Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Bonnes pratiques de sécurité pour Elastic Beanstalk
AWS Elastic Beanstalk fournit différentes fonctionnalités de sécurité à prendre en compte lorsque vous développez et mettez en œuvre vos propres stratégies de sécurité. Les bonnes pratiques suivantes doivent être considérées comme des instructions générales et ne représentent pas une solution de sécurité complète. Étant donné que ces bonnes pratiques peuvent ne pas être appropriées ou suffisantes pour votre environnement, considérez-les comme des considérations utiles et non comme des recommandations.
Pour consulter d'autres rubriques de sécurité Elastic Beanstalk, veuillez vous reporter à AWS Elastic Beanstalk sécurité.
Bonnes pratiques de sécurité préventive
Les contrôles de sécurité préventifs tentent d'éviter les incidents avant qu'ils ne se produisent.
Implémentation d'un accès sur la base du moindre privilège
Elastic Beanstalk fournit des stratégies géréesAWS Identity and Access Management (IAM) pour les profils d'instance,les fonctions du service et les utilisateurs IAM. Ces stratégies gérées spécifient toutes les autorisations qui peuvent être nécessaires au bon fonctionnement de votre environnement et de votre application.
Votre application peut ne pas exiger toutes les autorisations de nos stratégies gérées. Vous pouvez les personnaliser et accorder uniquement les autorisations requises pour que les instances de votre environnement, le service Elastic Beanstalk et vos utilisateurs puissent effectuer leurs tâches. C'est particulièrement pertinent pour les stratégies utilisateur, où différents rôles utilisateur peuvent avoir des besoins différents en matière d'autorisations. L'implémentation d'un accès sur la base du moindre privilège est fondamentale pour réduire les risques en matière de sécurité et l'impact que pourraient avoir des d'erreurs ou des actes de malveillance.
Mise à jour régulière de vos plateformes
Elastic Beanstalk publie régulièrement de nouvelles versions de plateforme pour mettre à jour toutes ses plateformes. Les nouvelles versions de plateforme fournissent des mises à jour du système d'exploitation, de l'environnement d'exécution, du serveur d'applications et du serveur web, ainsi que des mises à jour des composants Elastic Beanstalk. Bon nombre de ces mises à jour de plateforme incluent des correctifs de sécurité importants. Assurez-vous que vos environnements Elastic Beanstalk s'exécutent sur une version de plateforme prise en charge (généralement la dernière version de votre plateforme). Pour plus d'informations, consultez Mise à jour de la version de la plateforme de votre environnement Elastic Beanstalk.
Le moyen le plus simple de maintenir à jour la plateforme de votre environnement consiste à configurer l'environnement pour utiliser les mises à jour gérées de la plateforme.
Appliquer IMDsv2 sur les instances d'environnement
Les instances Amazon Elastic Compute Cloud (Amazon EC2) de vos environnements Elastic Beanstalk utilisent le service de métadonnées d'instance (IMDS), un composant sur instance, pour accéder en toute sécurité aux métadonnées d'instance. IMDS prend en charge deux méthodes d'accès aux données : IMDSv1 et IMDSv2. IMDSv2 utilise des requêtes orientées session et atténue plusieurs types de vulnérabilités qui pourraient être utilisées pour essayer d'accéder à l'IMDS. Pour de plus amples informations sur les avantages d'IMDsv2, veuillez consulter les améliorations apportées pour ajouter une défense en profondeur au service de métadonnées d'instance EC2
IMDSv2 est plus sécurisé, il est donc conseillé d'appliquer l'utilisation d'IMDSv2 sur vos instances. Pour appliquer IMDsv2, assurez-vous que tous les composants de votre application prennent en charge IMDsv2, puis désactivez IMDsv1. Pour plus d'informations, consultez Configuration du service de métadonnées d'instance sur les instances de votre environnement.
Bonnes pratiques de sécurité de détection
Les contrôles de sécurité de détection identifient les violations de sécurité après qu'elles se sont produites. Ils peuvent vous aider à détecter une menace ou un incident de sécurité potentiel.
Mise en œuvre de la surveillance
La surveillance constitue une part importante de la gestion de la fiabilité, de la disponibilité et des performances de vos solutions Elastic Beanstalk. AWS fournit différents outils et services que vous pouvez utiliser pour surveiller vos services AWS.
Voici quelques exemples d'éléments à surveiller :
-
Métriques Amazon CloudWatch pour Elastic Beanstalk : définissez les alarmes pour les principales métriques Elastic Beanstalk et pour les métriques personnalisées de votre application. Pour plus d'informations, consultez Utilisation d'Elastic Beanstalk avec Amazon CloudWatch.
-
Entrées AWS CloudTrail – Suivez les actions qui peuvent avoir un impact sur la disponibilité, comme
UpdateEnvironmentouTerminateEnvironment. Pour plus d'informations, consultez Journalisation des appels d'API Elastic Beanstalk avec AWS CloudTrail.
Activer AWS Config
AWS Config fournit une vue détaillée de la configuration des ressources AWS de votre compte. Vous pouvez voir comment les ressources sont liées, obtenir un historique des changements de configuration, et voir comment les configurations et les relations changent au fil du temps.
Vous pouvez utiliser AWS Config pour définir des règles qui évaluent les configurations de ressources pour assurer la conformité des données. Les règles AWS Config représentent les paramètres de configuration idéaux pour vos ressources Elastic Beanstalk. Si une ressource enfreint une règle et est signalée comme non conforme, AWS Config peut vous alerter à l'aide d'une rubrique Amazon Simple Notification Service (Amazon SNS). Pour plus d'informations, consultez Recherche et suivi des ressources Elastic Beanstalk avec AWS Config.
