Étape 4 : Implémenter des mécanismes de contrôle d'accès - AWS Conseils prescriptifs

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Étape 4 : Implémenter des mécanismes de contrôle d'accès

Lorsque vous pensez à la sécurité dans le cloud, votre stratégie de base doit commencer par une base d'identité solide afin de garantir que les utilisateurs disposent des autorisations appropriées pour accéder aux données. Une authentification et une autorisation appropriées peuvent atténuer le risque d'événements de sécurité. Le modèle de responsabilité partagée oblige AWS les clients à mettre en œuvre des politiques de contrôle d'accès. Pour créer et gérer des politiques d'accès à grande échelle, vous pouvez utiliser AWS Identity and Access Management (IAM).

Pour configurer vos droits et autorisations d'accès, appliquez le principe du moindre privilège en vous assurant que chaque utilisateur ou système accédant à vos données de sauvegarde ou à votre coffre-fort reçoive uniquement les permissions nécessaires pour accomplir ses tâches. AWS Backup À utiliser pour définir des politiques d'accès aux coffres-forts de sauvegarde afin de protéger vos charges de travail dans le cloud.

Par exemple, en implémentant des politiques de contrôle d'accès, vous pouvez autoriser les utilisateurs à créer des plans de sauvegarde et des sauvegardes à la demande tout en limitant leur capacité à supprimer des points de restauration. À l'aide des politiques d'accès au coffre-fort, vous pouvez partager un coffre-fort de sauvegarde de destination avec un rôle source Compte AWS ou IAM, selon les besoins de votre entreprise. Vous pouvez également utiliser des politiques d'accès pour partager un coffre-fort de sauvegarde avec un ou plusieurs comptes, ou avec l'ensemble de votre organisation dans AWS Organizations. Pour plus d’informations, consultez la documentation AWS Backup.

Au fur et à mesure que vous augmentez vos charges de travail ou que vous migrez vers AWS, vous devrez peut-être gérer de manière centralisée les autorisations relatives à vos coffres-forts de sauvegarde et à vos opérations. Utilisez les politiques de contrôle des services (SCPs) pour mettre en œuvre un contrôle centralisé des autorisations maximales disponibles pour tous les comptes de votre organisation. SCPs offrent une défense approfondie et garantissent que vos utilisateurs respectent les directives de contrôle d'accès définies. Pour plus d'informations, veuillez consulter Managing access to backups using service control policies with AWS Backup.

Pour atténuer les risques de sécurité tels que l'accès involontaire à vos ressources et données de sauvegarde, utilisez IAM Access Analyzer pour identifier tout rôle AWS Backup IAM partagé avec les entités suivantes :

  • Une entité externe telle qu'un Compte AWS

  • Un utilisateur root

  • Un utilisateur ou un rôle IAM

  • Un utilisateur fédéré

  • Un Service AWS

  • Un utilisateur anonyme

  • Toute autre entité pouvant être utilisée pour créer un filtre