Recommandations de contrôle de sécurité pour la gestion des identités et des accès - AWS Directives prescriptives
Activité de l'utilisateur rootClés d'accès pour l'utilisateur rootMFA pour l’utilisateur racineBonnes pratiques IAMLe moindre privilègeGarde-corps au niveau de la charge de travail Rotation des clés d'accès IAMRessources partagées en externe

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Recommandations de contrôle de sécurité pour la gestion des identités et des accès

Vous pouvez créer des identités dans AWS ou vous connecter à une source d'identité externe. Grâce aux politiques AWS Identity and Access Management (IAM), vous accordez aux utilisateurs les autorisations nécessaires pour qu'ils puissent accéder aux AWS ressources et aux applications intégrées ou les gérer. Une gestion efficace des identités et des accès permet de s'assurer que les bonnes personnes et les bonnes machines ont accès aux bonnes ressources dans les bonnes conditions. Le AWS Well-Architected Framework fournit les meilleures pratiques pour gérer les identités et leurs autorisations. Parmi les meilleures pratiques, citons le recours à un fournisseur d'identité centralisé et l'utilisation de mécanismes de connexion robustes, tels que l'authentification multifactorielle (MFA). Les contrôles de sécurité présentés dans cette section peuvent vous aider à mettre en œuvre ces meilleures pratiques.

Surveiller et configurer les notifications relatives à l'activité de l'utilisateur root

Lorsque vous créez un Compte AWS, vous commencez par une identité de connexion unique appelée utilisateur root. Par défaut, l'utilisateur root dispose d'un accès complet à toutes Services AWS les ressources du compte. Vous devez contrôler et surveiller étroitement l'utilisateur root, et vous ne devez l'utiliser que pour les tâches qui nécessitent des informations d'identification de l'utilisateur root.

Pour plus d’informations, consultez les ressources suivantes :

Ne créer aucune clé d'accès pour l'utilisateur root

L'utilisateur root est l'utilisateur disposant du plus haut niveau de privilèges dans un Compte AWS. La désactivation de l'accès programmatique à l'utilisateur root permet de réduire le risque d'exposition accidentelle des informations d'identification de l'utilisateur et de compromission ultérieure de l'environnement cloud. Nous vous recommandons de créer et d'utiliser des rôles IAM comme informations d'identification temporaires pour accéder à vos ressources Comptes AWS et à vos ressources.

Pour plus d’informations, consultez les ressources suivantes :

Activer le MFA pour l'utilisateur root

Nous vous recommandons d'activer plusieurs dispositifs d'authentification multifactorielle (MFA) pour Compte AWS l'utilisateur root et les utilisateurs IAM. Cela augmente la barre de sécurité Comptes AWS et peut simplifier la gestion des accès. Étant donné qu'un utilisateur root est un utilisateur hautement privilégié qui peut effectuer des actions privilégiées, il est essentiel d'exiger l'authentification MFA pour l'utilisateur root. Vous pouvez utiliser un dispositif MFA matériel qui génère un code numérique basé sur l'algorithme TOTP (mot de passe à usage unique) basé sur le temps, une clé de sécurité matérielle FIDO ou une application d'authentification virtuelle.

En 2024, la MFA sera requise pour accéder à l'utilisateur root de n'importe quel utilisateur. Compte AWS Pour plus d'informations, consultez Secure by Design : AWS pour améliorer les exigences en matière de MFA en 2024 dans le blog sur la AWS sécurité. Nous vous encourageons vivement à étendre cette pratique de sécurité et à exiger l'authentification MFA pour tous les types d'utilisateurs de vos AWS environnements.

Dans la mesure du possible, nous vous recommandons d'utiliser un périphérique MFA matériel pour l'utilisateur root. Un appareil MFA virtuel peut ne pas fournir le même niveau de sécurité qu'un appareil MFA matériel. Vous pouvez utiliser le MFA virtuel en attendant l'approbation ou la livraison du matériel.

Dans les situations où vous gérez des centaines de comptes AWS Organizations, en fonction de la tolérance au risque de votre organisation, il se peut que l'utilisation d'une MFA matérielle pour l'utilisateur racine de chaque compte d'une unité organisationnelle (UO) ne soit pas évolutive. Dans ce cas, vous pouvez choisir un compte dans l'unité d'organisation qui fait office de compte de gestion de l'unité d'organisation, puis désactiver l'utilisateur root pour les autres comptes de cette unité d'organisation. Par défaut, le compte de gestion de l'unité d'organisation n'a pas accès aux autres comptes. En configurant à l'avance l'accès entre comptes, vous pouvez accéder aux autres comptes depuis le compte de gestion de l'unité d'organisation en cas d'urgence. Pour configurer l'accès entre comptes, vous créez un rôle IAM dans le compte membre et vous définissez des politiques afin que seul l'utilisateur root du compte de gestion de l'unité d'organisation puisse assumer ce rôle. Pour plus d'informations, voir Tutoriel : Déléguer l'accès à Comptes AWS l'aide de rôles IAM dans la documentation IAM.

Nous vous recommandons d'activer plusieurs dispositifs MFA pour vos informations d'identification d'utilisateur root. Vous pouvez enregistrer jusqu'à huit appareils MFA de n'importe quelle combinaison.

Pour plus d’informations, consultez les ressources suivantes :

Suivez les meilleures pratiques de sécurité pour IAM

La documentation IAM inclut une liste des meilleures pratiques conçues pour vous aider à sécuriser vos ressources Comptes AWS et vos ressources. Il inclut des recommandations pour configurer l'accès et les autorisations selon le principe du moindre privilège. Parmi les meilleures pratiques en matière de sécurité IAM, citons la configuration de la fédération des identités, l'exigence de la MFA et l'utilisation d'informations d'identification temporaires.

Pour plus d’informations, consultez les ressources suivantes :

Accorder des autorisations de moindre privilège

Le moindre privilège est la pratique qui consiste à n'accorder que les autorisations nécessaires à l'exécution d'une tâche. Pour ce faire, définissez les actions qui peuvent être entreprises sur des ressources spécifiques dans des conditions spécifiques.

Le contrôle d'accès basé sur les attributs (ABAC) est une stratégie d'autorisation qui définit les autorisations en fonction d'attributs, tels que leurs balises. Vous pouvez utiliser les attributs de groupe, d'identité et de ressource pour définir des autorisations de manière dynamique à grande échelle, plutôt que de définir des autorisations pour des utilisateurs individuels. Par exemple, vous pouvez utiliser ABAC pour autoriser un groupe de développeurs à accéder uniquement aux ressources associées à un tag spécifique à leur projet.

Pour plus d’informations, consultez les ressources suivantes :

Définissez des barrières d'autorisation au niveau de la charge de travail

Il est recommandé d'utiliser une stratégie multi-comptes, car elle offre la flexibilité nécessaire pour définir des garde-fous au niveau de la charge de travail. L'architecture AWS de référence de sécurité fournit des conseils prescriptifs sur la manière de structurer vos comptes. Ces comptes sont gérés en tant qu'organisation dans AWS Organizations, et ils sont regroupés en unités organisationnelles (OUs).

Services AWS, par exemple AWS Control Tower, peut vous aider à gérer de manière centralisée les contrôles au sein d'une organisation. Nous vous recommandons de définir un objectif clair pour chaque compte ou unité d'organisation au sein de l'organisation, et d'appliquer des contrôles en fonction de cet objectif. AWS Control Tower met en œuvre des contrôles préventifs, de détection et proactifs qui vous aident à gérer les ressources et à contrôler la conformité. Un contrôle préventif est conçu pour empêcher qu'un événement ne se produise. Un contrôle de détection est conçu pour détecter, enregistrer et alerter après la survenue d'un événement. Un contrôle proactif est conçu pour empêcher le déploiement de ressources non conformes en analysant les ressources avant qu'elles ne soient provisionnées.

Pour plus d’informations, consultez les ressources suivantes :

Faites pivoter les clés d'accès IAM à intervalles réguliers

Il est recommandé de mettre à jour les clés d'accès pour les cas d'utilisation nécessitant des informations d'identification à long terme. Nous recommandons de faire pivoter les clés d'accès tous les 90 jours ou moins. La rotation des clés d'accès réduit le risque d'utilisation d'une clé d'accès associée à un compte compromis ou résilié. Il empêche également l'accès en utilisant une ancienne clé qui pourrait avoir été perdue, compromise ou volée. Mettez toujours à jour les applications après avoir fait pivoter les touches d'accès.

Pour plus d’informations, consultez les ressources suivantes :

Identifier les ressources partagées avec une entité externe

Une entité externe est une ressource, une application, un service ou un utilisateur extérieur à votre AWS organisation, tel qu'un autre Comptes AWS, un utilisateur root, un utilisateur ou un rôle IAM, un utilisateur fédéré Service AWS, un utilisateur anonyme (ou non authentifié). Il est recommandé d'utiliser IAM Access Analyzer pour identifier les ressources de votre organisation et de vos comptes, telles que les buckets Amazon Simple Storage Service (Amazon S3) ou les rôles IAM, partagées avec une entité externe. Cela vous permet d'identifier les accès involontaires aux ressources et aux données, qui constituent un risque pour la sécurité.

Pour plus d’informations, consultez les ressources suivantes :