Bonnes pratiques de sécurité pour Amazon Connect - Amazon Connect
Bonnes pratiques de sécurité préventive d'Amazon ConnectBonnes pratiques en matière de sécurité d'Amazon Connect DetectiveBonnes pratiques relatives à la sécurité d'Amazon Connect Chat

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Bonnes pratiques de sécurité pour Amazon Connect

Amazon Connect fournit différentes fonctionnalités de sécurité à prendre en compte lorsque vous développez et implémentez vos propres politiques de sécurité. Les bonnes pratiques suivantes doivent être considérées comme des instructions générales et ne représentent pas une solution de sécurité complète. Étant donné que ces bonnes pratiques peuvent ne pas être appropriées ou suffisantes pour votre environnement, considérez-les comme des remarques utiles plutôt que comme des recommandations.

Bonnes pratiques de sécurité préventive d'Amazon Connect

  • Veillez à ce que toutes les autorisations de profil soient aussi restrictives que possible. Autorisez l'accès uniquement aux ressources absolument nécessaires pour le rôle de l'utilisateur. Par exemple, ne donnez pas aux agents les autorisations nécessaires pour créer, lire ou mettre à jour des utilisateurs dans Amazon Connect.

  • Veillez à ce que l'authentification MFA (Multi-Factor Authentication) soit configurée via votre fournisseur d'identité SAML 2.0 ou votre serveur Radius, si cela s'applique mieux à votre cas d'utilisation. Une fois la MFA configurée, une troisième zone de texte apparaît dans la page de connexion Amazon Connect pour fournir le second facteur.

  • Si vous utilisez un annuaire existant via AWS Directory Service ou une authentification basée sur SAML pour la gestion des identités, assurez-vous de respecter toutes les exigences de sécurité adaptées à votre cas d'utilisation.

  • Utilisez l'URL de connexion pour un accès d'urgence sur la page d'instance de la AWS console uniquement dans les situations d'urgence, et non pour une utilisation quotidienne. Pour plus d’informations, consultez Connexion administrateur d'urgence.

Utiliser des politiques de contrôle des services (SCP)

Les politiques de contrôle des services (SCP) sont un type de politique d'organisation que vous pouvez utiliser pour gérer les autorisations dans votre organisation. Une SCP définit une barrière de protection, ou établit des limites, sur les actions que l'administrateur du compte peut déléguer aux utilisateurs et aux rôle dans les comptes concernés. Vous pouvez utiliser les SCP pour protéger les ressources critiques associées à votre charge de travail Amazon Connect.

Définition d'une politique de contrôle des services pour empêcher la suppression de ressources critiques

Si vous utilisez l'authentification basée sur SAML 2.0 et que vous supprimez le rôle AWS IAM utilisé pour authentifier les utilisateurs d'Amazon Connect, les utilisateurs ne pourront pas se connecter à l'instance Amazon Connect. Vous devez supprimer et recréer les utilisateurs à associer à un nouveau rôle. Toutes les données associées à ces utilisateurs sont alors supprimées.

Pour éviter la suppression accidentelle de ressources critiques et pour protéger la disponibilité de votre instance Amazon Connect, vous pouvez définir une politique de contrôle des services (SCP) comme contrôle supplémentaire.

Voici un exemple de SCP qui peut être appliqué au AWS compte, à l'unité organisationnelle ou à la racine de l'organisation pour empêcher la suppression de l'instance Amazon Connect et du rôle associé :

{    
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AmazonConnectRoleDenyDeletion",
      "Effect": "Deny",
      "Action": [
        "iam:DeleteRole"
      ],
      "Resource": [
        "arn:aws:iam::*:role/Amazon Connect user role"
      ]
    },
    {
      "Sid": "AmazonConnectInstanceDenyDeletion",
      "Effect": "Deny",
      "Action": [
        "connect:DeleteInstance"         
      ],
      "Resource": [
        "Amazon Connect instance ARN"
      ]
    }
  ]
}

Bonnes pratiques en matière de sécurité d'Amazon Connect Detective

La journalisation et la surveillance sont importantes pour garantir la fiabilité, la disponibilité et les performances du centre de contact. Vous devez enregistrer les informations pertinentes provenant des flux Amazon Connect CloudWatch et créer des alertes et des notifications sur cette base.

Définissez les exigences de conservation des journaux et les politiques de cycle de vie dès le début, et prévoyez de déplacer les fichiers journaux vers des emplacements de stockage économiques dès que possible. Les API publiques d'Amazon Connect se connectent à CloudTrail. Passez en revue et automatisez les actions en fonction CloudTrail des journaux.

Nous recommandons d'utiliser Amazon S3 pour la conservation et l'archivage à long terme des données de journal, en particulier pour les entreprises dotées de programmes de conformité qui exigent que les données des journaux soient vérifiables dans leur format natif. Une fois que les données du journal se trouvent dans un compartiment Amazon S3, définissez des règles de cycle de vie pour appliquer automatiquement les politiques de conservation et déplacez ces objets vers d'autres classes de stockage rentables, telles qu'Amazon S3 Standard - Infrequent Access (Standard - IA) ou Amazon S3 Glacier.

Le AWS cloud fournit une infrastructure et des outils flexibles pour prendre en charge à la fois les offres sophistiquées des partenaires et les solutions de journalisation centralisée autogérées. Cela inclut des solutions telles qu'Amazon OpenSearch Service et Amazon CloudWatch Logs.

Vous pouvez mettre en œuvre la détection et la prévention des fraudes pour les contacts entrants en personnalisant les flux Amazon Connect en fonction de vos besoins. Par exemple, vous pouvez comparer les contacts entrants à leur activité précédente dans Dynamo DB, puis prendre des mesures telles que déconnecter un contact figurant sur une liste de refus.

Bonnes pratiques relatives à la sécurité d'Amazon Connect Chat

Lorsque vous intégrez directement le service participant Amazon Connect (ou que vous utilisez la bibliothèque Java Script d'Amazon Connect Chat) et que vous utilisez WebSocket ou diffusez des points de terminaison pour recevoir des messages destinés à vos applications frontales ou à vos sites Web, vous devez protéger votre application contre les attaques XSS (cross-site scripting) basées sur le DOM.

Les recommandations de sécurité suivantes peuvent vous aider à vous protéger contre les attaques XSS :

  • Implémentez un codage de sortie approprié pour empêcher l'exécution de scripts malveillants.

  • Ne mutez pas directement le DOM. Par exemple, ne l'utilisez pas innerHTML pour afficher le contenu des réponses au chat. Il peut contenir du code Javascript malveillant susceptible de provoquer une attaque XSS. Utilisez des bibliothèques frontales telles que React pour échapper à tout code exécutable inclus dans la réponse au chat et le désinfecter.

  • Mettez en œuvre une politique de sécurité du contenu (CSP) pour limiter les sources à partir desquelles votre application peut charger des scripts, des styles et d'autres ressources. Cela ajoute une couche de protection supplémentaire.