AWS Management Portal for vCenter - Guide de l'utilisateur - Guide de l'utilisateur
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
AWS Management Portal for vCenter Guide de l'utilisateur
AWS Management Portal for vCenter Guide de l'utilisateur AWS Management Portal for vCenter: Guide de l'utilisateur Copyright © 2018 Amazon Web Services, Inc. and/or its affiliates. All rights reserved. Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's, in any manner that is likely to cause confusion among customers, or in any manner that disparages or discredits Amazon. All other trademarks not owned by Amazon are the property of their respective owners, who may or may not be affiliated with, connected to, or sponsored by Amazon.
AWS Management Portal for vCenter Guide de l'utilisateur
Table of Contents
Qu'est-ce qu'AWS Management Portal for vCenter ? ................................................................................ 1
Utilisation ................................................................................................................................... 1
Limites ...................................................................................................................................... 1
Prérequis ................................................................................................................................... 2
Comment faire ses premiers pas .................................................................................................. 2
Configuration ...................................................................................................................................... 3
Installation et configuration d'AWS Management Portal for vCenter ..................................................... 3
Configuration de la synchronisation de l'heure ................................................................................ 4
(Facultatif) Configuration des paramètres réseau ............................................................................. 4
Option 1 : proxy d'authentification de fédération ............................................................................... 5
Création des utilisateurs et des comptes requis ....................................................................... 6
Configuration de la relation d'approbation ............................................................................... 8
Déploiement de l'appliance virtuelle du connecteur .................................................................. 9
Configuration du connecteur ............................................................................................... 10
Option 2 : authentification basée sur SAML ................................................................................... 12
Création des utilisateurs et des comptes requis ..................................................................... 13
Configuration de la relation d'approbation ............................................................................. 14
Déploiement de l'appliance virtuelle du connecteur ................................................................. 16
Configuration du connecteur ............................................................................................... 17
Configuration d'ADFS ........................................................................................................ 18
Configuration de SSO ........................................................................................................ 22
Administration des ressources AWS .................................................................................................... 26
Gestion des administrateurs ....................................................................................................... 26
Gestion des VPC et des sous-réseaux ......................................................................................... 27
Gestion des groupes de sécurité ................................................................................................. 28
Gestion des environnements ...................................................................................................... 29
Gestion des autorisations utilisateur ............................................................................................. 30
Gestion des instances EC2 ................................................................................................................ 33
Affichage des régions ................................................................................................................ 33
Affichage d'un environnement ..................................................................................................... 34
Gestion des paires de clés ......................................................................................................... 34
Gestion des modèles ................................................................................................................. 35
Déploiement d'une instance EC2 ................................................................................................. 36
Affichage d'une instance EC2 ..................................................................................................... 36
Connexion à une instance EC2 ................................................................................................... 37
Arrêt et démarrage d'une instance EC2 ........................................................................................ 38
Redémarrage d'une instance EC2 ............................................................................................... 38
Création d'une image à partir d'une instance EC2 .......................................................................... 38
Mise hors service d'une instance EC2 .......................................................................................... 39
Migration de votre machine virtuelle ..................................................................................................... 40
Prérequis ................................................................................................................................. 40
Limites .................................................................................................................................... 41
Autorisation VM Import .............................................................................................................. 41
Migration de votre machine virtuelle ............................................................................................. 41
Sauvegarde de votre instance .................................................................................................... 42
Exportation d'une instance EC2 migrée ........................................................................................ 43
Résolution des problèmes de migration ........................................................................................ 44
Gestion du connecteur ....................................................................................................................... 47
Accès à la console de gestion .................................................................................................... 47
Connexion à la console de machine virtuelle ................................................................................. 47
Réinitialisation du mot de passe du connecteur ............................................................................. 48
Rotation des clés ...................................................................................................................... 48
Surveillance du connecteur ........................................................................................................ 49
Signalement d'un problème à AWS ............................................................................................. 50
iiiAWS Management Portal for vCenter Guide de l'utilisateur
Mise à jour de la stratégie AWSConnector ................................................................................... 50
Résolution de problème généraux ............................................................................................... 51
Dépannage des mises à niveau .................................................................................................. 52
Installation d'un certificat SSL approuvé ....................................................................................... 53
Validation d'un certificat SSL non approuvé .................................................................................. 53
Désinstallation du connecteur ..................................................................................................... 54
Historique du document ..................................................................................................................... 55
ivAWS Management Portal for vCenter Guide de l'utilisateur
Utilisation
Qu'est-ce qu'AWS Management
Portal for vCenter ?
AWS Management Portal for vCenter fournit une interface simple et facile à utiliser pour créer et gérer des
ressources AWS à partir de VMware vCenter. Pour plus d'informations, consultez AWS Management Portal
for vCenter.
Note
Pour la plupart des besoins du processus VM Import, nous vous recommandons d'utiliser AWS
Server Migration Service. AWS SMS automatise le processus d'importation (ce qui réduit la charge
de travail requise pour la migration des grandes infrastructures d'ordinateurs virtuels), ajoute la
prise en charge des mises à jour des ordinateurs virtuels qui changent, et convertit les ordinateurs
virtuels importés en AMI (Amazon machine images) prêtes à être utilisées.
Si l'une des conditions suivantes est vraie, vous devriez envisager d'utiliser AWS SMS :
• Vous utilisez vCenter 6.5.
• Vous souhaitez spécifier le type de licence BYOL au cours de la migration.
• Vous êtes intéressé par la migration de machines virtuelles vers Amazon EC2.
• Vous souhaitez utiliser la migration incrémentielle.
Vous devez utiliser AWS Management Portal for vCenter seulement si vous souhaitez gérer les
ressources Amazon EC2 depuis le client vSphere. AWS Management Portal for vCenter ne prend
pas en charge vCenter 6.5 ni les versions ultérieures.
Pour une mise en route avec AWS SMS, consultez AWS Server Migration Service.
Utilisation
• Les administrateurs gèrent les réseaux AWS, organisent les ressources AWS à l'aide d'environnements
et accordent des autorisations à des utilisateurs au niveau de l'environnement.
• Les utilisateurs peuvent afficher les instances dans les environnements qu'ils sont autorisés à lire, et
créer et gérer des instances EC2 dans les environnements qu'ils sont autorisés à modifier.
• Les utilisateurs peuvent importer leurs machines virtuelles vers AWS en utilisant AWS Connector for
vCenter.
Limites
• Vous pouvez connecter chaque vCenter avec un compte AWS et un fournisseur d'authentification.
• Les utilisateurs ne peuvent pas accéder au portail de gestion, sauf s'ils disposent d'un compte qu'ils
peuvent utiliser pour se connecter à vCenter. Lorsque des utilisateurs se connectent à vCenter et ouvrent
le portail de gestion, ils ne peuvent voir les environnements et les ressources AWS créées dans cet
environnement que si un administrateur leur a accordé l'autorisation d'accéder à l'environnement. Un
administrateur peut accorder des autorisations à des utilisateurs uniquement si leurs noms de domaine
et d'utilisateur répondent à certaines exigences. Les noms de domaine et d'utilisateur sont sensibles
à la casse. Si un utilisateur est un utilisateur de domaine, domaine\utilisateur ne doit pas dépasser
32 caractères. Si un utilisateur est un utilisateur local, utilisateur ne doit pas dépasser 32 caractères.
1AWS Management Portal for vCenter Guide de l'utilisateur
Prérequis
Les valeurs domaine et utilisateur doivent commencer chacune par une lettre et ne contenir que les
caractères suivants : a-z, A-Z, 0-9, des points (.), des traits de soulignement (_) et des tirets (-).
• Le management portal prend essentiellement en charge les ressources Amazon EC2. Des versions
futures peuvent prendre en charge des ressources pour des services supplémentaires.
• Vous ne pouvez pas lancer des instances EC2 sur EC2-Classic, vous devez les lancer dans un VPC.
• Il ne s'agit pas d'un outil exhaustif pour créer et gérer des ressources AWS. Le management portal
permet aux utilisateurs vCenter de démarrer rapidement avec des tâches de base, comme créer un VPC
et un sous-réseau, et lancer une instance EC2. Pour effectuer des tâches plus avancées, les utilisateurs
doivent utiliser l'AWS Management Console, l'AWS CLI, ou un kit AWS SDK. Pour plus d'informations,
consultez Accès à Amazon EC2 dans le Guide de l'utilisateur Amazon EC2.
Prérequis
• Un compte AWS
• vCenter version 5.1, 5.5 ou 6.0. (le client web est pris en charge uniquement sur vCenter 5.5 et 6.0).
• Internet Explorer version 10
• Internet Explorer est défini pour autoriser les cookies
• Connectivité réseau :
• DHCP : autorisez le connector à accéder au serveur DHCP.
• DNS : autorisez le connector à initier des connexions vers le port 53 pour la résolution des noms.
Assurez-vous que votre pare-feu est avec état pour ces connexions.
• HTTPS sortant : autorisez le connector à initier des connexions sur le port 443. Assurez-vous que
votre pare-feu est avec état pour ces connexions.
• ICMP sortant : autorisez les connexions sortantes du connector à l'aide d'ICMP.
• NTP : autorisez le connector à initier des connexions vers le port 123 pour synchroniser l'heure avec
les serveurs NTP. Assurez-vous que votre pare-feu est avec état pour ces connexions.
Comment faire ses premiers pas
• Configuration d'AWS Management Portal for vCenter (p. 3)
• Administration des ressources AWS à l'aide d'AWS Management Portal for vCenter (p. 26)
• Gestion des instances EC2 à l'aide d'AWS Management Portal for vCenter (p. 33)
• Migration de votre machine virtuelle vers Amazon EC2 à l'aide d'AWS Connector for vCenter (p. 40)
2AWS Management Portal for vCenter Guide de l'utilisateur
Installation et configuration d'AWS
Management Portal for vCenter
Configuration d'AWS Management
Portal for vCenter
Lorsque vous configurez le management portal, vous permettez aux utilisateurs de votre organisation
d'accéder à vos ressources AWS. Le processus implique la création de comptes, la configuration de la
relation d'approbation entre le management portal et le fournisseur d'authentification, et le déploiement et la
configuration du connector.
Pour configurer le management portal, exécutez les tâches suivantes :
Tâches
• Installer et configurer AWS Management Portal for vCenter (p. 3)
• Configurer la synchronisation de l'heure (p. 4)
• (Facultatif) Configurer les paramètres réseau (p. 4)
Note
Pour la plupart des besoins du processus VM Import, nous vous recommandons d'utiliser AWS
Server Migration Service. AWS SMS automatise le processus d'importation (ce qui réduit la charge
de travail requise pour la migration des grandes infrastructures d'ordinateurs virtuels), ajoute la
prise en charge des mises à jour des ordinateurs virtuels qui changent, et convertit les ordinateurs
virtuels importés en AMI (Amazon machine images) prêtes à être utilisées.
Si l'une des conditions suivantes est vraie, vous devriez envisager d'utiliser AWS SMS :
• Vous utilisez vCenter 6.5.
• Vous souhaitez spécifier le type de licence BYOL au cours de la migration.
• Vous êtes intéressé par la migration de machines virtuelles vers Amazon EC2.
• Vous souhaitez utiliser la migration incrémentielle.
Vous devez utiliser AWS Management Portal for vCenter seulement si vous souhaitez gérer les
ressources Amazon EC2 depuis le client vSphere. AWS Management Portal for vCenter ne prend
pas en charge vCenter 6.5 ni les versions ultérieures.
Pour une mise en route avec AWS SMS, consultez AWS Server Migration Service.
Installation et configuration d'AWS Management
Portal for vCenter
Vous pouvez choisir parmi deux fournisseurs d'authentification : AWS Connector for vCenter ou un
fournisseur d'identité (IdP) prenant en charge SAML 2.0. Le processus de configuration du management
portal varie en fonction du fournisseur d'authentification que vous choisissez. Le tableau suivant décrit les
options. Suivez les instructions correspondant au fournisseur d'authentification que vous avez choisi.
3AWS Management Portal for vCenter Guide de l'utilisateur
Configuration de la synchronisation de l'heure
Fournisseur d'authentification Description
Proxy d'authentification de fédération (p. 5) Vous pouvez configurer le connector pour
authentifier les utilisateurs. Il n'existe aucun
prérequis pour cette option. Dans le cadre du
processus de configuration, vous configurez une
relation d'approbation entre le management portal
et le connector.
Cette option est fournie pour les organisations
qui n'utilisent pas un fournisseur d'identité (IdP)
prenant en charge SAML 2.0.
Authentification basée sur SAML (p. 12) SAML 2.0 fournit une norme ouverte spécialement
conçue pour l'authentification unique (SSO). Celle-
ci permet aux utilisateurs qui ont été authentifiés
par votre fournisseur d'identité (IdP) d'accéder au
management portal. Pour utiliser cette option, vous
devez d'abord configurer un fournisseur d'identité
(IdP) pour votre organisation. Dans le cadre du
processus de configuration, vous configurerez un
fournisseur SAML et une relation d'approbation
entre le management portal et AWS.
Pour plus d'informations sur les avantages liés à
SAML, consultez Advantages of SAML.
Une fois que vous avez sélectionné un fournisseur d'authentification, suivez le processus de configuration.
Pour sélectionner un autre fournisseur d'authentification, revenez à la première page du programme
d'installation, puis cliquez sur Reset Trust Relationship, ou développez Reset Trust Relationship sur la
page récapitulative, cliquez sur I acknowledge that I want to reset my trust relationships configuration, puis
cliquez sur Reset Trust Relationship.
Configuration de la synchronisation de l'heure
L'appliance virtuelle du connector synchronise son heure avec celle de son serveur ESX/ESXi. Le
connector nécessite que le protocole NTP (Network Time Protocol) soit configuré sur le serveur ESXi sur
lequel il est déployé.
Si le programme d'installation ne peut pas enregistrer vos informations d'identification, il est possible
qu'il s'agisse d'un problème de synchronisation de l'heure. Pour vérifier, ouvrez debug-file.log et
recherchez la chaîne suivante : ntpdate, -qv, pool.ntp.org. Si le décalage est supérieure à 15
secondes, configurez NTP sur le serveur ESX/ESXi et redémarrez le connector.
(Facultatif) Configuration des paramètres réseau
Vous pouvez configurer différents paramètres réseau à l'aide de l'interface de ligne de commande (CLI) du
connector.
Pour mettre à jour vos paramètres réseau à l'aide de l'interface de ligne de commande (CLI) du
connecteur
1. Identifiez la machine virtuelle du connecteur dans le client vSphere, cliquez dessus avec le bouton
droit de la souris, puis sélectionnez Open Console.
4AWS Management Portal for vCenter Guide de l'utilisateur
Option 1 : proxy d'authentification de fédération
2. Connectez-vous en tant que ec2-user avec le mot de passe ec2pass.
3. Exécutez la commande sudo setup.rb. Cette commande affiche le menu suivant :
Choisissez l'une des options suivantes 1. Réinitialiser le mot de passe 2. Reconfigurer
les paramètres réseau 3. Redémarrer les services 4. Réinitialisation d'usine 5.
Supprimer les fichiers liés à la mise à niveau non utilisés 6. Activer/désactiver la
validation de certificats SSL 7. Afficher le certificat SSL du connecteur 8. Générer
un bundle de journaux 9. Quitter Entrez votre option [de 1 à 9] :
4. Tapez 2 et appuyez sur Entrée. La commande affiche le menu suivant :
Reconfigurer votre réseau : 1. Renouveler ou acquérir un bail DHCP 2. Configurer une IP
statique 3. Configurer un proxy web pour la communication AWS 4. Configurer une liste
de recherche de suffixes DNS 5. Quitter Entrez votre option [1 à 5] :
Utilisez ces options pour effectuer les tâches suivantes :
1. Renouvelez votre bail DHCP ou réactivez-le après la configuration d'une adresse IP statique.
2. Configurez une adresse IP statique pour le connector. Lorsque vous y êtes invité, saisissez
l'adresse IP statique, le masque de réseau, la passerelle et les serveurs DNS.
3. Configurez le connector pour utiliser un proxy Web d'entreprise. Lorsque vous y êtes invité,
saisissez l'adresse IP du proxy, le port, et un nom d'utilisateur et un mot de passe facultatifs pour
vous connecter au proxy. Si vous devez utiliser l'authentification pour le proxy Web, notez que
connecteur prend en charge uniquement l'authentification par mot de passe.
Note
Pour cette option, vous devez avoir défini votre mot de passe initial en vous connectant au
connecteur à l'aide de https://adresse_IP/, où adresse_IP est l'adresse IP de la console de
gestion du connecteur
4. Configurer la liste de recherche de suffixe DNS afin que le connector puisse migrer des machines
virtuelles à partir de l'hôte ESX. Cette configuration est inutile si vCenter affiche tous les hôtes ESX
avec des noms de domaines complets ou des adresses IP.
5. Si l'adresse IP ou les paramètres de proxy changent, vous devez réenregistrer le connector comme
suit :
a. A l'aide d'un navigateur Web, ouvrez la console de gestion du connector.
b. Dans le tableau de bord, cliquez sur Register the Connector.
c. Suivez les instructions pour compléter l'assistant d'enregistrement.
Option 1 : proxy d'authentification de fédération
Vous pouvez configurer le management portal pour authentifier les utilisateurs à l'aide d'AWS Connector for
vCenter.
Vos utilisateurs ne disposent pas d'un accès direct aux ressources AWS. Au lieu de cela, le client vSphere
extrait les informations de l'utilisateur à partir de votre serveur vCenter et endosse un rôle AWS Identity
and Access Management (IAM) afin d'obtenir des informations d'identification de sécurité AWS temporaires
pour l'utilisateur. Le schéma suivant illustre ce processus.
5AWS Management Portal for vCenter Guide de l'utilisateur
Création des utilisateurs et des comptes requis
Proxy d'authentification de fédération
1. L'utilisateur se connecte à vCenter et clique sur Home, puis sur AWS Management Portal. Le client
vSphere envoie une demande d'authentification au connector.
2. Le connector authentifie l'utilisateur.
3. Le connector demande des informations d'identification de sécurité temporaires à AWS Security Token
Service (AWS STS).
4. AWS STS envoie les informations d'identification de sécurité temporaires du connector pour l'utilisateur.
5. Les utilisateurs bénéficient d'un accès aux ressources AWS en fonction des autorisations qui leur sont
attribuées par un administrateur.
Tâches
Pour configurer le management portal, exécutez les tâches suivantes :
1. Créez les comptes et les utilisateurs requis (p. 6)
2. Configurez la relation d'approbation (p. 8)
3. Déployez l'appliance virtuelle du connecteur (p. 9)
4. Configurez le connecteur (p. 10)
Création des utilisateurs et des comptes requis
Tout d'abord, créez les comptes et les utilisateurs qui sont nécessaires pour le management portal.
Pour créer les comptes et les utilisateurs requis
1. Si votre organisation ne dispose pas déjà d'un compte AWS, utilisez la procédure suivante pour en
créer un :
a. Ouvrez https://aws.amazon.com/, puis choisissez Create an AWS Account.
Note
Il est probable que cette opération soit indisponible dans votre navigateur si vous vous
êtes déjà connecté à AWS Management Console auparavant. Dans ce cas, choisissez
Se connecter à un autre compte, puis Créer un nouveau compte AWS.
b. Suivez les instructions en ligne.
Dans le cadre de la procédure d'inscription, vous recevrez un appel téléphonique et vous saisirez
un code PIN en utilisant le clavier numérique du téléphone.
6AWS Management Portal for vCenter Guide de l'utilisateur
Création des utilisateurs et des comptes requis
Vous pouvez effectuer le processus de configuration à l'aide des informations d'identification de
votre compte AWS ou d'un utilisateur IAM. Pour plus d'informations sur AWS Identity and Access
Management (IAM), consultez le IAM Guide de l'utilisateur. Pour autoriser un utilisateur IAM à
configurer le management portal, vous devez lui accorder l'autorisation d'utiliser les actions spécifiées
dans la stratégie suivante :
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:*",
"amp:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:PutBucketAcl",
"s3:GetBucketLocation",
"s3:GetBucketAcl"
],
"Resource": "arn:aws:s3:::export-to-s3-*"
},
{
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets"
],
"Resource": [
"arn:aws:s3:::*"
]
}
]
}
2. Créez le compte de fournisseur d'authentification AWS, qui est un utilisateur IAM utilisé par le
connector pour endosser un rôle d'approbation et authentifier les utilisateurs.
a. Ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.
b. Dans le volet de navigation, cliquez sur Utilisateurs.
c. Cliquez sur Add user.
d. Sur la page Add user, tapez un nom d'utilisateur, sélectionnez Programmatic access, puis cliquez
sur Next: Permissions.
e. Sélectionnez Attach existing policies directly.
f. Dans le champ de recherche, saisissez AWSConnector. Cochez la case en regard de la stratégie
AWSConnector, puis cliquez sur Next: Review.
g. Cliquez sur Créer un utilisateur.
h. Enregistrez les informations d'identification pour ce compte dans un emplacement sûr, puis
cliquez sur Fermer.
Important
Vous aurez besoin de ces informations d'identification pour terminer le processus de
configuration du connector.
7AWS Management Portal for vCenter Guide de l'utilisateur
Configuration de la relation d'approbation
3. Créez le compte de service vCenter, qui est un utilisateur local ou de domaine utilisé par le connector
pour communiquer avec vCenter. Spécifiez un mot de passe aléatoire, unique pour le compte.
N'attribuez pas manuellement des privilèges vCenter à cet utilisateur à ce stade. Nous attribuons le
privilège vApp Export à cet utilisateur pendant la procédure de configuration du connector. Notez que
vous pouvez restreindre ce privilège à certaines parties de votre inventaire vCenter une fois que vous
avez terminé la procédure de configuration du connector.
Important
Enregistrez les informations d'identification pour ce compte dans un emplacement sûr. Vous
en aurez besoin pour terminer la procédure de configuration du connector.
Vous pouvez créer cet utilisateur à l'aide de votre fournisseur d'identité (IdP), de vCenter, ou
de Windows, selon ce qui est le plus simple pour vous. Pour plus d'informations sur la création
d'utilisateurs locaux ou de domaine, consultez la documentation suivante, ou contactez un
administrateur pour votre vCenter ou votre IdP :
• Active Directory : Créer un compte utilisateur
• Windows : Créer un compte utilisateur local
• vCenter 5.5 : Ajouter des utilisateurs vCenter Single Sign-On (le domaine par défaut est
vsphere.local)
• vCenter 5.1 : Ajouter un utilisateur vCenter Single Sign On (le domaine par défaut est System-
Domain)
• Appliance vCenter Server : Creating and managing local user accounts
Configuration de la relation d'approbation
Effectuez la procédure suivante pour configurer une relation d'approbation entre le management portal et le
connector.
Pour configurer la relation d'approbation
1. Ouvrez la console de configuration d'AWS Management Portal for vCenter.
Tip
Si vous avez déjà effectué le processus de configuration, mais que vous souhaitez changer
de fournisseur d'authentification, accédez à la page récapitulative, développez Reset
Trust Relationship et cliquez sur I acknowledge that I want to reset my trust relationships
configuration, puis sur Reset Trust Relationship.
2. Cliquez sur Get started now.
3. Sur la page AWS Management Portal for vCenter Configuration, sélectionnez AWS Connector en tant
que fournisseur d'authentification.
4. Sur la page Configure the Trust Relationship, exécutez l'une des actions suivantes :
Option 1 : Configurer la relation d'approbation
a. Indiquez le nom de l'utilisateur IAM que vous avez créé en tant que compte de fournisseur
d'authentification AWS.
b. (Facultatif) Vérifiez les stratégies pour le rôle d'approbation AMP, le rôle de service AMP et le rôle
de service d'importation.
c. Sélectionnez I agree that AWS Management Portal for vCenter may create the above roles on my
behalf.
d. Cliquez sur Save and Continue.
8AWS Management Portal for vCenter Guide de l'utilisateur
Déploiement de l'appliance virtuelle du connecteur
Option 2 : Changer de fournisseur d'authentification
Si vous avez sélectionné précédemment SAML-based authentication provider comme fournisseur
d'authentification, cliquez sur Reset Trust Relationship. Après la réinitialisation, vous pouvez
recommencer le processus de configuration, sélectionner AWS Connector, puis configurer la relation
d'approbation.
5. Sur la page Add Administrators, ajoutez jusqu'à cinq utilisateurs de votre organisation en tant
qu'administrateurs du management portal, puis cliquez sur Save and Continue. Notez que vous
pouvez spécifier à la fois des utilisateurs locaux et de domaine.
Important
Les noms de domaine et d'utilisateur sont sensibles à la casse.
Utilisez le format domaine\utilisateur, où domaine\ est facultatif pour les utilisateurs locaux. Pour les
utilisateurs de domaine, domaine\utilisateur ne doit pas dépasser 32 caractères. Pour les utilisateurs
locaux, utilisateur ne doit pas dépasser 32 caractères. Les noms domaine et utilisateur doivent
commencer chacun par une lettre et ne contenir que les caractères suivants : a-z, A-Z, 0-9, des points
(.), des traits de soulignement (_) et des tirets (-).
Notez que vous devez ajouter maintenant au moins un administrateur, mais que vous pouvez ajouter
d'autres utilisateurs en tant qu'administrateurs par la suite. Pour plus d'informations, consultez Gestion
des administrateurs (p. 26).
6. Sur la page Create an AMP Connector Key, saisissez le nom de la clé de connecteur AMP, puis
cliquez sur Create.
7. Sur la page Review Your Configuration, cliquez sur Download Configuration, ce qui télécharge un
fichier contenant votre configuration de relation d'approbation. Enregistrez ce fichier en lieu sûr ; vous
en aurez besoin pour terminer le processus de déploiement du connecteur. Cliquez sur Finish.
Notez que vous pouvez créer un nouveau rôle d'approbation AMP ou une nouvelle clé de connecteur
AMP si vous pensez que ceux-ci ont été compromis.
8. Sur la page AWS Management Portal Setup, vous pouvez vérifier et modifier votre configuration
actuelle.
Déploiement de l'appliance virtuelle du connecteur
Pour le management portal, vous devez déployer et configurer le connector, qui gère les administrateurs et
les autorisations.
Le connector est fourni sous forme d'une appliance virtuelle. Pour déployer le connector, exécutez la
procédure suivante.
Pour déployer l'appliance virtuelle du connecteur
1. Connectez-vous à vCenter en tant qu'administrateur VMware.
2. Dans le menu Fichier, cliquez sur Deploy OVF Template. Indiquez l'URL suivante dans le champ
Deploy from a file or URL, puis cliquez sur Next :
https://s3.amazonaws.com/aws-connector/AWS-Connector.ova
(Facultatif) Pour vérifier le téléchargement, utilisez les totaux de contrôle MD5 et SHA256 :
https://s3.amazonaws.com/aws-connector/AWS-Connector.ova.md5sum
9AWS Management Portal for vCenter Guide de l'utilisateur
Configuration du connecteur
https://s3.amazonaws.com/aws-connector/AWS-Connector.ova.sha256sum
3. Exécutez l'assistant. Sur la page Disk Format, sélectionnez l'un des types de disque à provisionnement
épais. Nous vous recommandons de sélectionner Thick Provision Eager Zeroed, car ce format offre
les meilleures performances et fiabilité ; cependant, il faut plusieurs heures avec cette option pour
réinitialiser pas le disque. Ne sélectionnez pas Thin Provision ; cette option accélère le déploiement
mais réduit significativement les performances du disque. Pour plus d'informations, consultez Types of
supported virtual disks dans la documentation VMware.
4. Identifiez le modèle nouvellement déployé dans l'arborescence d'inventaire du client vSphere, cliquez
dessus avec le bouton droit de la souris, puis sélectionnez Power > Power On. Cliquez à nouveau
avec le bouton droit de la souris sur le modèle, puis sélectionnez Open Console. La console affiche
l'adresse IP de la console de gestion connector. Notez l'adresse IP en lieu sûr ; vous en aurez besoin
pour terminer le processus de configuration du connector.
Note
Si vous ne disposez pas d'un serveur DHCP, vous devez configurer une adresse IP
statique. Pour plus d'informations, consultez (Facultatif) Configuration des paramètres
réseau (p. 4).
Configuration du connecteur
Pour terminer le processus de configuration, ouvrez un navigateur Web et effectuez la procédure suivante.
Pour configurer le connector à l'aide de la console de gestion du connector.
1. Depuis votre navigateur Web, accédez à https://adresse_IP/, où adresse_IP est l'adresse IP de la
console de gestion du connector que vous avez enregistrée précédemment.
Tip
Si votre navigateur ne peut pas vérifier le certificat pour le site, il vous informe que le site
est non approuvé. Vous pouvez vérifier le certificat (voir Validation d'un certificat SSL non
approuvé (p. 53)) ou le remplacer par l'un de vos propres certificats (voir Installation d'un
certificat SSL approuvé (p. 53)).
2. Dans la boîte de dialogue Log in to Connector, saisissez l'adresse IP ou le nom d'hôte du vCenter
Server et les informations d'identification de l'administrateur de vCenter, puis cliquez sur Log in. Le
nom d'hôte vCenter ne peut pas comporter plus de 32 caractères. Vous devez donc spécifier un nom
d'hôte plus court ou l'adresse IP.
Lorsque vous y êtes invité, créez un mot de passe. Vous utiliserez ce mot de passe la prochaine fois
que vous vous connecterez à la console de gestion du connector.
Note
Si vous entrez 20 fois un mot de passe incorrect, vous êtes bloqué et vous devez réinitialiser
votre mot de passe. Pour plus d'informations, consultez Réinitialisation du mot de passe du
connecteur (p. 48).
3. Si c'est la première fois que vous vous êtes connecté au connector, l'assistant d'enregistrement
démarre automatiquement. Sinon, cliquez sur Register the Connector.
4. Si vous avez téléchargé le fichier de configuration, effectuez les opérations suivantes :
1. Cliquez sur Upload the configuration file, sélectionnez le fichier de configuration, puis cliquez sur
Next.
2. Sur la page vCenter Service Account Credentials, entrez les informations d'identification du
compte de service vCenter que vous créé dans Création des utilisateurs et des comptes
10AWS Management Portal for vCenter Guide de l'utilisateur
Configuration du connecteur
requis (p. 6), puis cliquez sur Next. Pour les utilisateurs de domaine, utilisez le format
domaine\nom d'utilisateur ou nom d'utilisateur@domaine.
3. Sur la page AWS Credentials, entrez les informations d'identification du compte de service AWS
que vous avez sélectionné dans Configuration de la relation d'approbation (p. 8). (Vous
pouvez utiliser le même utilisateur IAM pour VM Import, ou utiliser un autre utilisateur IAM auquel
la stratégie AWSConnector est également attachée.) Cliquez sur Suivant.
Note
Si un message d'erreur indique que la stratégie AWSConnector pour votre utilisateur IAM
n'est pas à jour, vous devez la mettre à jour. Pour plus d'informations, consultez Mise à
jour de la stratégie AWSConnector (p. 50).
4. Sur la page Register Plugin, cliquez sur I agree to install the vCenter SSL certificates on
this connector. Vous recevrez des mises à jour automatiques pour le connector sauf si vous
désactivez cette option. Cliquez sur Register pour installer le certificat vCenter Server. Le
fournisseur d'authentification dans le connector répond à vCenter Server uniquement si ce dernier
présente ce certificat.
Sinon, effectuez la configuration comme suit :
1. Cliquez sur Enter the configuration manually, sélectionnez le même type de configuration que
celui que vous avez sélectionné précédemment, puis cliquez sur Next.
2. Entrez la clé de connecteur AMP précédemment enregistrée, puis cliquez sur Next.
3. Sur la page vCenter Admin Credentials, saisissez l'adresse IP ou le nom d'hôte du serveur
vCenter, et le nom et le mot de passe d'un administrateur vCenter. Le nom d'hôte vCenter ne
peut pas comporter plus de 32 caractères. Vous devez donc spécifier un nom d'hôte plus court ou
l'adresse IP. Cliquez sur Suivant.
Notez que cette page n'apparaît pas la première fois que vous configurez le connecteur.
4. Sur la page vCenter Service Account Credentials, entrez les informations d'identification du
compte de service vCenter que vous créé dans Création des utilisateurs et des comptes
requis (p. 6), puis cliquez sur Next. Pour les utilisateurs de domaine, utilisez le format
domaine\nom d'utilisateur ou nom d'utilisateur@domaine.
5. Sur la page AWS Credentials, saisissez l'ARN du rôle d'approbation AMP et les informations
d'identification du compte de service AWS que vous avez sélectionné dans Configuration de la
relation d'approbation (p. 8). (Vous pouvez utiliser le même utilisateur IAM pour VM Import,
ou utiliser un autre utilisateur IAM auquel la stratégie AWSConnector est également attachée.)
Cliquez sur Suivant.
Note
Si un message d'erreur indique que la stratégie AWSConnector pour votre utilisateur IAM
n'est pas à jour, vous devez la mettre à jour. Pour plus d'informations, consultez Mise à
jour de la stratégie AWSConnector (p. 50).
6. Sur la page Register Plugin, cliquez sur Register pour installer le certificat vCenter Server. Le
fournisseur d'authentification dans le connector répond à vCenter Server uniquement si ce dernier
présente ce certificat.
5. Quittez le client vSphere et rouvrez-le. Cliquez sur Home, puis sur AWS Management Portal.
Vous avez terminé la procédure de configuration et vous êtes prêt à commencer à utiliser le management
portal. Vous pourrez néanmoins vouloir exécuter les étapes suivantes avant de commencer : Configurer la
synchronisation de l'heure (p. 4) et Configurer les paramètres réseau (p. 4).
11AWS Management Portal for vCenter Guide de l'utilisateur
Option 2 : authentification basée sur SAML
Option 2 : authentification basée sur SAML
Vous pouvez configurer le management portal pour qu'il authentifie les utilisateurs à l'aide de votre
fournisseur d'identité (IdP).
Vos utilisateurs ne disposent pas d'un accès direct aux ressources AWS. Au lieu de cela, le client vSphere
obtient les informations de l'utilisateur à partir de votre base d'identités et utilise une assertion SAML
pour accorder à l'utilisateur l'accès à AWS Management Portal for vCenter. Le schéma suivant illustre ce
processus.
Authentification basée sur SAML
1. L'utilisateur se connecte à vCenter et clique sur Home, puis sur AWS Management Portal. Le client
vSphere envoie une demande d'authentification à l'IdP.
2. L'IdP authentifie l'utilisateur.
3. L'IdP génère ensuite une réponse d'authentification SAML contenant des assertions qui identifient
l'utilisateur et fournissent des informations sur celui-ci.
4. Le client vSphere publie l'assertion SAML sur un point de terminaison d'authentification unique (SSO)
AWS. Le point de terminaison demande des informations d'identification de sécurité temporaires à AWS
Security Token Service (AWS STS) et crée une URL de connexion à la console.
5. AWS envoie au client vSphere l'URL de connexion à la console avec une redirection.
6. Le management portal accorde aux utilisateurs un accès aux ressources AWS en fonction des
autorisations qui leur sont attribuées par un administrateur.
Prérequis
Avant de commencer la configuration du management portal, installez et configurez un fournisseur
d'identité (IdP) à utiliser avec la fédération SAML AWS. Votre IdP doit prendre en charge SAML 2.0, et
vous devez activer le paramètre RelayState.
Si vous vous servez de Windows Active Directory (AD) comme service d'annuaire, vous pouvez utiliser
Active Directory Federation Services (ADFS) comme IdP. Pour plus d'informations, consultez Configuration
d'ADFS for AWS Management Portal for vCenter (p. 18). Pour plus d'informations sur d'autres
fournisseurs d'identités, consultez Intégration de prestataires de solution SAML tiers avec AWS dans le
IAM Guide de l'utilisateur.
Tâches
Pour configurer le management portal, exécutez les tâches suivantes :
1. Créez les comptes et les utilisateurs requis (p. 13)
2. Configurez la relation d'approbation (p. 14)
12AWS Management Portal for vCenter Guide de l'utilisateur
Création des utilisateurs et des comptes requis
3. Déployez l'appliance virtuelle du connecteur (p. 16)
4. Configurez le connecteur (p. 17)
Création des utilisateurs et des comptes requis
Tout d'abord, créez les comptes et les utilisateurs qui sont nécessaires pour le management portal.
Pour créer les comptes et les utilisateurs requis
1. Si votre organisation ne dispose pas déjà d'un compte AWS, utilisez la procédure suivante pour en
créer un :
a. Ouvrez https://aws.amazon.com/, puis choisissez Create an AWS Account.
Note
Il est probable que cette opération soit indisponible dans votre navigateur si vous vous
êtes déjà connecté à AWS Management Console auparavant. Dans ce cas, choisissez
Se connecter à un autre compte, puis Créer un nouveau compte AWS.
b. Suivez les instructions en ligne.
Dans le cadre de la procédure d'inscription, vous recevrez un appel téléphonique et vous saisirez
un code PIN en utilisant le clavier numérique du téléphone.
Vous pouvez effectuer le processus de configuration à l'aide des informations d'identification de
votre compte AWS ou d'un utilisateur IAM. Pour plus d'informations sur AWS Identity and Access
Management (IAM), consultez le IAM Guide de l'utilisateur. Pour autoriser un utilisateur IAM à
configurer le management portal, vous devez lui accorder l'autorisation d'utiliser les actions spécifiées
dans la stratégie suivante :
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:*",
"amp:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:CreateBucket",
"s3:PutBucketAcl",
"s3:GetBucketLocation",
"s3:GetBucketAcl"
],
"Resource": "arn:aws:s3:::export-to-s3-*"
},
{
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets"
],
"Resource": [
"arn:aws:s3:::*"
]
13AWS Management Portal for vCenter Guide de l'utilisateur
Configuration de la relation d'approbation
}
]
}
2. Créez le compte de service AWS, qui est un utilisateur IAM utilisé par le connector pour migrer des
machines virtuelles depuis vCenter vers AWS.
a. Ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.
b. Dans le volet de navigation, cliquez sur Utilisateurs.
c. Cliquez sur Add user.
d. Sur la page Add user, tapez un nom d'utilisateur, sélectionnez Programmatic access, puis cliquez
sur Next: Permissions.
e. Sélectionnez Attach existing policies directly.
f. Dans le champ de recherche, saisissez AWSConnector. Cochez la case en regard de la stratégie
AWSConnector et cliquez sur Next: Review.
g. Cliquez sur Créer un utilisateur.
h. Enregistrez les informations d'identification pour ce compte dans un emplacement sûr, puis
cliquez sur Fermer.
Important
Vous aurez besoin de ces informations d'identification pour terminer le processus de
configuration du connector.
3. Créez le compte de service vCenter, qui est un utilisateur local ou de domaine utilisé par le connector
pour communiquer avec vCenter. Spécifiez un mot de passe aléatoire, unique pour le compte.
N'attribuez pas manuellement des privilèges vCenter à cet utilisateur à ce stade ; nous attribuons le
privilège vApp Export à cet utilisateur pendant la procédure de configuration du connector. Notez que
vous pouvez restreindre ce privilège à certaines parties de votre inventaire vCenter une fois que vous
avez terminé la procédure de configuration du connector.
Important
Enregistrez les informations d'identification pour ce compte dans un emplacement sûr. Vous
en aurez besoin pour terminer la procédure de configuration du connector.
Vous pouvez créer cet utilisateur à l'aide de votre fournisseur d'identité (IdP), de vCenter, ou
de Windows, selon ce qui est le plus simple pour vous. Pour plus d'informations sur la création
d'utilisateurs locaux ou de domaine, consultez la documentation suivante, ou contactez un
administrateur pour votre vCenter ou votre IdP :
• Active Directory : Créer un compte utilisateur
• Windows : Créer un compte utilisateur local
• vCenter 5.5 : Ajouter des utilisateurs vCenter Single Sign-On (le domaine par défaut est
vsphere.local)
• vCenter 5.1 : Ajouter un utilisateur vCenter Single Sign On (le domaine par défaut est System-
Domain)
• Appliance vCenter Server : Creating and managing local user accounts
Configuration de la relation d'approbation
Effectuez la procédure suivante pour configurer une relation d'approbation entre le management portal et
votre IdP.
14AWS Management Portal for vCenter Guide de l'utilisateur
Configuration de la relation d'approbation
Pour configurer la relation d'approbation
1. Ouvrez la console de configuration d'AWS Management Portal for vCenter.
Tip
Si vous avez déjà effectué le processus de configuration, mais que vous souhaitez changer
de fournisseur d'authentification, accédez à la page récapitulative, développez Reset
Trust Relationship et cliquez sur I acknowledge that I want to reset my trust relationships
configuration, puis sur Reset Trust Relationship.
2. Cliquez sur Get started now.
3. Sur la page AWS Management Portal for vCenter Configuration, sélectionnez SAML-based
authentication provider.
4. Sur la page Configure the Trust Relationship, exécutez l'une des actions suivantes :
• Option 1 : Configurer la relation d'approbation
1. Dans SAML provider, sélectionnez CREATE NEW pour créer un fournisseur SAML. Entrez un
nom pour le fournisseur, sélectionnez le document de métadonnées SAML pour votre IdP, puis
cliquez sur Save.
Si votre IdP est ADFS, vous pouvez télécharger le document de métadonnées SAML à l'aide de
l'URL suivante, où my-adfs-server est le nom d'hôte de votre serveur ADFS :
https://my-adfs-server/FederationMetadata/2007-06/FederationMetadata.xml
2. Dans Identity Provider URN, saisissez l'identificateur unique de votre IdP. Il s'agit de la valeur
de l'attribut entityID dans le document de métadonnées SAML pour votre IdP.
3. Dans SAML role, sélectionnez CREATE NEW. Ce rôle n'a pas de privilèges AWS. Le
management portal approuve les utilisateurs qui assument ce rôle à l'aide d'une assertion de
votre IdP.
4. Dans AMP service role, sélectionnez CREATE NEW. Le management portal endosse ce rôle
pour gérer vos ressources AWS.
5. Dans Import service role, sélectionnez CREATE NEW. Le service VM Import/Export endosse ce
rôle pour gérer vos tâches de conversion lorsque vous migrez une machine virtuelle à l'aide du
connector.
6. Cliquez sur I agree that AWS Management Portal for vCenter may create the above roles on my
behalf.
7. Cliquez sur Save and Continue.
• Option 2 : Changer de fournisseur d'authentification
Si vous avez sélectionné précédemment AWS Connector comme fournisseur d'authentification,
cliquez sur Reset Trust Relationship. Après la réinitialisation, vous pouvez recommencer le
processus de configuration, sélectionner SAML-based authentication provider, puis configurer la
relation d'approbation.
5. Sur la page Configure Single Sign-On URL, saisissez l'URL d'authentification unique (SSO), puis
cliquez sur Save and Continue.
Cette URL doit utiliser les paramètres suivants : identificateur de partie de confiance
(urn:amazon:webservices) et SAML RelayState (https://amp.aws.amazon.com/auth).
Si votre IdP est ADFS, l'URL SSO est l'URL de l'IdP suivie par :
?RelayState=RPID%3Durn%253Aamazon%253Awebservices%26RelayState%3Dhttps%253A%252F
%252Famp.aws.amazon.com%252Fauth
15AWS Management Portal for vCenter Guide de l'utilisateur
Déploiement de l'appliance virtuelle du connecteur
Par exemple, supposons que l'URL de l'IdP est : https://adfs.mydomain.com/adfs/ls/
IdpInitiatedSignOn.aspx. L'URL SSO correspondante est :
https://adfs.mydomain.com/adfs/ls/IdpInitiatedSignOn.aspx?RelayState=RPID%3Durn
%253Aamazon%253Awebservices%26RelayState%3Dhttps%253A%252F%252Famp.aws.amazon.com
%252Fauth
Vous pouvez créer l'URL SSO manuellement ou utiliser un outil de génération. Par exemple, si votre
IdP est ADFS, consultez ADFS 2.0 RelayState Generator.
6. Sur la page Add Administrators, ajoutez jusqu'à cinq utilisateurs de votre organisation en tant
qu'administrateurs du management portal, puis cliquez sur Save and Continue. Notez que vous
pouvez spécifier à la fois des utilisateurs locaux et de domaine.
Important
Les noms de domaine et d'utilisateur sont sensibles à la casse.
Utilisez le format domaine\utilisateur, où domaine\ est facultatif pour les utilisateurs locaux. Pour les
utilisateurs de domaine, domaine\utilisateur ne doit pas dépasser 32 caractères. Pour les utilisateurs
locaux, utilisateur ne doit pas dépasser 32 caractères. Les noms domaine et utilisateur doivent
commencer chacun par une lettre et ne contenir que les caractères suivants : a-z, A-Z, 0-9, des points
(.), des traits de soulignement (_) et des tirets (-).
Notez que vous devez ajouter maintenant au moins un administrateur, mais que vous pouvez ajouter
d'autres utilisateurs en tant qu'administrateurs par la suite. Pour plus d'informations, consultez Gestion
des administrateurs (p. 26).
7. Sur la page Create an AMP Connector Key, saisissez le nom de la clé de connecteur AMP, puis
cliquez sur Create.
8. Sur la page Review Your Configuration, cliquez sur Download Configuration, ce qui télécharge
un fichier contenant votre configuration de relation d'approbation. Enregistrez ce fichier dans un
emplacement sûr. Vous en aurez besoin pour terminer le processus de déploiement du connecteur.
Cliquez sur Finish.
Notez que vous pouvez créer un nouveau rôle d'approbation AMP ou une nouvelle clé de connecteur
AMP si vous pensez que ceux-ci ont été compromis.
9. Dans votre IdP, configurez AWS en tant que de partie de confiance approuvée. Si votre IdP est ADFS,
consultez Configuration de SSO sur ADFS et AWS Management Portal for vCenter (p. 22) pour
plus d'informations.
10. Testez votre URL SSO à l'aide de votre navigateur. A ce stade, vous devriez voir une page indiquant
ce qui suit :
AWS Management Portal for vCenter Your AWS Management Portal setup is incomplete
Si c'est l'AWS Management Console vous voyez, votre IdP n'est pas configuré pour prendre en charge
le paramètre RelayState. Pour plus d'informations, consultez Activation de RelayState (p. 22).
Déploiement de l'appliance virtuelle du connecteur
Pour le management portal, vous devez déployer et configurer le connector, qui gère les administrateurs et
les autorisations.
Le connector est fourni sous forme d'une appliance virtuelle. Pour déployer le connector, exécutez la
procédure suivante.
16Vous pouvez aussi lire
