes du compte, puis appliquer l'ensemble d'autorisations à ces utilisateurs et groupes. Pour plus d'informations, reportez-vous à la section Attribuer un accès utilisateur aux AWS comptes dans le guide de l'utilisateur d'AWS IAM Identity Center.