Thème 5 : Établir un périmètre de données - AWS Directives prescriptives
Bonnes pratiques associéesImplémentation de ce thèmeSurveillance de ce thème

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Thème 5 : Établir un périmètre de données

Huit stratégies essentielles abordées

Restreindre les privilèges administratifs

Un périmètre de données est un ensemble de barrières préventives dans votre AWS environnement qui permettent de garantir que seules les identités fiables accèdent aux ressources fiables des réseaux attendus. Ces barrières de sécurité constituent des limites permanentes qui aident à protéger vos données sur un large éventail de ressources. Comptes AWS Ces garde-corps à l'échelle de l'entreprise ne remplacent pas vos contrôles d'accès précis existants. Ils contribuent plutôt à améliorer votre stratégie de sécurité en s'assurant que tous les utilisateurs, rôles et ressources AWS Identity and Access Management (IAM) respectent un ensemble de normes de sécurité définies.

Vous pouvez établir un périmètre de données en utilisant des politiques qui empêchent l'accès depuis l'extérieur des limites de l'organisation, généralement créées dans AWS Organizations. Les trois principales conditions d'autorisation périmétrique utilisées pour établir un périmètre de données sont les suivantes :

  • Identités fiables — Principaux (rôles ou utilisateurs IAM) qui vous Comptes AWS appartiennent ou qui Services AWS agissent en votre nom.

  • Ressources fiables : ressources qui vous appartiennent Comptes AWS ou qui sont Services AWS gérées en votre nom.

  • Réseaux attendus : vos centres de données sur site et vos clouds privés virtuels (VPCs), ou les réseaux qui Services AWS agissent en votre nom.

Envisagez de mettre en œuvre des périmètres de données entre des environnements présentant différentes classifications de données, telles que OFFICIAL:SENSITIVE ouPROTECTED, ou des niveaux de risque différents, tels que le développement, les tests ou la production. Pour plus d'informations, voir Création d'un périmètre de données sur AWS (AWS livre blanc) et Établissement d'un périmètre de données sur AWS : Vue d'ensemble (article de AWS blog).

Bonnes pratiques associées au AWS Well-Architected Framework

Implémentation de ce thème

Mettre en œuvre des contrôles d'identité

  • Autorisez uniquement les identités fiables à accéder à vos ressources : utilisez des politiques basées sur les ressources avec les clés aws:PrincipalOrgID de condition et. aws:PrincipalIsAWSService Cela permet uniquement aux directeurs de votre AWS organisation et d'accéder AWS à vos ressources.

  • Autorisez les identités fiables uniquement à partir de votre réseau : utilisez les politiques de point de terminaison VPC avec les clés aws:PrincipalOrgID de condition et. aws:PrincipalIsAWSService Cela permet uniquement aux principaux de votre AWS organisation et à partir d'accéder AWS aux services via des points de terminaison VPC.

Mettre en œuvre des contrôles des ressources

  • Autorisez vos identités à accéder uniquement aux ressources fiables : utilisez les politiques de contrôle des services (SCPs) avec la clé de conditionaws:ResourceOrgID. Cela permet à vos identités d'accéder uniquement aux ressources de votre AWS organisation.

  • Autorisez l'accès aux ressources fiables uniquement depuis votre réseau : utilisez les politiques de point de terminaison VPC avec la clé de condition. aws:ResourceOrgID Cela permet à vos identités d'accéder aux services uniquement via les points de terminaison VPC qui font partie de votre organisation. AWS

Mettre en œuvre des contrôles réseau

  • Autoriser les identités à accéder aux ressources uniquement à partir des réseaux attendus : SCPs à utiliser avec les clés de condition aws:SourceIp aws:SourceVpcaws:SourceVpce,, etaws:ViaAWSService. Cela permet à vos identités d'accéder aux ressources uniquement à partir des adresses IP attendues VPCs, des points de terminaison VPC, et via. Services AWS

  • Autorisez l'accès à vos ressources uniquement à partir des réseaux attendus : utilisez des politiques basées sur les ressources avec les clés de conditionaws:SourceIp,aws:SourceVpc, aws:SourceVpceaws:ViaAWSService, et. aws:PrincipalIsAWSService Cela permet d'accéder à vos ressources uniquement à partir des points de terminaison VPC attendus VPCs, à partir des points de terminaison VPC attendus Services AWS, via ou lorsque l'identité de l'appelant est un. IPs Service AWS

Surveillance de ce thème

Politiques de surveillance

  • Mettre en œuvre des mécanismes de révision SCPs, des politiques IAM et des politiques de point de terminaison VPC

Implémentez les AWS Config règles suivantes

  • SERVICE_VPC_ENDPOINT_ENABLED