[IAM.1] Les politiques IAM ne devraient pas autoriser des privilèges administratifs « * » complets [IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM [IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins [IAM.4] La clé d'accès de l'utilisateur root IAM ne doit pas exister [IAM.5] L’authentification multi-facteurs (MFA) doit être activée pour tous les utilisateurs IAM disposant d'un mot de passe de console [IAM.6] Le périphérique MFA matériel doit être activé pour l'utilisateur racine [IAM.7] Les politiques de mot de passe pour les utilisateurs IAM devraient avoir une durée de validité stricte AWS Config [IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées [IAM.9] La MFA doit être activée pour l'utilisateur root [IAM.10] Les politiques relatives aux mots de passe pour les utilisateurs IAM devraient avoir une durée de validité stricte AWS Config [IAM.11] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre majuscule [IAM.12] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre minuscule [IAM.13] Assurez-vous que la politique de mot de passe IAM nécessite au moins un symbole [IAM.14] Assurez-vous que la politique de mot de passe IAM nécessite au moins un chiffre [IAM.15] Assurez-vous que la politique de mot de passe IAM exige une longueur de mot de passe minimale de 14 ou plus [IAM.16] Assurez-vous que la politique de mot de passe IAM empêche la réutilisation des mots de passe [IAM.17] Assurez-vous que la politique de mot de passe IAM expire les mots de passe dans un délai de 90 jours ou moins [IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support [IAM.19] Le MFA doit être activé pour tous les utilisateurs IAM [IAM.20] Évitez d'utiliser l'utilisateur root [IAM.21] Les politiques gérées par le client IAM que vous créez ne doivent pas autoriser les actions génériques pour les services [IAM.22] Les informations d'identification d'utilisateur IAM non utilisées pendant 45 jours doivent être supprimées

AWS Identity and Access Managementcommandes

Ces contrôles sont liés aux ressources IAM.

Il est possible que ces commandes ne soient pas toutes disponiblesRégions AWS. Pour plus d'informations, veuillez consulter Disponibilité des contrôles par région.

[IAM.1] Les politiques IAM ne devraient pas autoriser des privilèges administratifs « * » complets

Exigences connexes : PCI DSS v3.2.1/7.2.1, CIS AWS Foundations Benchmark v1.2.0/1.22, CIS Foundations Benchmark v1.4.0/1.16, Nist.800-53.R5 AC-2, Nist.800-53.R5 AC-2 (1), Nist.800-53.R5 AC-3 (15), Nist.800-53.R5 AC-3 (7), NIST.800-53.R5 AC-3 (7), Nist.800-800-53,R5 AC-5, NIST.800-53.R5 AC-6, NIST.800-53.R5 AC-6 (10), NIST.800-53.R5 AC-6 (2), NIST.800-53.R5 AC-6 (3) AWS

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Élevée

Type de ressource : AWS::IAM::Policy

Règle AWS Config : iam-policy-no-statements-with-admin-access

Type de calendrier : changement déclenché

Paramètres :

excludePermissionBoundaryPolicy: true

Ce contrôle vérifie si la version par défaut des politiques IAM (également appelées politiques gérées par le client) dispose d'un accès administrateur en incluant une instruction "Effect": "Allow" avec "Action": "*" over"Resource": "*". Le contrôle échoue si vous disposez de politiques IAM comportant une telle déclaration.

Le contrôle vérifie uniquement les stratégies gérées par le client que vous créez. Il ne vérifie pas les politiques intégrées et AWS gérées.

Les politiques IAM définissent un ensemble de privilèges accordés aux utilisateurs, aux groupes ou aux rôles. En suivant les conseils de sécurité standard, AWS vous recommande d'accorder le moindre privilège, ce qui signifie d'accorder uniquement les autorisations requises pour exécuter une tâche. Si vous accordez des privilèges d'administrateur complets plutôt qu'un jeu d'autorisations minimal dont l’utilisateur a besoin, les ressources risquent d'être exposées à des actions potentiellement indésirables.

Déterminez quelles tâches doivent accomplir les utilisateurs, puis créez des stratégies pour permettre à ces derniers de réaliser uniquement ces tâches, plutôt que de leur accorder des privilèges d'administrateur complets. Il est plus sûr de commencer avec un minimum d'autorisations et d’en accordez d'autres si nécessaire. Ne commencez pas avec des autorisations trop permissives, pour essayer de les restreindre plus tard.

Vous devez supprimer les politiques IAM comportant une instruction "Effect": "Allow" avec "Action": "*" over"Resource": "*".

Note

AWS Configdoit être activé dans toutes les régions dans lesquelles vous utilisez Security Hub. Cependant, l'enregistrement des ressources globales peut être activé dans une seule région. Si vous enregistrez uniquement des ressources globales dans une seule région, vous pouvez désactiver ce contrôle dans toutes les régions, à l'exception de la région dans laquelle vous enregistrez des ressources globales.

Correction

Pour modifier vos politiques IAM afin qu'elles n'accordent pas tous les privilèges administratifs « * », consultez la section Modification des politiques IAM dans le Guide de l'utilisateur IAM.

[IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM

Exigences connexes : PCI DSS v3.2.1/7.2.1, CIS AWS Foundations Benchmark v1.2.0/1.16, Nist.800-53.R5 AC-2, Nist.800-53.R5 AC-2 (1), Nist.800-53.R5 AC-3, Nist.800-53.R5 AC-3 (15), NIST.800-53.R5 AC-3 (7), NIST.800-53.R5 AC-6, Nist.800-53.R5 AC-6, Nist.800-53.R5 800-53.R5 AC-6 (3)

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Faible

Type de ressource : AWS::IAM::User

Règle AWS Config : iam-user-no-policies-check

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si des politiques sont associées à vos utilisateurs IAM. Le contrôle échoue si des politiques sont associées à vos utilisateurs IAM. Les utilisateurs IAM doivent plutôt hériter des autorisations des groupes IAM ou assumer un rôle.

Par défaut, les utilisateurs, les groupes et les rôles IAM n'ont aucun accès aux AWS ressources. Les politiques IAM accordent des privilèges aux utilisateurs, aux groupes ou aux rôles. Nous vous recommandons d'appliquer les politiques IAM directement aux groupes et aux rôles, mais pas aux utilisateurs. L'attribution de privilèges au niveau du groupe ou du rôle réduit la complexité de la gestion des accès au fur et à mesure que le nombre d'utilisateurs augmente. La simplification de la gestion des accès peut contribuer à réduire les chances pour un mandataire de recevoir ou de conserver par inadvertance des privilèges excessifs.

Note

Les utilisateurs IAM créés par Amazon Simple Email Service sont automatiquement créés à l'aide de politiques intégrées. Security Hub exempte automatiquement ces utilisateurs de ce contrôle.

Correction

Pour résoudre ce problème, créez un groupe IAM et associez la politique au groupe. Ajoutez ensuite les utilisateurs au groupe. La stratégie est appliquée à chaque utilisateur du groupe. Pour supprimer une politique directement attachée à un utilisateur, consultez la section Ajout et suppression d'autorisations d'identité IAM dans le guide de l'utilisateur IAM.

[IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins

Exigences associées : CIS AWS Foundations Benchmark v1.2.0/1.4, CIS AWS Foundations Benchmark v1.4.0/1.14, NIST.800-53.R5 AC-2 (1), NIST.800-53.R5 AC-2 (3), NIST.800-53.R5 AC-3 (15)

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Moyenne

Type de ressource : AWS::IAM::User

Règle AWS Config : access-keys-rotated

Type de calendrier : Périodique

Paramètres :

maxAccessKeyAge : 90

Ce contrôle vérifie si les clés d'accès actives font l’objet d’une rotation dans un délai de 90 jours.

Nous vous recommandons vivement de ne pas générer et de supprimer toutes les clés d'accès de votre compte. La meilleure pratique recommandée consiste plutôt à créer un ou plusieurs rôles IAM ou à utiliser la fédération via AWS IAM Identity Center la fédération. Vous pouvez utiliser ces méthodes pour permettre à vos utilisateurs d'accéder au AWS Management Console etAWS CLI.

Chaque approche a ses cas d'utilisation. La fédération est généralement préférable pour les entreprises qui disposent d'un annuaire central existant ou qui prévoient d'avoir besoin d'une quantité supérieure à la limite actuelle d'utilisateurs IAM. Les applications qui s'exécutent en dehors d'un AWS environnement ont besoin de clés d'accès pour accéder aux AWS ressources par programmation.

Toutefois, si les ressources nécessitant un accès par programmation s'exécutent au sein d’AWS, la bonne pratique consiste à utiliser des rôles IAM. Les rôles vous permettent d'accorder un accès à une ressource sans coder en dur un ID de clé d'accès et une clé d'accès secrète dans la configuration.

Pour en savoir plus sur la protection de vos clés d'accès et votre compte, consultez Bonnes pratiques de gestion des clés d'accès AWS dans le Références générales AWS. Consultez également le billet de blog Directives pour vous protéger Compte AWS lors de l'utilisation de l'accès programmatique.

Si vous possédez déjà une clé d'accès, Security Hub vous recommande de changer les clés d'accès tous les 90 jours. La rotation des clés d'accès permet de réduire les possibilités qu'une clé d'accès associée à un compte compromis ou résilié ne soit utilisée. Elle permet également de s’assurer qu'il n'est pas possible d'accéder aux données avec une ancienne clé qui peut avoir été perdue, compromise ou volée. Mettez toujours à jour vos applications après avoir exécuté la rotation des clés d'accès.

Les clés d'accès sont constituées d'un ID de clé d'accès et une clé d'accès secrète. Ils sont utilisés pour signer les demandes programmatiques que vous envoyez àAWS. Les utilisateurs ont besoin de leurs propres clés d'accès pour effectuer des appels programmatiques AWS depuis les AWS CLI outils pour Windows PowerShell, les AWS SDK, ou des appels HTTP directs à l'aide des opérations d'API individuelles. Services AWS

Si votre organisation utilise AWS IAM Identity Center (IAM Identity Center), vos utilisateurs peuvent se connecter à Active Directory, à un annuaire IAM Identity Center intégré ou à un autre fournisseur d'identité (IdP) connecté à IAM Identity Center. Ils peuvent ensuite être mappés à un rôle IAM qui leur permet d'exécuter des AWS CLI commandes ou d'appeler des opérations d'AWSAPI sans avoir besoin de clés d'accès. Pour en savoir plus, consultez la section Configuration du AWS CLI à utiliser AWS IAM Identity Center dans le guide de AWS Command Line Interface l'utilisateur.

Note

Correction

Pour effectuer une rotation des clés d'accès datant de plus de 90 jours, voir Rotation des clés d'accès dans le guide de l'utilisateur d'IAM. Suivez les instructions pour tout utilisateur dont l'âge de la clé d'accès est supérieur à 90 jours.

[IAM.4] La clé d'accès de l'utilisateur root IAM ne doit pas exister

Exigences connexes : PCI DSS v3.2.1/2.1, PCI DSS v3.2.1/2.2, PCI DSS v3.2.1/7.2.1, CIS AWS Foundations Benchmark v1.2.0/1.12, CIS Foundations Benchmark v1.4.0/1.4, Nist.800-53.R5 AC-2 (1), NIST.800-53.R5 AC-3 (15), NIST.800-53.R5 AC-3 (7), NIST.800-53.R5 R5 AC-6, NIST.800-53.R5 AC-6 (10), NIST.800-53.R5 AC-6 (2) AWS

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Critique

Type de ressource : AWS::::Account

Règle AWS Config : iam-root-access-key-check

Type de calendrier : Périodique

Paramètres : Aucun

Ce contrôle vérifie si la clé d'accès de l'utilisateur root est présente.

L'utilisateur root est l'utilisateur le plus privilégié d'unCompte AWS. AWSles clés d'accès fournissent un accès programmatique à un compte donné.

Security Hub recommande de supprimer toutes les clés d'accès associées à l'utilisateur root. Cela limite les vecteurs qui peuvent être utilisés pour compromettre votre compte. Cela incite également à créer et à utiliser comptes basés sur des rôles avec moins de privilèges.

Correction

Pour supprimer la clé d'accès de l'utilisateur root, consultez la section Suppression des clés d'accès de l'utilisateur root dans le guide de l'utilisateur IAM. Pour supprimer les clés d'accès utilisateur root d'une entrée Compte AWSAWS GovCloud (US), voir Supprimer les clés d'accès utilisateur root de mon AWS GovCloud (US) compte dans le guide de AWS GovCloud (US) l'utilisateur.

[IAM.5] L’authentification multi-facteurs (MFA) doit être activée pour tous les utilisateurs IAM disposant d'un mot de passe de console

Exigences connexes : CIS AWS Foundations Benchmark v1.2.0/1.2, CIS AWS Foundations Benchmark v1.4.0/1.10, NIST.800-53.R5 AC-2 (1), NIST.800-53.R5 AC-3 (15), NIST.800-53.R5 IA-2 (1), NIST.800-53.R5 IA-2 (6), NIST.800-53.R5 IA-2 (8)

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Moyenne

Type de ressource : AWS::IAM::User

Règle AWS Config : mfa-enabled-for-iam-console-access

Type de calendrier : Périodique

Paramètres : Aucun

Ce contrôle vérifie si l'authentification AWS multifactorielle (MFA) est activée pour tous les utilisateurs IAM qui utilisent un mot de passe de console.

L'authentification multi-facteurs (MFA, Multi-Factor Authentication) ajoute une couche de sécurité supplémentaire, en plus d'un nom d'utilisateur et d'un mot de passe. Si Multi-Factor Authentication (MFA) est activée, lorsqu'un utilisateur se connecte à un site web AWS, il est invité à saisir son nom d'utilisateur et son mot de passe. En outre, ils sont invités à entrer un code d'authentification à partir de leur périphérique MFA AWS.

Nous vous recommandons d'activer l'authentification MFA pour tous les comptes disposant d'un mot de passe de console. L’authentification MFA est conçue pour fournir une sécurité accrue pour l'accès à la console. Le mandataire d'authentification doit posséder un dispositif qui émet une clé sensible au temps et connaître des informations d’identification.

Note

Correction

Pour ajouter une authentification MFA pour les utilisateurs IAM, consultez la section Utilisation de l'authentification multifactorielle (MFA) dans AWS le guide de l'utilisateur IAM.

Nous offrons une clé de sécurité MFA gratuite aux clients éligibles. Vérifiez si vous êtes éligible et commandez votre clé gratuite.

[IAM.6] Le périphérique MFA matériel doit être activé pour l'utilisateur racine

Exigences associées : PCI DSS v3.2.1/8.3.1, CIS AWS Foundations Benchmark v1.2.0/1.14, CIS Foundations Benchmark v1.4.0/1.6, NIST.800-53.R5 AC-2 (1), NIST.800-53.R5 AC-3 (15), NIST.800-53.R5 IA-2 (1), NIST.800-53.R5 IA-2 (2), NIST.800-53.R5 IA-2 (6), NIST.800-53.R5 IA-2 (8) AWS

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Critique

Type de ressource : AWS::::Account

Règle AWS Config : root-account-hardware-mfa-enabled

Type de calendrier : Périodique

Paramètres : Aucun

Ce contrôle vérifie si vous Compte AWS êtes autorisé à utiliser un dispositif d'authentification matérielle multifactorielle (MFA) pour vous connecter avec les informations d'identification de l'utilisateur root. Le contrôle échoue si l'authentification MFA n'est pas activée ou si des périphériques MFA virtuels sont autorisés à se connecter avec les informations d'identification de l'utilisateur root.

Un appareil MFA virtuel peut ne pas fournir le même niveau de sécurité qu'un appareil MFA matériel. Nous vous recommandons d'utiliser un périphérique MFA virtuel pendant l'attente de l'approbation d'achat du matériel ou en attendant de recevoir votre matériel. Pour en savoir plus, consultez la section Activation d'un dispositif d'authentification multifactorielle virtuelle (MFA) (console) dans le guide de l'utilisateur IAM.

Les jetons TOTP (mot de passe à usage unique basé sur le temps) et U2F (Universal 2nd Factor) sont viables en tant qu'options matérielles MFA.

Correction

Pour ajouter un périphérique MFA matériel pour l'utilisateur root, voir Activer un périphérique MFA matériel pour l'utilisateur Compte AWS root (console) dans le guide de l'utilisateur IAM.

Nous offrons une clé de sécurité MFA gratuite aux clients éligibles. Vérifiez si vous êtes éligible et commandez votre clé gratuite.

[IAM.7] Les politiques de mot de passe pour les utilisateurs IAM devraient avoir une durée de validité stricte AWS Config

Exigences connexes : NIST.800-53.R5 AC-2 (1), NIST.800-53.R5 AC-2 (3), NIST.800-53.R5 AC-3 (15), NIST.800-53.R5 IA-5 (1)

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Moyenne

Type de ressource : AWS::::Account

Règle AWS Config : iam-password-policy

Type de calendrier : Périodique

Paramètres :

RequireUppercaseCharacters: true
RequireLowercaseCharacters: true
RequireSymbols: true
RequireNumbers: true
MinimumPasswordLength: 8

Ce contrôle vérifie si la politique de mot de passe du compte pour les utilisateurs IAM utilise les configurations recommandées.

Pour y accéderAWS Management Console, les utilisateurs d'IAM ont besoin de mots de passe. À titre de bonne pratique, Security Hub recommande vivement d'utiliser la fédération au lieu de créer des utilisateurs IAM. La fédération permet aux utilisateurs d'utiliser leurs informations d'identification d'entreprise existantes pour se connecter auAWS Management Console. Utilisez AWS IAM Identity Center (IAM Identity Center) pour créer ou fédérer l'utilisateur, puis assumez un rôle IAM dans un compte.

Pour en savoir plus sur les fournisseurs d'identité et la fédération, consultez la section Fournisseurs d'identité et fédération dans le guide de l'utilisateur IAM. Pour en savoir plus sur IAM Identity Center, consultez le guide de l'AWS IAM Identity Centerutilisateur.

Si vous devez utiliser des utilisateurs IAM, Security Hub vous recommande d'imposer la création de mots de passe utilisateur forts. Vous pouvez définir une politique de mot de passe Compte AWS pour définir les exigences de complexité et les périodes de rotation obligatoires pour les mots de passe. Lorsque vous créez ou modifiez une politique de mot de passe, la plupart des paramètres de la politique de mot de passe sont appliqués la prochaine fois que les utilisateurs modifient leur mot de passe. Certains paramètres sont appliqués immédiatement.

Correction

Pour mettre à jour votre politique de mot de passe afin d'utiliser la configuration recommandée, consultez la section Définition d'une politique de mot de passe de compte pour les utilisateurs IAM dans le guide de l'utilisateur IAM.

[IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées

Exigences associées : PCI DSS v3.2.1/8.1.4, CIS AWS Foundations Benchmark v1.2.0/1.3, Nist.800-53.R5 AC-2, Nist.800-53.R5 AC-2 (1), Nist.800-53.R5 AC-2 (3), Nist.800-53.R5 AC-3 (15), Nist.800-53.R5 AC-3 (7), IST.800-53.R5 AC-6

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Moyenne

Type de ressource : AWS::IAM::User

Règle AWS Config : iam-user-unused-credentials-check

Type de calendrier : Périodique

Paramètres :

maxCredentialUsageAge : 90

Ce contrôle vérifie si vos utilisateurs IAM ont des mots de passe ou des clés d'accès actives qui n'ont pas été utilisés depuis 90 jours.

Les utilisateurs IAM peuvent accéder aux AWS ressources à l'aide de différents types d'informations d'identification, tels que des mots de passe ou des clés d'accès.

Security Hub vous recommande de supprimer ou de désactiver toutes les informations d'identification non utilisées pendant 90 jours ou plus. La désactivation ou la suppression des informations d'identification inutiles permet d'éviter que des informations d'identification associées à un compte compromis ou abandonné ne soient utilisées.

Note

Correction

Lorsque vous consultez les informations utilisateur dans la console IAM, des colonnes indiquent l'âge de la clé d'accès, l'âge du mot de passe et la dernière activité. Si la valeur dans l'une de ces colonnes est supérieure à 90 jours, rendez inactives les informations d'identification de ces utilisateurs.

Vous pouvez également utiliser les rapports d'identification pour surveiller les utilisateurs et identifier ceux qui sont restés inactifs pendant 90 jours ou plus. Vous pouvez télécharger les rapports d'identification au .csv format depuis la console IAM.

Après avoir identifié les comptes inactifs ou les informations d'identification non utilisées, désactivez-les. Pour obtenir des instructions, consultez la section Création, modification ou suppression d'un mot de passe utilisateur IAM (console) dans le guide de l'utilisateur IAM.

[IAM.9] La MFA doit être activée pour l'utilisateur root

Exigences associées : PCI DSS v3.2.1/8.3.1, CIS AWS Foundations Benchmark v1.2.0/1.13, CIS Foundations Benchmark v1.4.0/1.5, NIST.800-53.R5 AC-2 (1), NIST.800-53.R5 AC-3 (15), NIST.800-53.R5 IA-2 (1), NIST.800-53.R5 IA-2 (2), NIST.800-53.R5 IA-2 (6), NIST.800-53.R5 IA-2 (8) AWS

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Critique

Type de ressource : AWS::::Account

Règle AWS Config : root-account-mfa-enabled

Type de calendrier : Périodique

L'utilisateur root dispose d'un accès complet à tous les services et ressources d'unCompte AWS. L'authentification MFA ajoute une couche de sécurité supplémentaire, en plus d'un nom d'utilisateur et d'un mot de passe. Lorsque l'authentification multifacteur est activée, lorsqu'un utilisateur se connecte auAWS Management Console, il est invité à saisir son nom d'utilisateur et son mot de passe ainsi qu'un code d'authentification provenant de son appareil MFAAWS.

Lorsque vous utilisez le MFA virtuel pour l'utilisateur root, CIS recommande que le périphérique utilisé ne soit pas un appareil personnel. Utilisez plutôt un appareil mobile dédié (tablette ou téléphone) qui restera toujours chargé et sécurisé, indépendant de tout appareil personnel individuel. Vous limitez ainsi les risques de perte d'accès MFA suite à la perte ou à l'échange de l'appareil, ou si le propriétaire de l'appareil n'est plus employé dans l'entreprise.

Correction

Pour activer l'authentification multifacteur pour l'utilisateur root, consultez la section Activer l'authentification multifacteur pour l'utilisateur Compte AWS root dans le guide de référence sur la gestion des AWScomptes.

[IAM.10] Les politiques relatives aux mots de passe pour les utilisateurs IAM devraient avoir une durée de validité stricte AWS Config

Exigences connexes : PCI DSS v3.2.1/8.1.4, PCI DSS v3.2.1/8.2.3, PCI DSS v3.2.1/8.2.4, PCI DSS v3.2.1/8.2.5

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Moyenne

Type de ressource : AWS::::Account

Règle AWS Config : iam-password-policy

Type de calendrier : Périodique

Paramètres : Aucun

Ce contrôle vérifie si la politique de mot de passe du compte pour les utilisateurs IAM utilise les configurations PCI DSS minimales suivantes.

RequireUppercaseCharacters— Exige au moins une majuscule dans le mot de passe. (Valeur par défaut = true)
RequireLowercaseCharacters— Exige au moins une minuscule dans le mot de passe. (Valeur par défaut = true)
RequireNumbers— Exige au moins un chiffre dans le mot de passe. (Valeur par défaut = true)
MinimumPasswordLength— Longueur minimale du mot de passe. (Par défaut = 7 ou plus)
PasswordReusePrevention— Nombre de mots de passe avant d'autoriser leur réutilisation. (Par défaut = 4)
MaxPasswordAge — Nombre de jours avant l'expiration du mot de passe. (Par défaut = 90)

Correction

[IAM.11] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre majuscule

Exigences associées : CIS AWS Foundations Benchmark v1.2.0/1.5

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Moyenne

Type de ressource : AWS::::Account

Règle AWS Config : iam-password-policy

Type de calendrier : Périodique

Le CIS recommande que la politique de mot de passe exige au moins une lettre majuscule. La définition d'une stratégie de complexité des mots de passe accroît la résilience des comptes en cas de tentatives de connexion en force.

Correction

Pour modifier votre politique de mot de passe, consultez la section Définition d'une politique de mot de passe de compte pour les utilisateurs IAM dans le guide de l'utilisateur IAM. Pour renforcer le mot de passe, sélectionnez Exiger au moins une lettre majuscule de l'alphabet latin (A—Z).

[IAM.12] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre minuscule

Exigences associées : CIS AWS Foundations Benchmark v1.2.0/1.6

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Moyenne

Type de ressource : AWS::::Account

Règle AWS Config : iam-password-policy

Type de calendrier : Périodique

Les stratégies de mot de passe, en partie, font appliquer les exigences de complexité des mots de passe. Utilisez les politiques de mot de passe IAM pour vous assurer que les mots de passe utilisent des jeux de caractères différents. Le CIS recommande que la politique de mot de passe exige au moins une lettre minuscule. La définition d'une stratégie de complexité des mots de passe accroît la résilience des comptes en cas de tentatives de connexion en force.

Correction

[IAM.13] Assurez-vous que la politique de mot de passe IAM nécessite au moins un symbole

Exigences associées : CIS AWS Foundations Benchmark v1.2.0/1.7

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Moyenne

Type de ressource : AWS::::Account

Règle AWS Config : iam-password-policy

Type de calendrier : Périodique

Le CIS recommande que la politique de mot de passe exige au moins un symbole. La définition d'une stratégie de complexité des mots de passe accroît la résilience des comptes en cas de tentatives de connexion en force.

Correction

Pour modifier votre politique de mot de passe, consultez la section Définition d'une politique de mot de passe de compte pour les utilisateurs IAM dans le guide de l'utilisateur IAM. Pour la sécurité du mot de passe, sélectionnez Exiger au moins un caractère non alphanumérique.

[IAM.14] Assurez-vous que la politique de mot de passe IAM nécessite au moins un chiffre

Exigences associées : CIS AWS Foundations Benchmark v1.2.0/1.8

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Moyenne

Type de ressource : AWS::::Account

Règle AWS Config : iam-password-policy

Type de calendrier : Périodique

Le CIS recommande que la politique de mot de passe exige au moins un chiffre. La définition d'une stratégie de complexité des mots de passe accroît la résilience des comptes en cas de tentatives de connexion en force.

Correction

Pour modifier votre politique de mot de passe, consultez la section Définition d'une politique de mot de passe de compte pour les utilisateurs IAM dans le guide de l'utilisateur IAM. Pour la sécurité du mot de passe, sélectionnez Exiger au moins un chiffre.

[IAM.15] Assurez-vous que la politique de mot de passe IAM exige une longueur de mot de passe minimale de 14 ou plus

Exigences associées : CIS AWS Foundations Benchmark v1.2.0/1.9, CIS AWS Foundations Benchmark v1.4.0/1.8

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Moyenne

Type de ressource : AWS::::Account

Règle AWS Config : iam-password-policy

Type de calendrier : Périodique

Le CIS recommande que la politique de mot de passe exige une longueur de mot de passe minimale de 14 caractères. La définition d'une stratégie de complexité des mots de passe accroît la résilience des comptes en cas de tentatives de connexion en force.

Correction

Pour modifier votre politique de mot de passe, consultez la section Définition d'une politique de mot de passe de compte pour les utilisateurs IAM dans le guide de l'utilisateur IAM. Pour la longueur minimale du mot de passe, entrez 14 ou un nombre supérieur.

[IAM.16] Assurez-vous que la politique de mot de passe IAM empêche la réutilisation des mots de passe

Exigences associées : CIS AWS Foundations Benchmark v1.2.0/1.10, CIS Foundations Benchmark v1.4.0/1.9 AWS

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Faible

Type de ressource : AWS::::Account

Règle AWS Config : iam-password-policy

Type de calendrier : Périodique

Ce contrôle vérifie si le nombre de mots de passe à mémoriser est défini sur 24. Le contrôle échoue si la valeur n'est pas 24.

Les politiques de mot de passe IAM peuvent empêcher la réutilisation d'un mot de passe donné par le même utilisateur.

Le CIS recommande que la politique en matière de mots de passe empêche la réutilisation des mots de passe. Le fait d'empêcher la réutilisation des mots de passe accroît la résilience d'un compte en cas de tentatives de connexion en force.

Correction

Pour modifier votre politique de mot de passe, consultez la section Définition d'une politique de mot de passe de compte pour les utilisateurs IAM dans le guide de l'utilisateur IAM. Pour Empêcher la réutilisation du mot de passe, entrez24.

[IAM.17] Assurez-vous que la politique de mot de passe IAM expire les mots de passe dans un délai de 90 jours ou moins

Exigences associées : CIS AWS Foundations Benchmark v1.2.0/1.11

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Faible

Type de ressource : AWS::::Account

Règle AWS Config : iam-password-policy

Type de calendrier : Périodique

Les politiques de mot de passe IAM peuvent exiger la rotation ou l'expiration des mots de passe après un certain nombre de jours.

Le CIS recommande que la politique en matière de mots de passe fasse expirer les mots de passe après 90 jours ou moins. Le fait de réduire la durée de vie des mots de passe accroît la résilience d'un compte en cas de tentatives de connexion en force. Il s'avère également utile d'avoir à changer régulièrement de mot de passe dans les cas suivants :

Les mots de passe peuvent être volés ou compromis à votre insu. Cela peut se produire si un système est compromis, si un logiciel est vulnérable ou par le biais d'une menace interne.
Certains filtres web ou serveurs proxy d'entreprise et d'administrations peuvent intercepter et enregistrer le trafic, même s'il est chiffré.
De nombreuses personnes utilisent le même mot de passe pour plusieurs systèmes (ordinateurs au bureau et à domicile, messagerie électronique, etc.).
Un enregistreur de frappe peut être installé sur les postes de travail des utilisateurs finaux compromis.

Correction

Pour modifier votre politique de mot de passe, consultez la section Définition d'une politique de mot de passe de compte pour les utilisateurs IAM dans le guide de l'utilisateur IAM. Pour Activer l'expiration du mot de passe, entrez 90 ou un nombre inférieur.

[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support

Exigences associées : CIS AWS Foundations Benchmark v1.2.0/1.20, CIS Foundations Benchmark v1.4.0/1.17 AWS

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Faible

Type de ressource : AWS::::Account

Règle AWS Config : iam-policy-in-use

Type de calendrier : Périodique

AWS fournit un centre de support qui peut être utilisé pour la notification et la réponse aux incidents, ainsi que pour le support technique et le service à la clientèle.

Créez un rôle IAM pour permettre aux utilisateurs autorisés de gérer les incidents avec AWS Support. En mettant en œuvre le moindre privilège pour le contrôle d'accès, un rôle IAM nécessitera une politique IAM appropriée pour autoriser l'accès au centre de support afin de gérer les incidents avec. AWS Support

Note

Correction

Pour résoudre ce problème, créez un rôle permettant aux utilisateurs autorisés de gérer les AWS Support incidents.

Pour créer le rôle à utiliser pour l'AWS Supportaccès

Ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.
Dans le volet de navigation IAM, choisissez Roles, puis Create role.
Pour Type de rôle, choisissez Autre Compte AWS.
Dans le champ Compte AWS ID de compte, entrez l'identifiant Compte AWS auquel vous souhaitez accorder l'accès à vos ressources.

Si les utilisateurs ou les groupes qui assument ce rôle se trouvent dans le même compte, entrez le numéro de compte local.

Note
L'administrateur du compte spécifié peut accorder l'autorisation d'assumer ce rôle à n'importe quel utilisateur de ce compte. Pour ce faire, l'administrateur attache une politique à l'utilisateur ou à un groupe qui donne l'autorisation pour l'action sts:AssumeRole. Dans cette stratégie, la ressource doit être l'ARN du rôle.
Sélectionnez Next: Permissions (Étape suivante : autorisations).
Recherchez la stratégie gérée AWSSupportAccess.
Activez la case à cocher de la stratégie AWSSupportAccess gérée.
Choisissez Next: Tags (Suivant : Balises).
(Facultatif) Pour ajouter des métadonnées au rôle, associez des balises sous forme de paires clé-valeur.

Pour plus d'informations sur l'utilisation des balises dans IAM, consultez Balisage des utilisateurs et des rôles IAM dans le Guide de l'utilisateur IAM.
Choisissez Next: Review (Suivant : Vérification).
Dans le champ Role name (Nom de rôle), saisissez un nom pour votre rôle.

Les noms de rôle doivent être uniques dans votre Compte AWS. Ils ne sont pas sensibles à la casse.
(Facultatif) Dans le champ Role description (Description du rôle), saisissez la description du nouveau rôle.
Passez en revue les informations du rôle, puis choisissez Create role (Créer un rôle).

Afficher plus

Afficher moins

[IAM.19] Le MFA doit être activé pour tous les utilisateurs IAM

Exigences connexes : PCI DSS v3.2.1/8.3.1, nIST.800-53.R5 AC-2 (1), nIST.800-53.R5 AC-3 (15), NIST.800-53.R5 IA-2 (1), nIST.800-53.R5 IA-2 (2), NIST.800-53.R5 IA-2 (6), NIST.800-53.R5 IA-2 (8)

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Moyenne

Type de ressource : AWS::IAM::User

Règle AWS Config : iam-user-mfa-enabled

Type de calendrier : Périodique

Paramètres : Aucun

Ce contrôle vérifie si l'authentification multifactorielle (MFA) est activée pour les utilisateurs IAM.

Note

Correction

Pour ajouter l'authentification MFA pour les utilisateurs IAM, consultez la section Activation des appareils MFA pour les utilisateurs AWS dans le guide de l'utilisateur IAM.

[IAM.20] Évitez d'utiliser l'utilisateur root

Exigences associées : CIS AWS Foundations Benchmark v1.2.0/1.1

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Faible

Type de ressource : AWS::IAM::User

AWS Configrègle : use-of-root-account-test (règle Security Hub personnalisée)

Type de calendrier : Périodique

L'utilisateur root a un accès illimité à tous les services et ressources d'unCompte AWS. Nous vous recommandons vivement d'éviter d'utiliser l'utilisateur root pour les tâches quotidiennes. Minimiser l'utilisation de l'utilisateur root et adopter le principe du moindre privilège pour la gestion des accès réduisent le risque de modifications accidentelles et de divulgation involontaire d'informations d'identification hautement privilégiées.

Il est recommandé d'utiliser les informations d'identification de votre utilisateur root uniquement lorsque cela est nécessaire pour effectuer des tâches de gestion des comptes et des services. Appliquez les politiques IAM directement aux groupes et aux rôles, mais pas aux utilisateurs. Pour un didacticiel sur la configuration d'un administrateur pour une utilisation quotidienne, voir Création de votre premier utilisateur et de votre premier groupe d'administrateurs IAM dans le guide de l'utilisateur IAM

Pour exécuter cette vérification, Security Hub utilise une logique personnalisée pour effectuer les étapes d'audit exactes prescrites pour le contrôle 3.3 dans le CIS AWS Foundations Benchmark v1.2. Ce contrôle échoue si les filtres de métrique exacts prescrits par CIS ne sont pas utilisés. Des champs ou des termes supplémentaires ne peuvent pas être ajoutés aux filtres de métrique.

Note

Lorsque Security Hub vérifie ce contrôle, il recherche les CloudTrail traces utilisées par le compte courant. Ces parcours peuvent être des parcours d'organisation appartenant à un autre compte. Les sentiers multirégionaux peuvent également être basés dans une région différente.

La vérification aboutit à FAILED des constatations dans les cas suivants :

Aucune piste n'est configurée.
Les sentiers disponibles qui se trouvent dans la région actuelle et qui appartiennent à un compte courant ne répondent pas aux exigences de contrôle.

La vérification aboutit à un état de contrôle NO_DATA dans les cas suivants :

Un sentier multirégional est basé dans une région différente. Security Hub ne peut générer des résultats que dans la région où le sentier est basé.
Un sentier multirégional appartient à un compte différent. Security Hub peut uniquement générer des résultats pour le compte propriétaire de la piste.

Nous vous recommandons de suivre les événements liés à de nombreux comptes d'une organisation. Les parcours d'organisation sont des sentiers multirégionaux par défaut et ne peuvent être gérés que par le compte AWS Organizations de gestion ou le compte d'administrateur CloudTrail délégué. L'utilisation d'un suivi de l'organisation permet d'obtenir un statut de contrôle NO_DATA de quatre contrôles évalués dans les comptes des membres de l'organisation. Dans les comptes membres, Security Hub génère uniquement des résultats pour les ressources appartenant aux membres. Les résultats relatifs aux parcours des organisations sont générés dans le compte du propriétaire de la ressource. Vous pouvez consulter ces résultats dans votre compte d'administrateur délégué Security Hub en utilisant l'agrégation entre régions.

Pour déclencher l'alarme, le compte courant doit soit être propriétaire de la rubrique Amazon SNS référencée, soit avoir accès à la rubrique Amazon SNS en appelant. ListSubscriptionsByTopic Sinon, Security Hub génère WARNING des résultats pour le contrôle.

Correction

Les étapes pour résoudre ce problème incluent la configuration d'une rubrique Amazon SNS, CloudTrail d'un journal, d'un filtre métrique et d'une alarme pour le filtre métrique.

Pour créer une rubrique Amazon SNS

Ouvrez la console Amazon SNS à partir de l'adresse https://console.aws.amazon.com/sns/v3/home.
Créez une rubrique Amazon SNS qui reçoit toutes les alarmes CIS.

Créez au moins un abonné à la rubrique. Pour plus d'informations, consultez Prise en main d'Amazon SNS dans le Guide du développeur Amazon Simple Notification Service.

Ensuite, configurez une option active CloudTrail qui s'applique à toutes les régions. Pour cela, suivez les étapes de correction dans [CloudTrail.1] CloudTrail doit être activé et configuré avec au moins un journal multirégional incluant des événements de gestion de lecture et d'écriture.

Notez le nom du groupe de CloudWatch journaux Logs que vous associez au CloudTrail parcours. Vous créez le filtre métrique pour ce groupe de journaux.

Enfin, créez le filtre métrique et l'alarme.

Pour créer un filtre de métrique et une alarme

Ouvrez la CloudWatch console à l'adresse https://console.aws.amazon.com/cloudwatch/.
Dans le panneau de navigation, choisissez Groupes de journaux.
Cochez la case correspondant au groupe de CloudWatch journaux Logs associé au journal CloudTrail que vous avez créé.
Dans Actions, choisissez Create Metric Filter.
Sous Définir le modèle, procédez comme suit :
1. Copiez le modèle suivant, puis collez-le dans le champ Modèle de filtre.
```
{$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}
```
2. Choisissez Suivant.
Sous Affecter une métrique, procédez comme suit :
1. Dans Nom du filtre, entrez le nom de votre filtre métrique.
2. Pour Metric Namespace, entrezLogMetrics.
  
  Si vous utilisez le même espace de noms pour tous vos filtres de métriques de log CIS, toutes les métriques CIS Benchmark sont regroupées.
3. Dans Nom de la métrique, entrez le nom de la métrique. N'oubliez pas le nom de la métrique. Vous devrez sélectionner la métrique lorsque vous créerez l'alarme.
4. Pour Valeur de la métrique, saisissez 1.
5. Choisissez Suivant.
Sous Vérifier et créer, vérifiez les informations que vous avez fournies pour le nouveau filtre métrique. Choisissez ensuite Créer un filtre métrique.
Dans le volet de navigation, choisissez Log groups, puis choisissez le filtre que vous avez créé sous Filtres métriques.
Cochez la case correspondant au filtre. Sélectionnez Créer une alerte.
Sous Spécifier la métrique et les conditions, procédez comme suit :
1. Sous Conditions, dans le champ Seuil, sélectionnez Static.
2. Pour Définir la condition de l'alarme, choisissez Greater/Equal.
3. Pour Définir la valeur de seuil, entrez1.
4. Choisissez Suivant.
Sous Configurer les actions, procédez comme suit :
1. Sous Déclencheur de l'état de l'alarme, choisissez En alarme.
2. Sous Select an SNS topic (Sélectionner une rubrique SNS), choisissez Select an existing SNS topic (Sélectionner une rubrique SNS existante).
3. Pour Envoyer une notification à, entrez le nom de la rubrique SNS que vous avez créée lors de la procédure précédente.
4. Choisissez Suivant.
Sous Ajouter un nom et une description, entrez un nom et une description pour l'alarme, tels queCIS-1.1-RootAccountUsage. Sélectionnez ensuite Next (Suivant).
Sous Prévisualiser et créer, passez en revue la configuration de l'alarme. Ensuite, choisissez Créer une alarme.

Afficher plus

Afficher moins

[IAM.21] Les politiques gérées par le client IAM que vous créez ne doivent pas autoriser les actions génériques pour les services

Exigences connexes : NIST.800-53.R5 AC-2, NIST.800-53.R5 AC-2 (1), NIST.800-53.R5 AC-3, NIST.800-53.R5 AC-3 (15), NIST.800-53.R5 AC-3 (7), NIST.800-53.R5 AC-5, NIST.800-53.R5 AC-6 (10), NIST.800-53.R5 AC-6 (2), NIST.800-53.R5 AC-6 (3)

Catégorie : Détecter > Gestion des accès sécurisés

Gravité : Faible

Type de ressource : AWS::IAM::Policy

Règle AWS Config : iam-policy-no-statements-with-full-access

Type de calendrier : changement déclenché

Paramètres :

excludePermissionBoundaryPolicy: True

Ce contrôle vérifie si les politiques basées sur l'identité IAM que vous créez comportent des instructions Allow qui utilisent le caractère générique* pour accorder des autorisations pour toutes les actions sur n'importe quel service. Le contrôle échoue si une déclaration de politique inclut la mention « "Effect": "Allow" with "Action": "Service:*" ».

Par exemple, l'instruction suivante dans une politique entraîne un échec de recherche.


"Statement": [
{
  "Sid": "EC2-Wildcard",
  "Effect": "Allow",
  "Action": "ec2:*",
  "Resource": "*"
}

Le contrôle échoue également si vous utilisez "Effect": "Allow" avec"NotAction": "service:*". Dans ce cas, l'NotActionélément donne accès à toutes les actions d'unService AWS, à l'exception des actions spécifiées dansNotAction.

Ce contrôle s'applique uniquement aux politiques IAM gérées par le client. Elle ne s'applique pas aux politiques IAM gérées parAWS.

Lorsque vous attribuez des autorisations àServices AWS, il est important de définir les actions IAM autorisées dans vos politiques IAM. Vous devez limiter les actions IAM aux seules actions nécessaires. Cela vous permet d'octroyer des autorisations avec le moindre privilège. Des politiques trop permissives peuvent entraîner une augmentation des privilèges si elles sont associées à un principal IAM qui n'a peut-être pas besoin d'autorisation.

Dans certains cas, vous souhaiterez peut-être autoriser les actions IAM qui ont un préfixe similaire, tel que DescribeFlowLogs et. DescribeAvailabilityZones Dans ces cas autorisés, vous pouvez ajouter un caractère générique suffixé au préfixe commun. Par exemple, ec2:Describe*.

Ce contrôle passe si vous utilisez une action IAM préfixée avec un caractère générique suffixé. Par exemple, l'instruction suivante figurant dans une politique aboutit à un résultat positif.


"Statement": [
{
  "Sid": "EC2-Wildcard",
  "Effect": "Allow",
  "Action": "ec2:Describe*",
  "Resource": "*"
}

Lorsque vous regroupez les actions IAM associées de cette manière, vous pouvez également éviter de dépasser les limites de taille de la politique IAM.

Note

Correction

Pour remédier à ce problème, mettez à jour vos politiques IAM afin qu'elles n'accordent pas de privilèges administratifs « * » complets. Pour plus de détails sur la modification d'une stratégie IAM, consultez la section Modification des politiques IAM dans le Guide de l'utilisateur IAM.

[IAM.22] Les informations d'identification d'utilisateur IAM non utilisées pendant 45 jours doivent être supprimées

Exigences associées : CIS AWS Foundations Benchmark v1.4.0/1.12

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Moyenne

Type de ressource : AWS::IAM::User

Règle AWS Config : iam-user-unused-credentials-check

Type de calendrier : Périodique

Ce contrôle vérifie si vos utilisateurs IAM ont des mots de passe ou des clés d'accès actives qui n'ont pas été utilisés depuis 45 jours ou plus. Pour cela, il vérifie si le maxCredentialUsageAge paramètre de la AWS Config règle est égal ou supérieur à 45.

Les utilisateurs peuvent accéder aux AWS ressources à l'aide de différents types d'informations d'identification, tels que des mots de passe ou des clés d'accès.

CIS vous recommande de supprimer ou de désactiver toutes les informations d'identification non utilisées depuis 45 jours ou plus. La désactivation ou la suppression des informations d'identification inutiles permet d'éviter que des informations d'identification associées à un compte compromis ou abandonné ne soient utilisées.

La règle AWS Config de ce contrôle utilise les opérations des API GetCredentialReport et GenerateCredentialReport, qui ne sont mises à jour que toutes les quatre heures. Les modifications apportées aux utilisateurs IAM peuvent prendre jusqu'à quatre heures pour être visibles par ce contrôle.

Note

AWS Configdoit être activé dans toutes les régions dans lesquelles vous utilisez Security Hub. Cependant, vous pouvez activer l'enregistrement des ressources mondiales dans une seule région. Si vous enregistrez uniquement des ressources globales dans une seule région, vous pouvez désactiver ce contrôle dans toutes les régions, à l'exception de la région dans laquelle vous enregistrez des ressources globales.

Correction

Lorsque vous consultez les informations utilisateur dans la console IAM, des colonnes indiquent l'âge de la clé d'accès, l'âge du mot de passe et la dernière activité. Si la valeur de l'une de ces colonnes est supérieure à 45 jours, désactivez les informations d'identification de ces utilisateurs.

Vous pouvez également utiliser les rapports d'identification pour surveiller les utilisateurs et identifier ceux qui sont restés inactifs pendant 45 jours ou plus. Vous pouvez télécharger les rapports d'identification au .csv format depuis la console IAM.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

GuardDuty commandes

Contrôles Kinesis