Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Tutoriel : Commencez avec Verified Access
Utilisez ce didacticiel pour commencer Accès vérifié par AWS. Vous allez apprendre à créer et à configurer des ressources d'accès vérifié.
Dans le cadre de ce didacticiel, vous allez ajouter une application à Verified Access. À la fin du didacticiel, des utilisateurs spécifiques peuvent accéder à cette application via Internet, sans utiliser de VPN. Vous l'utiliserez plutôt AWS IAM Identity Center en tant que fournisseur de confiance en matière d'identité. Notez que ce didacticiel n'utilise pas également de fournisseur de confiance pour les appareils.
**Topics**
+ [Prérequis du didacticiel Verified Access](#getting-started-prerequisites)
+ [Étape 1 : créer un fournisseur de confiance Verified Access](#getting-started-configure-trust-provider)
+ [Étape 2 : créer une instance d'accès vérifié](#getting-started-create-instance)
+ [Étape 3 : créer un groupe d'accès vérifié](#getting-started-create-group)
+ [Étape 4 : Création d'un point de terminaison d'accès vérifié](#getting-started-create-endpoint)
+ [Étape 5 : Configuration du DNS pour le point de terminaison d'accès vérifié](#getting-started-configure-dns)
+ [Étape 6 : tester la connectivité à l'application](#getting-started-test)
+ [Étape 7 : Ajouter une politique d'accès au niveau du groupe d'accès vérifié](#getting-started-create-policy)
+ [Nettoyez vos ressources d'accès vérifié](#getting-started-cleanup)
## Prérequis du didacticiel Verified Access
Les conditions requises pour suivre ce didacticiel sont les suivantes :
+ AWS IAM Identity Center activé dans Région AWS celui dans lequel vous travaillez. Vous pouvez ensuite utiliser IAM Identity Center en tant que fournisseur de confiance avec Verified Access. Pour plus d'informations, consultez la section [Activer AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-set-up-for-idc.html) dans le *guide de AWS IAM Identity Center l'utilisateur*.
+ Un groupe de sécurité pour contrôler l'accès à l'application. Autorisez tout le trafic entrant en provenance du VPC CIDR et tout le trafic sortant.
+ Application exécutée derrière un équilibreur de charge interne d'Elastic Load Balancing. Associez votre groupe de sécurité à l'équilibreur de charge.
+ Un certificat TLS autosigné ou public dans. AWS Certificate Manager Utilisez un certificat RSA d'une longueur de clé de 1 024 ou 2 048.
+ Un domaine public hébergé et les autorisations requises pour mettre à jour les enregistrements DNS du domaine.
+ Une politique IAM avec les autorisations requises pour créer une Accès vérifié par AWS instance. Pour de plus amples informations, veuillez consulter [Politique de création d'instances d'accès vérifié](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-create-instance).
## Étape 1 : créer un fournisseur de confiance Verified Access
Suivez la procédure ci-dessous pour vous configurer en AWS IAM Identity Center tant que fournisseur de confiance.
**Pour créer un fournisseur de confiance IAM Identity Center**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation, sélectionnez **Verified Access trust providers**.
1. Choisissez **Create Verified Access trust provider**.
1. (Facultatif) **Dans le champ Nom** et **description**, entrez le nom et la description du fournisseur de confiance Verified Access.
1. Entrez un identifiant personnalisé à utiliser ultérieurement lorsque vous utiliserez des règles de stratégie pour le **nom de référence de la stratégie**. Par exemple, vous pouvez entrer**idc**.
1. Pour le **type de fournisseur de confiance**, choisissez **Fournisseur de confiance utilisateur**.
1. Pour le **type de fournisseur de confiance utilisateur**, choisissez **IAM Identity Center**.
1. Choisissez **Create Verified Access trust provider**.
## Étape 2 : créer une instance d'accès vérifié
Utilisez la procédure suivante pour créer une instance d'accès vérifié.
**Pour créer une instance Accès vérifié**
1. Dans le volet de navigation, sélectionnez **Verified Access instances**.
1. Choisissez **Créer une instance d'accès vérifié**.
1. (Facultatif) **Dans Nom** et **description**, entrez un nom et une description pour l'instance d'accès vérifié.
1. Pour le **fournisseur de confiance Verified Access**, choisissez votre fournisseur de confiance.
1. Choisissez **Créer une instance d'accès vérifié**.
## Étape 3 : créer un groupe d'accès vérifié
Utilisez la procédure suivante pour créer un groupe d'accès vérifié.
**Pour créer un groupe Accès vérifié**
1. Dans le volet de navigation, sélectionnez **Groupes d'accès vérifiés**.
1. Choisissez **Créer un groupe d'accès vérifié**.
1. (Facultatif) Pour **le tag de nom** et la **description**, entrez un nom et une description pour le groupe.
1. Pour l'**instance Verified Access**, choisissez votre instance Verified Access.
1. Laissez **la définition de la politique** vide. Vous ajouterez une politique au niveau du groupe lors d'une étape ultérieure.
1. Choisissez **Créer un groupe d'accès vérifié**.
## Étape 4 : Création d'un point de terminaison d'accès vérifié
Utilisez la procédure suivante pour créer un point de terminaison d'accès vérifié. Cette étape suppose que vous avez une application exécutée derrière un équilibreur de charge interne d'Elastic Load Balancing et un certificat du domaine public intégré. AWS Certificate Manager
**Pour créer un point de terminaison Accès vérifié**
1. Dans le volet de navigation, choisissez **Verified Access endpoints**.
1. Choisissez **Créer un point de terminaison d'accès vérifié**.
1. (Facultatif) Dans les **champs Name tag** et **Description**, entrez un nom et une description pour le point de terminaison.
1. Pour le **groupe Verified Access**, choisissez votre groupe Verified Access.
1. Pour obtenir des **informations détaillées sur le point de terminaison**, procédez comme suit :
1. Pour **Protocole**, sélectionnez **HTTPS** ou **HTTP**, selon la configuration de votre équilibreur de charge.
1. Pour **Attachment type** (Type d'attachement), choisissez **VPC**.
1. Pour le **type de point de terminaison**, choisissez l'**équilibreur de charge**.
1. Pour **Port**, entrez le numéro de port utilisé par votre écouteur d'équilibreur de charge. Par exemple, 443 pour HTTPS ou 80 pour HTTP.
1. Pour l'**ARN de l'équilibreur** de charge, choisissez votre équilibreur de charge.
1. Pour les **sous-réseaux**, sélectionnez les sous-réseaux associés à votre équilibreur de charge.
1. Pour les **groupes de sécurité**, sélectionnez votre groupe de sécurité. L'utilisation du même groupe de sécurité pour votre équilibreur de charge et votre point de terminaison autorise le trafic entre eux. Si vous préférez ne pas utiliser le même groupe de sécurité, veillez à référencer le groupe de sécurité du point de terminaison depuis votre équilibreur de charge afin qu'il accepte le trafic provenant du point de terminaison.
1. Pour le **préfixe de domaine Endpoint**, entrez un identifiant personnalisé. Par exemple, **my-ava-app**. Ce préfixe est ajouté au nom DNS généré par Verified Access.
1. Pour les **détails de l'application**, procédez comme suit :
1. Dans le **champ Domaine de l'application**, entrez le nom DNS de votre application. Ce domaine doit correspondre à celui de votre certificat de domaine.
1. Pour l'**ARN du certificat de domaine**, sélectionnez le nom de ressource Amazon (ARN) de votre certificat de domaine dans AWS Certificate Manager.
1. Ne renseignez pas **les détails de la politique**. Vous ajouterez une politique d'accès au niveau du groupe lors d'une étape ultérieure.
1. Choisissez **Créer un point de terminaison d'accès vérifié**.
## Étape 5 : Configuration du DNS pour le point de terminaison d'accès vérifié
Pour cette étape, vous devez mapper le nom de domaine de votre application (par exemple, www.myapp.example.com) au nom de domaine de votre point de terminaison Verified Access. Pour terminer le mappage DNS, créez un enregistrement de nom canonique (CNAME) auprès de votre fournisseur DNS. Après avoir créé l'enregistrement CNAME, toutes les demandes des utilisateurs adressées à votre application seront envoyées à Verified Access.
**Pour obtenir le nom de domaine de votre terminal**
1. Dans le volet de navigation, choisissez **Verified Access endpoints**.
1. Sélectionnez votre point de terminaison.
1. Cliquez sur l’onglet **Détails**.
1. Copiez le domaine depuis le **domaine Endpoint**. Voici un exemple de nom de domaine de point de terminaison :`my-ava-app.edge-1a2b3c4d5e6f7g.vai-1a2b3c4d5e6f7g.prod.verified-access.us-west-2.amazonaws.com`.
Suivez les instructions fournies par votre fournisseur DNS pour créer un enregistrement CNAME. Utilisez le nom de domaine de votre application comme nom d'enregistrement et le nom de domaine du point de terminaison Verified Access comme valeur d'enregistrement.
## Étape 6 : tester la connectivité à l'application
Vous pouvez désormais tester la connectivité à votre application. Entrez le nom de domaine de votre application dans votre navigateur Web. Le comportement par défaut de Verified Access est de refuser toutes les demandes. Comme nous n'avons pas ajouté de politique d'accès vérifié au groupe ou au point de terminaison, toutes les demandes sont refusées.
## Étape 7 : Ajouter une politique d'accès au niveau du groupe d'accès vérifié
Utilisez la procédure suivante pour modifier le groupe d'accès vérifié et configurer une politique d'accès qui autorise la connectivité à votre application. Les détails de la politique dépendront des utilisateurs et des groupes configurés dans IAM Identity Center. Pour plus d'informations, consultez [Politiques d'accès vérifiées](auth-policies.md).
**Pour modifier un groupe d'accès vérifié**
1. Dans le volet de navigation, sélectionnez **Groupes d'accès vérifiés**.
1. Sélectionnez le groupe .
1. Choisissez **Actions**, **Modifier la politique de groupe d'accès vérifié**.
1. Activez la **politique d'activation**.
1. Entrez une politique qui autorise les utilisateurs de votre IAM Identity Center à accéder à votre application. Pour obtenir des exemples, consultez [Exemples de politiques d'accès vérifié](trust-data-iam-add-pol.md).
1. Choisissez **Modifier la politique de groupe d'accès vérifié**.
1. Maintenant que votre politique de groupe est en place, répétez le test de l'étape précédente pour vérifier que la demande est autorisée. Si la demande est autorisée, vous êtes invité à vous connecter via la page de connexion d'IAM Identity Center. Après avoir fourni le nom d'utilisateur et le mot de passe, vous pouvez accéder à votre application.
## Nettoyez vos ressources d'accès vérifié
Une fois que vous avez terminé ce didacticiel, suivez la procédure suivante pour supprimer vos ressources d'accès vérifié.
**Pour supprimer vos ressources d'accès vérifié**
1. Dans le volet de navigation, choisissez **Verified Access endpoints**. Sélectionnez le point de terminaison et choisissez **Actions**, **Supprimer le point de terminaison d'accès vérifié**.
1. Dans le volet de navigation, sélectionnez **Groupes d'accès vérifiés**. Sélectionnez le groupe et choisissez **Actions**, **Supprimer le groupe d'accès vérifié**. Vous devrez peut-être attendre que le processus de suppression du terminal soit terminé.
1. Dans le volet de navigation, sélectionnez **Verified Access instances**. Sélectionnez votre instance et choisissez **Actions**, **détacher le fournisseur de confiance Verified Access**. Sélectionnez le fournisseur de confiance, puis choisissez le fournisseur de **confiance Detach Verified Access**.
1. Dans le volet de navigation, sélectionnez **Verified Access trust providers**. Sélectionnez votre fournisseur de confiance et choisissez **Actions**, **Supprimer le fournisseur de confiance Verified Access**.
1. Dans le volet de navigation, sélectionnez **Verified Access instances**. Sélectionnez votre instance et choisissez **Actions**, **Supprimer l'instance d'accès vérifié**.