Ressources IAM - AWS Conseils prescriptifs

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Ressources IAM

Influencez le futur de l'architecture de référence de AWS sécurité (AWSSRA) en répondant à une courte enquête.

Bien qu'AWS Identity and Access Management (IAM) ne soit pas un service inclus dans un schéma d'architecture traditionnel, il touche tous les aspects de l'organisation AWS, des comptes AWS et des services AWS. Vous ne pouvez déployer aucun service AWS sans créer d'entités IAM et accorder des autorisations au préalable. Une explication complète de l'IAM dépasse le cadre de ce document, mais cette section fournit des résumés importants des recommandations relatives aux meilleures pratiques et des indications vers des ressources supplémentaires.

  • Pour connaître les meilleures pratiques en matière d'IAM, consultez les meilleures pratiques de sécurité en matière d'IAM dans la documentation AWS, les articles IAM sur le blog AWS Security et les présentations AWS re:Invent.

  • Le pilier de sécurité d'AWS Well-Architected décrit les étapes clés du processus de gestion des autorisations : définir des barrières en matière d'autorisations, accorder le moindre privilège d'accès, analyser les accès publics et entre comptes, partager les ressources en toute sécurité, réduire les autorisations en permanence et établir un processus d'accès d'urgence.

  • Le tableau suivant et les notes qui l'accompagnent fournissent un aperçu général des conseils recommandés sur les types de politiques d'autorisation IAM disponibles et sur la manière de les utiliser dans votre architecture de sécurité. Pour en savoir plus, visionnez la vidéo AWS re:Invent 2020 sur le choix de la bonne combinaison de politiques IAM.

 

Cas d'utilisation ou politique

Effet

Géré par

Objectif

Se rapporte à

Affecte

Déployé dans

Stratégies de contrôle de service (SCP)

Restrict

Équipe centrale, telle que l'équipe chargée de la plateforme ou de la sécurité [1]

Garde-corps, gouvernance

Organisation, unité d'organisation, compte

Tous les principes de l'organisation, de l'unité d'organisation et des comptes

Compte de gestion de l'organisation [2]

Politiques d'automatisation des comptes de base (les rôles IAM utilisés par la plateforme pour gérer un compte)

Accorder et restreindre

Équipe centrale, telle que l'équipe chargée de la plateforme, de la sécurité ou de l'IAM [1]

Autorisations pour les rôles d'automatisation (de base) autres que la charge de travail [3]

Compte unique [4]

Principes utilisés par l'automatisation au sein d'un compte membre

Comptes membres

Politiques humaines de base (les rôles IAM qui accordent aux utilisateurs les autorisations nécessaires pour effectuer leur travail)

Accorder et restreindre

Équipe centrale, telle que l'équipe chargée de la plateforme, de la sécurité ou de l'IAM [1]

Autorisations pour les rôles humains [5]

Compte unique [4]

Principaux fédérés [5] et utilisateurs IAM [6]

Comptes membres

Limites d'autorisations (autorisations maximales qu'un développeur habilité peut attribuer à un autre directeur)

Restrict

Équipe centrale, telle que l'équipe chargée de la plateforme, de la sécurité ou de l'IAM [1]

Garde-fous pour les rôles d'application (doivent être appliqués)

Compte unique [4]

Rôles individuels pour une application ou une charge de travail dans ce compte [7]

Comptes membres

Politiques relatives aux rôles des machines pour les applications (rôle attaché à l'infrastructure déployée par les développeurs)

Accorder et restreindre

Délégué aux développeurs [8]

Autorisation pour l'application ou la charge de travail [9]

Compte unique

Un principal sur ce compte

Comptes membres

Politiques basées sur une ressource

Accorder et restreindre

Délégué aux développeurs [8,10]

Autorisations d'accès aux ressources

Compte unique

Un principal dans un compte [11]

Comptes membres

  

Remarques tirées du tableau :

  1. Les entreprises disposent de nombreuses équipes centralisées (telles que les équipes chargées des plateformes cloud, des opérations de sécurité ou des équipes de gestion des identités et des accès) qui se répartissent les responsabilités liées à ces contrôles indépendants et évaluent les politiques des uns et des autres. Les exemples présentés dans le tableau sont des espaces réservés. Vous devrez déterminer la séparation des tâches la plus efficace pour votre entreprise.

  2. Pour utiliser les SCP, vous devez activer toutes les fonctionnalités d'AWS Organizations.

  3. Des rôles et des politiques de base communs sont généralement nécessaires pour permettre l'automatisation, tels que les autorisations pour le pipeline, les outils de déploiement, les outils de surveillance (par exemple, les règles AWS Lambda et AWS Config) et d'autres autorisations. Cette configuration est généralement fournie lors du provisionnement du compte.

  4. Bien qu'elles concernent une ressource (telle qu'un rôle ou une politique) dans un seul compte, elles peuvent être répliquées ou déployées sur plusieurs comptes à l'aide d'AWS. CloudFormation StackSets

  5. Définissez un ensemble de règles et de rôles humains de base qui sont déployés sur tous les comptes des membres par une équipe centrale (souvent lors de la mise en service des comptes). Les développeurs de l'équipe de la plateforme, de l'équipe IAM et des équipes d'audit de sécurité en sont des exemples.

  6. Utilisez la fédération d'identité (au lieu des utilisateurs IAM locaux) dans la mesure du possible.

  7. Les limites des autorisations sont utilisées par les administrateurs délégués. Cette politique IAM définit les autorisations maximales et remplace les autres politiques (y compris les “*:*” politiques qui autorisent toutes les actions sur les ressources). Les limites d'autorisations devraient être requises dans les politiques humaines de base comme condition pour créer des rôles (tels que les rôles de performance de la charge de travail) et pour associer des politiques. Des configurations supplémentaires telles que les SCP imposent l'attachement de la limite des autorisations.

  8. Cela suppose que des barrières de sécurité suffisantes (par exemple, des SCP et des limites d'autorisations) ont été déployées.

  9. Ces politiques facultatives peuvent être mises en œuvre lors de la création du compte ou dans le cadre du processus de développement de l'application. L'autorisation de créer et d'associer ces politiques sera régie par les autorisations du développeur de l'application.

  10. Outre les autorisations des comptes locaux, une équipe centralisée (telle que l'équipe de la plateforme cloud ou l'équipe des opérations de sécurité) gère souvent certaines politiques basées sur les ressources afin de permettre l'accès entre comptes pour gérer les comptes (par exemple, pour fournir un accès aux compartiments S3 à des fins de journalisation).

  11. Une politique IAM basée sur les ressources peut faire référence à n'importe quel principal de n'importe quel compte pour autoriser ou refuser l'accès à ses ressources. Il peut même faire référence à des principes anonymes pour permettre l'accès public.

 Il est essentiel de s'assurer que les identités IAM disposent uniquement des autorisations nécessaires pour un ensemble bien défini de tâches afin de réduire le risque d'abus d'autorisations malveillant ou involontaire. L'établissement et le maintien d'un modèle de moindre privilège nécessitent un plan délibéré pour continuellement mettre à jour, évaluer et atténuer les privilèges excessifs. Voici quelques recommandations supplémentaires pour ce plan :

  • Utilisez le modèle de gouvernance de votre organisation et sa propension au risque établie pour établir des garde-fous et des limites d'autorisations spécifiques.

  • Mettez en œuvre le principe du moindre privilège par le biais d'un processus itératif continu. Il ne s'agit pas d'un exercice ponctuel.

  • Utilisez les SCP pour réduire les risques exploitables. Il s'agit de barrières de sécurité larges, et non de contrôles étroitement ciblés.

  • Utilisez les limites d'autorisations pour déléguer l'administration IAM de manière plus sûre.

    • Assurez-vous que les administrateurs délégués attachent la politique de limite IAM appropriée aux rôles et aux utilisateurs qu'ils créent.

  • En tant qu' defense-in-depth approche (en conjonction avec des politiques basées sur l'identité), utilisez des politiques IAM basées sur les ressources pour refuser un large accès aux ressources.

  • Utilisez le conseiller d'accès IAM, AWS CloudTrail, AWS IAM Access Analyzer et les outils associés pour analyser régulièrement l'historique de l'utilisation et les autorisations accordées. Corrigez immédiatement les autorisations excessives évidentes.

  • Délimitez les actions générales à des ressources spécifiques, le cas échéant, au lieu d'utiliser un astérisque comme caractère générique pour indiquer toutes les ressources.

  • Mettez en œuvre un mécanisme permettant d'identifier, d'examiner et d'approuver rapidement les exceptions à la politique IAM en fonction des demandes.