Bonnes pratiques en matière de sécurité pour AWS Proton

AWS Proton fournit des fonctionnalités de sécurité à prendre en compte lors de l'élaboration et de la mise en œuvre de vos propres politiques de sécurité. Les bonnes pratiques suivantes doivent être considérées comme des instructions générales et ne représentent pas une solution de sécurité complète. Étant donné que ces bonnes pratiques peuvent ne pas être appropriées ou suffisantes pour votre environnement, considérez-les comme des remarques utiles plutôt que comme des recommandations.

Utilisation du contrôle d'accès IAM

IAM est un outil Service AWS que vous pouvez utiliser pour gérer les utilisateurs et leurs autorisations dans AWS. Vous pouvez utiliser IAM AWS Proton pour spécifier les AWS Proton actions que les administrateurs et les développeurs peuvent effectuer, telles que la gestion de modèles, d'environnements ou de services. Vous pouvez utiliser les rôles de service IAM pour permettre AWS Proton de passer des appels vers d'autres services en votre nom.

Pour plus d'informations sur les rôles IAM AWS Proton et les rôles IAM, consultezIdentity and Access Management pour AWS Proton.

Mettez en œuvre l'accès avec le moindre privilège. Pour plus d'informations, consultez la section Politiques et autorisations dans IAM dans le guide de l'AWS Identity and Access Management utilisateur.

N'intégrez pas d'informations d'identification dans vos modèles et ensembles de modèles

Plutôt que d'intégrer des informations sensibles dans vos AWS CloudFormation modèles et ensembles de modèles, nous vous recommandons d'utiliser des références dynamiques dans votre modèle de pile.

Les références dynamiques constituent un moyen compact et puissant de référencer des valeurs externes stockées et gérées dans d'autres services, tels que le AWS Systems Manager Parameter Store ou AWS Secrets Manager. Lorsque vous utilisez une référence dynamique, CloudFormation récupère la valeur de la référence spécifiée lorsque cela est nécessaire lors des opérations de pile et de modification des ensembles de modifications, et transmet la valeur à la ressource appropriée. Cependant, CloudFormation ne stocke jamais la valeur de référence réelle. Pour plus d'informations, consultez la section Utilisation de références dynamiques pour spécifier des valeurs de modèle dans le Guide de AWS CloudFormation l'utilisateur.

AWS Secrets Manager vous aide à chiffrer, stocker et récupérer en toute sécurité des informations d'identification pour vos bases de données et d'autres services. Le AWS Systems Manager Parameter Store fournit un stockage hiérarchique sécurisé pour la gestion des données de configuration.

Pour plus d'informations sur la définition des paramètres du modèle, consultez https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/parameters-section-structure.html le guide de AWS CloudFormation l'utilisateur.

Utilisez le chiffrement pour protéger les données sensibles

À l'intérieur AWS Proton, toutes les données des clients sont cryptées par défaut à l'aide d'une clé AWS Proton détenue.

En tant que membre de l'équipe de la plateforme, vous pouvez fournir une clé gérée par le client AWS Proton pour chiffrer et sécuriser vos données sensibles. Chiffrez les données sensibles au repos dans votre compartiment S3. Pour de plus amples informations, veuillez consulter Protection des données dans AWS Proton.

AWS CloudTrail À utiliser pour afficher et enregistrer les appels d'API

AWS CloudTrail suit toute personne effectuant des appels d'API dans votre Compte AWS. Les appels d'API sont enregistrés chaque fois que quelqu'un utilise l' AWS Proton API, la AWS Proton console ou AWS Proton AWS CLI les commandes. Activez la journalisation et spécifiez un compartiment Amazon S3 pour y stocker les journaux. Ainsi, si nécessaire, vous pouvez vérifier qui a effectué quel AWS Proton appel sur votre compte. Pour de plus amples informations, veuillez consulter Connexion et surveillance AWS Proton.