AWS directives relatives aux audits de sécurité - AWS Identity and Access Management
Quand effectuer un audit de sécurité ?Consignes pour l'auditVérifiez les informations d'identification AWS de votre compteExamen de vos utilisateurs IAMExamen de vos groupes IAMExamen de vos rôles IAMExamen de vos fournisseurs IAM pour SAML et OpenID Connect (OIDC)Examen de vos applications mobilesConseils pour l'examen des politiques IAM

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS directives relatives aux audits de sécurité

Effectuez régulièrement un audit de votre configuration de sécurité pour vérifier qu'elle répond aux besoins actuels de votre entreprise. Un audit vous donne la possibilité de supprimer les utilisateurs, les rôles, les groupes et les politiques IAM inutiles, et de vérifier que vos utilisateurs et vos logiciels ne disposent pas d'autorisations excessives.

Vous trouverez ci-dessous des directives pour examiner et surveiller systématiquement vos AWS ressources afin de respecter les meilleures pratiques en matière de sécurité.

Astuce

Vous pouvez surveillez votre utilisation d'IAM, conformément aux bonnes pratiques de sécurité, à l'aide d'AWS Security Hub. Security Hub utilise des contrôles de sécurité pour évaluer les configurations des ressources et les normes de sécurité afin de vous aider à respecter divers cadres de conformité. Pour plus d'informations sur l'utilisation de Security Hub pour évaluer les ressources IAM, consultez Contrôles d'AWS Identity and Access Management dans le Guide de l'utilisateur AWS Security Hub .

Quand effectuer un audit de sécurité ?

Effectuez un audit de votre configuration de sécurité dans les cas suivants :

  • De manière régulière. Exécutez les étapes décrites dans ce document à intervalles réguliers, à titre de bonne pratique de sécurité.

  • Si des changements se produisent dans votre organisation, par exemple lorsque des personnes quittent l'organisation.

  • Si vous avez cessé d'utiliser un ou plusieurs AWS services individuels pour vérifier que vous avez supprimé les autorisations dont les utilisateurs de votre compte n'ont plus besoin.

  • Si vous avez ajouté ou supprimé des logiciels dans vos comptes, tels que des applications sur des instances Amazon EC2, des AWS OpsWorks piles, des AWS CloudFormation modèles, etc.

  • Si vous pensez qu'une personne non autorisée a pu avoir accès à votre compte.

Consignes pour l'audit

Lorsque vous examinez la configuration de sécurité de votre compte, suivez ces consignes :

  • Soyez minutieux. Regardez tous les aspects de votre configuration de sécurité, y compris ceux qui sont rarement utilisés.

  • Ne faites pas de suppositions. Si vous ne connaissez pas vraiment certains aspects de votre configuration de sécurité (par exemple, le raisonnement qui justifie une stratégie particulière ou l'existence d'un rôle), étudiez les besoins de l'entreprise jusqu'à ce que vous compreniez le risque potentiel.

  • Simplifiez les choses. Pour faciliter l'audit (et la gestion), utilisez les groupes et les rôles IAM, les schémas d'affectation de nom cohérents et les stratégies simples.

Vérifiez les informations d'identification AWS de votre compte

Procédez comme suit lorsque vous auditez les informations d'identification de votre AWS compte :

  1. Si vous avez des clés d'accès pour votre utilisateur root que vous n'utilisez pas, vous pouvez les supprimer. Nous vous recommandons vivement de ne pas utiliser les clés d'accès root dans le cadre de votre travail quotidien AWS, mais plutôt d'utiliser des utilisateurs dotés d'informations d'identification temporaires, telles que utilisateurs dans IAM Identity Center.

  2. Si vous avez besoin de clés d'accès de votre compte, assurez-vous de les mettre à jour en cas de besoin.

Examen de vos utilisateurs IAM

Exécutez les étapes suivantes lorsque vous effectuez un audit de vos utilisateurs IAM existants :

  1. Répertoriez vos utilisateurs, puis supprimez les utilisateurs qui ne sont pas nécessaires.

  2. Supprimez les utilisateurs des groupes auxquels ils n'ont pas besoin d'accéder.

  3. Examinez les stratégies associées aux groupes dans lesquels se trouve l'utilisateur. veuillez consulter Conseils pour l'examen des politiques IAM.

  4. Supprimez les informations d'identification de sécurité inutiles pour l'utilisateur ou susceptibles d'avoir été exposées. Par exemple, un utilisateur IAM utilisé pour une application n'a pas besoin de mot de passe (nécessaire uniquement pour se connecter à des AWS sites Web). De même, si un utilisateur n'utilise pas de clés d'accès, il n'y a aucune raison qu'il en ait une. Pour plus d'informations, consultez Gestion des mots de passe des utilisateurs IAM et Gestion des clés d'accès pour les utilisateurs IAM.

    Vous pouvez générer et télécharger un rapport sur les informations d'identification qui répertorie tous les utilisateurs IAM de votre compte et le statut de leurs diverses informations d'identification, notamment leurs mots de passe, clés d'accès et dispositifs MFA. Pour les mots de passe et les clés d'accès, le rapport d'informations d'identification indique la date et l'heure auxquelles le mot de passe ou la clé d'accès a été utilisé(e) pour la dernière fois. Envisagez de supprimer de votre compte les informations d'identification qui n'ont pas été utilisées récemment. (Ne supprimez pas votre utilisateur d'accès d'urgence.) Pour plus d'informations, consultez la section Obtenir des rapports d'identification pour votre AWS compte.

  5. Mettez à jour les mots de passe et les clés d'accès lorsque cela est nécessaire pour les cas d'utilisation nécessitant des informations d'identification à long terme. Pour plus d'informations, consultez Gestion des mots de passe des utilisateurs IAM et Gestion des clés d'accès pour les utilisateurs IAM.

  6. Il est recommandé d'obliger les utilisateurs humains à utiliser la fédération avec un fournisseur d'identité pour accéder à AWS l'aide d'informations d'identification temporaires. Si possible, passez du statut d'utilisateurs IAM à celui d'utilisateurs fédérés, tels que les utilisateurs d'IAM Identity Center. Conservez le nombre minimum d'utilisateurs IAM requis pour vos applications.

Examen de vos groupes IAM

Exécutez les étapes suivantes lorsque vous effectuez un audit de vos groupes IAM :

  1. Répertoriez vos groupes, puis supprimez les groupes que vous n'utilisez pas.

  2. Examinez les utilisateurs de chaque groupe et supprimez les utilisateurs qui n’y appartiennent pas.

  3. Examinez les stratégies associées au groupe. veuillez consulter Conseils pour l'examen des politiques IAM.

Examen de vos rôles IAM

Exécutez les étapes suivantes lorsque vous effectuez un audit de vos rôles IAM :

  1. Répertoriez vos rôles, puis supprimez les rôles que vous n'utilisez pas.

  2. Examinez la stratégie d'approbation du rôle. Assurez-vous de connaître le principal et de comprendre pourquoi ce compte ou cet utilisateur doit être capable d'assumer le rôle.

  3. Examinez la stratégie d'accès du rôle pour vous assurer qu'elle accorde les autorisations appropriées à la personne qui assume le rôle (voir Conseils pour l'examen des politiques IAM).

Examen de vos fournisseurs IAM pour SAML et OpenID Connect (OIDC)

Si vous avez créé une entité IAM pour établir une relation de confiance avec un fournisseur d'identité (IdP) SAML ou OIDC, procédez comme suit :

  1. Supprimez les fournisseurs inutilisés.

  2. Téléchargez et consultez les documents de AWS métadonnées pour chaque IdP SAML et assurez-vous qu'ils reflètent les besoins actuels de votre entreprise.

  3. Obtenez les derniers documents de métadonnées auprès du SAML IdPs et mettez à jour le fournisseur dans IAM.

Examen de vos applications mobiles

Si vous avez créé une application mobile qui envoie des demandes à AWS, procédez comme suit :

  1. Vérifiez que l'application mobile ne contient pas de clés d'accès incorporées, même si elles se trouvent dans le stockage chiffré.

  2. Obtenez des informations d'identification temporaires pour l'application à l'aide des API conçues à cette fin.

Note

Nous vous recommandons d'utiliser Amazon Cognito pour gérer l'identité de l'utilisateur dans votre application. Ce service vous permet d'authentifier les utilisateurs à l'aide de Login with Amazon, Facebook, Google ou tout autre fournisseur d'identité compatible avec OpenID Connect (OIDC). Pour plus d'informations sur les pools d’identité Amazon Cognito, consultez le Manuel du développeur Amazon Cognito

Conseils pour l'examen des politiques IAM

Les politiques sont puissantes et subtiles, il est donc important d'étudier et de comprendre les autorisations octroyées par chaque politique. Utilisez les consignes suivantes lors de l'examen des stratégies :

  • Attachez des politiques à des groupes ou à des rôles plutôt qu'à des utilisateurs individuels. Si un utilisateur individuel dispose d'une stratégie, assurez-vous de comprendre pourquoi cet utilisateur a besoin d'une stratégie.

  • Assurez-vous que les utilisateurs, les groupes d'utilisateurs et les rôles IAM disposent des autorisations dont ils ont besoin et n'ont aucune autorisation supplémentaire.

  • Utilisez le simulateur de politiques IAM pour tester les politiques associées à des utilisateurs ou des groupes.

  • N'oubliez pas que les autorisations d'un utilisateur sont le résultat de toutes les politiques applicables, à la fois des politiques basées sur l'identité (sur les utilisateurs, les groupes ou les rôles) et des politiques basées sur les ressources (sur des ressources telles que les compartiments Amazon S3, les files d'attente Amazon SQS, les rubriques Amazon SNS et les clés). AWS KMS Il est important d'examiner toutes les stratégies qui s'appliquent à un utilisateur et de comprendre l'ensemble complet des autorisations octroyées à un utilisateur individuel.

  • Sachez qu'en autorisant un utilisateur à créer un utilisateur, un groupe, un rôle ou une politique IAM et à associer une politique à l'entité principale, toutes les autorisations à toutes les ressources de votre compte lui sont en fait octroyées. Les utilisateurs qui peuvent créer des politiques et les associer à un utilisateur, un groupe ou un rôle peuvent octroyer eux-mêmes n'importe quelle autorisation. En général, n'octroyez pas d'autorisations IAM à des utilisateurs ou des rôles auxquels vous n'approuvez pas l'accès complet aux ressources de votre compte. Lorsque vous effectuez votre audit de sécurité, confirmez que les autorisations IAM suivantes sont octroyées à des identités de confiance :

    • iam:PutGroupPolicy

    • iam:PutRolePolicy

    • iam:PutUserPolicy

    • iam:CreatePolicy

    • iam:CreatePolicyVersion

    • iam:AttachGroupPolicy

    • iam:AttachRolePolicy

    • iam:AttachUserPolicy

  • Assurez-vous que les stratégies n'octroient pas d'autorisations aux services que vous n'utilisez pas. Par exemple, si vous utilisez des politiques AWS gérées, assurez-vous que les politiques AWS gérées utilisées dans votre compte concernent les services que vous utilisez réellement. Pour savoir quelles politiques AWS gérées sont utilisées dans votre compte, utilisez l'GetAccountAuthorizationDetailsAPI IAM (AWS CLI commande : aws iam get-account-authorization-details).

  • Si la politique octroie à un utilisateur l'autorisation de lancer une instance Amazon EC2, elle peut également autoriser l'action iam:PassRole, mais si c'est le cas, elle doit explicitement répertorier les rôles que l'utilisateur peut transmettre à l'instance Amazon EC2.

  • Examinez toutes les valeurs de l'élément Action ou Resource qui incluent les *. Dans la mesure du possible, octroyez l'accès Allow aux actions et aux ressources individuelles dont les utilisateurs ont besoin. Toutefois, voici les raisons pour lesquelles il peut être approprié d'utiliser * dans une stratégie :

    • La politique est conçue pour octroyer des autorisations au niveau administratif.

    • Le caractère générique est utilisé pour un ensemble d'actions similaires (par exemple, Describe*) pour vous faciliter les choses, et vous vous sentez à l'aise avec la liste complète des actions qui sont référencées de cette façon.

    • Le caractère générique est utilisé pour indiquer une classe de ressources ou un chemin d'accès aux ressources (par exemple, arn:aws:iam::account-id:users/division_abc/*), et vous vous sentez à l'aise pour octroyer l'accès à toutes les ressources dans cette classe ou ce chemin d'accès.

    • Une action de service ne prend pas en charge les autorisations au niveau des ressources, et le seul choix pour une ressource est *.

  • Examinez les noms de stratégie pour vérifier qu'ils reflètent la fonction de la stratégie. Par exemple, même si une stratégie peut avoir un nom qui inclut « lecture seule », la stratégie peut en fait octroyer des autorisations de lecture ou de modification.

Pour de plus amples informations sur la planification de votre audit de sécurité, consultez Meilleures pratiques de sécurité, d’identité et de conformité dans le Centre d’architecture AWS .