Préparation des autorisations de moindre privilège

L'utilisation d'autorisations de moindre privilège est une recommandation de bonne pratique IAM. Le concept des autorisations de moindre privilège consiste à accorder aux utilisateurs les autorisations nécessaires à l'exécution d'une tâche et aucune autorisation supplémentaire. Lors des préparatifs, réfléchissez à la manière dont vous allez prendre en charge les autorisations de moindre privilège. L’utilisateur racine, l’utilisateur administratif et l’utilisateur IAM d’accès d’urgence disposent d’autorisations puissantes qui ne sont pas nécessaires pour les tâches quotidiennes. Pendant que vous découvrez AWS et testez différents services, nous vous recommandons de créer au moins un utilisateur supplémentaire dans IAM Identity Center avec des autorisations moins importantes que vous pourrez utiliser dans différents scénarios. Vous pouvez utiliser les politiques IAM pour définir les actions qui peuvent être entreprises sur des ressources données dans des conditions spécifiques, puis vous connecter à ces ressources avec le compte doté de privilèges moindres.

Si vous utilisez IAM Identity Center, pensez à utiliser des jeux d'autorisations IAM Identity Center pour commencer. Pour en savoir plus, veuillez consulter la rubrique Create a permission set dans le Guide de l'utilisateur IAM Identity Center.

Si vous n'utilisez pas IAM Identity Center, utilisez les rôles IAM pour définir les autorisations des différentes entités IAM. Pour en savoir plus, veuillez consulter la section Création d’un rôle IAM.

Les rôles IAM et les ensembles d'autorisations IAM Identity Center peuvent utiliser des politiques AWS gérées basées sur les fonctions de travail. Pour plus de détails sur les autorisations accordées par ces politiques, consultez AWS politiques gérées pour les fonctions professionnelles.

Important

N'oubliez pas que les politiques AWS gérées peuvent ne pas accorder d'autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles sont accessibles à tous AWS les clients. Au terme de la configuration, nous vous recommandons d'utiliser IAM Access Analyzer pour générer des stratégies de moindre privilège basées sur l'activité d'accès consignée dans AWS CloudTrail. Pour plus d’informations sur la génération de politiques, consultez IAM Access Analyzer policy generation.

Lorsque vous commencez, nous vous recommandons d'utiliser des politiques AWS gérées pour accorder des autorisations. Après une période d’activité prédéfinie (90 jours, par exemple), vous pouvez examiner les services auxquels les personnes et les charges de travail ont accédé. Vous pouvez ensuite créer une nouvelle politique gérée par le client avec des autorisations réduites pour remplacer la politique AWS gérée. La nouvelle politique ne devrait inclure que les services auxquels il a été fait appel au cours de la période examinée. Mettez à jour vos autorisations pour supprimer la politique AWS gérée et joignez la nouvelle politique gérée par le client que vous avez créée.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Utiliser l’authentification multifactorielle avec vos identités

Examen des dernières informations consultées pour votre compte AWS