[IAM.1] Les politiques IAM ne devraient pas autoriser des privilèges administratifs « * » complets [IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM [IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins [IAM.4] La clé d'accès de l'utilisateur root IAM ne doit pas exister [IAM.5] L’authentification multi-facteurs (MFA) doit être activée pour tous les utilisateurs IAM disposant d'un mot de passe de console [IAM.6] Le périphérique MFA matériel doit être activé pour l'utilisateur racine [IAM.7] Les politiques de mot de passe pour les utilisateurs IAM doivent être configurées de manière stricte [IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées [IAM.9] La MFA doit être activée pour l'utilisateur root [IAM.10] Les politiques de mot de passe pour les utilisateurs IAM devraient avoir une durée de validité stricte AWS Config [IAM.11] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre majuscule [IAM.12] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre minuscule [IAM.13] Assurez-vous que la politique de mot de passe IAM nécessite au moins un symbole [IAM.14] Assurez-vous que la politique de mot de passe IAM nécessite au moins un chiffre [IAM.15] Assurez-vous que la politique de mot de passe IAM exige une longueur de mot de passe minimale de 14 ou plus [IAM.16] Assurez-vous que la politique de mot de passe IAM empêche la réutilisation des mots de passe [IAM.17] Assurez-vous que la politique de mot de passe IAM expire les mots de passe dans un délai de 90 jours ou moins [IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support [IAM.19] Le MFA doit être activé pour tous les utilisateurs IAM [IAM.20] Évitez d'utiliser l'utilisateur root [IAM.21] Les politiques gérées par le client IAM que vous créez ne doivent pas autoriser les actions génériques pour les services [IAM.22] Les informations d'identification d'utilisateur IAM non utilisées pendant 45 jours doivent être supprimées [IAM.23] Les analyseurs IAM Access Analyzer doivent être étiquetés [IAM.24] Les rôles IAM doivent être balisés [IAM.25] Les utilisateurs IAM doivent être étiquetés [IAM.26] Les certificats SSL/TLS expirés gérés dans IAM doivent être supprimés [IAM.27] La politique ne doit pas être attachée aux identités IAM AWSCloudShellFullAccess [IAM.28] L'analyseur d'accès externe IAM Access Analyzer doit être activé

AWS Identity and Access Management commandes

Ces contrôles sont liés aux ressources IAM.

Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour plus d’informations, consultez Disponibilité des contrôles par région.

[IAM.1] Les politiques IAM ne devraient pas autoriser des privilèges administratifs « * » complets

Exigences connexes : PCI DSS v3.2.1/7.2.1, CIS AWS Foundations Benchmark v1.2.0/1.22, CIS Foundations Benchmark v1.4.0/1.16, Nist.800-53.R5 AC-2, Nist.800-53.R5 AC-2 (1), Nist.800-53.R5 AC-3 (15), Nist.800-53.R5 AC-3 (7), NIST.800-53.R5 AC-3 (7), Nist.800-800-53,R5 AC-5, NIST.800-53.R5 AC-6, NIST.800-53.R5 AC-6 (10), NIST.800-53.R5 AC-6 (2), NIST.800-53.R5 AC-6 (3) AWS

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Élevée

Type de ressource : AWS::IAM::Policy

Règle AWS Config : iam-policy-no-statements-with-admin-access

Type de calendrier : changement déclenché

Paramètres :

excludePermissionBoundaryPolicy: true(non personnalisable)

Ce contrôle vérifie si la version par défaut des politiques IAM (également appelées politiques gérées par le client) dispose d'un accès administrateur en incluant une instruction "Effect": "Allow" avec "Action": "*" over"Resource": "*". Le contrôle échoue si vous disposez de politiques IAM comportant une telle déclaration.

Le contrôle vérifie uniquement les stratégies gérées par le client que vous créez. Il ne vérifie pas les politiques intégrées et AWS gérées.

Les politiques IAM définissent un ensemble de privilèges accordés aux utilisateurs, aux groupes ou aux rôles. Conformément aux conseils de sécurité standard, il est AWS recommandé d'accorder le moindre privilège, c'est-à-dire de n'accorder que les autorisations nécessaires à l'exécution d'une tâche. Si vous accordez des privilèges d'administrateur complets plutôt qu'un jeu d'autorisations minimal dont l’utilisateur a besoin, les ressources risquent d'être exposées à des actions potentiellement indésirables.

Déterminez quelles tâches doivent accomplir les utilisateurs, puis créez des stratégies pour permettre à ces derniers de réaliser uniquement ces tâches, plutôt que de leur accorder des privilèges d'administrateur complets. Il est plus sûr de commencer avec un minimum d'autorisations et d’en accordez d'autres si nécessaire. Ne commencez pas avec des autorisations trop permissives, pour essayer de les restreindre plus tard.

Vous devez supprimer les politiques IAM comportant une instruction "Effect": "Allow" avec "Action": "*" over"Resource": "*".

Note

AWS Config doit être activé dans toutes les régions dans lesquelles vous utilisez Security Hub. Cependant, l'enregistrement des ressources globales peut être activé dans une seule région. Si vous enregistrez uniquement des ressources globales dans une seule région, vous pouvez désactiver ce contrôle dans toutes les régions, à l'exception de la région dans laquelle vous enregistrez des ressources globales.

Correction

Pour modifier vos politiques IAM afin qu'elles n'accordent pas tous les privilèges administratifs « * », consultez la section Modification des politiques IAM dans le Guide de l'utilisateur IAM.

[IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM

Exigences connexes : PCI DSS v3.2.1/7.2.1, CIS AWS Foundations Benchmark v3.0.0/1.15, CIS Foundations Benchmark v1.2.0/1.16, Nist.800-53.R5 AC-2, Nist.800-53.R5 AC-2 (1), Nist.800-53.R5 AC-3 (15), Nist.800-53.R5 AC-3 (7), Nist.800-53.R5 AC-3 (7), Nist.800-53.R5 AC-3 (7) AWS , Nist.800-53.R5 AC-3 (7), Nist.800-53.R5 AC-3 (7), Nist.800-53.R5 AC-3 (7), Nist.800-53.R5 AC-3 (7), Nist.800-53.R5 AC-3 (7), Nist.800-53.R5 AC-3 (7), 800-53.R5 AC-6, NIST.800-53.R5 AC-6 (3)

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Faible

Type de ressource : AWS::IAM::User

Règle AWS Config : iam-user-no-policies-check

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si des politiques sont associées à vos utilisateurs IAM. Le contrôle échoue si des politiques sont associées à vos utilisateurs IAM. Les utilisateurs IAM doivent plutôt hériter des autorisations des groupes IAM ou assumer un rôle.

Par défaut, les utilisateurs, les groupes et les rôles IAM n'ont aucun accès aux AWS ressources. Les politiques IAM accordent des privilèges aux utilisateurs, aux groupes ou aux rôles. Nous vous recommandons d'appliquer les politiques IAM directement aux groupes et aux rôles, mais pas aux utilisateurs. L'attribution de privilèges au niveau du groupe ou du rôle réduit la complexité de la gestion des accès au fur et à mesure que le nombre d'utilisateurs augmente. La simplification de la gestion des accès peut contribuer à réduire les chances pour un mandataire de recevoir ou de conserver par inadvertance des privilèges excessifs.

Note

Les utilisateurs IAM créés par Amazon Simple Email Service sont automatiquement créés à l'aide de politiques intégrées. Security Hub exempte automatiquement ces utilisateurs de ce contrôle.

Correction

Pour résoudre ce problème, créez un groupe IAM et associez la politique au groupe. Ajoutez ensuite les utilisateurs au groupe. La stratégie est appliquée à chaque utilisateur du groupe. Pour supprimer une politique directement attachée à un utilisateur, consultez la section Ajout et suppression d'autorisations d'identité IAM dans le guide de l'utilisateur IAM.

[IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins

Exigences associées : CIS AWS Foundations Benchmark v3.0.0/1.14, CIS Foundations Benchmark v1.4.0/1.14, CIS AWS Foundations Benchmark v1.2.0/1.4, Nist.800-53.R5 AC-2 (1) AWS , NIST.800-53.R5 AC-2 (3), NIST.800-53.R5 AC-3 (15)

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Moyenne

Type de ressource : AWS::IAM::User

Règle AWS Config : access-keys-rotated

Type de calendrier : Périodique

Paramètres :

maxAccessKeyAge: 90 (non personnalisable)

Ce contrôle vérifie si les clés d'accès actives font l’objet d’une rotation dans un délai de 90 jours.

Nous vous recommandons vivement de ne pas générer et de supprimer toutes les clés d'accès de votre compte. La meilleure pratique recommandée consiste plutôt à créer un ou plusieurs rôles IAM ou à utiliser la fédération via AWS IAM Identity Center. Vous pouvez utiliser ces méthodes pour permettre à vos utilisateurs d'accéder au AWS Management Console et AWS CLI.

Chaque approche a ses cas d'utilisation. La fédération est généralement préférable pour les entreprises qui disposent d'un annuaire central existant ou qui prévoient d'avoir besoin d'une quantité supérieure à la limite actuelle d'utilisateurs IAM. Les applications qui s'exécutent en dehors d'un AWS environnement ont besoin de clés d'accès pour accéder aux AWS ressources par programmation.

Toutefois, si les ressources nécessitant un accès programmatique s'exécutent à l'intérieur AWS, la meilleure pratique consiste à utiliser des rôles IAM. Les rôles vous permettent d'accorder un accès à une ressource sans coder en dur un ID de clé d'accès et une clé d'accès secrète dans la configuration.

Pour en savoir plus sur la protection de vos clés d'accès et de votre compte, consultez la section Meilleures pratiques de gestion des clés AWS d'accès dans le Références générales AWS. Consultez également le billet de blog Directives pour vous protéger Compte AWS lors de l'utilisation de l'accès programmatique.

Si vous possédez déjà une clé d'accès, Security Hub vous recommande de changer les clés d'accès tous les 90 jours. La rotation des clés d'accès permet de réduire les possibilités qu'une clé d'accès associée à un compte compromis ou résilié ne soit utilisée. Elle permet également de s’assurer qu'il n'est pas possible d'accéder aux données avec une ancienne clé qui peut avoir été perdue, compromise ou volée. Mettez toujours à jour vos applications après avoir exécuté la rotation des clés d'accès.

Les clés d'accès sont constituées d'un ID de clé d'accès et une clé d'accès secrète. Ils sont utilisés pour signer les demandes programmatiques que vous envoyez à AWS. Les utilisateurs ont besoin de leurs propres clés d'accès pour effectuer des appels programmatiques AWS depuis les AWS CLI outils pour Windows PowerShell, les AWS SDK, ou des appels HTTP directs à l'aide des opérations d'API individuelles. Services AWS

Si votre organisation utilise AWS IAM Identity Center (IAM Identity Center), vos utilisateurs peuvent se connecter à Active Directory, à un annuaire IAM Identity Center intégré ou à un autre fournisseur d'identité (IdP) connecté à IAM Identity Center. Ils peuvent ensuite être mappés à un rôle IAM qui leur permet d'exécuter des AWS CLI commandes ou d'appeler des opérations d' AWS API sans avoir besoin de clés d'accès. Pour en savoir plus, consultez la section Configuration du AWS CLI à utiliser AWS IAM Identity Center dans le guide de AWS Command Line Interface l'utilisateur.

Note

Correction

Pour effectuer une rotation des clés d'accès datant de plus de 90 jours, voir Rotation des clés d'accès dans le guide de l'utilisateur d'IAM. Suivez les instructions pour tout utilisateur dont l'âge de la clé d'accès est supérieur à 90 jours.

[IAM.4] La clé d'accès de l'utilisateur root IAM ne doit pas exister

Exigences associées : CIS AWS Foundations Benchmark v3.0.0/1.4, CIS Foundations Benchmark v1.4.0/1.4, CIS AWS Foundations Benchmark v1.2.0/1.12, PCI DSS v3.2.1/2.1, PCI DSS v3.2.1/2.2, PCI DSS v3.2.1/7.2.1, NIST.800-53.R5 AC-2 (1), NIST.800-53.R5 AC-3 (15), NIST.800-53.R5 (7), NIST.800-53.R5 AC-6, NIST.800-53.R5 AC-6 (10), NIST.800-53.R5 AC-6 (2) AWS

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Critique

Type de ressource : AWS::::Account

Règle AWS Config : iam-root-access-key-check

Type de calendrier : Périodique

Paramètres : Aucun

Ce contrôle vérifie si la clé d'accès de l'utilisateur root est présente.

L'utilisateur root est l'utilisateur le plus privilégié d'un Compte AWS. AWS les clés d'accès fournissent un accès programmatique à un compte donné.

Security Hub recommande de supprimer toutes les clés d'accès associées à l'utilisateur root. Cela limite les vecteurs qui peuvent être utilisés pour compromettre votre compte. Cela incite également à créer et à utiliser comptes basés sur des rôles avec moins de privilèges.

Correction

Pour supprimer la clé d'accès de l'utilisateur root, consultez la section Suppression des clés d'accès de l'utilisateur root dans le guide de l'utilisateur IAM. Pour supprimer les clés d'accès utilisateur root d'une entrée Compte AWS AWS GovCloud (US), voir Supprimer les clés d'accès utilisateur root de mon AWS GovCloud (US) compte dans le guide de AWS GovCloud (US) l'utilisateur.

[IAM.5] L’authentification multi-facteurs (MFA) doit être activée pour tous les utilisateurs IAM disposant d'un mot de passe de console

Exigences connexes : CIS AWS Foundations Benchmark v3.0.0/1.10, CIS Foundations Benchmark v1.4.0/1.10, CIS AWS Foundations Benchmark v1.2.0/1.2, Nist.800-53.R5 AC-2 (1), Nist.800-53.R5 AC-3 (15), NIST.800-53.R5 IA-2 (2), NIST.800-53.R5 IA-2 (2) 6), NIST.800-53.R5 IA-2 (8) AWS

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Moyenne

Type de ressource : AWS::IAM::User

Règle AWS Config : mfa-enabled-for-iam-console-access

Type de calendrier : Périodique

Paramètres : Aucun

Ce contrôle vérifie si l'authentification AWS multifactorielle (MFA) est activée pour tous les utilisateurs IAM qui utilisent un mot de passe de console.

L'authentification multi-facteurs (MFA, Multi-Factor Authentication) ajoute une couche de sécurité supplémentaire, en plus d'un nom d'utilisateur et d'un mot de passe. Lorsque la MFA est activée, lorsqu'un utilisateur se connecte à un AWS site Web, il est invité à saisir son nom d'utilisateur et son mot de passe. En outre, ils sont invités à saisir un code d'authentification depuis leur dispositif AWS MFA.

Nous vous recommandons d'activer l'authentification MFA pour tous les comptes disposant d'un mot de passe de console. L’authentification MFA est conçue pour fournir une sécurité accrue pour l'accès à la console. Le mandataire d'authentification doit posséder un dispositif qui émet une clé sensible au temps et connaître des informations d’identification.

Note

Correction

Pour ajouter une authentification MFA pour les utilisateurs IAM, consultez la section Utilisation de l'authentification multifactorielle (MFA) dans AWS le guide de l'utilisateur IAM.

Nous offrons une clé de sécurité MFA gratuite aux clients éligibles. Vérifiez si vous êtes éligible et commandez votre clé gratuite.

[IAM.6] Le périphérique MFA matériel doit être activé pour l'utilisateur racine

Exigences associées : CIS AWS Foundations Benchmark v3.0.0/1.6, CIS Foundations Benchmark v1.4.0/1.6, CIS AWS Foundations Benchmark v1.2.0/1.14, PCI DSS v3.2.1/8.3.1, Nist.800-53.R5 AC-2 (1), Nist.800-53.R5 IA-2 (1), NIST.800-53.R5 IA-2 (2), IST.800-53.R5 IA-2 (6), IST.800-53.R5 IA-2 (8) AWS

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Critique

Type de ressource : AWS::::Account

Règle AWS Config : root-account-hardware-mfa-enabled

Type de calendrier : Périodique

Paramètres : Aucun

Ce contrôle vérifie si vous Compte AWS êtes autorisé à utiliser un dispositif d'authentification matérielle multifactorielle (MFA) pour vous connecter avec les informations d'identification de l'utilisateur root. Le contrôle échoue si l'authentification MFA n'est pas activée ou si des périphériques MFA virtuels sont autorisés à se connecter avec les informations d'identification de l'utilisateur root.

Un appareil MFA virtuel peut ne pas fournir le même niveau de sécurité qu'un appareil MFA matériel. Nous vous recommandons d'utiliser un périphérique MFA virtuel pendant l'attente de l'approbation d'achat du matériel ou en attendant de recevoir votre matériel. Pour en savoir plus, consultez la section Activation d'un dispositif d'authentification multifactorielle virtuelle (MFA) (console) dans le guide de l'utilisateur IAM.

Les jetons TOTP (mot de passe à usage unique basé sur le temps) et U2F (Universal 2nd Factor) sont viables en tant qu'options matérielles MFA.

Correction

Pour ajouter un périphérique MFA matériel pour l'utilisateur root, voir Activer un périphérique MFA matériel pour l'utilisateur Compte AWS root (console) dans le guide de l'utilisateur IAM.

Nous offrons une clé de sécurité MFA gratuite aux clients éligibles. Vérifiez si vous êtes éligible et commandez votre clé gratuite.

[IAM.7] Les politiques de mot de passe pour les utilisateurs IAM doivent être configurées de manière stricte

Exigences connexes : NIST.800-53.R5 AC-2 (1), NIST.800-53.R5 AC-2 (3), NIST.800-53.R5 AC-3 (15), NIST.800-53.R5 IA-5 (1)

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Moyenne

Type de ressource : AWS::::Account

Règle AWS Config : iam-password-policy

Type de calendrier : Périodique

Paramètres :

Paramètre	Description	Type	Valeurs personnalisées autorisées	Valeur par défaut de Security Hub
`RequireUppercaseCharacters`	Exiger au moins une majuscule dans le mot de passe	Booléen	`true` ou `false`	`true`
`RequireLowercaseCharacters`	Exiger au moins une minuscule dans le mot de passe	Booléen	`true` ou `false`	`true`
`RequireSymbols`	Exiger au moins un symbole dans le mot de passe	Booléen	`true` ou `false`	`true`
`RequireNumbers`	Exiger au moins un chiffre dans le mot de passe	Booléen	`true` ou `false`	`true`
`MinimumPasswordLength`	Nombre minimum de caractères dans le mot de passe	Entier	`8` sur `128`	`8`
`PasswordReusePrevention`	Nombre de rotations de mots de passe avant qu'un ancien mot de passe puisse être réutilisé	Entier	`12` sur `24`	Aucune valeur par défaut
`MaxPasswordAge`	Nombre de jours avant l'expiration du mot de passe	Entier	`1` sur `90`	Aucune valeur par défaut

Ce contrôle vérifie si la politique de mot de passe du compte pour les utilisateurs IAM utilise des configurations strictes. Le contrôle échoue si la politique de mot de passe n'utilise pas de configurations fortes. À moins que vous ne fournissiez des valeurs de paramètres personnalisées, Security Hub utilise les valeurs par défaut mentionnées dans le tableau précédent. Les MaxPasswordAge paramètres PasswordReusePrevention et n'ont aucune valeur par défaut. Par conséquent, si vous excluez ces paramètres, Security Hub ignore le nombre de rotations de mots de passe et l'âge des mots de passe lors de l'évaluation de ce contrôle.

Pour y accéder AWS Management Console, les utilisateurs d'IAM ont besoin de mots de passe. À titre de bonne pratique, Security Hub recommande vivement d'utiliser la fédération au lieu de créer des utilisateurs IAM. La fédération permet aux utilisateurs d'utiliser leurs informations d'identification d'entreprise existantes pour se connecter au AWS Management Console. Utilisez AWS IAM Identity Center (IAM Identity Center) pour créer ou fédérer l'utilisateur, puis assumez un rôle IAM dans un compte.

Pour en savoir plus sur les fournisseurs d'identité et la fédération, consultez la section Fournisseurs d'identité et fédération dans le guide de l'utilisateur IAM. Pour en savoir plus sur IAM Identity Center, consultez le guide de l'AWS IAM Identity Center utilisateur.

Si vous devez utiliser des utilisateurs IAM, Security Hub vous recommande d'imposer la création de mots de passe utilisateur forts. Vous pouvez définir une politique de mot de passe Compte AWS pour définir les exigences de complexité et les périodes de rotation obligatoires pour les mots de passe. Lorsque vous créez ou modifiez une politique de mot de passe, la plupart des paramètres de la politique de mot de passe sont appliqués la prochaine fois que les utilisateurs modifient leur mot de passe. Certains paramètres sont appliqués immédiatement.

Correction

Pour mettre à jour votre politique de mot de passe, consultez la section Définition d'une politique de mot de passe de compte pour les utilisateurs IAM dans le guide de l'utilisateur IAM.

[IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées

Exigences associées : PCI DSS v3.2.1/8.1.4, CIS AWS Foundations Benchmark v1.2.0/1.3, Nist.800-53.R5 AC-2, Nist.800-53.R5 AC-2 (1), Nist.800-53.R5 AC-2 (3), Nist.800-53.R5 AC-3 (15), Nist.800-53.R5 AC-3 (7), IST.800-53.R5 AC-6

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Moyenne

Type de ressource : AWS::IAM::User

Règle AWS Config : iam-user-unused-credentials-check

Type de calendrier : Périodique

Paramètres :

maxCredentialUsageAge: 90 (non personnalisable)

Ce contrôle vérifie si vos utilisateurs IAM ont des mots de passe ou des clés d'accès actives qui n'ont pas été utilisés depuis 90 jours.

Les utilisateurs IAM peuvent accéder aux AWS ressources à l'aide de différents types d'informations d'identification, tels que des mots de passe ou des clés d'accès.

Security Hub vous recommande de supprimer ou de désactiver toutes les informations d'identification non utilisées pendant 90 jours ou plus. La désactivation ou la suppression des informations d'identification inutiles permet d'éviter que des informations d'identification associées à un compte compromis ou abandonné ne soient utilisées.

Note

Correction

Lorsque vous consultez les informations utilisateur dans la console IAM, des colonnes indiquent l'âge de la clé d'accès, l'âge du mot de passe et la dernière activité. Si la valeur dans l'une de ces colonnes est supérieure à 90 jours, rendez inactives les informations d'identification de ces utilisateurs.

Vous pouvez également utiliser les rapports d'identification pour surveiller les utilisateurs et identifier ceux qui sont restés inactifs pendant 90 jours ou plus. Vous pouvez télécharger les rapports d'identification au .csv format depuis la console IAM.

Après avoir identifié les comptes inactifs ou les informations d'identification non utilisées, désactivez-les. Pour obtenir des instructions, consultez la section Création, modification ou suppression d'un mot de passe utilisateur IAM (console) dans le guide de l'utilisateur IAM.

[IAM.9] La MFA doit être activée pour l'utilisateur root

Exigences associées : PCI DSS v3.2.1/8.3.1, CIS AWS Foundations Benchmark v3.0.0/1.5, CIS Foundations Benchmark v1.4.0/1.5, CIS AWS Foundations Benchmark v1.2.0/1.13, Nist.800-53.R5 AC-2 (1), Nist.800-53.R5 IA-2 (1), NIST.800-53.R5 IA-2 (2), IST.800-53.R5 IA-2 (6), IST.800-53.R5 IA-2 (8) AWS

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Critique

Type de ressource : AWS::::Account

Règle AWS Config : root-account-mfa-enabled

Type de calendrier : Périodique

Paramètres : Aucun

L'utilisateur root dispose d'un accès complet à tous les services et ressources d'un Compte AWS. L'authentification MFA ajoute une couche de sécurité supplémentaire, en plus d'un nom d'utilisateur et d'un mot de passe. Lorsque l'authentification multifacteur est activée, lorsqu'un utilisateur se connecte au AWS Management Console, il est invité à saisir son nom d'utilisateur et son mot de passe ainsi qu'un code d'authentification provenant de son appareil MFA AWS .

Lorsque vous utilisez le MFA virtuel pour l'utilisateur root, CIS recommande que le périphérique utilisé ne soit pas un appareil personnel. Utilisez plutôt un appareil mobile dédié (tablette ou téléphone) qui restera toujours chargé et sécurisé, indépendant de tout appareil personnel individuel. Vous limitez ainsi les risques de perte d'accès MFA suite à la perte ou à l'échange de l'appareil, ou si le propriétaire de l'appareil n'est plus employé dans l'entreprise.

Correction

Pour activer l'authentification multifacteur pour l'utilisateur root, consultez la section Activer l'authentification multifacteur pour l'utilisateur Compte AWS root dans le guide de référence sur la gestion des AWS comptes.

[IAM.10] Les politiques de mot de passe pour les utilisateurs IAM devraient avoir une durée de validité stricte AWS Config

Exigences connexes : PCI DSS v3.2.1/8.1.4, PCI DSS v3.2.1/8.2.3, PCI DSS v3.2.1/8.2.4, PCI DSS v3.2.1/8.2.5

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Moyenne

Type de ressource : AWS::::Account

Règle AWS Config : iam-password-policy

Type de calendrier : Périodique

Paramètres : Aucun

Ce contrôle vérifie si la politique de mot de passe du compte pour les utilisateurs IAM utilise les configurations PCI DSS minimales suivantes.

RequireUppercaseCharacters— Exige au moins une majuscule dans le mot de passe. (Valeur par défaut = true)
RequireLowercaseCharacters— Exige au moins une minuscule dans le mot de passe. (Valeur par défaut = true)
RequireNumbers— Exige au moins un chiffre dans le mot de passe. (Valeur par défaut = true)
MinimumPasswordLength— Longueur minimale du mot de passe. (Par défaut = 7 ou plus)
PasswordReusePrevention— Nombre de mots de passe avant d'autoriser leur réutilisation. (Par défaut = 4)
MaxPasswordAge — Nombre de jours avant l'expiration du mot de passe. (Par défaut = 90)

Correction

Pour mettre à jour votre politique de mot de passe afin d'utiliser la configuration recommandée, consultez la section Définition d'une politique de mot de passe de compte pour les utilisateurs IAM dans le guide de l'utilisateur IAM.

[IAM.11] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre majuscule

Exigences associées : CIS AWS Foundations Benchmark v1.2.0/1.5

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Moyenne

Type de ressource : AWS::::Account

Règle AWS Config : iam-password-policy

Type de calendrier : Périodique

Paramètres : Aucun

Le CIS recommande que la politique de mot de passe exige au moins une lettre majuscule. La définition d'une stratégie de complexité des mots de passe accroît la résilience des comptes en cas de tentatives de connexion en force.

Correction

Pour modifier votre politique de mot de passe, consultez la section Définition d'une politique de mot de passe de compte pour les utilisateurs IAM dans le guide de l'utilisateur IAM. Pour la sécurité du mot de passe, sélectionnez Exiger au moins une lettre majuscule de l'alphabet latin (A—Z).

[IAM.12] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre minuscule

Exigences associées : CIS AWS Foundations Benchmark v1.2.0/1.6

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Moyenne

Type de ressource : AWS::::Account

Règle AWS Config : iam-password-policy

Type de calendrier : Périodique

Paramètres : Aucun

Les stratégies de mot de passe, en partie, font appliquer les exigences de complexité des mots de passe. Utilisez les politiques de mot de passe IAM pour vous assurer que les mots de passe utilisent des jeux de caractères différents. Le CIS recommande que la politique de mot de passe exige au moins une lettre minuscule. La définition d'une stratégie de complexité des mots de passe accroît la résilience des comptes en cas de tentatives de connexion en force.

Correction

Pour modifier votre politique de mot de passe, consultez la section Définition d'une politique de mot de passe de compte pour les utilisateurs IAM dans le guide de l'utilisateur IAM. Pour renforcer le mot de passe, sélectionnez Exiger au moins une lettre minuscule de l'alphabet latin (A—Z).

[IAM.13] Assurez-vous que la politique de mot de passe IAM nécessite au moins un symbole

Exigences associées : CIS AWS Foundations Benchmark v1.2.0/1.7

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Moyenne

Type de ressource : AWS::::Account

Règle AWS Config : iam-password-policy

Type de calendrier : Périodique

Paramètres : Aucun

Le CIS recommande que la politique de mot de passe exige au moins un symbole. La définition d'une stratégie de complexité des mots de passe accroît la résilience des comptes en cas de tentatives de connexion en force.

Correction

Pour modifier votre politique de mot de passe, consultez la section Définition d'une politique de mot de passe de compte pour les utilisateurs IAM dans le guide de l'utilisateur IAM. Pour la sécurité du mot de passe, sélectionnez Exiger au moins un caractère non alphanumérique.

[IAM.14] Assurez-vous que la politique de mot de passe IAM nécessite au moins un chiffre

Exigences associées : CIS AWS Foundations Benchmark v1.2.0/1.8

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Moyenne

Type de ressource : AWS::::Account

Règle AWS Config : iam-password-policy

Type de calendrier : Périodique

Paramètres : Aucun

Le CIS recommande que la politique de mot de passe exige au moins un chiffre. La définition d'une stratégie de complexité des mots de passe accroît la résilience des comptes en cas de tentatives de connexion en force.

Correction

[IAM.15] Assurez-vous que la politique de mot de passe IAM exige une longueur de mot de passe minimale de 14 ou plus

Exigences associées : CIS AWS Foundations Benchmark v3.0.0/1.8, CIS Foundations Benchmark v1.4.0/1.8, CIS AWS Foundations Benchmark v1.2.0/1.9 AWS

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Moyenne

Type de ressource : AWS::::Account

Règle AWS Config : iam-password-policy

Type de calendrier : Périodique

Paramètres : Aucun

Le CIS recommande que la politique de mot de passe exige une longueur de mot de passe minimale de 14 caractères. La définition d'une stratégie de complexité des mots de passe accroît la résilience des comptes en cas de tentatives de connexion en force.

Correction

Pour modifier votre politique de mot de passe, consultez la section Définition d'une politique de mot de passe de compte pour les utilisateurs IAM dans le guide de l'utilisateur IAM. Pour la longueur minimale du mot de passe, entrez 14 ou un nombre supérieur.

[IAM.16] Assurez-vous que la politique de mot de passe IAM empêche la réutilisation des mots de passe

Exigences associées : CIS AWS Foundations Benchmark v3.0.0/1.9, CIS Foundations Benchmark v1.4.0/1.9, CIS AWS Foundations Benchmark v1.2.0/1.10 AWS

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Faible

Type de ressource : AWS::::Account

Règle AWS Config : iam-password-policy

Type de calendrier : Périodique

Paramètres : Aucun

Ce contrôle vérifie si le nombre de mots de passe à mémoriser est défini sur 24. Le contrôle échoue si la valeur n'est pas 24.

Les politiques de mot de passe IAM peuvent empêcher la réutilisation d'un mot de passe donné par le même utilisateur.

Le CIS recommande que la politique de mot de passe empêche la réutilisation des mots de passe. Le fait d'empêcher la réutilisation des mots de passe accroît la résilience d'un compte en cas de tentatives de connexion en force.

Correction

Pour modifier votre politique de mot de passe, consultez la section Définition d'une politique de mot de passe de compte pour les utilisateurs IAM dans le guide de l'utilisateur IAM. Pour Empêcher la réutilisation du mot de passe, entrez24.

[IAM.17] Assurez-vous que la politique de mot de passe IAM expire les mots de passe dans un délai de 90 jours ou moins

Exigences associées : CIS AWS Foundations Benchmark v1.2.0/1.11

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Faible

Type de ressource : AWS::::Account

Règle AWS Config : iam-password-policy

Type de calendrier : Périodique

Paramètres : Aucun

Les politiques de mot de passe IAM peuvent exiger la rotation ou l'expiration des mots de passe après un certain nombre de jours.

Le CIS recommande que la politique en matière de mots de passe fasse expirer les mots de passe après 90 jours ou moins. Le fait de réduire la durée de vie des mots de passe accroît la résilience d'un compte en cas de tentatives de connexion en force. Il s'avère également utile d'avoir à changer régulièrement de mot de passe dans les cas suivants :

Les mots de passe peuvent être volés ou compromis à votre insu. Cela peut se produire si un système est compromis, si un logiciel est vulnérable ou par le biais d'une menace interne.
Certains filtres web ou serveurs proxy d'entreprise et d'administrations peuvent intercepter et enregistrer le trafic, même s'il est chiffré.
De nombreuses personnes utilisent le même mot de passe pour plusieurs systèmes (ordinateurs au bureau et à domicile, messagerie électronique, etc.).
Un enregistreur de frappe peut être installé sur les postes de travail des utilisateurs finaux compromis.

Correction

Pour modifier votre politique de mot de passe, consultez la section Définition d'une politique de mot de passe de compte pour les utilisateurs IAM dans le guide de l'utilisateur IAM. Pour Activer l'expiration du mot de passe, entrez 90 ou un nombre inférieur.

[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support

Exigences associées : CIS AWS Foundations Benchmark v3.0.0/1.17, CIS Foundations Benchmark v1.4.0/1.17, CIS AWS Foundations Benchmark v1.2.0/1.20 AWS

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Faible

Type de ressource : AWS::::Account

Règle AWS Config : iam-policy-in-use

Type de calendrier : Périodique

Paramètres :

policyARN: arn:partition:iam::aws:policy/AWSSupportAccess (non personnalisable)
policyUsageType: ANY (non personnalisable)

AWS fournit un centre de support qui peut être utilisé pour la notification et la réponse aux incidents, ainsi que pour le support technique et le service client.

Créez un rôle IAM pour permettre aux utilisateurs autorisés de gérer les incidents avec AWS Support. En mettant en œuvre le moindre privilège pour le contrôle d'accès, un rôle IAM nécessitera une politique IAM appropriée pour autoriser l'accès au centre de support afin de gérer les incidents avec. AWS Support

Note

Correction

Pour résoudre ce problème, créez un rôle permettant aux utilisateurs autorisés de gérer les AWS Support incidents.

Pour créer le rôle à utiliser pour l' AWS Support accès

Ouvrez la console IAM à l’adresse https://console.aws.amazon.com/iam/.
Dans le volet de navigation IAM, choisissez Roles, puis Create role.
Pour Type de rôle, choisissez Autre Compte AWS.
Dans le champ Compte AWS ID de compte, entrez l'identifiant Compte AWS auquel vous souhaitez accorder l'accès à vos ressources.

Si les utilisateurs ou les groupes qui assument ce rôle se trouvent dans le même compte, entrez le numéro de compte local.

Note
L'administrateur du compte spécifié peut accorder l'autorisation d'assumer ce rôle à n'importe quel utilisateur de ce compte. Pour ce faire, l'administrateur attache une politique à l'utilisateur ou à un groupe qui donne l'autorisation pour l'action sts:AssumeRole. Dans cette stratégie, la ressource doit être l'ARN du rôle.
Sélectionnez Next: Permissions (Étape suivante : autorisations).
Recherchez la stratégie gérée AWSSupportAccess.
Activez la case à cocher de la stratégie AWSSupportAccess gérée.
Choisissez Suivant : Balises.
(Facultatif) Pour ajouter des métadonnées au rôle, associez des balises sous forme de paires clé-valeur.

Pour plus d'informations sur l'utilisation des balises dans IAM, consultez Balisage des utilisateurs et des rôles IAM dans le Guide de l'utilisateur IAM.
Choisissez Suivant : vérification.
Dans le champ Role name (Nom de rôle), saisissez un nom pour votre rôle.

Les noms de rôles doivent être uniques au sein de votre Compte AWS. Elles ne sont pas sensibles à la casse.
(Facultatif) Dans le champ Description du rôle, saisissez la description du nouveau rôle.
Passez en revue les informations du rôle, puis choisissez Create role (Créer un rôle).

Afficher plus

Afficher moins

[IAM.19] Le MFA doit être activé pour tous les utilisateurs IAM

Exigences connexes : PCI DSS v3.2.1/8.3.1, nIST.800-53.R5 AC-2 (1), nIST.800-53.R5 AC-3 (15), NIST.800-53.R5 IA-2 (1), nIST.800-53.R5 IA-2 (2), NIST.800-53.R5 IA-2 (6), NIST.800-53.R5 IA-2 (8)

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Moyenne

Type de ressource : AWS::IAM::User

Règle AWS Config : iam-user-mfa-enabled

Type de calendrier : Périodique

Paramètres : Aucun

Ce contrôle vérifie si l'authentification multifactorielle (MFA) est activée pour les utilisateurs IAM.

Note

Correction

Pour ajouter l'authentification MFA pour les utilisateurs IAM, consultez la section Activation des appareils MFA pour les utilisateurs AWS dans le guide de l'utilisateur IAM.

[IAM.20] Évitez d'utiliser l'utilisateur root

Important

Security Hub a retiré ce contrôle en avril 2024. Pour plus d’informations, consultez Journal des modifications pour les contrôles du Security Hub.

Exigences associées : CIS AWS Foundations Benchmark v1.2.0/1.1

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Faible

Type de ressource : AWS::IAM::User

AWS Config règle : use-of-root-account-test (règle Security Hub personnalisée)

Type de calendrier : Périodique

Paramètres : Aucun

Ce contrôle vérifie si un utilisateur root Compte AWS est soumis à des restrictions d'utilisation. Le contrôle évalue les ressources suivantes :

Rubriques Amazon Simple Notification Service (Amazon SNS)
AWS CloudTrail sentiers
Filtres métriques associés aux CloudTrail sentiers
CloudWatch Alarmes Amazon basées sur les filtres

Cette vérification permet de FAILED déterminer si une ou plusieurs des affirmations suivantes sont vraies :

Aucune CloudTrail trace n'existe dans le compte.
Un suivi CloudTrail est activé, mais il n'est pas configuré avec au moins un suivi multirégional incluant des événements de gestion de lecture et d'écriture.
Un suivi CloudTrail est activé, mais il n'est pas associé à un groupe de CloudWatch journaux Logs.
Le filtre métrique exact prescrit par le Center for Internet Security (CIS) n'est pas utilisé. Le filtre métrique prescrit est'{$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}'.
Aucune CloudWatch alarme basée sur le filtre métrique n'existe dans le compte.
CloudWatch les alarmes configurées pour envoyer une notification à la rubrique SNS associée ne se déclenchent pas en fonction de la condition de l'alarme.
La rubrique SNS n'est pas conforme aux contraintes d'envoi d'un message à une rubrique SNS.
La rubrique SNS n'a pas au moins un abonné.

Cette vérification donne lieu à un statut de contrôle indiquant NO_DATA si une ou plusieurs des affirmations suivantes sont vraies :

Un sentier multirégional est basé dans une région différente. Security Hub ne peut générer des résultats que dans la région où le sentier est basé.
Un sentier multirégional appartient à un compte différent. Security Hub peut uniquement générer des résultats pour le compte propriétaire de la piste.

Cette vérification donne lieu à un statut de contrôle indiquant WARNING si une ou plusieurs des affirmations suivantes sont vraies :

Le compte courant ne possède pas la rubrique SNS référencée dans l' CloudWatch alarme.
Le compte actuel n'a pas accès à la rubrique SNS lorsqu'il appelle l'API ListSubscriptionsByTopic SNS.

Note

Nous vous recommandons d'utiliser les traces d'organisation pour enregistrer les événements provenant de nombreux comptes d'une organisation. Les parcours d'organisation sont des sentiers multirégionaux par défaut et ne peuvent être gérés que par le compte AWS Organizations de gestion ou le compte d'administrateur CloudTrail délégué. L'utilisation d'un suivi de l'organisation aboutit à un statut de contrôle NO_DATA pour les contrôles évalués dans les comptes des membres de l'organisation. Dans les comptes membres, Security Hub génère uniquement des résultats pour les ressources appartenant aux membres. Les résultats relatifs aux parcours de l'organisation sont générés dans le compte du propriétaire de la ressource. Vous pouvez consulter ces résultats dans votre compte d'administrateur délégué Security Hub en utilisant l'agrégation entre régions.

Il est recommandé d'utiliser les informations d'identification de votre utilisateur root uniquement lorsque cela est nécessaire pour effectuer des tâches de gestion des comptes et des services. Appliquez les politiques IAM directement aux groupes et aux rôles, mais pas aux utilisateurs. Pour obtenir des instructions sur la configuration d'un administrateur pour une utilisation quotidienne, consultez la section Création de votre premier utilisateur et de votre premier groupe d'administrateurs IAM dans le guide de l'utilisateur IAM.

Correction

Les étapes pour résoudre ce problème incluent la configuration d'une rubrique Amazon SNS, CloudTrail d'un journal, d'un filtre métrique et d'une alarme pour le filtre métrique.

Pour créer une rubrique Amazon SNS

Ouvrez la console Amazon SNS à partir de l’adresse https://console.aws.amazon.com/sns/v3/home.
Créez une rubrique Amazon SNS qui reçoit toutes les alarmes CIS.

Créez au moins un abonné à la rubrique. Pour plus d'informations, consultez Prise en main d'Amazon SNS dans le Guide du développeur Amazon Simple Notification Service.

Ensuite, configurez une option active CloudTrail qui s'applique à toutes les régions. Pour cela, suivez les étapes de correction dans [CloudTrail.1] CloudTrail doit être activé et configuré avec au moins un journal multirégional incluant des événements de gestion de lecture et d'écriture.

Notez le nom du groupe de CloudWatch journaux Logs que vous associez au CloudTrail parcours. Vous créez le filtre métrique pour ce groupe de journaux.

Enfin, créez le filtre métrique et l'alarme.

Pour créer un filtre de métrique et une alarme

Ouvrez la CloudWatch console à l'adresse https://console.aws.amazon.com/cloudwatch/.
Dans le panneau de navigation, choisissez Groupes de journaux.
Cochez la case correspondant au groupe de CloudWatch journaux Logs associé au journal CloudTrail que vous avez créé.
Dans Actions, choisissez Create Metric Filter.
Sous Définir le modèle, procédez comme suit :
1. Copiez le modèle suivant, puis collez-le dans le champ Modèle de filtre.
```
{$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}
```
2. Choisissez Suivant.
Sous Affecter une métrique, procédez comme suit :
1. Dans Nom du filtre, entrez le nom de votre filtre métrique.
2. Pour Metric Namespace, entrezLogMetrics.
  
  Si vous utilisez le même espace de noms pour tous vos filtres de métriques de log CIS, toutes les métriques CIS Benchmark sont regroupées.
3. Dans Nom de la métrique, entrez le nom de la métrique. N'oubliez pas le nom de la métrique. Vous devrez sélectionner la métrique lorsque vous créerez l'alarme.
4. Pour Valeur de la métrique, saisissez 1.
5. Choisissez Suivant.
Sous Vérifier et créer, vérifiez les informations que vous avez fournies pour le nouveau filtre métrique. Choisissez ensuite Créer un filtre métrique.
Dans le volet de navigation, choisissez Log groups, puis choisissez le filtre que vous avez créé sous Filtres métriques.
Cochez la case correspondant au filtre. Sélectionnez Créer une alerte.
Sous Spécifier la métrique et les conditions, procédez comme suit :
1. Sous Conditions, dans le champ Seuil, sélectionnez Static.
2. Pour Définir la condition de l'alarme, choisissez Greater/Equal.
3. Pour Définir la valeur de seuil, entrez1.
4. Choisissez Suivant.
Sous Configurer les actions, procédez comme suit :
1. Sous Déclencheur d'état d'alarme, choisissez En alarme.
2. Sous Select an SNS topic (Sélectionner une rubrique SNS), choisissez Select an existing SNS topic (Sélectionner une rubrique SNS existante).
3. Pour Envoyer une notification à, entrez le nom de la rubrique SNS que vous avez créée lors de la procédure précédente.
4. Choisissez Suivant.
Sous Ajouter un nom et une description, entrez un nom et une description pour l'alarme, tels queCIS-1.1-RootAccountUsage. Ensuite, sélectionnez Suivant.
Sous Prévisualiser et créer, passez en revue la configuration de l'alarme. Ensuite, choisissez Créer une alarme.

Afficher plus

Afficher moins

[IAM.21] Les politiques gérées par le client IAM que vous créez ne doivent pas autoriser les actions génériques pour les services

Exigences connexes : NIST.800-53.R5 AC-2, NIST.800-53.R5 AC-2 (1), NIST.800-53.R5 AC-3, NIST.800-53.R5 AC-3 (15), NIST.800-53.R5 AC-3 (7), NIST.800-53.R5 AC-5, NIST.800-53.R5 AC-6 (10), NIST.800-53.R5 AC-6 (2), NIST.800-53.R5 AC-6 (3)

Catégorie : Détecter > Gestion des accès sécurisés

Gravité : Faible

Type de ressource : AWS::IAM::Policy

Règle AWS Config : iam-policy-no-statements-with-full-access

Type de calendrier : changement déclenché

Paramètres :

excludePermissionBoundaryPolicy: True (non personnalisable)

Ce contrôle vérifie si les politiques basées sur l'identité IAM que vous créez comportent des instructions Allow qui utilisent le caractère générique* pour accorder des autorisations pour toutes les actions sur n'importe quel service. Le contrôle échoue si une déclaration de politique inclut la mention « "Effect": "Allow" with "Action": "Service:*" ».

Par exemple, l'instruction suivante dans une politique entraîne un échec de recherche.


"Statement": [
{
  "Sid": "EC2-Wildcard",
  "Effect": "Allow",
  "Action": "ec2:*",
  "Resource": "*"
}

Le contrôle échoue également si vous utilisez "Effect": "Allow" avec"NotAction": "service:*". Dans ce cas, l'NotActionélément donne accès à toutes les actions d'un Service AWS, à l'exception des actions spécifiées dansNotAction.

Ce contrôle s'applique uniquement aux politiques IAM gérées par le client. Elle ne s'applique pas aux politiques IAM gérées par AWS.

Lorsque vous attribuez des autorisations à Services AWS, il est important de définir les actions IAM autorisées dans vos politiques IAM. Vous devez limiter les actions IAM aux seules actions nécessaires. Cela vous permet d'octroyer des autorisations avec le moindre privilège. Des politiques trop permissives peuvent entraîner une augmentation des privilèges si elles sont associées à un principal IAM qui n'a peut-être pas besoin d'autorisation.

Dans certains cas, vous souhaiterez peut-être autoriser les actions IAM qui ont un préfixe similaire, tel que DescribeFlowLogs et. DescribeAvailabilityZones Dans ces cas autorisés, vous pouvez ajouter un caractère générique suffixé au préfixe commun. Par exemple, ec2:Describe*.

Ce contrôle passe si vous utilisez une action IAM préfixée avec un caractère générique suffixé. Par exemple, l'instruction suivante figurant dans une politique aboutit à un résultat positif.


"Statement": [
{
  "Sid": "EC2-Wildcard",
  "Effect": "Allow",
  "Action": "ec2:Describe*",
  "Resource": "*"
}

Lorsque vous regroupez les actions IAM associées de cette manière, vous pouvez également éviter de dépasser les limites de taille de la politique IAM.

Note

Correction

Pour remédier à ce problème, mettez à jour vos politiques IAM afin qu'elles n'accordent pas de privilèges administratifs « * » complets. Pour plus de détails sur la modification d'une stratégie IAM, consultez la section Modification des politiques IAM dans le Guide de l'utilisateur IAM.

[IAM.22] Les informations d'identification d'utilisateur IAM non utilisées pendant 45 jours doivent être supprimées

Exigences associées : CIS AWS Foundations Benchmark v3.0.0/1.12, CIS Foundations Benchmark v1.4.0/1.12 AWS

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Moyenne

Type de ressource : AWS::IAM::User

AWS Config règle : iam-user-unused-credentials-check

Type de calendrier : Périodique

Paramètres : Aucun

Ce contrôle vérifie si vos utilisateurs IAM ont des mots de passe ou des clés d'accès actives qui n'ont pas été utilisés depuis 45 jours ou plus. Pour cela, il vérifie si le maxCredentialUsageAge paramètre de la AWS Config règle est égal ou supérieur à 45.

Les utilisateurs peuvent accéder aux AWS ressources à l'aide de différents types d'informations d'identification, tels que des mots de passe ou des clés d'accès.

CIS vous recommande de supprimer ou de désactiver toutes les informations d'identification non utilisées depuis 45 jours ou plus. La désactivation ou la suppression des informations d'identification inutiles permet d'éviter que des informations d'identification associées à un compte compromis ou abandonné ne soient utilisées.

La AWS Config règle de ce contrôle utilise les opérations de l'GenerateCredentialReportAPI GetCredentialReportet, qui ne sont mises à jour que toutes les quatre heures. Les modifications apportées aux utilisateurs IAM peuvent prendre jusqu'à quatre heures pour être visibles par ce contrôle.

Note

AWS Config doit être activé dans toutes les régions dans lesquelles vous utilisez Security Hub. Cependant, vous pouvez activer l'enregistrement des ressources mondiales dans une seule région. Si vous enregistrez uniquement des ressources globales dans une seule région, vous pouvez désactiver ce contrôle dans toutes les régions, à l'exception de la région dans laquelle vous enregistrez des ressources globales.

Correction

Lorsque vous consultez les informations utilisateur dans la console IAM, des colonnes indiquent l'âge de la clé d'accès, l'âge du mot de passe et la dernière activité. Si la valeur de l'une de ces colonnes est supérieure à 45 jours, désactivez les informations d'identification de ces utilisateurs.

Vous pouvez également utiliser les rapports d'identification pour surveiller les utilisateurs et identifier ceux qui sont restés inactifs pendant 45 jours ou plus. Vous pouvez télécharger les rapports d'identification au .csv format depuis la console IAM.

[IAM.23] Les analyseurs IAM Access Analyzer doivent être étiquetés

Catégorie : Identifier > Inventaire > Étiquetage

Gravité : Faible

Type de ressource : AWS::AccessAnalyzer::Analyzer

AWS Config règle : tagged-accessanalyzer-analyzer (règle Security Hub personnalisée)

Type de calendrier : changement déclenché

Paramètres :

Paramètre	Description	Type	Valeurs personnalisées autorisées	Valeur par défaut de Security Hub
`requiredTagKeys`	Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse.	StringList	Liste des tags répondant aux AWS exigences	`No default value`

Ce contrôle vérifie si un analyseur géré par AWS Identity and Access Management Access Analyzer (IAM Access Analyzer) possède des balises avec les clés spécifiques définies dans le paramètre. requiredTagKeys Le contrôle échoue si l'analyseur ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètrerequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si l'analyseur n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.

Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi sert ABAC ? AWS dans le guide de l'utilisateur IAM.

Note

N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de vos AWS ressources dans le. Références générales AWS

Correction

Pour ajouter des balises à un analyseur, reportez-vous TagResourceà la référence de l'AWS API IAM Access Analyzer.

[IAM.24] Les rôles IAM doivent être balisés

Catégorie : Identifier > Inventaire > Étiquetage

Gravité : Faible

Type de ressource : AWS::IAM::Role

AWS Config règle : tagged-iam-role (règle Security Hub personnalisée)

Type de calendrier : changement déclenché

Paramètres :

Paramètre	Description	Type	Valeurs personnalisées autorisées	Valeur par défaut de Security Hub
`requiredTagKeys`	Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse.	StringList	Liste des tags répondant aux AWS exigences	`No default value`

Ce contrôle vérifie si un rôle AWS Identity and Access Management (IAM) possède des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys. Le contrôle échoue si le rôle ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètrerequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le rôle n'est associé à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.

Note

Correction

Pour ajouter des balises à un rôle IAM, consultez la section Marquage des ressources IAM dans le guide de l'utilisateur IAM.

[IAM.25] Les utilisateurs IAM doivent être étiquetés

Catégorie : Identifier > Inventaire > Étiquetage

Gravité : Faible

Type de ressource : AWS::IAM::User

AWS Config règle : tagged-iam-user (règle Security Hub personnalisée)

Type de calendrier : changement déclenché

Paramètres :

Paramètre	Description	Type	Valeurs personnalisées autorisées	Valeur par défaut de Security Hub
`requiredTagKeys`	Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse.	StringList	Liste des tags répondant aux AWS exigences	`No default value`

Ce contrôle vérifie si un utilisateur AWS Identity and Access Management (IAM) possède des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys. Le contrôle échoue si l'utilisateur ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètrerequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si l'utilisateur n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.

Note

Correction

Pour ajouter des balises à un utilisateur IAM, consultez la section Marquage des ressources IAM dans le guide de l'utilisateur IAM.

[IAM.26] Les certificats SSL/TLS expirés gérés dans IAM doivent être supprimés

Exigences connexes : CIS AWS Foundations Benchmark v3.0.0/1.19

Catégorie : Identifier > Conformité

Gravité : Moyenne

Type de ressource : AWS::IAM::ServerCertificate

AWS Config règle : iam-server-certificate-expiration-check

Type de calendrier : Périodique

Paramètres : Aucun

Cela permet de vérifier si un certificat de serveur SSL/TLS actif géré dans IAM a expiré. Le contrôle échoue si le certificat de serveur SSL/TLS expiré n'est pas supprimé.

Pour activer les connexions HTTPS à votre site Web ou à votre application AWS, vous avez besoin d'un certificat de serveur SSL/TLS. Vous pouvez utiliser IAM ou AWS Certificate Manager (ACM) pour stocker et déployer des certificats de serveur. Utilisez IAM comme gestionnaire de certificats uniquement lorsque vous devez prendre en charge les connexions HTTPS dans un environnement Région AWS qui n'est pas pris en charge par ACM. IAM chiffre en toute sécurité vos clés privées et stocke la version chiffrée dans le magasin de certificats SSL IAM. IAM prend en charge le déploiement de certificats de serveur dans toutes les régions, mais vous devez obtenir votre certificat auprès d'un fournisseur externe pour pouvoir l'utiliser avec AWS. Vous ne pouvez pas télécharger de certificat ACM vers IAM. En outre, vous ne pouvez pas gérer vos certificats depuis la console IAM. La suppression des certificats SSL/TLS expirés élimine le risque qu'un certificat non valide soit accidentellement déployé sur une ressource, ce qui peut nuire à la crédibilité de l'application ou du site Web sous-jacent.

Correction

Pour supprimer un certificat de serveur d'IAM, consultez la section Gestion des certificats de serveur dans IAM dans le guide de l'utilisateur d'IAM.

[IAM.27] La politique ne doit pas être attachée aux identités IAM AWSCloudShellFullAccess

Exigences connexes : CIS AWS Foundations Benchmark v3.0.0/1.22

Catégorie : Protection > Gestion des accès sécurisés > Politiques IAM sécurisées

Gravité : Moyenne

Type de ressource :AWS::IAM::Role,AWS::IAM::User, AWS::IAM::Group

AWS Config règle : iam-policy-blacklisted-check

Type de calendrier : changement déclenché

Paramètres :

« PolicYarns » : « arn:aws:iam : :aws:policy/, arn:aws-cn:iam : :aws:policy/, arn ::iam : AWSCloudShellFullAccess :aws:policy/ » AWSCloudShellFullAccess aws-us-gov AWSCloudShellFullAccess

Ce contrôle vérifie si la politique AWS gérée est AWSCloudShellFullAccess attachée à une identité IAM (utilisateur, rôle ou groupe). Le contrôle échoue si la AWSCloudShellFullAccess politique est attachée à une identité IAM.

AWS CloudShell fournit un moyen pratique d'exécuter des commandes CLI sur Services AWS. La politique AWS gérée AWSCloudShellFullAccess fournit un accès complet à CloudShell, ce qui permet de charger et de télécharger des fichiers entre le système local de l'utilisateur et l' CloudShell environnement. Dans l' CloudShell environnement, un utilisateur dispose d'autorisations sudo et peut accéder à Internet. Par conséquent, l'association de cette politique gérée à une identité IAM leur permet d'installer un logiciel de transfert de fichiers et de transférer des données CloudShell vers des serveurs Internet externes. Nous vous recommandons de suivre le principe du moindre privilège et d'attribuer des autorisations plus restreintes à vos identités IAM.

Correction

Pour dissocier la AWSCloudShellFullAccess politique d'une identité IAM, consultez la section Ajouter et supprimer des autorisations d'identité IAM dans le guide de l'utilisateur IAM.

[IAM.28] L'analyseur d'accès externe IAM Access Analyzer doit être activé

Exigences connexes : CIS AWS Foundations Benchmark v3.0.0/1.20

Catégorie : Détecter > Services de détection > Surveillance des utilisations privilégiées

Gravité : Élevée

Type de ressource : AWS::AccessAnalyzer::Analzyer

AWS Config règle : iam-external-access-analyzer-enabled

Type de calendrier : Périodique

Paramètres : Aucun

Ce contrôle vérifie si un analyseur Compte AWS d'accès externe IAM Access Analyzer est activé. Le contrôle échoue si aucun analyseur d'accès externe n'est activé sur le compte actuellement sélectionné Région AWS.

Les analyseurs d'accès externes d'IAM Access Analyzer aident à identifier les ressources de votre organisation et de vos comptes, telles que les buckets Amazon Simple Storage Service (Amazon S3) ou les rôles IAM, qui sont partagées avec une entité externe. Cela vous permet d'éviter tout accès involontaire à vos ressources et à vos données. L'analyseur d'accès IAM est régional et doit être activé dans chaque région. Pour identifier les ressources partagées avec des principaux externes, un analyseur d'accès utilise un raisonnement basé sur la logique pour analyser les politiques basées sur les ressources dans votre environnement. AWS Lorsque vous activez un analyseur d'accès externe, vous créez un analyseur pour l'ensemble de votre organisation ou de votre compte.

Correction

Pour activer un analyseur d'accès externe dans une région spécifique, consultez la section Activation de l'analyseur d'accès IAM dans le guide de l'utilisateur IAM. Vous devez activer un analyseur dans chaque région dans laquelle vous souhaitez contrôler l'accès à vos ressources.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

GuardDuty commandes

AWS IoT commandes