Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Sécurité
Vous pouvez utiliser les vérifications suivantes pour la catégorie de sécurité.
Note
Si vous avez activé Security Hub pour votre Compte AWS, vous pouvez consulter vos résultats dans la Trusted Advisor console. Pour plus d’informations, consultez Affichage des contrôles AWS Security Hub dans AWS Trusted Advisor.
Vous pouvez consulter tous les contrôles dans la norme de sécurité AWS Foundational Security Best Practices, à l'exception des contrôles dont la catégorie est : Restaurer > Résilience. Pour obtenir la liste des contrôles pris en charge, consultez les contrôles des Bonnes pratiques de sécurité de base de AWS dans le Guide de l'utilisateur de AWS Security Hub .
Noms des vérifications
- Période de conservation d'Amazon CloudWatch Log Group
- Instances Amazon EC2 avec fin de support de Microsoft SQL Server
- Instances Amazon EC2 avec fin de support de Microsoft Windows Server
- Fin de la prise en charge standard des instances Amazon EC2 avec Ubuntu LTS
- Les clients Amazon EFS n'utilisent pas data-in-transit le chiffrement
- Instantanés publics Amazon EBS
- Le chiffrement du stockage Amazon RDS Aurora est désactivé
- La mise à niveau de la version mineure du moteur Amazon RDS est requise
- Instantanés publics Amazon RDS
- Risque lié à l'accès aux groupes de sécurité Amazon RDS
- Le chiffrement du stockage Amazon RDS est désactivé
- Amazon Route 53 : enregistrements CNAME non concordants pointant directement vers des compartiments S3
- Jeux d'enregistrements de ressource MX Amazon Route 53 et cadre de politique de l'expéditeur
- Autorisations pour le compartiment Amazon S3
- Connexions d'appairage Amazon VPC avec résolution DNS désactivée
- AWS Backup Vault sans politique basée sur les ressources pour empêcher la suppression de points de restauration
- AWS CloudTrail Journalisation
- AWS Lambda Fonctions utilisant des environnements d'exécution obsolètes
- Problèmes à risque élevé AWS Well-Architected pour la sécurité
- CloudFrontCertificats SSL personnalisés dans le magasin de certificats IAM
- CloudFront Certificat SSL sur le serveur d'origine
- Sécurité des écouteurs ELB
- Groupes de sécurité ELB
- Exposed Access Keys
- Rotation des clés d'accès IAM
- Politique de mot de passe IAM
- Utilisation d'IAM
- MFA sur le compte racine
- Groupes de sécurité — Ports spécifiques non restreints
- Groupes de sécurité — Accès illimité
Période de conservation d'Amazon CloudWatch Log Group
- Description
-
Vérifie si la période de conservation des groupes de CloudWatch journaux Amazon est définie sur 365 jours ou sur un autre nombre spécifié.
Par défaut, les journaux sont conservés indéfiniment et n'expirent jamais. Cependant, vous pouvez ajuster la politique de conservation pour chaque groupe de journaux afin de vous conformer aux réglementations du secteur ou aux exigences légales pour une période spécifique.
Vous pouvez spécifier la durée de rétention minimale et les noms des groupes de journaux à l'aide LogGroupNamesdes MinRetentionTimeparamètres et de vos AWS Config règles.
Note
Les résultats de cette vérification sont automatiquement actualisés plusieurs fois par jour et les demandes d'actualisation ne sont pas autorisées. Plusieurs heures peuvent encore être nécessaires pour que les modifications apparaissent. Actuellement, vous ne pouvez pas exclure des ressources de cette vérification.
- ID de la vérification
-
c18d2gz186
- Source
-
AWS Config Managed Rule: cw-loggroup-retention-period-check
- Critères d'alerte
-
Jaune : la durée de conservation d'un groupe de CloudWatch logs Amazon est inférieure au nombre minimum de jours souhaité.
- Action recommandée
-
Configurez une période de conservation de plus de 365 jours pour vos données de journal stockées dans Amazon CloudWatch Logs afin de répondre aux exigences de conformité.
Pour plus d'informations, voir Conservation des données du journal des modifications dans CloudWatch les journaux.
- Ressources supplémentaires
- Colonnes du rapport
-
-
Statut
-
Région
-
Ressource
-
AWS Config Règle
-
Paramètres d'entrée
-
Heure de la dernière modification
-
Instances Amazon EC2 avec fin de support de Microsoft SQL Server
- Description
-
Vérifiez les versions de SQL Server pour les instances Amazon Elastic Compute Cloud (Amazon EC2) exécutées au cours des dernières 24 heures. Cette vérification vous avertit si les versions sont proches de la fin de support ou l'ont atteint. Chaque version de SQL Server offre 10 ans de support, dont 5 ans de support standard et 5 ans de support étendu. À la fin du support, la version de SQL Server ne recevra plus de mises à jour de sécurité régulières. L'exécution d'applications à l'aide de versions de SQL Server non prises en charge peut entraîner des risques de sécurité ou de conformité.
Note
Les résultats de cette vérification sont automatiquement actualisés plusieurs fois par jour et les demandes d'actualisation ne sont pas autorisées. Plusieurs heures peuvent encore être nécessaires pour que les modifications apparaissent. Actuellement, vous ne pouvez pas exclure des ressources de cette vérification.
- ID de la vérification
-
Qsdfp3A4L3
- Critères d'alerte
-
-
Rouge : une instance EC2 possède une version SQL Server qui n'est plus prise en charge.
-
Jaune : une instance EC2 possède une version SQL Server qui ne sera plus prise en charge dans 12 mois.
-
- Action recommandée
-
Pour moderniser vos charges de travail SQL Server, envisagez de refactoriser vers des bases de données AWS Cloud natives comme Amazon Aurora. Pour plus d'informations, voir Moderniser les charges de travail Windows avec AWS
. Pour passer à une base de données entièrement gérée, envisagez de passer à Amazon Relational Database Service (Amazon RDS). Pour plus d'informations, consultez Amazon RDS for SQL Server
. Pour mettre à niveau votre SQL Server sur Amazon EC2, pensez à utiliser le Runbook Automation afin de simplifier votre mise à niveau. Pour en savoir plus, consultez la documentation AWS Systems Manager.
Si vous ne pouvez pas mettre à niveau votre SQL Server sur Amazon EC2, pensez au Programme de migration pour fin du support dédié à Windows Server. Pour plus d'informations, consultez le site web EMP
. - Ressources supplémentaires
- Colonnes du rapport
-
-
Statut
-
Région
-
ID d’instance
-
SQL Server Version
-
Cycle de prise en charge
-
Fin de la prise en charge
-
Heure de la dernière modification
-
Instances Amazon EC2 avec fin de support de Microsoft Windows Server
- Description
-
Cette vérification vous avertit si les versions sont proches de la fin de support ou l'ont atteint. Chaque version de Windows Server offre 10 ans de support. Cela comprend 5 ans de support standard et 5 ans de support étendu. À la fin du support, la version de Windows Server ne recevra plus de mises à jour de sécurité régulières. Si vous exécutez des applications avec des versions de Windows Server non prises en charge, vous risquez de compromettre la sécurité ou la conformité de ces applications.
Note
Les résultats de cette vérification sont automatiquement actualisés plusieurs fois par jour et les demandes d'actualisation ne sont pas autorisées. Plusieurs heures peuvent encore être nécessaires pour que les modifications apparaissent. Actuellement, vous ne pouvez pas exclure des ressources de cette vérification.
- ID de la vérification
-
Qsdfp3A4L4
- Critères d'alerte
-
-
Rouge : une instance EC2 a une version de Windows Server qui a atteint la fin du support (Windows Server 2003, 2003 R2, 2008 et 2008 R2).
-
Jaune : une instance EC2 a une version de Windows Server qui atteindra la fin de son support dans moins de 18 mois (Windows Server 2012 et 2012 R2).
-
- Action recommandée
-
Pour moderniser vos charges de travail Windows Server, considérez les différentes options disponibles sur Moderniser les charges de travail Windows avec
. AWS Pour mettre à niveau vos charges de travail Windows Server afin qu'elles s'exécutent sur des versions plus récentes de Windows Server, vous pouvez utiliser un runbook d'automatisation. Pour plus d'informations, consultez la documentation d'AWS Systems Manager.
Veuillez suivre les étapes ci-dessous :
-
a. Mettre à niveau la version de Windows Server
-
b. Arrêt et démarrage difficiles lors de la mise à niveau
-
c. Si vous utilisez EC2Config, veuillez migrer vers EC2Launch
-
- Colonnes du rapport
-
-
Statut
-
Région
-
ID d’instance
-
Version de Windows Server
-
Cycle de prise en charge
-
Fin de la prise en charge
-
Heure de la dernière modification
-
Fin de la prise en charge standard des instances Amazon EC2 avec Ubuntu LTS
- Description
-
Cette vérification vous avertit si les versions sont proches ou ont atteint la fin du support standard. Il est important de passer à l'action, soit en migrant vers le prochain LTS, soit en passant à Ubuntu Pro. Après la fin du support, vos machines 18.04 LTS ne recevront aucune mise à jour de sécurité. Avec un abonnement Ubuntu Pro, votre déploiement Ubuntu 18.04 LTS peut bénéficier d'une maintenance de sécurité étendue (ESM) jusqu'en 2028. Les failles de sécurité non corrigées exposent vos systèmes aux pirates informatiques et à la possibilité d'une violation majeure.
- ID de la vérification
-
c1dfprch15
- Critères d'alerte
-
Rouge : une instance Amazon EC2 possède une version d'Ubuntu qui a atteint la fin du support standard (Ubuntu 18.04 LTS, 18.04.1 LTS, 18.04.2 LTS, 18.04.3 LTS, 18.04.4 LTS, 18.04.5 LTS et 18.04.6 LTS).
Jaune : une instance Amazon EC2 possède une version Ubuntu dont le support standard expirera dans moins de 6 mois (Ubuntu 20.04 LTS, 20.04.1 LTS, 20.04.2 LTS, 20.04.3 LTS, 20.04.4 LTS, 20.04.5 LTS et 20.04.6 LTS).
Vert : toutes les instances Amazon EC2 sont conformes.
- Action recommandée
-
Pour mettre à niveau les instances d'Ubuntu 18.04 LTS vers une version LTS prise en charge, veuillez suivre les étapes mentionnées dans cet article
. Pour mettre à niveau les instances d'Ubuntu 18.04 LTS vers Ubuntu Pro , rendez-vous sur AWS License Manager la console et suivez les étapes indiquées dans le guide de l'AWS License Manager utilisateur. Vous pouvez également consulter le blog Ubuntu présentant une démonstration étape par étape de la mise à niveau d'instances Ubuntu vers Ubuntu Pro. - Ressources supplémentaires
-
Pour plus d'informations sur les prix, contactez AWS Support
. - Colonnes du rapport
-
-
Statut
-
Région
-
Version Ubuntu Lts
-
Date de fin de support prévue
-
ID d’instance
-
Cycle de prise en charge
-
Heure de la dernière modification
-
Les clients Amazon EFS n'utilisent pas data-in-transit le chiffrement
- Description
-
Vérifie si le système de fichiers Amazon EFS est monté par data-in-transit chiffrement. AWS recommande aux clients d'utiliser data-in-transit le chiffrement pour tous les flux de données afin de protéger les données contre toute exposition accidentelle ou tout accès non autorisé. Amazon EFS recommande aux clients d'utiliser le paramètre de montage « -o tls » à l'aide de l'assistant de montage Amazon EFS pour chiffrer les données en transit à l'aide du protocole TLS v1.2.
- ID de la vérification
-
c1dfpnchv1
- Critères d'alerte
-
Jaune : un ou plusieurs clients NFS de votre système de fichiers Amazon EFS n'utilisent pas les paramètres de montage recommandés pour le data-in-transit chiffrement.
Vert : tous les clients NFS de votre système de fichiers Amazon EFS utilisent les paramètres de montage recommandés pour le data-in-transit chiffrement.
- Action recommandée
-
Pour tirer parti de la fonctionnalité de data-in-transit chiffrement d'Amazon EFS, nous vous recommandons de remonter votre système de fichiers à l'aide de l'assistant de montage Amazon EFS et des paramètres de montage recommandés.
Note
Certaines distributions de Linux n'incluent pas de version de Stunnel prenant en charge les fonctionnalités TLS par défaut. Si vous utilisez une distribution Linux non prise en charge (voir les distributions prises en charge ici), nous vous recommandons de la mettre à niveau avant le remontage avec le paramètre de montage recommandé.
- Ressources supplémentaires
- Colonnes du rapport
-
-
Statut
-
Région
-
Identifiant de système de fichiers EFS
-
AS avec connexions non chiffrées
-
Heure de la dernière modification
-
Instantanés publics Amazon EBS
- Description
-
Vérifie les paramètres d'autorisation pour les instantanés de vos volumes Amazon Elastic Block Store (Amazon EBS) et vous avertit si des instantanés sont accessibles au public.
Lorsque vous publiez un instantané, vous permettez à tous Comptes AWS et aux utilisateurs d'accéder à toutes les données qu'il contient. Si vous souhaitez partager un instantané uniquement avec des utilisateurs ou des comptes spécifiques, marquez l'instantané comme privé. Ensuite, spécifiez l'utilisateur ou les comptes avec lesquels vous souhaitez partager les données d'instantané. Notez que si vous avez activé l'option Bloquer l'accès public en mode « bloquer tout partage », vos instantanés publics ne seront pas accessibles au public et n'apparaîtront pas dans les résultats de cette vérification.
Note
Les résultats de cette vérification sont automatiquement actualisés plusieurs fois par jour et les demandes d'actualisation ne sont pas autorisées. Plusieurs heures peuvent encore être nécessaires pour que les modifications apparaissent.
- ID de la vérification
-
ePs02jT06w
- Critères d'alerte
-
Rouge : l'instantané du volume EBS est accessible au public.
- Action recommandée
-
À moins que vous ne soyez certain de vouloir partager toutes les données de l'instantané avec tous Comptes AWS les utilisateurs, modifiez les autorisations : marquez l'instantané comme privé, puis spécifiez les comptes auxquels vous souhaitez accorder des autorisations. Pour plus d'informations, consultez Partager un instantané Amazon EBS. Utilisez Bloquer l'accès public pour les instantanés EBS afin de contrôler les paramètres qui autorisent l'accès public à vos données. Cette vérification ne peut pas être exclue de la vue dans la Trusted Advisor console.
Pour modifier directement les autorisations associées à vos instantanés, vous pouvez utiliser un runbook dans la AWS Systems Manager console. Pour plus d’informations, consultez
AWSSupport-ModifyEBSSnapshotPermission
. - Ressources supplémentaires
- Colonnes du rapport
-
-
Statut
-
Région
-
ID du volume
-
ID de l'instantané
-
Description
-
Le chiffrement du stockage Amazon RDS Aurora est désactivé
- Description
-
Amazon RDS prend en charge le chiffrement au repos pour tous les moteurs de base de données à l'aide des clés que vous gérez. AWS Key Management Service Sur une instance de base de données active avec chiffrement Amazon RDS, les données stockées au repos dans le stockage sont chiffrées, comme dans le cas des sauvegardes automatisées, des répliques de lecture et des instantanés.
Si le chiffrement n'est pas activé lors de la création d'un cluster de base de données Aurora, vous devez restaurer un instantané déchiffré sur un cluster de base de données chiffré.
Note
Les résultats de cette vérification sont automatiquement actualisés plusieurs fois par jour et les demandes d'actualisation ne sont pas autorisées. Plusieurs heures peuvent encore être nécessaires pour que les modifications apparaissent. Actuellement, vous ne pouvez pas exclure des ressources de cette vérification.
Note
Lorsqu'une instance ou un cluster de bases de données est arrêté, vous pouvez consulter les recommandations Amazon RDS Trusted Advisor pendant 3 à 5 jours. Après cinq jours, les recommandations ne sont plus disponibles dans Trusted Advisor. Pour consulter les recommandations, ouvrez la console Amazon RDS, puis choisissez Recommendations.
Si vous supprimez une instance ou un cluster de bases de données, les recommandations associées à ces instances ou clusters ne sont pas disponibles dans Trusted Advisor ou dans la console de gestion Amazon RDS.
- ID de la vérification
-
c1qf5bt005
- Critères d'alerte
-
Rouge : le chiffrement n'est pas activé sur les ressources Amazon RDS Aurora.
- Action recommandée
-
Activez le chiffrement des données au repos pour votre cluster de bases de données.
- Ressources supplémentaires
-
Vous pouvez activer le chiffrement lors de la création d'une instance de base de données ou utiliser une solution de contournement pour activer le chiffrement sur une instance de base de données active. Vous ne pouvez pas modifier un cluster de base de données déchiffré en cluster de base de données chiffré. Toutefois, vous pouvez restaurer un instantané déchiffré sur un cluster de base de données chiffré. Lorsque vous effectuez une restauration à partir de l'instantané déchiffré, vous devez spécifier une clé. AWS KMS
Pour plus d'informations, consultez Chiffrer des ressources Amazon Aurora.
- Colonnes du rapport
-
-
Statut
-
Région
-
Ressource
-
Nom du moteur
-
Heure de la dernière modification
-
La mise à niveau de la version mineure du moteur Amazon RDS est requise
- Description
-
Les ressources de votre base de données n'exécutent pas la dernière version mineure du moteur de base de données. La dernière version mineure contient les derniers correctifs de sécurité et d'autres améliorations.
Note
Les résultats de cette vérification sont automatiquement actualisés plusieurs fois par jour et les demandes d'actualisation ne sont pas autorisées. Plusieurs heures peuvent encore être nécessaires pour que les modifications apparaissent. Actuellement, vous ne pouvez pas exclure des ressources de cette vérification.
Note
Lorsqu'une instance ou un cluster de bases de données est arrêté, vous pouvez consulter les recommandations Amazon RDS Trusted Advisor pendant 3 à 5 jours. Après cinq jours, les recommandations ne sont plus disponibles dans Trusted Advisor. Pour consulter les recommandations, ouvrez la console Amazon RDS, puis choisissez Recommendations.
Si vous supprimez une instance ou un cluster de bases de données, les recommandations associées à ces instances ou clusters ne sont pas disponibles dans Trusted Advisor ou dans la console de gestion Amazon RDS.
- ID de la vérification
-
c1qf5bt003
- Critères d'alerte
-
Rouge : les ressources Amazon RDS n'exécutent pas la dernière version mineure du moteur de base de données.
- Action recommandée
-
Effectuez une mise à niveau vers la dernière version du moteur.
- Ressources supplémentaires
-
Nous vous recommandons de maintenir votre base de données avec la dernière version mineure du moteur de base de données, car cette version inclut les derniers correctifs de sécurité et de fonctionnalité. Les mises à niveau des versions mineures du moteur de base de données contiennent uniquement les modifications rétrocompatibles avec les versions mineures antérieures de la même version majeure du moteur de base de données.
Pour plus d'informations, voir Mise à niveau de la version d'un moteur d'instance de base de données.
- Colonnes du rapport
-
-
Statut
-
Région
-
Ressource
-
Nom du moteur
-
Version actuelle du moteur
-
Valeur recommandée
-
Heure de la dernière modification
-
Instantanés publics Amazon RDS
- Description
-
Vérifie les paramètres d'autorisation pour vos instantanés de base de données Amazon Relational Database Service (Amazon RDS) et vous avertit si des instantanés sont marqués comme publics.
Lorsque vous publiez un instantané, vous permettez à tous Comptes AWS et aux utilisateurs d'accéder à toutes les données qu'il contient. Si vous souhaitez partager un instantané uniquement avec des utilisateurs ou des comptes spécifiques, marquez l'instantané comme privé. Ensuite, spécifiez l'utilisateur ou les comptes avec lesquels vous souhaitez partager les données d'instantané.
Note
Les résultats de cette vérification sont automatiquement actualisés plusieurs fois par jour, et les requêtes d'actualisation ne sont pas autorisées. Plusieurs heures peuvent encore être nécessaires pour que les modifications apparaissent.
- ID de la vérification
-
rSs93HQwa1
- Critères d'alerte
-
Rouge : l'instantané Amazon RDS est marqué comme public.
- Action recommandée
-
À moins que vous ne soyez certain de vouloir partager toutes les données de l'instantané avec tous Comptes AWS les utilisateurs, modifiez les autorisations : marquez l'instantané comme privé, puis spécifiez les comptes auxquels vous souhaitez accorder des autorisations. Pour plus d'informations, consultez Sharing a DB Snapshot or DB Cluster Snapshot (Partager un instantané de base de données ou un instantané de cluster de base de données). Cette vérification ne peut pas être exclue de la vue dans la Trusted Advisor console.
Pour modifier directement les autorisations associées à vos instantanés, vous pouvez utiliser un runbook dans la AWS Systems Manager console. Pour plus d’informations, consultez
AWSSupport-ModifyRDSSnapshotPermission
. - Ressources supplémentaires
-
Sauvegarde et restauration d'une instance de base de données Amazon RDS
- Colonnes du rapport
-
-
Statut
-
Région
-
ID de l'instance ou ID du cluster
-
ID de l'instantané
-
Risque lié à l'accès aux groupes de sécurité Amazon RDS
- Description
-
Vérifie les configurations des groupes de sécurité pour Amazon Relational Database Service (Amazon RDS) et avertit lorsqu'une règle de groupe de sécurité accorde un accès trop permissif à votre base de données. La configuration recommandée pour une règle de groupe de sécurité consiste à autoriser l'accès uniquement à partir de groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) spécifiques ou à partir d'une adresse IP spécifique.
- ID de la vérification
-
nNauJisYIT
- Critères d'alerte
-
-
Jaune : une règle de groupe de sécurité de base de données fait référence à un groupe de sécurité Amazon EC2 qui accorde un accès global sur l'un de ces ports : 20, 21, 22, 1433, 1434, 3306, 3389, 4333, 5432, 5500.
-
Jaune : une règle de groupe de sécurité de base de données autorise l'accès à plusieurs adresses IP (le suffixe de la règle CIDR n'est pas /0 ou /32).
-
Rouge : une règle de groupe de sécurité de base de données accorde un accès global (le suffixe de la règle CIDR est /0).
-
- Action recommandée
-
Vérifiez les règles de votre groupe de sécurité et limitez l'accès aux adresses IP ou aux plages d'adresses IP autorisées. Pour modifier un groupe de sécurité, utilisez l'SecurityGroupIngressAPI AuthorizeDB ou le. AWS Management Console Pour plus d'informations, consultez Utilisation des groupes de sécurité DB.
- Ressources supplémentaires
- Colonnes du rapport
-
-
Statut
-
Région
-
Nom du groupe de sécurité RDS
-
Règle d'entrée
-
Raison
-
Le chiffrement du stockage Amazon RDS est désactivé
- Description
-
Amazon RDS prend en charge le chiffrement au repos pour tous les moteurs de base de données à l'aide des clés que vous gérez. AWS Key Management Service Sur une instance de base de données active avec chiffrement Amazon RDS, les données stockées au repos dans le stockage sont chiffrées, comme dans le cas des sauvegardes automatisées, des répliques de lecture et des instantanés.
Si le chiffrement n'est pas activé lors de la création d'une instance de base de données, vous devez restaurer une copie chiffrée de l'instantané déchiffré avant d'activer le chiffrement.
Note
Les résultats de cette vérification sont automatiquement actualisés plusieurs fois par jour et les demandes d'actualisation ne sont pas autorisées. Plusieurs heures peuvent encore être nécessaires pour que les modifications apparaissent. Actuellement, vous ne pouvez pas exclure des ressources de cette vérification.
Note
Lorsqu'une instance ou un cluster de bases de données est arrêté, vous pouvez consulter les recommandations Amazon RDS Trusted Advisor pendant 3 à 5 jours. Après cinq jours, les recommandations ne sont plus disponibles dans Trusted Advisor. Pour consulter les recommandations, ouvrez la console Amazon RDS, puis choisissez Recommendations.
Si vous supprimez une instance ou un cluster de bases de données, les recommandations associées à ces instances ou clusters ne sont pas disponibles dans Trusted Advisor ou dans la console de gestion Amazon RDS.
- ID de la vérification
-
c1qf5bt006
- Critères d'alerte
-
Rouge : le chiffrement n'est pas activé sur les ressources Amazon RDS.
- Action recommandée
-
Activez le chiffrement des données au repos pour votre instance de base de données.
- Ressources supplémentaires
-
Vous pouvez chiffrer une instance de base de données uniquement lorsque vous créez l'instance de base de données. Pour chiffrer une instance de base de données active existante :
Créez une copie chiffrée de l'instance de base de données d'origine
-
Créez un instantané de votre instance de base de données.
Créez une copie cryptée de l'instantané créé à l'étape 1.
Restaurez une instance de base de données à partir du snapshot chiffré.
Pour plus d’informations, consultez les ressources suivantes :
-
- Colonnes du rapport
-
-
Statut
-
Région
-
Ressource
-
Nom du moteur
-
Heure de la dernière modification
-
Amazon Route 53 : enregistrements CNAME non concordants pointant directement vers des compartiments S3
- Description
-
Vérifie les zones hébergées Amazon Route 53 avec des enregistrements CNAME pointant directement vers les noms d'hôtes des compartiments Amazon S3 et émet des alertes si votre CNAME ne correspond pas au nom de votre compartiment S3.
- ID de la vérification
-
c1ng44jvbm
- Critères d'alerte
-
Rouge : la zone hébergée Amazon Route 53 contient des enregistrements CNAME indiquant que les noms d'hôte des compartiments S3 ne correspondent pas.
Vert : aucun enregistrement CNAME non concordant n'a été trouvé dans votre zone hébergée Amazon Route 53.
- Action recommandée
-
Lorsque vous pointez des enregistrements CNAME vers les noms d'hôte des compartiments S3, vous devez vous assurer qu'un compartiment correspondant existe pour tout enregistrement CNAME ou alias que vous configurez. Ce faisant, vous évitez le risque que vos enregistrements CNAME soient falsifiés. Vous empêchez également tout AWS utilisateur non autorisé d'héberger du contenu Web défectueux ou malveillant sur votre domaine.
Pour éviter de faire pointer les enregistrements CNAME directement vers les noms d'hôte des compartiments S3, pensez à utiliser le contrôle d'accès à l'origine (OAC) pour accéder aux ressources Web de vos compartiments S3 via Amazon. CloudFront
Pour plus d'informations sur l'association du CNAME au nom d'hôte d'un compartiment Amazon S3, consultez Personnalisation des URL Amazon S3 avec des enregistrements CNAME.
- Ressources supplémentaires
- Colonnes du rapport
-
-
Statut
-
ID de la zone hébergée
-
Zone hébergée (ARN)
-
Enregistrements CNAME correspondants
-
Enregistrements CNAME non concordants
-
Heure de la dernière modification
-
Jeux d'enregistrements de ressource MX Amazon Route 53 et cadre de politique de l'expéditeur
- Description
-
Pour chaque jeu d'enregistrements de ressource MX, vérifie que le jeu d'enregistrements de ressource TXT ou SPF contient un enregistrement SPF valide. Le registre doit commencer par «
v=spf1
». L'enregistrement SPF spécifie les serveurs autorisés à envoyer des e-mails pour votre domaine, ce qui permet de détecter et d'arrêter l'usurpation d'adresse e-mail et de diminuer le volume de courrier indésirable. Route 53 recommande d'utiliser un enregistrement TXT au lieu d'un enregistrement SPF. Trusted Advisor signale cette vérification en vert tant que chaque ensemble d'enregistrements de ressources MX contient au moins un enregistrement SPF ou TXT. - ID de la vérification
-
c9D319e7sG
- Critères d'alerte
-
Jaune : un ensemble d'enregistrements de ressources MX ne possède pas d'enregistrement de ressources TXT ou SPF contenant une valeur SPF valide.
- Action recommandée
-
Pour chaque ensemble d'enregistrements de ressources MX, créez un ensemble d'enregistrements de ressources TXT qui contient une valeur SPF valide. Pour de plus amples informations, veuillez consulter Sender Policy Framework: SPF Record Syntax
(Sender Policy Framework : syntaxe de l'enregistrement SPF) et Création d'enregistrements à l'aide de la console Amazon Route 53. - Ressources supplémentaires
- Colonnes du rapport
-
-
Nom de la zone hébergée
-
ID de la zone hébergée
-
Nom de l'ensemble d'enregistrements de ressources
-
Statut
-
Autorisations pour le compartiment Amazon S3
- Description
-
Vérifie les compartiments d'Amazon Simple Storage Service (Amazon S3) dotés d'autorisations d'accès ouvert ou autorisant l'accès à n'importe quel utilisateur authentifié. AWS
Cette vérification examine les autorisations de compartiment explicites, ainsi que les politiques de compartiment susceptibles de remplacer ces autorisations. L'octroi d'autorisations d'accès à la liste à tous les utilisateurs pour un compartiment Amazon S3 n'est pas recommandé. Ces autorisations peuvent mener des utilisateurs à répertorier des objets dans le compartiment à une fréquence élevée qui n'était pas prévue, pouvant alors entraîner des frais plus élevés qu'au départ. Les autorisations qui accordent l'accès au téléchargement et à la suppression à tout le monde peuvent générer des vulnérabilités de sécurité dans votre compartiment.
- ID de la vérification
-
Pfx0RwqBli
- Critères d'alerte
-
-
Jaune : la liste ACL du compartiment autorise l'accès à la liste pour Tout le monde ou Tout utilisateur AWS authentifié.
-
Jaune : une politique de compartiment autorise tout type d'accès ouvert.
-
Jaune : la politique de compartiment contient des déclarations qui accordent un accès public. Le paramètre Block public and cross-account access to buckets that have public policies (Bloquer l'accès public et intercompte aux compartiments dotés de politiques publiques) est activé et limite l'accès aux seuls utilisateurs autorisés de ce compte jusqu'à ce que les déclarations d'accès public soient supprimées.
-
Jaune : Trusted Advisor n'est pas autorisé à vérifier la politique, ou la politique n'a pas pu être évaluée pour d'autres raisons.
-
Rouge : la liste ACL du compartiment autorise le chargement et la suppression pour Tout le monde ou Tout utilisateur AWS authentifié.
-
- Action recommandée
-
Si un compartiment autorise l'accès ouvert, déterminez si ce dernier est réellement nécessaire. Si ce n'est pas le cas, mettez à jour les autorisations du compartiment pour limiter l'accès au propriétaire ou à des utilisateurs spécifiques. Utilisez le blocage de l'accès public Amazon S3 pour contrôler les paramètres qui autorisent l'accès public à vos données. Voir Setting Bucket and Object Access Permissions (Définition des autorisations d'accès aux compartiments et aux objets).
- Ressources supplémentaires
-
Gestion des autorisations d'accès à vos ressources Amazon S3
- Colonnes du rapport
-
-
Statut
-
Nom de la région
-
Paramètres d'API de région
-
Nom du compartiment
-
Liste des autorisations ACL
-
Autorisations de téléchargement/suppression ACL
-
Accès aux autorisations de politique
-
Connexions d'appairage Amazon VPC avec résolution DNS désactivée
- Description
-
Vérifie si la résolution DNS de vos connexions d'appairage de VPC est activée à la fois pour les VPC accepteurs et demandeurs.
La résolution DNS pour une connexion d'appairage de VPC permet la résolution des noms d'hôte DNS publics en adresses IPv4 privées lors de l'interrogation de votre VPC. Cela permet d'utiliser des noms DNS pour la communication entre les ressources dans les VPC appairés. La résolution DNS de vos connexions d'appairage de VPC simplifie le développement et la gestion des applications et réduit les risques d'erreur. Elle assure également la communication privée entre les ressources via la connexion d'appairage de VPC.
Vous pouvez spécifier les identifiants VPC à l'aide des paramètres vpCIDs de vos règles. AWS Config
Pour plus d'informations, consultez Activation de la résolution DNS pour une connexion d'appairage de VPC.
Note
Les résultats de cette vérification sont automatiquement actualisés plusieurs fois par jour et les demandes d'actualisation ne sont pas autorisées. Plusieurs heures peuvent encore être nécessaires pour que les modifications apparaissent. Actuellement, vous ne pouvez pas exclure des ressources de cette vérification.
- ID de la vérification
-
c18d2gz124
- Source
-
AWS Config Managed Rule: vpc-peering-dns-resolution-check
- Critères d'alerte
-
Jaune : la résolution DNS n'est pas activée pour les VPC accepteurs et demandeurs dans le cadre d'une connexion d'appairage de VPC.
- Action recommandée
-
Activez la résolution DNS pour vos connexions d'appairage de VPC.
- Ressources supplémentaires
- Colonnes du rapport
-
-
Statut
-
Région
-
Ressource
-
AWS Config Règle
-
Paramètres d'entrée
-
Heure de la dernière modification
-
AWS Backup Vault sans politique basée sur les ressources pour empêcher la suppression de points de restauration
- Description
-
Vérifie si les AWS Backup coffres-forts sont associés à une politique basée sur les ressources qui empêche la suppression des points de récupération.
La politique basée sur les ressources empêche la suppression inattendue de points de reprise, ce qui vous permet d'appliquer le contrôle d'accès selon le principe du moindre privilège à vos données de sauvegarde.
Vous pouvez spécifier les AWS Identity and Access Management ARN que vous ne souhaitez pas que la règle consigne dans le principalArnListparamètre de vos AWS Config règles.
Note
Les résultats de cette vérification sont automatiquement actualisés plusieurs fois par jour et les demandes d'actualisation ne sont pas autorisées. Plusieurs heures peuvent encore être nécessaires pour que les modifications apparaissent. Actuellement, vous ne pouvez pas exclure des ressources de cette vérification.
- ID de la vérification
-
c18d2gz152
- Source
-
AWS Config Managed Rule: backup-recovery-point-manual-deletion-disabled
- Critères d'alerte
-
Jaune : certains AWS Backup coffres-forts ne disposent pas d'une politique basée sur les ressources pour empêcher la suppression des points de récupération.
- Action recommandée
-
Créez des politiques basées sur les ressources pour vos AWS Backup coffres-forts afin d'empêcher la suppression inattendue de points de récupération.
La politique doit inclure une déclaration « Deny » avec les PutBackupVaultAccessPolicy autorisations backup :UpdateRecoveryPointLifecycle, backup : et backup :. DeleteRecoveryPoint
Pour plus d'informations, voir Définition de politiques d'accès pour les coffres-forts de sauvegarde.
- Colonnes du rapport
-
-
Statut
-
Région
-
Ressource
-
AWS Config Règle
-
Paramètres d'entrée
-
Heure de la dernière modification
-
AWS CloudTrail Journalisation
- Description
-
Vérifie votre utilisation de AWS CloudTrail. CloudTrail fournit une visibilité accrue sur l'activité de votre compte en Compte AWS enregistrant des informations sur les appels d' AWS API effectués sur le compte. Vous pouvez utiliser ces journaux pour déterminer, par exemple, quelles actions un utilisateur particulier a effectuées au cours d'une période spécifiée ou quels utilisateurs ont effectué des actions sur une ressource particulière au cours d'une période spécifiée.
Étant donné CloudTrail que les fichiers journaux sont fournis à un compartiment Amazon Simple Storage Service (Amazon S3) CloudTrail , vous devez disposer d'autorisations d'écriture pour le compartiment. Si un journal d'activité s'applique à toutes les régions (valeur par défaut lors de la création d'un journal d'activité), le journal d'activité apparaît plusieurs fois dans le rapport Trusted Advisor .
- ID de la vérification
-
vjafUGJ9H0
- Critères d'alerte
-
-
Jaune : CloudTrail signale les erreurs de livraison d'un journal pour un parcours.
-
Rouge : aucun suivi n'a été créé pour une région, ou la journalisation est désactivée pour un suivi.
-
- Action recommandée
-
Pour créer un suivi et démarrer la journalisation à partir de la console, accédez à la console AWS CloudTrail
. Pour démarrer la journalisation, veuillez consulter Stopping and Starting Logging for a Trail (Arrêter et démarrer la journalisation d'un suivi).
Si vous recevez des erreurs de livraison de journaux, assurez-vous que le compartiment existe et que la politique nécessaire y est attachée. Voir Politique de compartiment Amazon S3.
- Ressources supplémentaires
- Colonnes du rapport
-
-
Statut
-
Région
-
Nom du suivi
-
Statut de la journalisation
-
Nom du compartiment
-
Date de la dernière livraison
-
AWS Lambda Fonctions utilisant des environnements d'exécution obsolètes
- Description
-
Vérifie les fonctions Lambda dont la version $LATEST est configurée pour utiliser un environnement d'exécution proche de la dépréciation, ou qui est obsolète. Les environnements d'exécution obsolètes ne sont pas éligibles aux mises à jour de sécurité ou au support technique
Note
Les résultats de cette vérification sont automatiquement actualisés plusieurs fois par jour et les demandes d'actualisation ne sont pas autorisées. Plusieurs heures peuvent encore être nécessaires pour que les modifications apparaissent. Actuellement, vous ne pouvez pas exclure des ressources de cette vérification.
Les versions des fonctions Lambda publiées sont immuables, ce qui signifie qu'elles peuvent être invoquées, mais qu'elles ne peuvent pas être mises à jour. Seule la version
$LATEST
d'une fonction Lambda peut être mise à jour. Pour plus d'informations, consultez Versions de fonctions Lambda. - ID de la vérification
-
L4dfs2Q4C5
- Critères d'alerte
-
-
Rouge : La version $LATEST de la fonction est configurée pour utiliser un environnement d'exécution déjà obsolète.
-
Jaune : La version $LATEST de la fonction s'exécute sur un environnement d'exécution qui sera obsolète dans les 180 jours.
-
- Action recommandée
-
Si certaines fonctions s'exécutent sur un environnement d'exécution qui est sur le point de devenir obsolète, vous devez préparer la migration vers un environnement d'exécution pris en charge. Pour de plus amples informations, veuillez consulter Runtime support policy (Stratégie de prise en charge de l'environnement d'exécution).
Nous vous recommandons de supprimer les versions de fonctions antérieures que vous n'utilisez plus.
- Ressources supplémentaires
- Colonnes du rapport
-
-
Statut
-
Région
-
ARN de la fonction
-
Environnement d'exécution
-
Jours avant l'obsolescence
-
Date d'obsolescence
-
Invocations quotidiennes moyennes
-
Heure de la dernière modification
-
Problèmes à risque élevé AWS Well-Architected pour la sécurité
- Description
-
Vérifiez les éventuels problèmes à risque élevé (HRI) pour vos charges de travail dans le pilier de sécurité. Cette vérification est basée sur vos commentaires AWS-Well Architected. Les résultats de la vérification varient selon que vous avez terminé ou non l'évaluation de la charge de travail avec AWS Well-Architected.
Note
Les résultats de cette vérification sont automatiquement actualisés plusieurs fois par jour et les demandes d'actualisation ne sont pas autorisées. Plusieurs heures peuvent encore être nécessaires pour que les modifications apparaissent. Actuellement, vous ne pouvez pas exclure des ressources de cette vérification.
- ID de la vérification
-
Wxdfp4B1L3
- Critères d'alerte
-
-
Rouge : Au moins un problème actif à haut risque a été identifié dans le pilier de sécurité de AWS Well-Architected.
-
Vert : aucun problème actif à haut risque n'a été détecté dans le pilier de sécurité de AWS Well-Architected.
-
- Action recommandée
-
AWS Well-Architected a détecté des problèmes à haut risque lors de l'évaluation de votre charge de travail. Ces problèmes offrent la possibilité de réduire les risques et d'économiser de l'argent. Connectez-vous à l'outil AWS Well-Architected
afin de passer en revue vos réponses et d'intervenir pour résoudre vos problèmes actifs. - Colonnes du rapport
-
-
Statut
-
Région
-
ARN de la charge de travail
-
Nom de la charge de travail
-
Nom de l'évaluateur
-
Type de charge de travail
-
Date de début de la charge de travail
-
Date de la dernière modification de la charge de travail
-
Nombre de problèmes à haut rique identifiés pour la Sécurité
-
Nombre de problèmes à haut risque résolus pour la Sécurité
-
Nombre de questions de Sécurité
-
Nombre total de questions dans le pilier Sécurité
-
Heure de la dernière modification
-
CloudFrontCertificats SSL personnalisés dans le magasin de certificats IAM
- Description
-
Vérifie les certificats SSL pour les noms de domaine CloudFront alternatifs dans le magasin de certificats IAM. Cette vérification vous avertit si un certificat a expiré, expirera bientôt, utilise un chiffrement obsolète ou n'est pas configuré correctement pour la distribution.
Lorsqu'un certificat personnalisé pour un autre nom de domaine expire, les navigateurs qui affichent votre CloudFront contenu peuvent afficher un message d'avertissement concernant la sécurité de votre site Web. Les certificats chiffrés à l'aide de l'algorithme de hachage SHA-1 sont obsolètes par les navigateurs web tels que Chrome et Firefox.
Un certificat doit contenir un nom de domaine correspondant au nom de domaine d'origine ou au nom de domaine dans l'en-tête hôte de la demande d'un utilisateur. S'il ne correspond pas, CloudFront renvoie un code d'état HTTP 502 (mauvaise passerelle) à l'utilisateur. Pour de plus amples informations, veuillez consulter Utilisation de noms de domaines alternatifs et de HTTPS.
- ID de la vérification
-
N425c450f2
- Critères d'alerte
-
-
Rouge : un certificat SSL personnalisé a expiré.
-
Jaune : un certificat SSL personnalisé expire dans les 7 prochains jours.
-
Jaune : un certificat SSL personnalisé a été chiffré à l'aide de l'algorithme de hachage SHA-1.
-
Jaune : un ou plusieurs noms de domaines alternatifs de la distribution n'apparaissent ni dans le champ Comme Name (Nom commun), ni dans le champ Subject Alternative Name (Nom Subject Alternative) du certificat SSL personnalisé.
-
- Action recommandée
-
Renouvelez un certificat expiré ou sur le point d'expirer.
Remplacez un certificat qui a été chiffré à l'aide de l'algorithme de hachage SHA-1 par un certificat chiffré à l'aide de l'algorithme de hachage SHA-256.
Remplacez le certificat par un certificat qui contient les valeurs applicables dans les champs Common Name (Nom commun) ou Subject Alternative Domain Names (Noms Subject Alternative Domain).
- Ressources supplémentaires
- Colonnes du rapport
-
-
Statut
-
ID de distribution
-
Nom du domaine de distribution
-
Nom du certificat
-
Raison
-
CloudFront Certificat SSL sur le serveur d'origine
- Description
-
Vérifie votre serveur d'origine pour les certificats SSL qui sont arrivés à expiration, sur le point d'expirer, manquants ou qui utilisent un chiffrement obsolète. Si un certificat présente l'un de ces problèmes, il CloudFront répond aux demandes concernant votre contenu avec le code d'état HTTP 502, Bad Gateway.
Les certificats chiffrés à l'aide de l'algorithme de hachage SHA-1 sont obsolètes dans des navigateurs web tels que Chrome et Firefox. En fonction du nombre de certificats SSL que vous avez associés à vos CloudFront distributions, ce chèque peut ajouter quelques centimes par mois à votre facture auprès de votre fournisseur d'hébergement Web, par exemple, AWS si vous utilisez Amazon EC2 ou Elastic Load Balancing comme origine de votre CloudFront distribution. Cette vérification ne concerne pas votre chaîne de certificats d'origine ni les autorités de certification. Vous pouvez les vérifier dans votre CloudFront configuration.
- ID de la vérification
-
N430c450f2
- Critères d'alerte
-
-
Rouge : un certificat SSL sur votre origine a expiré ou est manquant.
-
Jaune : un certificat SSL sur votre origine expire dans les 30 prochains jours.
-
Jaune : un certificat SSL sur votre origine a été chiffré à l'aide de l'algorithme de hachage SHA-1.
-
Jaune : aucun certificat SSL sur votre origine n'a pu être localisé. La connexion a peut-être échoué en raison d'une expiration de délai ou d'autres problèmes de connexion HTTPS.
-
- Action recommandée
-
Renouvelez le certificat de votre origine s'il a expiré ou est sur le point d'expirer.
Ajoutez un certificat s'il n'en existe pas.
Remplacez un certificat qui a été chiffré à l'aide de l'algorithme de hachage SHA-1 par un certificat chiffré à l'aide de l'algorithme de hachage SHA-256.
- Ressources supplémentaires
- Colonnes du rapport
-
-
Statut
-
ID de distribution
-
Nom du domaine de distribution
-
Origin
-
Raison
-
Sécurité des écouteurs ELB
- Description
-
Vérifie la présence d'équilibreurs de charge dotés d'écouteurs qui n'utilisent pas les configurations de sécurité recommandées pour les communications chiffrées. AWS recommande d'utiliser un protocole sécurisé (HTTPS ou SSL), des politiques de up-to-date sécurité, ainsi que des chiffrements et des protocoles sécurisés.
Lorsque vous utilisez un protocole sécurisé pour une connexion frontale (client à équilibreur de charge), les demandes sont chiffrées entre vos clients et l'équilibreur de charge, créant ainsi un environnement plus sécurisé. Elastic Load Balancing fournit des politiques de sécurité prédéfinies avec des chiffrements et des protocoles conformes aux meilleures pratiques AWS de sécurité. De nouvelles versions de politiques prédéfinies sont publiées à mesure que de nouvelles configurations deviennent disponibles.
- ID de la vérification
-
a2sEc6ILx
- Critères d'alerte
-
-
Jaune : un équilibreur de charge n'a aucun écouteur qui utilise un protocole sécurisé (HTTPS ou SSL).
-
Jaune : un écouteur d'équilibreur de charge utilise une politique de sécurité SSL prédéfinie obsolète.
-
Jaune : un écouteur d'équilibreur de charge utilise un chiffrement ou un protocole qui n'est pas recommandé.
-
Rouge : un écouteur d'équilibreur de charge utilise un chiffrement ou un protocole non sécurisé.
-
- Action recommandée
-
Si le trafic vers votre équilibreur de charge doit être sécurisé, utilisez le protocole HTTPS ou SSL pour la connexion frontale.
Mettez à niveau votre équilibreur de charge vers la dernière version de la politique de sécurité SSL prédéfinie.
Utilisez uniquement les chiffrements et protocoles recommandés.
Pour de plus amples informations, veuillez consulter Écouteurs de votre Classic Load Balancer.
- Ressources supplémentaires
- Colonnes du rapport
-
-
Statut
-
Région
-
Nom de l'équilibreur de charge
-
Port de l'équilibreur de charge
-
Raison
-
Groupes de sécurité ELB
- Description
-
Vérifie les équilibreurs de charge configurés avec un groupe de sécurité manquant ou un groupe de sécurité qui autorise l'accès aux ports non configurés pour l'équilibreur de charge.
Si un groupe de sécurité associé à un équilibreur de charge est supprimé, l'équilibreur de charge ne fonctionnera pas comme prévu. Si un groupe de sécurité autorise l'accès à des ports non configurés pour l'équilibreur de charge, le risque de perte de données ou d'attaques malveillantes augmente.
- ID de la vérification
-
xSqX82fQu
- Critères d'alerte
-
-
Jaune : les règles entrantes d'un groupe de sécurité Amazon VPC associé à un équilibreur de charge autorisent l'accès à des ports qui ne sont pas définis dans la configuration de l'écouteur de l'équilibreur de charge.
-
Rouge : aucun groupe de sécurité associé à un équilibreur de charge n'existe.
-
- Action recommandée
-
Configurez les règles du groupe de sécurité pour limiter l'accès uniquement aux ports et protocoles définis dans la configuration de l'écouteur de l'équilibreur de charge, ainsi que le protocole ICMP pour prendre en charge la détection de la MTU du chemin. Voir Écouteurs de votre Classic Load Balancer et Groupes de sécurité pour les équilibreurs de charge dans un VPC.
Si un groupe de sécurité est manquant, appliquez-en un nouveau à l'équilibreur de charge. Créez des règles de groupe de sécurité qui limitent l'accès uniquement aux ports et protocoles définis dans la configuration de l'écouteur de l'équilibreur de charge. Voir Groupes de sécurité pour les équilibreurs de charge dans un VPC.
- Ressources supplémentaires
- Colonnes du rapport
-
-
Statut
-
Région
-
Nom de l'équilibreur de charge
-
ID de groupe de sécurité
-
Raison
-
Exposed Access Keys
- Description
-
Vérifie les référentiels de code populaires pour les clés d'accès ayant été exposées au public et pour l'utilisation irrégulière d'Amazon Elastic Compute Cloud (Amazon EC2) qui pourrait être le résultat d'une clé d'accès compromise.
La clé d'accès comprend un ID de clé d'accès et une clé d'accès secrète). Les clés d'accès exposées présentent un risque pour la sécurité de votre compte et d'autres utilisateurs, peuvent entraîner des frais excessifs relatifs aux activités non autorisées ou à des abus, et enfreindre le contrat du client AWS
. Si votre clé d'accès est exposée, prenez immédiatement des mesures pour sécuriser votre compte. Pour protéger votre compte contre les frais excessifs, AWS limitez temporairement votre capacité à créer certaines AWS ressources. Cela ne sécurise pas votre compte. Cette action ne limite que partiellement l'utilisation non autorisée susceptible d'être facturée.
Note
Cette vérification ne garantit pas l'identification des clés d'accès exposées ou des instances EC2 compromises. Vous êtes responsable en dernier ressort de la sûreté et de la sécurité de vos clés d'accès et de vos AWS ressources.
Les résultats de cette vérification sont automatiquement actualisés, et les demandes d'actualisation ne sont pas autorisées. Actuellement, vous ne pouvez pas exclure des ressources de cette vérification.
Si une date limite est indiquée pour une clé d'accès, vous AWS pouvez la suspendre Compte AWS si l'utilisation non autorisée n'est pas arrêtée à cette date. Si vous pensez qu'il s'agit d'une erreur, contactez AWS Support
. Les informations affichées ne reflètent Trusted Advisor peut-être pas l'état le plus récent de votre compte. Aucune clé d'accès exposée n'est marquée comme résolue tant que toutes les clés d'accès exposées du compte n'ont pas été résolues. Cette synchronisation des données peut prendre jusqu'à une semaine.
- ID de la vérification
-
12Fnkpl8Y5
- Critères d'alerte
-
-
Rouge : potentiellement compromis : AWS a identifié un identifiant de clé d'accès et une clé d'accès secrète correspondante qui ont été exposés sur Internet et pourraient avoir été compromis (utilisés).
-
Rouge : exposé : AWS a identifié un identifiant de clé d'accès et la clé d'accès secrète correspondante qui ont été exposés sur Internet.
-
Rouge : suspect – L'utilisation irrégulière d'Amazon EC2 indique qu'une clé d'accès a peut-être été compromise, mais qu'elle n'a pas été identifiée comme étant exposée sur Internet.
-
- Action recommandée
-
Supprimez dès que possible la clé d'accès concernée. Si la clé est associée à un utilisateur IAM, consultez Gestion des clés d'accès pour les utilisateurs IAM.
Vérifiez si votre compte est utilisé sans autorisation. Connectez-vous à la AWS Management Console
et vérifiez la présence de ressources suspectes dans chaque console de service. Portez une attention particulière à l'exécution des instances Amazon EC2, aux demandes d'instance Spot, aux clés d'accès et aux utilisateurs IAM. Vous pouvez également vérifier l'utilisation globale sur la console Billing and Cost Management . - Ressources supplémentaires
- Colonnes du rapport
-
-
ID de clé d'accès
-
Nom d'utilisateur (IAM ou racine)
-
Type de fraude
-
ID du dossier
-
Heure de mise à jour
-
Emplacement
-
Date limite
-
Utilisation (USD par jour)
-
Rotation des clés d'accès IAM
- Description
-
Vérifie les clés d'accès IAM actives qui n'ont pas fait l'objet d'une rotation au cours des 90 derniers jours.
Lorsque vous faites tourner régulièrement vos clés d'accès, vous réduisez les risques qu'une clé compromise puisse être utilisée à votre insu pour accéder aux ressources. Aux fins de cette vérification, la date et l'heure de la dernière rotation correspondent à la date à laquelle la clé d'accès a été créée ou activée pour la dernière fois. Le numéro et la date de la clé d'accès proviennent des informations sur
access_key_1_last_rotated
etaccess_key_2_last_rotated
du rapport d'informations d'identification IAM le plus récent.La fréquence de régénération d'un rapport d'informations d'identification étant limitée, l'actualisation de cette vérification peut ne pas refléter les modifications récentes. Pour plus d'informations, consultez Obtenir les rapports d'informations d'identification de votre Compte AWS.
Pour créer des clès d'accès et en effectuer une rotation, un utilisateur doit disposer des autorisations appropriées. Pour plus d'informations, consultez Allow Users to Manage Their Own Passwords, Access Keys, and SSH Keys (Autoriser les utilisateurs à gérer leurs propres mots de passe, clés d'accès et clés SSH).
- ID de la vérification
-
DqdJqYeRm5
- Critères d'alerte
-
-
Vert : la clé d'accès est active et a fait l'objet d'une rotation au cours des 90 derniers jours.
-
Jaune : la clé d'accès est active et a fait l'objet d'une rotation au cours des 2 dernières années, mais il y a plus de 90 jours.
-
Rouge : la clé d'accès est active et a fait l'objet d'une rotation au cours des 2 dernières années.
-
- Action recommandée
-
Effectuez une rotation des clés d'accès régulièrement. Voir Rotation des clés d'accès et Gestion des clés d'accès pour les utilisateurs IAM.
- Ressources supplémentaires
-
-
How to Rotate Access Keys for IAM Users
(Comment effectuer une rotation des clés d'accès pour les utilisateurs IAM)
- Colonnes du rapport
-
-
Statut
-
Utilisateur IAM
-
Clé d'accès
-
Dernière rotation de clé
-
Raison
-
Politique de mot de passe IAM
- Description
-
Vérifie la politique de mot de passe de votre compte et vous avertit lorsqu'une politique de mot de passe n'est pas activée ou si les exigences relatives au contenu du mot de passe n'ont pas été activées.
Les exigences en matière de contenu de mot de passe augmentent la sécurité globale de AWS en imposant la création de mots de passe utilisateur forts. Lorsque vous créez ou modifiez une politique de mot de passe, la modification est immédiatement appliquée aux nouveaux utilisateurs, mais n'oblige pas les utilisateurs existants à modifier leurs mots de passe.
- ID de la vérification
-
Yw2K9puPzl
- Critères d'alerte
-
-
Jaune : une politique de mot de passe est activée, mais au moins une exigence de contenu n'est pas activée.
-
Rouge : aucune politique de mot de passe n'est activée.
-
- Action recommandée
-
Si certaines exigences de contenu ne sont pas activées, envisagez de les activer. Si aucune politique de mot de passe n'est activée, créez-en une et configurez-la. Voir Définition d'une politique de mot de passe du compte pour les utilisateurs IAM.
- Ressources supplémentaires
- Colonnes du rapport
-
-
Politique relative aux mots de passe
-
Majuscule
-
Minuscule
-
Nombre
-
Non alphanumérique
-
Utilisation d'IAM
- Description
-
Vérifie votre utilisation d'IAM. Vous pouvez utiliser IAM pour créer des utilisateurs, des groupes et des rôles dans AWS. Vous pouvez également utiliser des autorisations pour contrôler l'accès aux ressources AWS . Cette vérification vise à décourager l'utilisation de l'accès à la racine en vérifiant l'existence d'au moins un utilisateur IAM. Vous pouvez ignorer l'alerte si vous suivez les bonnes pratiques de centralisation des identités et de configuration des utilisateurs dans un fournisseur d'identité externe ou AWS IAM Identity Center
. - ID de la vérification
-
zXCkfM1nI3
- Critères d'alerte
-
Jaune : aucun utilisateur IAM n'a été créé pour ce compte.
- Action recommandée
-
Créez un utilisateur IAM ou utilisez-le AWS IAM Identity Center pour créer des utilisateurs supplémentaires dont les autorisations sont limitées pour effectuer des tâches spécifiques dans votre AWS environnement.
- Ressources supplémentaires
MFA sur le compte racine
- Description
-
Vérifie le compte racine et avertit si l'authentification multi-facteur (MFA) n'est pas activée.
Pour une sécurité accrue, nous vous recommandons de protéger votre compte en utilisant l'authentification MFA, qui oblige l'utilisateur à saisir un code d'authentification unique provenant de son matériel MFA ou de son appareil virtuel lorsqu'il interagit avec les AWS Management Console sites Web associés.
- ID de la vérification
-
7DAFEmoDos
- Critères d'alerte
-
Rouge : l'authentification MFA n'est pas activée sur le compte racine.
- Action recommandée
-
Connectez-vous à votre compte racine et activez un dispositif MFA. Voir Vérification du statut de l'authentification MFA et Activation des dispositifs MFA.
- Ressources supplémentaires
-
Utilisation de dispositifs d'authentification multifactorielle (MFA) avec AWS
Groupes de sécurité — Ports spécifiques non restreints
- Description
-
Vérifie les groupes de sécurité pour les règles qui autorisent l'accès illimité (0.0.0.0/0) à des ports spécifiques.
L'accès illimité augmente les risques d'activités malveillantes (piratage, denial-of-service attaques, perte de données). Les ports présentant le risque le plus élevé sont signalés en rouge, et ceux qui présentent moins de risques sont signalés en jaune. Les ports indiqués en vert sont généralement utilisés par les applications nécessitant un accès illimité, telles que HTTP et SMTP.
Si vous avez délibérément configuré vos groupes de sécurité de cette manière, nous vous recommandons d'utiliser des mesures de sécurité supplémentaires pour sécuriser votre infrastructure (telles que les tables IP).
Note
Cette vérification évalue uniquement les groupes de sécurité que vous créez et leurs règles entrantes pour les adresses IPv4. Les groupes de sécurité créés par AWS Directory Service sont indiqués en rouge ou jaune, mais ils ne présentent pas de risque de sécurité et peuvent être ignorés en toute sécurité ou exclus. Pour en savoir plus, consultez le FAQ Trusted Advisor
. Note
Cette vérification n'inclut pas le cas d'utilisation lorsqu'une liste de préfixes gérée par le client accorde l'accès à 0.0.0.0/0 et est utilisée comme source avec un groupe de sécurité.
- ID de la vérification
-
HCP4007jGY
- Critères d'alerte
-
-
Vert : l'accès au port 80, 25, 443 ou 465 n'est pas restreint.
-
Rouge : l'accès au port 20, 21, 1433, 1434, 3306, 3389, 4333, 5432 ou 5500 n'est pas restreint.
-
Jaune : l'accès à tout autre port n'est pas restreint.
-
- Action recommandée
-
Limitez l'accès uniquement aux adresses IP qui en ont besoin. Pour limiter l'accès à une adresse IP spécifique, définissez le suffixe sur /32 (par exemple, 192.0.2.10/32). Assurez-vous de supprimer les règles trop permissives après avoir créé des règles plus restrictives.
- Ressources supplémentaires
- Colonnes du rapport
-
-
Statut
-
Région
-
Nom du groupe de sécurité
-
ID du groupe de sécurité
-
Protocole
-
Port d'origine
-
Port de destination
-
Groupes de sécurité — Accès illimité
- Description
-
Vérifie les groupes de sécurité pour les règles qui autorisent un accès illimité à une ressource.
L'accès illimité augmente les risques d'activités malveillantes (piratage, denial-of-service attaques, perte de données).
Note
Cette vérification évalue uniquement les groupes de sécurité que vous créez et leurs règles entrantes pour les adresses IPv4. Les groupes de sécurité créés par AWS Directory Service sont indiqués en rouge ou jaune, mais ils ne présentent pas de risque de sécurité et peuvent être ignorés en toute sécurité ou exclus. Pour en savoir plus, consultez le FAQ Trusted Advisor
. Note
Cette vérification n'inclut pas le cas d'utilisation lorsqu'une liste de préfixes gérée par le client accorde l'accès à 0.0.0.0/0 et est utilisée comme source avec un groupe de sécurité.
- ID de la vérification
-
1iG5NDGVre
- Critères d'alerte
-
Rouge : une règle de groupe de sécurité possède une adresse IP source avec un suffixe /0 pour les ports autres que 25, 80 ou 443.
- Action recommandée
-
Limitez l'accès uniquement aux adresses IP qui en ont besoin. Pour limiter l'accès à une adresse IP spécifique, définissez le suffixe sur /32 (par exemple, 192.0.2.10/32). Assurez-vous de supprimer les règles trop permissives après avoir créé des règles plus restrictives.
- Ressources supplémentaires
- Colonnes du rapport
-
-
Statut
-
Région
-
Nom du groupe de sécurité
-
ID du groupe de sécurité
-
Protocole
-
Port d'origine
-
Port de destination
-
Plage IP
-