Bonnes pratiques d'utilisateur root pour votre Compte AWS

Lorsque vous créez un Compte AWS, vous commencez par un ensemble d'informations d'identification par défaut avec un accès complet à toutes les AWS ressources de votre compte. Cette identité est appelée l'utilisateur root Compte AWS. Nous vous recommandons vivement de ne pas accéder à l'utilisateur Compte AWS root, sauf si vous avez une tâche qui nécessite des informations d'identification de l'utilisateur root. Vous devez sécuriser vos informations d'identification de l'utilisateur root et les mécanismes de récupération de votre compte afin de ne pas exposer vos informations d'identification hautement privilégiées à des fins d'utilisation non autorisée.

Pour les comptes multiples Comptes AWS gérés via Organizations, nous recommandons de supprimer les informations d'identification de l'utilisateur root des comptes membres afin d'empêcher toute utilisation non autorisée. Vous pouvez supprimer le mot de passe de l'utilisateur root, les clés d'accès, les certificats de signature, ainsi que désactiver et supprimer l'authentification multifactorielle ()MFA. Les comptes membres ne peuvent pas se connecter à leur utilisateur root ni récupérer le mot de passe de leur utilisateur root. Pour de plus amples informations, veuillez consulter Gérez de manière centralisée l'accès root pour les comptes des membres.

Au lieu d'accéder à l'utilisateur root, créez un utilisateur administratif pour les tâches quotidiennes.

• Si vous en avez un nouveau Compte AWS, voyezConfiguration de votre Compte AWS.

• Pour plusieurs Comptes AWS applications gérées via AWS Organizations, voir Configurer Compte AWS l'accès pour un utilisateur administratif IAM d'Identity Center.

Avec votre utilisateur administratif, vous pouvez ensuite créer des identités supplémentaires pour les utilisateurs qui ont besoin d'accéder aux ressources de votre Compte AWS. Nous vous recommandons vivement de demander aux utilisateurs de s'authentifier avec des informations d'identification temporaires lors de l'accès AWS.

• Pour un compte unique et autonome Compte AWS, utilisez-le IAMrôles pour créer des identités dans votre compte avec des autorisations spécifiques. Les rôles sont destinés à être endossés par toute personne qui en a besoin. En outre, un rôle ne dispose pas d'informations d'identification standard à long terme comme un mot de passe ou des clés d'accès associées. Au lieu de cela, lorsque vous adoptez un rôle, il vous fournit des informations d’identification de sécurité temporaires pour votre session de rôle. Contrairement aux IAM rôles, utilisez IAMutilisateurs des informations d'identification à long terme telles que des mots de passe et des clés d'accès. Dans la mesure du possible, les meilleures pratiques recommandent de s'appuyer sur des informations d'identification temporaires plutôt que de créer des IAM utilisateurs dotés d'informations d'identification à long terme, telles que des mots de passe et des clés d'accès.

• Pour plusieurs organisations Comptes AWS gérées par le biais d'Organizations, utilisez les utilisateurs du personnel IAM d'Identity Center. Avec IAM Identity Center, vous pouvez gérer de manière centralisée les utilisateurs de vos comptes Comptes AWS et les autorisations associées à ces comptes. Gérez les identités de vos utilisateurs avec IAM Identity Center ou auprès d'un fournisseur d'identité externe. Pour plus d’informations, consultez Présentation de AWS IAM Identity Center dans le Guide de l’utilisateur AWS IAM Identity Center .

Sécurisez vos informations d’identification d'utilisateur root pour empêcher toute utilisation non autorisée

Sécurisez vos informations d’identification d'utilisateur root et ne les utilisez que pour les tâches qui les nécessitent. Pour empêcher toute utilisation non autorisée, ne partagez pas le mot de passe de votre utilisateur rootMFA, vos clés d'accès, vos paires de CloudFront clés ou les certificats de signature avec qui que ce soit, à l'exception de ceux qui ont un besoin professionnel strict d'accéder à l'utilisateur root.

Ne stockez pas le mot de passe de l'utilisateur root Services AWS dans des outils qui dépendent d'un compte auquel on accède avec ce même mot de passe. Si vous perdez ou oubliez votre mot de passe utilisateur root, vous ne pourrez pas accéder à ces outils. Nous vous recommandons de donner la priorité à la résilience et d'envisager de demander à deux personnes ou plus d'autoriser l'accès à l'emplacement de stockage. L'accès au mot de passe ou à son emplacement de stockage doit être consigné et surveillé.

Utiliser un mot de passe utilisateur root fort pour protéger l'accès

Nous vous recommandons d'utiliser un mot de passe fort et unique. Des outils tels que des gestionnaires de mots de passe dotés d'algorithmes de génération de mots de passe puissants peuvent vous permettre d'atteindre ces objectifs. AWS exige que votre mot de passe remplisse les conditions suivantes :

• Avoir un minimum de 8 caractères et un maximum de 128 caractères

• Inclure au minimum trois des types de caractères suivants : majuscules, minuscules, chiffres, et les symboles ! @ # $ % ^ & * () <> [] {} | _ + - =

• Il ne doit pas être identique à votre Compte AWS nom ou à votre adresse e-mail.

Pour de plus amples informations, veuillez consulter Modifiez le mot de passe du Utilisateur racine d'un compte AWS.

Sécurisez la connexion de votre utilisateur root grâce à l'authentification multifactorielle () MFA

Étant donné qu'un utilisateur root peut effectuer des actions privilégiées, il est essentiel d'ajouter MFA pour l'utilisateur root un deuxième facteur d'authentification en plus de l'adresse e-mail et du mot de passe comme identifiants de connexion. Nous vous recommandons vivement d'activer plusieurs identifiants MFA pour vos identifiants d'utilisateur root afin de renforcer la flexibilité et la résilience de votre stratégie de sécurité. Vous pouvez enregistrer jusqu'à huit MFA appareils de n'importe quelle combinaison des MFA types actuellement pris en charge auprès de votre utilisateur Compte AWS root.

• FIDOLes clés de sécurité matérielles certifiées sont fournies par des fournisseurs tiers. Pour plus d'informations, voir Activer une clé FIDO de sécurité pour l'utilisateur Compte AWS root.

• Un périphérique matériel qui génère un code numérique à six chiffres basé sur l'algorithme du mot de passe à usage unique basé sur le temps ()TOTP. Pour plus d'informations, voir Activer un TOTP jeton matériel pour l'utilisateur Compte AWS root.

• Une appli d'authentification virtuelle qui s'exécute sur un téléphone ou un autre appareil et qui égale le niveau d'un dispositif physique. Pour plus d'informations, voir Activer un MFA périphérique virtuel pour votre utilisateur Compte AWS root.

Ne créer aucune clé d'accès pour l'utilisateur root

Les touches d'accès vous permettent d'exécuter des commandes dans l'interface de ligne de AWS commande (AWS CLI) ou d'utiliser API des opérations depuis l'une des AWS SDKs. Nous vous recommandons vivement de ne pas créer de paires de clés d'accès pour votre utilisateur root, car celui-ci dispose d'un accès complet à toutes Services AWS les ressources du compte, y compris aux informations de facturation.

Étant donné que seules quelques tâches nécessitent l'utilisateur root et que vous les effectuez généralement rarement, nous vous recommandons de vous connecter au pour effectuer des AWS Management Console tâches d'utilisateur root. Avant de créer des clés d'accès, passez en revue les alternatives aux clés d'accès à long terme.

Utiliser une approbation par plusieurs personnes pour la connexion de l'utilisateur root dans la mesure du possible

Envisagez d'utiliser l'approbation par plusieurs personnes pour vous assurer qu'aucune personne ne puisse accéder à la fois au mot de passe de l'utilisateur root MFA et à son mot de passe. Certaines entreprises ajoutent un niveau de sécurité supplémentaire en configurant un groupe d'administrateurs ayant accès au mot de passe et un autre groupe d'administrateurs ayant accès àMFA. Un membre de chaque groupe doit se réunir pour se connecter en tant qu'utilisateur root.

Utiliser une adresse e-mail de groupe pour les informations d'identification de l'utilisateur root

Utilisez une adresse e-mail gérée par votre entreprise et transférez les messages reçus directement à un groupe d'utilisateurs. Si vous AWS devez contacter le titulaire du compte, cette approche réduit le risque de retard dans la réponse, même si les personnes sont en vacances, sont malades ou ont quitté l'entreprise. L'adresse e-mail utilisée pour l'utilisateur root ne doit pas être utilisée à d'autres fins.

Restreindre l'accès aux mécanismes de récupération des comptes

Veillez à développer un processus pour gérer les mécanismes de récupération des informations d'identification d'utilisateur root au cas où vous auriez besoin d'y accéder en cas d'urgence, telle que la prise de contrôle de votre compte administratif.

• Assurez-vous d'avoir accès à votre boîte de réception de messagerie d'utilisateur root afin de pouvoir réinitialiser le mot de passe d'utilisateur root perdu ou oublié.

• Si votre MFA utilisateur Compte AWS root est perdu, endommagé ou ne fonctionne pas, vous pouvez vous connecter en utilisant les informations d'identification d'un autre utilisateur root MFA enregistré sous le même nom d'utilisateur root. Si vous avez perdu l'accès à tous vosMFAs, vous avez besoin du numéro de téléphone et de l'e-mail utilisés pour enregistrer votre compte, pour être à jour et accessibles pour récupérer votreMFA. Pour plus de détails, consultez la section Restauration d'une MFA machine utilisateur root.

• Si vous choisissez de ne pas enregistrer le mot de passe de votre utilisateur rootMFA, le numéro de téléphone enregistré dans votre compte peut être utilisé comme autre moyen de récupérer les informations d'identification de l'utilisateur root. Assurez-vous d'avoir accès au numéro de téléphone de contact, maintenez-le à jour et limitez le nombre de personnes autorisées à gérer le numéro de téléphone.

Personne ne doit avoir accès à la fois à la boîte de réception de messagerie et au numéro de téléphone, car les deux sont des canaux de vérification permettant de récupérer votre mot de passe d'utilisateur root. Il est important que deux groupes de personnes gèrent ces canaux. Un groupe ayant accès à votre adresse e-mail principale et un autre groupe ayant accès au numéro de téléphone principal pour récupérer l'accès à votre compte en tant qu'utilisateur root.

Sécurisez les informations d’identification d'utilisateur root de votre compte Organizations

Au fur et à mesure que vous passez à une stratégie multi-comptes avec Organizations, chacun de vos utilisateurs Comptes AWS possède ses propres informations d'identification d'utilisateur root que vous devez sécuriser. Le compte que vous utilisez pour créer votre organisation est le compte de gestion et les autres comptes de votre organisation sont des comptes membres.

Sécuriser les informations d'identification d'utilisateur root pour les comptes membres

Si vous utilisez Organizations pour gérer plusieurs comptes, vous pouvez adopter deux stratégies pour sécuriser l'accès de l'utilisateur root dans vos Organisations.

• Centralisez l'accès root et supprimez les informations d'identification des utilisateurs root des comptes membres. Vous pouvez supprimer le mot de passe de l'utilisateur root, les clés d'accès, les certificats de signature, ainsi que désactiver et supprimer l'authentification multifactorielle ()MFA. Les comptes membres ne peuvent pas se connecter à leur utilisateur root ni récupérer le mot de passe de leur utilisateur root. Pour de plus amples informations, veuillez consulter Gérez de manière centralisée l'accès root pour les comptes des membres.

• Sécurisez les informations d'identification de l'utilisateur root de vos comptes Organizations avecMFA.

Pour plus de détails, consultez la section Accès aux comptes membres de votre organisation dans le Guide de l'utilisateur Organizations.

Définissez des contrôles de sécurité préventifs dans les Organizations à l'aide d'une politique de contrôle des services () SCP

Si les informations d'identification de l'utilisateur root sont activées dans les comptes membres de votre organisation, vous pouvez en appliquer une SCP pour restreindre l'accès à l'utilisateur root du compte membre. Le fait de refuser toutes les actions de l'utilisateur root sur vos comptes membres, à l'exception de certaines actions réservées au root, permet d'empêcher tout accès non autorisé. Pour plus de détails, consultez la section Utiliser un SCP pour restreindre les actions de l'utilisateur root de vos comptes de membre.

Surveiller l'accès et l'utilisation

Nous vous recommandons d'utiliser vos mécanismes de suivi actuels pour surveiller, alerter et signaler la connexion et l'utilisation des informations d'identification d'utilisateur root, y compris les alertes annonçant la connexion et l'utilisation de l'utilisateur root. Les services suivants peuvent aider à garantir le suivi de l'utilisation des informations d'identification d'utilisateur root et à effectuer des contrôles de sécurité afin d'empêcher toute utilisation non autorisée.

Note

CloudTrail enregistre les différents événements de connexion pour l'utilisateur root et les sessions de l'utilisateur root privilégié. Ces sessions privilégiées permettent d'exécuter des tâches qui nécessitent les informations d'identification de l'utilisateur root dans les comptes membres de votre organisation. Vous pouvez utiliser l'événement de connexion pour identifier les actions entreprises par le compte de gestion ou par un administrateur délégué utilisant sts:AssumeRoot. Pour de plus amples informations, veuillez consulter Suivez les tâches privilégiées dans CloudTrail.

• Si vous souhaitez être informé de l'activité de connexion de l'utilisateur root sur votre compte, vous pouvez utiliser Amazon CloudWatch pour créer une règle d'événements qui détecte l'utilisation des informations d'identification de l'utilisateur root et déclenche une notification destinée à votre administrateur de sécurité. Pour plus de détails, voir Surveillance et notification de l'activité des utilisateurs Compte AWS root.

• Si vous souhaitez configurer des notifications pour vous avertir des actions approuvées de l'utilisateur root, vous pouvez utiliser Amazon et Amazon EventBridge SNS pour rédiger une EventBridge règle permettant de suivre l'utilisation de l'utilisateur root pour l'action spécifique et de vous avertir via un SNS sujet Amazon. Pour obtenir un exemple, consultez Envoyer une notification lorsqu'un objet Amazon S3 est créé.

• Si vous l'utilisez déjà GuardDuty comme service de détection des menaces, vous pouvez étendre sa capacité à vous avertir lorsque les informations d'identification de l'utilisateur root sont utilisées dans votre compte.

Cette alerte doit inclure, sans s'y limiter, l'adresse e-mail pour l'utilisateur root. Vérifiez que vous avez des procédures en place pour savoir comment répondre aux alertes afin que le personnel qui reçoit une alerte d'accès d'utilisateur root comprenne comment confirmer que l'accès de l'utilisateur root est attendu et comment remonter l'événement s'il croit qu'un incident de sécurité est en cours. Pour un exemple de configuration des alertes, voir Surveiller et notifier l'activité de l'utilisateur Compte AWS root.

Évaluer la MFA conformité des utilisateurs root

Les services suivants peuvent aider à évaluer la MFA conformité des informations d'identification de l'utilisateur root.

MFAles règles associées ne sont pas conformes si vous suivez la meilleure pratique consistant à supprimer les informations d'identification de l'utilisateur root.

Nous vous recommandons de supprimer les informations d'identification de l'utilisateur root des comptes membres de votre organisation afin d'empêcher toute utilisation non autorisée. Une fois que vous avez supprimé les informations d'identification de l'utilisateur rootMFA, notamment, ces comptes de membres sont considérés comme non conformes.

• AWS Config fournit des règles pour contrôler le respect des meilleures pratiques de l'utilisateur root. Vous pouvez utiliser des règles AWS Config gérées pour vous aider à appliquer MFA les informations d'identification de l'utilisateur root. AWS Config peut également identifier les clés d'accès pour l'utilisateur root.

• Security Hub vous fournit une vue complète de votre état de sécurité AWS et vous aide à évaluer votre AWS environnement par rapport aux normes du secteur de la sécurité et aux meilleures pratiques, telles que MFA le fait d'avoir un utilisateur root et de ne pas avoir de clés d'accès utilisateur root. Pour plus de détails sur les règles disponibles, consultez Contrôles AWS Identity and Access Management dans le Guide de l'utilisateur de Security Hub.

• Trusted Advisor fournit un contrôle de sécurité afin que vous sachiez s'il MFA n'est pas activé sur le compte utilisateur root. Pour plus d'informations, consultez MFAla section sur le compte root dans le guide de l'utilisateur du AWS Support.

Si vous devez signaler un problème de sécurité lié à votre compte, consultez Signaler des e-mails suspects ou Signaler une vulnérabilité. Vous pouvez également contacter AWS pour obtenir de l'aide et des conseils supplémentaires.