Sécurité

Description

Vérifie si la période de conservation des groupes de CloudWatch journaux Amazon est définie sur 365 jours ou sur un autre nombre spécifié.

Par défaut, les journaux sont conservés indéfiniment et n'expirent jamais. Cependant, vous pouvez ajuster la politique de conservation pour chaque groupe de journaux afin de vous conformer aux réglementations du secteur ou aux exigences légales pour une période spécifique.

Vous pouvez spécifier la durée de rétention minimale et les noms des groupes de journaux à l'aide LogGroupNamesdes MinRetentionTimeparamètres et de vos AWS Config règles.

Note

Les résultats de cette vérification sont automatiquement actualisés plusieurs fois par jour et les demandes d'actualisation ne sont pas autorisées. Plusieurs heures peuvent encore être nécessaires pour que les modifications apparaissent. Actuellement, vous ne pouvez pas exclure des ressources de cette vérification.

ID de la vérification

c18d2gz186

Source

AWS Config Managed Rule: cw-loggroup-retention-period-check

Critères d'alerte

Jaune : la durée de conservation d'un groupe de CloudWatch logs Amazon est inférieure au nombre minimum de jours souhaité.

Action recommandée

Configurez une période de conservation de plus de 365 jours pour vos données de journal stockées dans Amazon CloudWatch Logs afin de répondre aux exigences de conformité.

Pour plus d'informations, voir Conservation des données du journal des modifications dans CloudWatch les journaux.

Ressources supplémentaires

Modification de la conservation des CloudWatch journaux

Colonnes du rapport

Statut
Région
Ressource
AWS Config Règle
Paramètres d'entrée
Heure de la dernière modification

Description

Vérifiez les versions de SQL Server pour les instances Amazon Elastic Compute Cloud (Amazon EC2) exécutées au cours des dernières 24 heures. Cette vérification vous avertit si les versions sont proches de la fin de support ou l'ont atteint. Chaque version de SQL Server offre 10 ans de support, dont 5 ans de support standard et 5 ans de support étendu. À la fin du support, la version de SQL Server ne recevra plus de mises à jour de sécurité régulières. L'exécution d'applications à l'aide de versions de SQL Server non prises en charge peut entraîner des risques de sécurité ou de conformité.

Note

Les résultats de cette vérification sont automatiquement actualisés plusieurs fois par jour et les demandes d'actualisation ne sont pas autorisées. Plusieurs heures peuvent encore être nécessaires pour que les modifications apparaissent. Actuellement, vous ne pouvez pas exclure des ressources de cette vérification.

ID de la vérification

Qsdfp3A4L3

Critères d'alerte

Rouge : une instance EC2 possède une version SQL Server qui n'est plus prise en charge.
Jaune : une instance EC2 possède une version SQL Server qui ne sera plus prise en charge dans 12 mois.

Action recommandée

Pour moderniser vos charges de travail SQL Server, envisagez de refactoriser vers des bases de données AWS Cloud natives comme Amazon Aurora. Pour plus d'informations, voir Moderniser les charges de travail Windows avec AWS.

Pour passer à une base de données entièrement gérée, envisagez de passer à Amazon Relational Database Service (Amazon RDS). Pour plus d'informations, consultez Amazon RDS for SQL Server.

Pour mettre à niveau votre SQL Server sur Amazon EC2, pensez à utiliser le Runbook Automation afin de simplifier votre mise à niveau. Pour en savoir plus, consultez la documentation AWS Systems Manager.

Si vous ne pouvez pas mettre à niveau votre SQL Server sur Amazon EC2, pensez au Programme de migration pour fin du support dédié à Windows Server. Pour plus d'informations, consultez le site web EMP.

Ressources supplémentaires

Colonnes du rapport

Statut
Région
ID d’instance
SQL Server Version
Cycle de prise en charge
Fin de la prise en charge
Heure de la dernière modification

Description

Cette vérification vous avertit si les versions sont proches de la fin de support ou l'ont atteint. Chaque version de Windows Server offre 10 ans de support. Cela comprend 5 ans de support standard et 5 ans de support étendu. À la fin du support, la version de Windows Server ne recevra plus de mises à jour de sécurité régulières. Si vous exécutez des applications avec des versions de Windows Server non prises en charge, vous risquez de compromettre la sécurité ou la conformité de ces applications.

Note

Les résultats de cette vérification sont automatiquement actualisés plusieurs fois par jour et les demandes d'actualisation ne sont pas autorisées. Plusieurs heures peuvent encore être nécessaires pour que les modifications apparaissent. Actuellement, vous ne pouvez pas exclure des ressources de cette vérification.

ID de la vérification

Qsdfp3A4L4

Critères d'alerte

Rouge : une instance EC2 a une version de Windows Server qui a atteint la fin du support (Windows Server 2003, 2003 R2, 2008 et 2008 R2).
Jaune : une instance EC2 a une version de Windows Server qui atteindra la fin de son support dans moins de 18 mois (Windows Server 2012 et 2012 R2).

Action recommandée

Pour moderniser vos charges de travail Windows Server, considérez les différentes options disponibles sur Moderniser les charges de travail Windows avec. AWS

Pour mettre à niveau vos charges de travail Windows Server afin qu'elles s'exécutent sur des versions plus récentes de Windows Server, vous pouvez utiliser un runbook d'automatisation. Pour plus d'informations, consultez la documentation d'AWS Systems Manager.

Veuillez suivre les étapes ci-dessous :

a. Mettre à niveau la version de Windows Server
b. Arrêt et démarrage difficiles lors de la mise à niveau
c. Si vous utilisez EC2Config, veuillez migrer vers EC2Launch

Colonnes du rapport

Statut
Région
ID d’instance
Version de Windows Server
Cycle de prise en charge
Fin de la prise en charge
Heure de la dernière modification

Description

Cette vérification vous avertit si les versions sont proches ou ont atteint la fin du support standard. Il est important de passer à l'action, soit en migrant vers le prochain LTS, soit en passant à Ubuntu Pro. Après la fin du support, vos machines 18.04 LTS ne recevront aucune mise à jour de sécurité. Avec un abonnement Ubuntu Pro, votre déploiement Ubuntu 18.04 LTS peut bénéficier d'une maintenance de sécurité étendue (ESM) jusqu'en 2028. Les failles de sécurité non corrigées exposent vos systèmes aux pirates informatiques et à la possibilité d'une violation majeure.

ID de la vérification

c1dfprch15

Critères d'alerte

Rouge : une instance Amazon EC2 possède une version d'Ubuntu qui a atteint la fin du support standard (Ubuntu 18.04 LTS, 18.04.1 LTS, 18.04.2 LTS, 18.04.3 LTS, 18.04.4 LTS, 18.04.5 LTS et 18.04.6 LTS).

Jaune : une instance Amazon EC2 possède une version Ubuntu dont le support standard expirera dans moins de 6 mois (Ubuntu 20.04 LTS, 20.04.1 LTS, 20.04.2 LTS, 20.04.3 LTS, 20.04.4 LTS, 20.04.5 LTS et 20.04.6 LTS).

Vert : toutes les instances Amazon EC2 sont conformes.

Action recommandée

Pour mettre à niveau les instances d'Ubuntu 18.04 LTS vers une version LTS prise en charge, veuillez suivre les étapes mentionnées dans cet article. Pour mettre à niveau les instances d'Ubuntu 18.04 LTS vers Ubuntu Pro, rendez-vous sur AWS License Manager la console et suivez les étapes indiquées dans le guide de l'AWS License Manager utilisateur. Vous pouvez également consulter le blog Ubuntu présentant une démonstration étape par étape de la mise à niveau d'instances Ubuntu vers Ubuntu Pro.

Ressources supplémentaires

Pour plus d'informations sur les prix, contactez AWS Support.

Colonnes du rapport

Statut
Région
Version Ubuntu Lts
Date de fin de support prévue
ID d’instance
Cycle de prise en charge
Heure de la dernière modification

Description

Vérifie si le système de fichiers Amazon EFS est monté par data-in-transit chiffrement. AWS recommande aux clients d'utiliser data-in-transit le chiffrement pour tous les flux de données afin de protéger les données contre toute exposition accidentelle ou tout accès non autorisé. Amazon EFS recommande aux clients d'utiliser le paramètre de montage « -o tls » à l'aide de l'assistant de montage Amazon EFS pour chiffrer les données en transit à l'aide du protocole TLS v1.2.

ID de la vérification

c1dfpnchv1

Critères d'alerte

Jaune : un ou plusieurs clients NFS de votre système de fichiers Amazon EFS n'utilisent pas les paramètres de montage recommandés pour le data-in-transit chiffrement.

Vert : tous les clients NFS de votre système de fichiers Amazon EFS utilisent les paramètres de montage recommandés pour le data-in-transit chiffrement.

Action recommandée

Pour tirer parti de la fonctionnalité de data-in-transit chiffrement d'Amazon EFS, nous vous recommandons de remonter votre système de fichiers à l'aide de l'assistant de montage Amazon EFS et des paramètres de montage recommandés.

Note

Certaines distributions de Linux n'incluent pas de version de Stunnel prenant en charge les fonctionnalités TLS par défaut. Si vous utilisez une distribution Linux non prise en charge (voir les distributions prises en charge ici), nous vous recommandons de la mettre à niveau avant le remontage avec le paramètre de montage recommandé.

Ressources supplémentaires

Chiffrement des données en transit

Colonnes du rapport

Statut
Région
Identifiant de système de fichiers EFS
AS avec connexions non chiffrées
Heure de la dernière modification

Description

Vérifie les paramètres d'autorisation pour les instantanés de vos volumes Amazon Elastic Block Store (Amazon EBS) et vous avertit si des instantanés sont accessibles au public.

Lorsque vous publiez un instantané, vous permettez à tous Comptes AWS et aux utilisateurs d'accéder à toutes les données qu'il contient. Si vous souhaitez partager un instantané uniquement avec des utilisateurs ou des comptes spécifiques, marquez l'instantané comme privé. Ensuite, spécifiez l'utilisateur ou les comptes avec lesquels vous souhaitez partager les données d'instantané. Notez que si vous avez activé l'option Bloquer l'accès public en mode « bloquer tout partage », vos instantanés publics ne seront pas accessibles au public et n'apparaîtront pas dans les résultats de cette vérification.

Note

Les résultats de cette vérification sont automatiquement actualisés plusieurs fois par jour et les demandes d'actualisation ne sont pas autorisées. Plusieurs heures peuvent encore être nécessaires pour que les modifications apparaissent.

ID de la vérification

ePs02jT06w

Critères d'alerte

Rouge : l'instantané du volume EBS est accessible au public.

Action recommandée

À moins que vous ne soyez certain de vouloir partager toutes les données de l'instantané avec tous Comptes AWS les utilisateurs, modifiez les autorisations : marquez l'instantané comme privé, puis spécifiez les comptes auxquels vous souhaitez accorder des autorisations. Pour plus d'informations, consultez Partager un instantané Amazon EBS. Utilisez Bloquer l'accès public pour les instantanés EBS afin de contrôler les paramètres qui autorisent l'accès public à vos données. Cette vérification ne peut pas être exclue de la vue dans la Trusted Advisor console.

Pour modifier directement les autorisations associées à vos instantanés, vous pouvez utiliser un runbook dans la AWS Systems Manager console. Pour plus d’informations, consultez AWSSupport-ModifyEBSSnapshotPermission.

Ressources supplémentaires

Instantanés Amazon EBS

Colonnes du rapport

Statut
Région
ID du volume
ID de l'instantané
Description

Description

Amazon RDS prend en charge le chiffrement au repos pour tous les moteurs de base de données à l'aide des clés que vous gérez. AWS Key Management Service Sur une instance de base de données active avec chiffrement Amazon RDS, les données stockées au repos dans le stockage sont chiffrées, comme dans le cas des sauvegardes automatisées, des répliques de lecture et des instantanés.

Si le chiffrement n'est pas activé lors de la création d'un cluster de base de données Aurora, vous devez restaurer un instantané déchiffré sur un cluster de base de données chiffré.

Note

Les résultats de cette vérification sont automatiquement actualisés plusieurs fois par jour et les demandes d'actualisation ne sont pas autorisées. Plusieurs heures peuvent encore être nécessaires pour que les modifications apparaissent. Actuellement, vous ne pouvez pas exclure des ressources de cette vérification.

Note

Lorsqu'une instance ou un cluster de bases de données est arrêté, vous pouvez consulter les recommandations Amazon RDS Trusted Advisor pendant 3 à 5 jours. Après cinq jours, les recommandations ne sont plus disponibles dans Trusted Advisor. Pour consulter les recommandations, ouvrez la console Amazon RDS, puis choisissez Recommendations.

Si vous supprimez une instance ou un cluster de bases de données, les recommandations associées à ces instances ou clusters ne sont pas disponibles dans Trusted Advisor ou dans la console de gestion Amazon RDS.

ID de la vérification

c1qf5bt005

Critères d'alerte

Rouge : le chiffrement n'est pas activé sur les ressources Amazon RDS Aurora.

Action recommandée

Activez le chiffrement des données au repos pour votre cluster de bases de données.

Ressources supplémentaires

Vous pouvez activer le chiffrement lors de la création d'une instance de base de données ou utiliser une solution de contournement pour activer le chiffrement sur une instance de base de données active. Vous ne pouvez pas modifier un cluster de base de données déchiffré en cluster de base de données chiffré. Toutefois, vous pouvez restaurer un instantané déchiffré sur un cluster de base de données chiffré. Lorsque vous effectuez une restauration à partir de l'instantané déchiffré, vous devez spécifier une clé. AWS KMS

Pour plus d'informations, consultez Chiffrer des ressources Amazon Aurora.

Colonnes du rapport

Statut
Région
Ressource
Nom du moteur
Heure de la dernière modification

Description

Les ressources de votre base de données n'exécutent pas la dernière version mineure du moteur de base de données. La dernière version mineure contient les derniers correctifs de sécurité et d'autres améliorations.

Note

Les résultats de cette vérification sont automatiquement actualisés plusieurs fois par jour et les demandes d'actualisation ne sont pas autorisées. Plusieurs heures peuvent encore être nécessaires pour que les modifications apparaissent. Actuellement, vous ne pouvez pas exclure des ressources de cette vérification.

Note

Lorsqu'une instance ou un cluster de bases de données est arrêté, vous pouvez consulter les recommandations Amazon RDS Trusted Advisor pendant 3 à 5 jours. Après cinq jours, les recommandations ne sont plus disponibles dans Trusted Advisor. Pour consulter les recommandations, ouvrez la console Amazon RDS, puis choisissez Recommendations.

Si vous supprimez une instance ou un cluster de bases de données, les recommandations associées à ces instances ou clusters ne sont pas disponibles dans Trusted Advisor ou dans la console de gestion Amazon RDS.

ID de la vérification

c1qf5bt003

Critères d'alerte

Rouge : les ressources Amazon RDS n'exécutent pas la dernière version mineure du moteur de base de données.

Action recommandée

Effectuez une mise à niveau vers la dernière version du moteur.

Ressources supplémentaires

Nous vous recommandons de maintenir votre base de données avec la dernière version mineure du moteur de base de données, car cette version inclut les derniers correctifs de sécurité et de fonctionnalité. Les mises à niveau des versions mineures du moteur de base de données contiennent uniquement les modifications rétrocompatibles avec les versions mineures antérieures de la même version majeure du moteur de base de données.

Pour plus d'informations, voir Mise à niveau de la version d'un moteur d'instance de base de données.

Colonnes du rapport

Statut
Région
Ressource
Nom du moteur
Version actuelle du moteur
Valeur recommandée
Heure de la dernière modification

Description

Vérifie les paramètres d'autorisation pour vos instantanés de base de données Amazon Relational Database Service (Amazon RDS) et vous avertit si des instantanés sont marqués comme publics.

Lorsque vous publiez un instantané, vous permettez à tous Comptes AWS et aux utilisateurs d'accéder à toutes les données qu'il contient. Si vous souhaitez partager un instantané uniquement avec des utilisateurs ou des comptes spécifiques, marquez l'instantané comme privé. Ensuite, spécifiez l'utilisateur ou les comptes avec lesquels vous souhaitez partager les données d'instantané.

Note

Les résultats de cette vérification sont automatiquement actualisés plusieurs fois par jour, et les requêtes d'actualisation ne sont pas autorisées. Plusieurs heures peuvent encore être nécessaires pour que les modifications apparaissent.

ID de la vérification

rSs93HQwa1

Critères d'alerte

Rouge : l'instantané Amazon RDS est marqué comme public.

Action recommandée

À moins que vous ne soyez certain de vouloir partager toutes les données de l'instantané avec tous Comptes AWS les utilisateurs, modifiez les autorisations : marquez l'instantané comme privé, puis spécifiez les comptes auxquels vous souhaitez accorder des autorisations. Pour plus d'informations, consultez Sharing a DB Snapshot or DB Cluster Snapshot (Partager un instantané de base de données ou un instantané de cluster de base de données). Cette vérification ne peut pas être exclue de la vue dans la Trusted Advisor console.

Pour modifier directement les autorisations associées à vos instantanés, vous pouvez utiliser un runbook dans la AWS Systems Manager console. Pour plus d’informations, consultez AWSSupport-ModifyRDSSnapshotPermission.

Ressources supplémentaires

Sauvegarde et restauration d'une instance de base de données Amazon RDS

Colonnes du rapport

Statut
Région
ID de l'instance ou ID du cluster
ID de l'instantané

Description

Vérifie les configurations des groupes de sécurité pour Amazon Relational Database Service (Amazon RDS) et avertit lorsqu'une règle de groupe de sécurité accorde un accès trop permissif à votre base de données. La configuration recommandée pour une règle de groupe de sécurité consiste à autoriser l'accès uniquement à partir de groupes de sécurité Amazon Elastic Compute Cloud (Amazon EC2) spécifiques ou à partir d'une adresse IP spécifique.

ID de la vérification

nNauJisYIT

Critères d'alerte

Jaune : une règle de groupe de sécurité de base de données fait référence à un groupe de sécurité Amazon EC2 qui accorde un accès global sur l'un de ces ports : 20, 21, 22, 1433, 1434, 3306, 3389, 4333, 5432, 5500.
Jaune : une règle de groupe de sécurité de base de données autorise l'accès à plusieurs adresses IP (le suffixe de la règle CIDR n'est pas /0 ou /32).
Rouge : une règle de groupe de sécurité de base de données accorde un accès global (le suffixe de la règle CIDR est /0).

Action recommandée

Vérifiez les règles de votre groupe de sécurité et limitez l'accès aux adresses IP ou aux plages d'adresses IP autorisées. Pour modifier un groupe de sécurité, utilisez l'SecurityGroupIngressAPI AuthorizeDB ou le. AWS Management Console Pour plus d'informations, consultez Utilisation des groupes de sécurité DB.

Ressources supplémentaires

Colonnes du rapport

Statut
Région
Nom du groupe de sécurité RDS
Règle d'entrée
Raison

Description

Amazon RDS prend en charge le chiffrement au repos pour tous les moteurs de base de données à l'aide des clés que vous gérez. AWS Key Management Service Sur une instance de base de données active avec chiffrement Amazon RDS, les données stockées au repos dans le stockage sont chiffrées, comme dans le cas des sauvegardes automatisées, des répliques de lecture et des instantanés.

Si le chiffrement n'est pas activé lors de la création d'une instance de base de données, vous devez restaurer une copie chiffrée de l'instantané déchiffré avant d'activer le chiffrement.

Note

Les résultats de cette vérification sont automatiquement actualisés plusieurs fois par jour et les demandes d'actualisation ne sont pas autorisées. Plusieurs heures peuvent encore être nécessaires pour que les modifications apparaissent. Actuellement, vous ne pouvez pas exclure des ressources de cette vérification.

Note

Lorsqu'une instance ou un cluster de bases de données est arrêté, vous pouvez consulter les recommandations Amazon RDS Trusted Advisor pendant 3 à 5 jours. Après cinq jours, les recommandations ne sont plus disponibles dans Trusted Advisor. Pour consulter les recommandations, ouvrez la console Amazon RDS, puis choisissez Recommendations.

Si vous supprimez une instance ou un cluster de bases de données, les recommandations associées à ces instances ou clusters ne sont pas disponibles dans Trusted Advisor ou dans la console de gestion Amazon RDS.

ID de la vérification

c1qf5bt006

Critères d'alerte

Rouge : le chiffrement n'est pas activé sur les ressources Amazon RDS.

Action recommandée

Activez le chiffrement des données au repos pour votre instance de base de données.

Ressources supplémentaires

Vous pouvez chiffrer une instance de base de données uniquement lorsque vous créez l'instance de base de données. Pour chiffrer une instance de base de données active existante :

Créez une copie chiffrée de l'instance de base de données d'origine

Créez un instantané de votre instance de base de données.
Créez une copie cryptée de l'instantané créé à l'étape 1.
Restaurez une instance de base de données à partir du snapshot chiffré.

Pour plus d’informations, consultez les ressources suivantes :

Colonnes du rapport

Statut
Région
Ressource
Nom du moteur
Heure de la dernière modification

Description

Vérifie les zones hébergées Amazon Route 53 avec des enregistrements CNAME pointant directement vers les noms d'hôtes des compartiments Amazon S3 et émet des alertes si votre CNAME ne correspond pas au nom de votre compartiment S3.

ID de la vérification

c1ng44jvbm

Critères d'alerte

Rouge : la zone hébergée Amazon Route 53 contient des enregistrements CNAME indiquant que les noms d'hôte des compartiments S3 ne correspondent pas.

Vert : aucun enregistrement CNAME non concordant n'a été trouvé dans votre zone hébergée Amazon Route 53.

Action recommandée

Lorsque vous pointez des enregistrements CNAME vers les noms d'hôte des compartiments S3, vous devez vous assurer qu'un compartiment correspondant existe pour tout enregistrement CNAME ou alias que vous configurez. Ce faisant, vous évitez le risque que vos enregistrements CNAME soient falsifiés. Vous empêchez également tout AWS utilisateur non autorisé d'héberger du contenu Web défectueux ou malveillant sur votre domaine.

Pour éviter de faire pointer les enregistrements CNAME directement vers les noms d'hôte des compartiments S3, pensez à utiliser le contrôle d'accès à l'origine (OAC) pour accéder aux ressources Web de vos compartiments S3 via Amazon. CloudFront

Pour plus d'informations sur l'association du CNAME au nom d'hôte d'un compartiment Amazon S3, consultez Personnalisation des URL Amazon S3 avec des enregistrements CNAME.

Ressources supplémentaires

Colonnes du rapport

Statut
ID de la zone hébergée
Zone hébergée (ARN)
Enregistrements CNAME correspondants
Enregistrements CNAME non concordants
Heure de la dernière modification

Description

Pour chaque jeu d'enregistrements de ressource MX, vérifie que le jeu d'enregistrements de ressource TXT ou SPF contient un enregistrement SPF valide. Le registre doit commencer par « v=spf1 ». L'enregistrement SPF spécifie les serveurs autorisés à envoyer des e-mails pour votre domaine, ce qui permet de détecter et d'arrêter l'usurpation d'adresse e-mail et de diminuer le volume de courrier indésirable. Route 53 recommande d'utiliser un enregistrement TXT au lieu d'un enregistrement SPF. Trusted Advisor signale cette vérification en vert tant que chaque ensemble d'enregistrements de ressources MX contient au moins un enregistrement SPF ou TXT.

ID de la vérification

c9D319e7sG

Critères d'alerte

Jaune : un ensemble d'enregistrements de ressources MX ne possède pas d'enregistrement de ressources TXT ou SPF contenant une valeur SPF valide.

Action recommandée

Pour chaque ensemble d'enregistrements de ressources MX, créez un ensemble d'enregistrements de ressources TXT qui contient une valeur SPF valide. Pour de plus amples informations, veuillez consulter Sender Policy Framework: SPF Record Syntax (Sender Policy Framework : syntaxe de l'enregistrement SPF) et Création d'enregistrements à l'aide de la console Amazon Route 53.

Ressources supplémentaires

Colonnes du rapport

Nom de la zone hébergée
ID de la zone hébergée
Nom de l'ensemble d'enregistrements de ressources
Statut

Description

Vérifie les compartiments d'Amazon Simple Storage Service (Amazon S3) dotés d'autorisations d'accès ouvert ou autorisant l'accès à n'importe quel utilisateur authentifié. AWS

Cette vérification examine les autorisations de compartiment explicites, ainsi que les politiques de compartiment susceptibles de remplacer ces autorisations. L'octroi d'autorisations d'accès à la liste à tous les utilisateurs pour un compartiment Amazon S3 n'est pas recommandé. Ces autorisations peuvent mener des utilisateurs à répertorier des objets dans le compartiment à une fréquence élevée qui n'était pas prévue, pouvant alors entraîner des frais plus élevés qu'au départ. Les autorisations qui accordent l'accès au téléchargement et à la suppression à tout le monde peuvent générer des vulnérabilités de sécurité dans votre compartiment.

ID de la vérification

Pfx0RwqBli

Critères d'alerte

Jaune : la liste ACL du compartiment autorise l'accès à la liste pour Tout le monde ou Tout utilisateur AWS authentifié.
Jaune : une politique de compartiment autorise tout type d'accès ouvert.
Jaune : la politique de compartiment contient des déclarations qui accordent un accès public. Le paramètre Block public and cross-account access to buckets that have public policies (Bloquer l'accès public et intercompte aux compartiments dotés de politiques publiques) est activé et limite l'accès aux seuls utilisateurs autorisés de ce compte jusqu'à ce que les déclarations d'accès public soient supprimées.
Jaune : Trusted Advisor n'est pas autorisé à vérifier la politique, ou la politique n'a pas pu être évaluée pour d'autres raisons.
Rouge : la liste ACL du compartiment autorise le chargement et la suppression pour Tout le monde ou Tout utilisateur AWS authentifié.

Action recommandée

Si un compartiment autorise l'accès ouvert, déterminez si ce dernier est réellement nécessaire. Si ce n'est pas le cas, mettez à jour les autorisations du compartiment pour limiter l'accès au propriétaire ou à des utilisateurs spécifiques. Utilisez le blocage de l'accès public Amazon S3 pour contrôler les paramètres qui autorisent l'accès public à vos données. Voir Setting Bucket and Object Access Permissions (Définition des autorisations d'accès aux compartiments et aux objets).

Ressources supplémentaires

Gestion des autorisations d'accès à vos ressources Amazon S3

Colonnes du rapport

Statut
Nom de la région
Paramètres d'API de région
Nom du compartiment
Liste des autorisations ACL
Autorisations de téléchargement/suppression ACL
Accès aux autorisations de politique

Description

Vérifie si la résolution DNS de vos connexions d'appairage de VPC est activée à la fois pour les VPC accepteurs et demandeurs.

La résolution DNS pour une connexion d'appairage de VPC permet la résolution des noms d'hôte DNS publics en adresses IPv4 privées lors de l'interrogation de votre VPC. Cela permet d'utiliser des noms DNS pour la communication entre les ressources dans les VPC appairés. La résolution DNS de vos connexions d'appairage de VPC simplifie le développement et la gestion des applications et réduit les risques d'erreur. Elle assure également la communication privée entre les ressources via la connexion d'appairage de VPC.

Vous pouvez spécifier les identifiants VPC à l'aide des paramètres vpCIDs de vos règles. AWS Config

Pour plus d'informations, consultez Activation de la résolution DNS pour une connexion d'appairage de VPC.

Note

Les résultats de cette vérification sont automatiquement actualisés plusieurs fois par jour et les demandes d'actualisation ne sont pas autorisées. Plusieurs heures peuvent encore être nécessaires pour que les modifications apparaissent. Actuellement, vous ne pouvez pas exclure des ressources de cette vérification.

ID de la vérification

c18d2gz124

Source

AWS Config Managed Rule: vpc-peering-dns-resolution-check

Critères d'alerte

Jaune : la résolution DNS n'est pas activée pour les VPC accepteurs et demandeurs dans le cadre d'une connexion d'appairage de VPC.

Action recommandée

Activez la résolution DNS pour vos connexions d'appairage de VPC.

Ressources supplémentaires

Colonnes du rapport

Statut
Région
Ressource
AWS Config Règle
Paramètres d'entrée
Heure de la dernière modification

Description

Vérifie si les AWS Backup coffres-forts sont associés à une politique basée sur les ressources qui empêche la suppression des points de récupération.

La politique basée sur les ressources empêche la suppression inattendue de points de reprise, ce qui vous permet d'appliquer le contrôle d'accès selon le principe du moindre privilège à vos données de sauvegarde.

Vous pouvez spécifier les AWS Identity and Access Management ARN que vous ne souhaitez pas que la règle consigne dans le principalArnListparamètre de vos AWS Config règles.

Note

Les résultats de cette vérification sont automatiquement actualisés plusieurs fois par jour et les demandes d'actualisation ne sont pas autorisées. Plusieurs heures peuvent encore être nécessaires pour que les modifications apparaissent. Actuellement, vous ne pouvez pas exclure des ressources de cette vérification.

ID de la vérification

c18d2gz152

Source

AWS Config Managed Rule: backup-recovery-point-manual-deletion-disabled

Critères d'alerte

Jaune : certains AWS Backup coffres-forts ne disposent pas d'une politique basée sur les ressources pour empêcher la suppression des points de récupération.

Action recommandée

Créez des politiques basées sur les ressources pour vos AWS Backup coffres-forts afin d'empêcher la suppression inattendue de points de récupération.

La politique doit inclure une déclaration « Deny » avec les PutBackupVaultAccessPolicy autorisations backup :UpdateRecoveryPointLifecycle, backup : et backup :. DeleteRecoveryPoint

Pour plus d'informations, voir Définition de politiques d'accès pour les coffres-forts de sauvegarde.

Colonnes du rapport

Statut
Région
Ressource
AWS Config Règle
Paramètres d'entrée
Heure de la dernière modification

Description

Vérifie votre utilisation de AWS CloudTrail. CloudTrail fournit une visibilité accrue sur l'activité de votre compte en Compte AWS enregistrant des informations sur les appels d' AWS API effectués sur le compte. Vous pouvez utiliser ces journaux pour déterminer, par exemple, quelles actions un utilisateur particulier a effectuées au cours d'une période spécifiée ou quels utilisateurs ont effectué des actions sur une ressource particulière au cours d'une période spécifiée.

Étant donné CloudTrail que les fichiers journaux sont fournis à un compartiment Amazon Simple Storage Service (Amazon S3) CloudTrail , vous devez disposer d'autorisations d'écriture pour le compartiment. Si un journal d'activité s'applique à toutes les régions (valeur par défaut lors de la création d'un journal d'activité), le journal d'activité apparaît plusieurs fois dans le rapport Trusted Advisor .

ID de la vérification

vjafUGJ9H0

Critères d'alerte

Jaune : CloudTrail signale les erreurs de livraison d'un journal pour un parcours.
Rouge : aucun suivi n'a été créé pour une région, ou la journalisation est désactivée pour un suivi.

Action recommandée

Pour créer un suivi et démarrer la journalisation à partir de la console, accédez à la console AWS CloudTrail.

Pour démarrer la journalisation, veuillez consulter Stopping and Starting Logging for a Trail (Arrêter et démarrer la journalisation d'un suivi).

Si vous recevez des erreurs de livraison de journaux, assurez-vous que le compartiment existe et que la politique nécessaire y est attachée. Voir Politique de compartiment Amazon S3.

Ressources supplémentaires

Colonnes du rapport

Statut
Région
Nom du suivi
Statut de la journalisation
Nom du compartiment
Date de la dernière livraison

Description

Vérifie les fonctions Lambda dont la version $LATEST est configurée pour utiliser un environnement d'exécution proche de la dépréciation, ou qui est obsolète. Les environnements d'exécution obsolètes ne sont pas éligibles aux mises à jour de sécurité ou au support technique

Note

Les résultats de cette vérification sont automatiquement actualisés plusieurs fois par jour et les demandes d'actualisation ne sont pas autorisées. Plusieurs heures peuvent encore être nécessaires pour que les modifications apparaissent. Actuellement, vous ne pouvez pas exclure des ressources de cette vérification.

Les versions des fonctions Lambda publiées sont immuables, ce qui signifie qu'elles peuvent être invoquées, mais qu'elles ne peuvent pas être mises à jour. Seule la version $LATEST d'une fonction Lambda peut être mise à jour. Pour plus d'informations, consultez Versions de fonctions Lambda.

ID de la vérification

L4dfs2Q4C5

Critères d'alerte

Rouge : La version $LATEST de la fonction est configurée pour utiliser un environnement d'exécution déjà obsolète.
Jaune : La version $LATEST de la fonction s'exécute sur un environnement d'exécution qui sera obsolète dans les 180 jours.

Action recommandée

Si certaines fonctions s'exécutent sur un environnement d'exécution qui est sur le point de devenir obsolète, vous devez préparer la migration vers un environnement d'exécution pris en charge. Pour de plus amples informations, veuillez consulter Runtime support policy (Stratégie de prise en charge de l'environnement d'exécution).

Nous vous recommandons de supprimer les versions de fonctions antérieures que vous n'utilisez plus.

Ressources supplémentaires

Environnements d'exécution (runtimes) Lambda

Colonnes du rapport

Statut
Région
ARN de la fonction
Environnement d'exécution
Jours avant l'obsolescence
Date d'obsolescence
Invocations quotidiennes moyennes
Heure de la dernière modification

Description

Vérifiez les éventuels problèmes à risque élevé (HRI) pour vos charges de travail dans le pilier de sécurité. Cette vérification est basée sur vos commentaires AWS-Well Architected. Les résultats de la vérification varient selon que vous avez terminé ou non l'évaluation de la charge de travail avec AWS Well-Architected.

Note

Les résultats de cette vérification sont automatiquement actualisés plusieurs fois par jour et les demandes d'actualisation ne sont pas autorisées. Plusieurs heures peuvent encore être nécessaires pour que les modifications apparaissent. Actuellement, vous ne pouvez pas exclure des ressources de cette vérification.

ID de la vérification

Wxdfp4B1L3

Critères d'alerte

Rouge : Au moins un problème actif à haut risque a été identifié dans le pilier de sécurité de AWS Well-Architected.
Vert : aucun problème actif à haut risque n'a été détecté dans le pilier de sécurité de AWS Well-Architected.

Action recommandée

AWS Well-Architected a détecté des problèmes à haut risque lors de l'évaluation de votre charge de travail. Ces problèmes offrent la possibilité de réduire les risques et d'économiser de l'argent. Connectez-vous à l'outil AWS Well-Architected afin de passer en revue vos réponses et d'intervenir pour résoudre vos problèmes actifs.

Colonnes du rapport

Statut
Région
ARN de la charge de travail
Nom de la charge de travail
Nom de l'évaluateur
Type de charge de travail
Date de début de la charge de travail
Date de la dernière modification de la charge de travail
Nombre de problèmes à haut rique identifiés pour la Sécurité
Nombre de problèmes à haut risque résolus pour la Sécurité
Nombre de questions de Sécurité
Nombre total de questions dans le pilier Sécurité
Heure de la dernière modification

Description

Vérifie les certificats SSL pour les noms de domaine CloudFront alternatifs dans le magasin de certificats IAM. Cette vérification vous avertit si un certificat a expiré, expirera bientôt, utilise un chiffrement obsolète ou n'est pas configuré correctement pour la distribution.

Lorsqu'un certificat personnalisé pour un autre nom de domaine expire, les navigateurs qui affichent votre CloudFront contenu peuvent afficher un message d'avertissement concernant la sécurité de votre site Web. Les certificats chiffrés à l'aide de l'algorithme de hachage SHA-1 sont obsolètes par les navigateurs web tels que Chrome et Firefox.

Un certificat doit contenir un nom de domaine correspondant au nom de domaine d'origine ou au nom de domaine dans l'en-tête hôte de la demande d'un utilisateur. S'il ne correspond pas, CloudFront renvoie un code d'état HTTP 502 (mauvaise passerelle) à l'utilisateur. Pour de plus amples informations, veuillez consulter Utilisation de noms de domaines alternatifs et de HTTPS.

ID de la vérification

N425c450f2

Critères d'alerte

Rouge : un certificat SSL personnalisé a expiré.
Jaune : un certificat SSL personnalisé expire dans les 7 prochains jours.
Jaune : un certificat SSL personnalisé a été chiffré à l'aide de l'algorithme de hachage SHA-1.
Jaune : un ou plusieurs noms de domaines alternatifs de la distribution n'apparaissent ni dans le champ Comme Name (Nom commun), ni dans le champ Subject Alternative Name (Nom Subject Alternative) du certificat SSL personnalisé.

Action recommandée

Renouvelez un certificat expiré ou sur le point d'expirer.

Remplacez un certificat qui a été chiffré à l'aide de l'algorithme de hachage SHA-1 par un certificat chiffré à l'aide de l'algorithme de hachage SHA-256.

Remplacez le certificat par un certificat qui contient les valeurs applicables dans les champs Common Name (Nom commun) ou Subject Alternative Domain Names (Noms Subject Alternative Domain).

Ressources supplémentaires

Utiliser une connexion HTTPS pour accéder à vos objets

Colonnes du rapport

Statut
ID de distribution
Nom du domaine de distribution
Nom du certificat
Raison

Description

Vérifie votre serveur d'origine pour les certificats SSL qui sont arrivés à expiration, sur le point d'expirer, manquants ou qui utilisent un chiffrement obsolète. Si un certificat présente l'un de ces problèmes, il CloudFront répond aux demandes concernant votre contenu avec le code d'état HTTP 502, Bad Gateway.

Les certificats chiffrés à l'aide de l'algorithme de hachage SHA-1 sont obsolètes dans des navigateurs web tels que Chrome et Firefox. En fonction du nombre de certificats SSL que vous avez associés à vos CloudFront distributions, ce chèque peut ajouter quelques centimes par mois à votre facture auprès de votre fournisseur d'hébergement Web, par exemple, AWS si vous utilisez Amazon EC2 ou Elastic Load Balancing comme origine de votre CloudFront distribution. Cette vérification ne concerne pas votre chaîne de certificats d'origine ni les autorités de certification. Vous pouvez les vérifier dans votre CloudFront configuration.

ID de la vérification

N430c450f2

Critères d'alerte

Rouge : un certificat SSL sur votre origine a expiré ou est manquant.
Jaune : un certificat SSL sur votre origine expire dans les 30 prochains jours.
Jaune : un certificat SSL sur votre origine a été chiffré à l'aide de l'algorithme de hachage SHA-1.
Jaune : aucun certificat SSL sur votre origine n'a pu être localisé. La connexion a peut-être échoué en raison d'une expiration de délai ou d'autres problèmes de connexion HTTPS.

Action recommandée

Renouvelez le certificat de votre origine s'il a expiré ou est sur le point d'expirer.

Ajoutez un certificat s'il n'en existe pas.

Remplacez un certificat qui a été chiffré à l'aide de l'algorithme de hachage SHA-1 par un certificat chiffré à l'aide de l'algorithme de hachage SHA-256.

Ressources supplémentaires

Utiliser des noms de domaines alternatifs et HTTPS

Colonnes du rapport

Statut
ID de distribution
Nom du domaine de distribution
Origin
Raison

Description

Vérifie la présence d'équilibreurs de charge dotés d'écouteurs qui n'utilisent pas les configurations de sécurité recommandées pour les communications chiffrées. AWS recommande d'utiliser un protocole sécurisé (HTTPS ou SSL), des politiques de up-to-date sécurité, ainsi que des chiffrements et des protocoles sécurisés.

Lorsque vous utilisez un protocole sécurisé pour une connexion frontale (client à équilibreur de charge), les demandes sont chiffrées entre vos clients et l'équilibreur de charge, créant ainsi un environnement plus sécurisé. Elastic Load Balancing fournit des politiques de sécurité prédéfinies avec des chiffrements et des protocoles conformes aux meilleures pratiques AWS de sécurité. De nouvelles versions de politiques prédéfinies sont publiées à mesure que de nouvelles configurations deviennent disponibles.

ID de la vérification

a2sEc6ILx

Critères d'alerte

Jaune : un équilibreur de charge n'a aucun écouteur qui utilise un protocole sécurisé (HTTPS ou SSL).
Jaune : un écouteur d'équilibreur de charge utilise une politique de sécurité SSL prédéfinie obsolète.
Jaune : un écouteur d'équilibreur de charge utilise un chiffrement ou un protocole qui n'est pas recommandé.
Rouge : un écouteur d'équilibreur de charge utilise un chiffrement ou un protocole non sécurisé.

Action recommandée

Si le trafic vers votre équilibreur de charge doit être sécurisé, utilisez le protocole HTTPS ou SSL pour la connexion frontale.

Mettez à niveau votre équilibreur de charge vers la dernière version de la politique de sécurité SSL prédéfinie.

Utilisez uniquement les chiffrements et protocoles recommandés.

Pour de plus amples informations, veuillez consulter Écouteurs de votre Classic Load Balancer.

Ressources supplémentaires

Colonnes du rapport

Statut
Région
Nom de l'équilibreur de charge
Port de l'équilibreur de charge
Raison

Description

Vérifie les équilibreurs de charge configurés avec un groupe de sécurité manquant ou un groupe de sécurité qui autorise l'accès aux ports non configurés pour l'équilibreur de charge.

Si un groupe de sécurité associé à un équilibreur de charge est supprimé, l'équilibreur de charge ne fonctionnera pas comme prévu. Si un groupe de sécurité autorise l'accès à des ports non configurés pour l'équilibreur de charge, le risque de perte de données ou d'attaques malveillantes augmente.

ID de la vérification

xSqX82fQu

Critères d'alerte

Jaune : les règles entrantes d'un groupe de sécurité Amazon VPC associé à un équilibreur de charge autorisent l'accès à des ports qui ne sont pas définis dans la configuration de l'écouteur de l'équilibreur de charge.
Rouge : aucun groupe de sécurité associé à un équilibreur de charge n'existe.

Action recommandée

Configurez les règles du groupe de sécurité pour limiter l'accès uniquement aux ports et protocoles définis dans la configuration de l'écouteur de l'équilibreur de charge, ainsi que le protocole ICMP pour prendre en charge la détection de la MTU du chemin. Voir Écouteurs de votre Classic Load Balancer et Groupes de sécurité pour les équilibreurs de charge dans un VPC.

Si un groupe de sécurité est manquant, appliquez-en un nouveau à l'équilibreur de charge. Créez des règles de groupe de sécurité qui limitent l'accès uniquement aux ports et protocoles définis dans la configuration de l'écouteur de l'équilibreur de charge. Voir Groupes de sécurité pour les équilibreurs de charge dans un VPC.

Ressources supplémentaires

Colonnes du rapport

Statut
Région
Nom de l'équilibreur de charge
ID de groupe de sécurité
Raison

Description

Vérifie les référentiels de code populaires pour les clés d'accès ayant été exposées au public et pour l'utilisation irrégulière d'Amazon Elastic Compute Cloud (Amazon EC2) qui pourrait être le résultat d'une clé d'accès compromise.

La clé d'accès comprend un ID de clé d'accès et une clé d'accès secrète). Les clés d'accès exposées présentent un risque pour la sécurité de votre compte et d'autres utilisateurs, peuvent entraîner des frais excessifs relatifs aux activités non autorisées ou à des abus, et enfreindre le contrat du client AWS.

Si votre clé d'accès est exposée, prenez immédiatement des mesures pour sécuriser votre compte. Pour protéger votre compte contre les frais excessifs, AWS limitez temporairement votre capacité à créer certaines AWS ressources. Cela ne sécurise pas votre compte. Cette action ne limite que partiellement l'utilisation non autorisée susceptible d'être facturée.

Note

Cette vérification ne garantit pas l'identification des clés d'accès exposées ou des instances EC2 compromises. Vous êtes responsable en dernier ressort de la sûreté et de la sécurité de vos clés d'accès et de vos AWS ressources.

Les résultats de cette vérification sont automatiquement actualisés, et les demandes d'actualisation ne sont pas autorisées. Actuellement, vous ne pouvez pas exclure des ressources de cette vérification.

Si une date limite est indiquée pour une clé d'accès, vous AWS pouvez la suspendre Compte AWS si l'utilisation non autorisée n'est pas arrêtée à cette date. Si vous pensez qu'il s'agit d'une erreur, contactez AWS Support.

Les informations affichées ne reflètent Trusted Advisor peut-être pas l'état le plus récent de votre compte. Aucune clé d'accès exposée n'est marquée comme résolue tant que toutes les clés d'accès exposées du compte n'ont pas été résolues. Cette synchronisation des données peut prendre jusqu'à une semaine.

ID de la vérification

12Fnkpl8Y5

Critères d'alerte

Rouge : potentiellement compromis : AWS a identifié un identifiant de clé d'accès et une clé d'accès secrète correspondante qui ont été exposés sur Internet et pourraient avoir été compromis (utilisés).
Rouge : exposé : AWS a identifié un identifiant de clé d'accès et la clé d'accès secrète correspondante qui ont été exposés sur Internet.
Rouge : suspect – L'utilisation irrégulière d'Amazon EC2 indique qu'une clé d'accès a peut-être été compromise, mais qu'elle n'a pas été identifiée comme étant exposée sur Internet.

Action recommandée

Supprimez dès que possible la clé d'accès concernée. Si la clé est associée à un utilisateur IAM, consultez Gestion des clés d'accès pour les utilisateurs IAM.

Vérifiez si votre compte est utilisé sans autorisation. Connectez-vous à la AWS Management Console et vérifiez la présence de ressources suspectes dans chaque console de service. Portez une attention particulière à l'exécution des instances Amazon EC2, aux demandes d'instance Spot, aux clés d'accès et aux utilisateurs IAM. Vous pouvez également vérifier l'utilisation globale sur la console Billing and Cost Management.

Ressources supplémentaires

Colonnes du rapport

ID de clé d'accès
Nom d'utilisateur (IAM ou racine)
Type de fraude
ID du dossier
Heure de mise à jour
Emplacement
Date limite
Utilisation (USD par jour)

Description

Vérifie les clés d'accès IAM actives qui n'ont pas fait l'objet d'une rotation au cours des 90 derniers jours.

Lorsque vous faites tourner régulièrement vos clés d'accès, vous réduisez les risques qu'une clé compromise puisse être utilisée à votre insu pour accéder aux ressources. Aux fins de cette vérification, la date et l'heure de la dernière rotation correspondent à la date à laquelle la clé d'accès a été créée ou activée pour la dernière fois. Le numéro et la date de la clé d'accès proviennent des informations sur access_key_1_last_rotated et access_key_2_last_rotateddu rapport d'informations d'identification IAM le plus récent.

La fréquence de régénération d'un rapport d'informations d'identification étant limitée, l'actualisation de cette vérification peut ne pas refléter les modifications récentes. Pour plus d'informations, consultez Obtenir les rapports d'informations d'identification de votre Compte AWS.

Pour créer des clès d'accès et en effectuer une rotation, un utilisateur doit disposer des autorisations appropriées. Pour plus d'informations, consultez Allow Users to Manage Their Own Passwords, Access Keys, and SSH Keys (Autoriser les utilisateurs à gérer leurs propres mots de passe, clés d'accès et clés SSH).

ID de la vérification

DqdJqYeRm5

Critères d'alerte

Vert : la clé d'accès est active et a fait l'objet d'une rotation au cours des 90 derniers jours.
Jaune : la clé d'accès est active et a fait l'objet d'une rotation au cours des 2 dernières années, mais il y a plus de 90 jours.
Rouge : la clé d'accès est active et a fait l'objet d'une rotation au cours des 2 dernières années.

Action recommandée

Effectuez une rotation des clés d'accès régulièrement. Voir Rotation des clés d'accès et Gestion des clés d'accès pour les utilisateurs IAM.

Ressources supplémentaires

Bonnes pratiques IAM
How to Rotate Access Keys for IAM Users (Comment effectuer une rotation des clés d'accès pour les utilisateurs IAM)

Colonnes du rapport

Statut
Utilisateur IAM
Clé d'accès
Dernière rotation de clé
Raison

Description

Vérifie la politique de mot de passe de votre compte et vous avertit lorsqu'une politique de mot de passe n'est pas activée ou si les exigences relatives au contenu du mot de passe n'ont pas été activées.

Les exigences en matière de contenu de mot de passe augmentent la sécurité globale de AWS en imposant la création de mots de passe utilisateur forts. Lorsque vous créez ou modifiez une politique de mot de passe, la modification est immédiatement appliquée aux nouveaux utilisateurs, mais n'oblige pas les utilisateurs existants à modifier leurs mots de passe.

ID de la vérification

Yw2K9puPzl

Critères d'alerte

Jaune : une politique de mot de passe est activée, mais au moins une exigence de contenu n'est pas activée.
Rouge : aucune politique de mot de passe n'est activée.

Action recommandée

Si certaines exigences de contenu ne sont pas activées, envisagez de les activer. Si aucune politique de mot de passe n'est activée, créez-en une et configurez-la. Voir Définition d'une politique de mot de passe du compte pour les utilisateurs IAM.

Ressources supplémentaires

Gestion des mots de passe

Colonnes du rapport

Politique relative aux mots de passe
Majuscule
Minuscule
Nombre
Non alphanumérique

Description

Vérifie votre utilisation d'IAM. Vous pouvez utiliser IAM pour créer des utilisateurs, des groupes et des rôles dans AWS. Vous pouvez également utiliser des autorisations pour contrôler l'accès aux ressources AWS . Cette vérification vise à décourager l'utilisation de l'accès à la racine en vérifiant l'existence d'au moins un utilisateur IAM. Vous pouvez ignorer l'alerte si vous suivez les bonnes pratiques de centralisation des identités et de configuration des utilisateurs dans un fournisseur d'identité externe ou AWS IAM Identity Center.

ID de la vérification

zXCkfM1nI3

Critères d'alerte

Jaune : aucun utilisateur IAM n'a été créé pour ce compte.

Action recommandée

Créez un utilisateur IAM ou utilisez-le AWS IAM Identity Center pour créer des utilisateurs supplémentaires dont les autorisations sont limitées pour effectuer des tâches spécifiques dans votre AWS environnement.

Ressources supplémentaires

Description

Vérifie le compte racine et avertit si l'authentification multi-facteur (MFA) n'est pas activée.

Pour une sécurité accrue, nous vous recommandons de protéger votre compte en utilisant l'authentification MFA, qui oblige l'utilisateur à saisir un code d'authentification unique provenant de son matériel MFA ou de son appareil virtuel lorsqu'il interagit avec les AWS Management Console sites Web associés.

ID de la vérification

7DAFEmoDos

Critères d'alerte

Rouge : l'authentification MFA n'est pas activée sur le compte racine.

Action recommandée

Connectez-vous à votre compte racine et activez un dispositif MFA. Voir Vérification du statut de l'authentification MFA et Activation des dispositifs MFA.

Ressources supplémentaires

Utilisation de dispositifs d'authentification multifactorielle (MFA) avec AWS

Description

Vérifie les groupes de sécurité pour les règles qui autorisent l'accès illimité (0.0.0.0/0) à des ports spécifiques.

L'accès illimité augmente les risques d'activités malveillantes (piratage, denial-of-service attaques, perte de données). Les ports présentant le risque le plus élevé sont signalés en rouge, et ceux qui présentent moins de risques sont signalés en jaune. Les ports indiqués en vert sont généralement utilisés par les applications nécessitant un accès illimité, telles que HTTP et SMTP.

Si vous avez délibérément configuré vos groupes de sécurité de cette manière, nous vous recommandons d'utiliser des mesures de sécurité supplémentaires pour sécuriser votre infrastructure (telles que les tables IP).

Note

Cette vérification évalue uniquement les groupes de sécurité que vous créez et leurs règles entrantes pour les adresses IPv4. Les groupes de sécurité créés par AWS Directory Service sont indiqués en rouge ou jaune, mais ils ne présentent pas de risque de sécurité et peuvent être ignorés en toute sécurité ou exclus. Pour en savoir plus, consultez le FAQ Trusted Advisor.

Note

Cette vérification n'inclut pas le cas d'utilisation lorsqu'une liste de préfixes gérée par le client accorde l'accès à 0.0.0.0/0 et est utilisée comme source avec un groupe de sécurité.

ID de la vérification

HCP4007jGY

Critères d'alerte

Vert : l'accès au port 80, 25, 443 ou 465 n'est pas restreint.
Rouge : l'accès au port 20, 21, 1433, 1434, 3306, 3389, 4333, 5432 ou 5500 n'est pas restreint.
Jaune : l'accès à tout autre port n'est pas restreint.

Action recommandée

Limitez l'accès uniquement aux adresses IP qui en ont besoin. Pour limiter l'accès à une adresse IP spécifique, définissez le suffixe sur /32 (par exemple, 192.0.2.10/32). Assurez-vous de supprimer les règles trop permissives après avoir créé des règles plus restrictives.

Ressources supplémentaires

Colonnes du rapport

Statut
Région
Nom du groupe de sécurité
ID du groupe de sécurité
Protocole
Port d'origine
Port de destination

Description

Vérifie les groupes de sécurité pour les règles qui autorisent un accès illimité à une ressource.

L'accès illimité augmente les risques d'activités malveillantes (piratage, denial-of-service attaques, perte de données).

Note

Cette vérification évalue uniquement les groupes de sécurité que vous créez et leurs règles entrantes pour les adresses IPv4. Les groupes de sécurité créés par AWS Directory Service sont indiqués en rouge ou jaune, mais ils ne présentent pas de risque de sécurité et peuvent être ignorés en toute sécurité ou exclus. Pour en savoir plus, consultez le FAQ Trusted Advisor.

Note

Cette vérification n'inclut pas le cas d'utilisation lorsqu'une liste de préfixes gérée par le client accorde l'accès à 0.0.0.0/0 et est utilisée comme source avec un groupe de sécurité.

ID de la vérification

1iG5NDGVre

Critères d'alerte

Rouge : une règle de groupe de sécurité possède une adresse IP source avec un suffixe /0 pour les ports autres que 25, 80 ou 443.

Action recommandée

Limitez l'accès uniquement aux adresses IP qui en ont besoin. Pour limiter l'accès à une adresse IP spécifique, définissez le suffixe sur /32 (par exemple, 192.0.2.10/32). Assurez-vous de supprimer les règles trop permissives après avoir créé des règles plus restrictives.

Ressources supplémentaires

Colonnes du rapport

Statut
Région
Nom du groupe de sécurité
ID du groupe de sécurité
Protocole
Port d'origine
Port de destination
Plage IP

Note

Noms des vérifications

Période de conservation d'Amazon CloudWatch Log Group

Note

Instances Amazon EC2 avec fin de support de Microsoft SQL Server

Note

Instances Amazon EC2 avec fin de support de Microsoft Windows Server

Note

Fin de la prise en charge standard des instances Amazon EC2 avec Ubuntu LTS

Les clients Amazon EFS n'utilisent pas data-in-transit le chiffrement

Note

Instantanés publics Amazon EBS

Note

Le chiffrement du stockage Amazon RDS Aurora est désactivé

Note

Note

La mise à niveau de la version mineure du moteur Amazon RDS est requise

Note

Note

Instantanés publics Amazon RDS

Note

Risque lié à l'accès aux groupes de sécurité Amazon RDS

Le chiffrement du stockage Amazon RDS est désactivé

Note

Note

Créez une copie chiffrée de l'instance de base de données d'origine

Amazon Route 53 : enregistrements CNAME non concordants pointant directement vers des compartiments S3

Jeux d'enregistrements de ressource MX Amazon Route 53 et cadre de politique de l'expéditeur

Autorisations pour le compartiment Amazon S3

Connexions d'appairage Amazon VPC avec résolution DNS désactivée

Note

AWS Backup Vault sans politique basée sur les ressources pour empêcher la suppression de points de restauration

Note

AWS CloudTrail Journalisation

AWS Lambda Fonctions utilisant des environnements d'exécution obsolètes

Note

Problèmes à risque élevé AWS Well-Architected pour la sécurité

Note

CloudFrontCertificats SSL personnalisés dans le magasin de certificats IAM

CloudFront Certificat SSL sur le serveur d'origine

Sécurité des écouteurs ELB

Groupes de sécurité ELB

Exposed Access Keys

Note

Rotation des clés d'accès IAM

Politique de mot de passe IAM

Utilisation d'IAM

MFA sur le compte racine

Groupes de sécurité — Ports spécifiques non restreints

Note

Note

Groupes de sécurité — Accès illimité

Note

Note