Thème 4 : Gérer les identités

Huit stratégies essentielles abordées

Restreindre les privilèges administratifs, authentification multifactorielle

La gestion robuste de l'identité et des autorisations est un aspect essentiel de la gestion de la sécurité dans le cloud. De solides pratiques en matière d'identité équilibrent l'accès nécessaire et le moindre privilège. Cela permet aux équipes de développement d'agir rapidement sans compromettre la sécurité.

Utilisez la fédération des identités pour centraliser la gestion des identités. Cela facilite la gestion de l'accès à plusieurs applications et services, car vous gérez l'accès à partir d'un seul emplacement. Cela vous permet également de mettre en œuvre des autorisations temporaires et une authentification multifactorielle (MFA).

Accordez aux utilisateurs uniquement les autorisations dont ils ont besoin pour effectuer leurs tâches. AWS Identity and Access Management Access Analyzer peut valider les politiques et vérifier l'accès public et entre comptes. Des fonctionnalités telles que les politiques de contrôle des AWS Organizations services (SCPs), les conditions de politique IAM, les limites des autorisations IAM et les ensembles d' AWS IAM Identity Center autorisations peuvent vous aider à configurer un contrôle d'accès détaillé (FGAC).

Quel que soit le type d'authentification, il est préférable d'utiliser des informations d'identification temporaires afin de réduire ou d'éliminer les risques, tels que la divulgation, le partage ou le vol d'informations d'identification par inadvertance. Utilisez des rôles IAM plutôt que des utilisateurs IAM.

Utilisez des mécanismes de connexion puissants, tels que le MFA, pour atténuer le risque que les informations de connexion soient divulguées par inadvertance ou soient facilement devinées. Exigez le MFA pour l'utilisateur root, et vous pouvez également l'exiger au niveau de la fédération. Si l'utilisation d'utilisateurs IAM est inévitable, appliquez le MFA.

Pour surveiller la conformité et établir des rapports à ce sujet, vous devez travailler en permanence à la réduction des autorisations, au suivi des résultats d'IAM Access Analyzer et à la suppression des ressources IAM inutilisées. Utilisez AWS Config des règles pour vous assurer que des mécanismes de connexion robustes sont appliqués, que les informations d'identification sont de courte durée et que les ressources IAM sont utilisées.

Bonnes pratiques associées au AWS Well-Architected Framework

• SEC02-BP01 Utiliser des mécanismes de connexion robustes

• SEC02-BP02 Utiliser des informations d’identification temporaires

• SEC02-BP03 Stocker et utiliser des secrets en toute sécurité

• SEC02-BP04 S’appuyer sur un fournisseur d’identité centralisé

• SEC02-BP05 Contrôler et effectuer régulièrement une rotation des informations d’identification

• SEC02-BP06 Utiliser des groupes d’utilisateurs et des attributs

• SEC03-BP01 Définir les conditions d’accès

• SEC03-BP02 Accorder un accès selon le principe du moindre privilège

• SEC03-BP03 Établir un processus d'accès d'urgence

• SEC03-BP04 Limiter les autorisations au minimum requis en permanence

• SEC03-BP05 Définir des garde-fous des autorisations pour votre organisation

• SEC03-BP06 Gérer l’accès en fonction du cycle de vie

• SEC03-BP07 Analyser l’accès public et intercompte

• SEC03-BP08 Partager des ressources en toute sécurité au sein de votre organisation

Implémentation de ce thème

Mettre en œuvre la fédération des identités

• Obliger les utilisateurs humains à se fédérer avec un fournisseur d'identité pour accéder à l'aide AWS d'informations d'identification temporaires

• Mettez en place un accès surélevé temporaire à vos AWS environnements

Appliquer les autorisations du moindre privilège

• Protégez vos informations d'identification d'utilisateur root et ne les utilisez pas pour les tâches quotidiennes

• Utilisez IAM Access Analyzer pour générer des politiques de moindre privilège en fonction de l'activité d'accès

• Vérifiez l'accès public et multicompte aux ressources avec IAM Access Analyzer

• Utilisez IAM Access Analyzer pour valider vos politiques IAM pour des autorisations sécurisées et fonctionnelles

• Établissez des barrières en matière d'autorisations sur plusieurs comptes

• Utilisez les limites d'autorisations pour définir le maximum d'autorisations qu'une politique basée sur l'identité peut accorder

• Utiliser les conditions des politiques IAM pour restreindre davantage l'accès

• Vérifiez et supprimez régulièrement les utilisateurs, rôles, autorisations, politiques et informations d'identification non utilisés

• Commencez avec les politiques AWS gérées et passez aux autorisations du moindre privilège

• Utiliser la fonctionnalité des ensembles d'autorisations dans IAM Identity Center

Rotation des identifiants

• Exiger que les charges de travail utilisent des rôles IAM pour accéder AWS

• Suppression automatique des rôles IAM non utilisés

• Faites régulièrement pivoter les clés d'accès pour les cas d'utilisation nécessitant des informations d'identification à long terme

Appliquer la MFA

• Exiger le MFA pour l'utilisateur root

• Exiger le MFA via IAM Identity Center

• Envisagez d'exiger le MFA pour les actions d'API spécifiques au service

Surveillance de ce thème

Surveiller l'accès au moindre privilège

• Envoyez les résultats d'IAM Access Analyzer à AWS Security Hub

• Envisagez de configurer des notifications pour les conclusions critiques de l'IAM Identity Center

• Consultez régulièrement les rapports d'identification de votre Comptes AWS

Implémentez les AWS Config règles suivantes

• ACCESS_KEYS_ROTATED

• IAM_ROOT_ACCESS_KEY_CHECK

• IAM_USER_MFA_ENABLED

• IAM_USER_UNUSED_CREDENTIALS_CHECK

• IAM_PASSWORD_POLICY

• ROOT_ACCOUNT_HARDWARE_MFA_ENABLED