eadl:bloc4:fm4:td1-b

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision		 Révision précédente
eadl:bloc4:fm4:td1-b [2026/06/22 20:04] – [1.3 Politique de base lecture S3] jcheroneadl:bloc4:fm4:td1-b [2026/06/23 03:16] (Version actuelle) jcheron
Ligne 181: Ligne 181:
         with:         with:
           role-to-assume: arn:aws:iam::${{ secrets.AWS_ACCOUNT_ID }}:role/role-iam-central-ci           role-to-assume: arn:aws:iam::${{ secrets.AWS_ACCOUNT_ID }}:role/role-iam-central-ci
-          aws-region: eu-west-1+          aws-region: eu-west-3
  
       - name: Setup Terraform       - name: Setup Terraform
Ligne 198: Ligne 198:
 </sxh> </sxh>
  
-<WRAP round help>+<WRAP round question>
 **Question 1.4** : Pourquoi le pipeline utilise ''id-token: write'' ? **Question 1.4** : Pourquoi le pipeline utilise ''id-token: write'' ?
  
Ligne 232: Ligne 232:
 </sxh> </sxh>
  
-<WRAP round help>+<WRAP round question>
 **Question 2.1** : Quelle est la durée de vie des credentials délivrés par OIDC ? **Question 2.1** : Quelle est la durée de vie des credentials délivrés par OIDC ?
  
Ligne 242: Ligne 242:
 Fichier : ''repo-iam-central/oidc-github.tf'' Fichier : ''repo-iam-central/oidc-github.tf''
  
-<sxh hcl>+<sxh js>
 resource "aws_iam_openid_connect_provider" "github" { resource "aws_iam_openid_connect_provider" "github" {
   url = "https://token.actions.githubusercontent.com"   url = "https://token.actions.githubusercontent.com"
Ligne 252: Ligne 252:
 </sxh> </sxh>
  
-<WRAP round help>+<WRAP round question>
 **Question 2.3** : À quoi correspond le ''thumbprint_list'' ? Pourquoi ne faut-il pas le modifier sans vérification ? **Question 2.3** : À quoi correspond le ''thumbprint_list'' ? Pourquoi ne faut-il pas le modifier sans vérification ?
 </WRAP> </WRAP>
Ligne 260: Ligne 260:
 Fichier : ''repo-iam-central/role-ci-central.tf'' Fichier : ''repo-iam-central/role-ci-central.tf''
  
-<sxh hcl>+<sxh js>
 data "aws_iam_policy_document" "github_assume_role_central" { data "aws_iam_policy_document" "github_assume_role_central" {
   statement {   statement {
Ligne 300: Ligne 300:
 </WRAP> </WRAP>
  
-<WRAP round help>+<WRAP round question>
 **Question 2.4** : La condition ''StringLike'' sur le ''sub'' limite l'accès à quoi exactement ? **Question 2.4** : La condition ''StringLike'' sur le ''sub'' limite l'accès à quoi exactement ?
  
Ligne 320: Ligne 320:
 Fichier : ''repo-projet-alpha/terraform/versions.tf'' Fichier : ''repo-projet-alpha/terraform/versions.tf''
  
-<sxh hcl>+<sxh js>
 terraform { terraform {
   required_version = ">= 1.5"   required_version = ">= 1.5"
Ligne 334: Ligne 334:
     bucket = "mon-tfstate-central"     bucket = "mon-tfstate-central"
     key    = "projets/projet-alpha/terraform.tfstate"     key    = "projets/projet-alpha/terraform.tfstate"
-    region = "eu-west-1"+    region = "eu-west-3"
   }   }
 } }
Ligne 341: Ligne 341:
 Fichier : ''repo-projet-alpha/terraform/providers.tf'' Fichier : ''repo-projet-alpha/terraform/providers.tf''
  
-<sxh hcl>+<sxh js>
 provider "aws" { provider "aws" {
-  region = "eu-west-1"+  region = "eu-west-3"
 } }
 </sxh> </sxh>
Ligne 351: Ligne 351:
 Fichier : ''repo-projet-alpha/terraform/role.tf'' Fichier : ''repo-projet-alpha/terraform/role.tf''
  
-<sxh hcl>+<sxh js>
 data "aws_iam_policy_document" "github_assume_role_alpha" { data "aws_iam_policy_document" "github_assume_role_alpha" {
   statement {   statement {
Ligne 386: Ligne 386:
 Fichier : ''repo-projet-alpha/terraform/policy.tf'' Fichier : ''repo-projet-alpha/terraform/policy.tf''
  
-<sxh hcl>+<sxh js>
 variable "aws_account_id" { variable "aws_account_id" {
   type        = string   type        = string
Ligne 432: Ligne 432:
 </sxh> </sxh>
  
-<WRAP round help>+<WRAP round question>
 **Question 3.1** : La politique donne accès à ''s3:DeleteObject''. Est-ce justifié pour un pipeline de déploiement ? Dans quel cas oui, dans quel cas non ? **Question 3.1** : La politique donne accès à ''s3:DeleteObject''. Est-ce justifié pour un pipeline de déploiement ? Dans quel cas oui, dans quel cas non ?
  
Ligne 469: Ligne 469:
         with:         with:
           role-to-assume: arn:aws:iam::${{ secrets.AWS_ACCOUNT_ID }}:role/role-deploy-projet-alpha           role-to-assume: arn:aws:iam::${{ secrets.AWS_ACCOUNT_ID }}:role/role-deploy-projet-alpha
-          aws-region: eu-west-1+          aws-region: eu-west-3
  
       - name: Deploy fichiers vers S3       - name: Deploy fichiers vers S3
Ligne 476: Ligne 476:
 </sxh> </sxh>
  
-<WRAP round help>+<WRAP round question>
 **Question 3.4** : Le flag ''--delete'' supprime les fichiers dans S3 qui ne sont plus dans ''app/''. Quel risque cela représente-t-il ? Comment le mitiger ? **Question 3.4** : Le flag ''--delete'' supprime les fichiers dans S3 qui ne sont plus dans ''app/''. Quel risque cela représente-t-il ? Comment le mitiger ?
  
Ligne 498: Ligne 498:
 </sxh> </sxh>
  
-<WRAP round help>+<WRAP round question>
 **Question 4.1** : Que permet cette modification ? Quel est le risque concret ? **Question 4.1** : Que permet cette modification ? Quel est le risque concret ?
  
Ligne 530: Ligne 530:
 Fichier : ''repo-projet-alpha/terraform/policy.tf'' (version workspace) Fichier : ''repo-projet-alpha/terraform/policy.tf'' (version workspace)
  
-<sxh hcl>+<sxh js>
 locals { locals {
   environment = terraform.workspace   environment = terraform.workspace
Ligne 604: Ligne 604:
         with:         with:
           role-to-assume: arn:aws:iam::${{ secrets.AWS_ACCOUNT_ID }}:role/role-deploy-projet-alpha           role-to-assume: arn:aws:iam::${{ secrets.AWS_ACCOUNT_ID }}:role/role-deploy-projet-alpha
-          aws-region: eu-west-1+          aws-region: eu-west-3
  
       - name: Setup Terraform       - name: Setup Terraform
Ligne 626: Ligne 626:
 </sxh> </sxh>
  
-<WRAP round help>+<WRAP round question>
 **Question 5.1** : Quelle branche déclenche le déploiement en prod ? Quelle branche déclenche le déploiement en dev ? **Question 5.1** : Quelle branche déclenche le déploiement en prod ? Quelle branche déclenche le déploiement en dev ?
  
Ligne 665: Ligne 665:
 Elle s'applique même si un rôle IAM essaie de faire quelque chose d'interdit. Elle s'applique même si un rôle IAM essaie de faire quelque chose d'interdit.
  
-Exemple : interdire la création de ressources hors ''eu-west-1''+Exemple : interdire la création de ressources hors ''eu-west-3''
  
 <sxh json> <sxh json>
Ligne 677: Ligne 677:
       "Condition": {       "Condition": {
         "StringNotEquals": {         "StringNotEquals": {
-          "aws:RequestedRegion": "eu-west-1"+          "aws:RequestedRegion": "eu-west-3"
         }         }
       }       }
Ligne 685: Ligne 685:
 </sxh> </sxh>
  
-<WRAP round help>+<WRAP round question>
 **Question extension 1** : Une SCP est-elle une politique IAM comme les autres ? Quelle est la différence fondamentale ? **Question extension 1** : Une SCP est-elle une politique IAM comme les autres ? Quelle est la différence fondamentale ?
  
Ligne 716: Ligne 716:
 </sxh> </sxh>
  
-===== Bilan pédagogique =====+===== Bilan=====
  
 À l'issue de ce TD, vous devez être capables de : À l'issue de ce TD, vous devez être capables de :
  • eadl/bloc4/fm4/td1-b.1782151477.txt.gz
  • Dernière modification : il y a 5 jours
  • de jcheron