AWS Identity and Access Management commandes - AWS Security Hub
[IAM.1] Les politiques IAM ne devraient pas autoriser des privilèges administratifs « * » complets[IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM[IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins[IAM.4] La clé d'accès de l'utilisateur root IAM ne doit pas exister[IAM.5] L’authentification multi-facteurs (MFA) doit être activée pour tous les utilisateurs IAM disposant d'un mot de passe de console[IAM.6] Le périphérique MFA matériel doit être activé pour l'utilisateur racine[IAM.7] Les politiques de mot de passe pour les utilisateurs IAM doivent être configurées de manière stricte[IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées[IAM.9] La MFA doit être activée pour l'utilisateur root[IAM.10] Les politiques de mot de passe pour les utilisateurs IAM devraient avoir une durée de validité stricte AWS Config[IAM.11] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre majuscule[IAM.12] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre minuscule[IAM.13] Assurez-vous que la politique de mot de passe IAM nécessite au moins un symbole[IAM.14] Assurez-vous que la politique de mot de passe IAM nécessite au moins un chiffre[IAM.15] Assurez-vous que la politique de mot de passe IAM exige une longueur de mot de passe minimale de 14 ou plus[IAM.16] Assurez-vous que la politique de mot de passe IAM empêche la réutilisation des mots de passe[IAM.17] Assurez-vous que la politique de mot de passe IAM expire les mots de passe dans un délai de 90 jours ou moins[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support[IAM.19] Le MFA doit être activé pour tous les utilisateurs IAM[IAM.20] Évitez d'utiliser l'utilisateur root[IAM.21] Les politiques gérées par le client IAM que vous créez ne doivent pas autoriser les actions génériques pour les services[IAM.22] Les informations d'identification d'utilisateur IAM non utilisées pendant 45 jours doivent être supprimées

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS Identity and Access Management commandes

Ces contrôles sont liés aux ressources IAM.

Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour plus d’informations, consultez Disponibilité des contrôles par région.

[IAM.1] Les politiques IAM ne devraient pas autoriser des privilèges administratifs « * » complets

Exigences connexes : PCI DSS v3.2.1/7.2.1, CIS AWS Foundations Benchmark v1.2.0/1.22, CIS Foundations Benchmark v1.4.0/1.16, Nist.800-53.R5 AC-2, Nist.800-53.R5 AC-2 (1), Nist.800-53.R5 AC-3 (15), Nist.800-53.R5 AC-3 (7), NIST.800-53.R5 AC-3 (7), Nist.800-800-53,R5 AC-5, NIST.800-53.R5 AC-6, NIST.800-53.R5 AC-6 (10), NIST.800-53.R5 AC-6 (2), NIST.800-53.R5 AC-6 (3) AWS

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Élevée

Type de ressource : AWS::IAM::Policy

Règle AWS Config  : iam-policy-no-statements-with-admin-access

Type de calendrier : changement déclenché

Paramètres :

  • excludePermissionBoundaryPolicy: true(non personnalisable)

Ce contrôle vérifie si la version par défaut des politiques IAM (également appelées politiques gérées par le client) dispose d'un accès administrateur en incluant une instruction "Effect": "Allow" avec "Action": "*" over"Resource": "*". Le contrôle échoue si vous disposez de politiques IAM comportant une telle déclaration.

Le contrôle vérifie uniquement les stratégies gérées par le client que vous créez. Il ne vérifie pas les politiques intégrées et AWS gérées.

Les politiques IAM définissent un ensemble de privilèges accordés aux utilisateurs, aux groupes ou aux rôles. Conformément aux conseils de sécurité standard, il est AWS recommandé d'accorder le moindre privilège, c'est-à-dire de n'accorder que les autorisations nécessaires à l'exécution d'une tâche. Si vous accordez des privilèges d'administrateur complets plutôt qu'un jeu d'autorisations minimal dont l’utilisateur a besoin, les ressources risquent d'être exposées à des actions potentiellement indésirables.

Déterminez quelles tâches doivent accomplir les utilisateurs, puis créez des stratégies pour permettre à ces derniers de réaliser uniquement ces tâches, plutôt que de leur accorder des privilèges d'administrateur complets. Il est plus sûr de commencer avec un minimum d'autorisations et d’en accordez d'autres si nécessaire. Ne commencez pas avec des autorisations trop permissives, pour essayer de les restreindre plus tard.

Vous devez supprimer les politiques IAM comportant une instruction "Effect": "Allow" avec "Action": "*" over"Resource": "*".

Note

AWS Config doit être activé dans toutes les régions dans lesquelles vous utilisez Security Hub. Cependant, l'enregistrement des ressources globales peut être activé dans une seule région. Si vous enregistrez uniquement des ressources globales dans une seule région, vous pouvez désactiver ce contrôle dans toutes les régions, à l'exception de la région dans laquelle vous enregistrez des ressources globales.

Correction

Pour modifier vos politiques IAM afin qu'elles n'accordent pas tous les privilèges administratifs « * », consultez la section Modification des politiques IAM dans le Guide de l'utilisateur IAM.

[IAM.2] Les utilisateurs IAM ne doivent pas être associés à des politiques IAM

Exigences connexes : PCI DSS v3.2.1/7.2.1, CIS AWS Foundations Benchmark v1.2.0/1.16, Nist.800-53.R5 AC-2, Nist.800-53.R5 AC-2 (1), Nist.800-53.R5 AC-3, Nist.800-53.R5 AC-3 (15), NIST.800-53.R5 AC-3 (7), NIST.800-53.R5 AC-6, Nist.800-53.R5 AC-6, Nist.800-53.R5 800-53.R5 AC-6 (3)

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Faible

Type de ressource : AWS::IAM::User

Règle AWS Config  : iam-user-no-policies-check

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si des politiques sont associées à vos utilisateurs IAM. Le contrôle échoue si des politiques sont associées à vos utilisateurs IAM. Les utilisateurs IAM doivent plutôt hériter des autorisations des groupes IAM ou assumer un rôle.

Par défaut, les utilisateurs, les groupes et les rôles IAM n'ont aucun accès aux AWS ressources. Les politiques IAM accordent des privilèges aux utilisateurs, aux groupes ou aux rôles. Nous vous recommandons d'appliquer les politiques IAM directement aux groupes et aux rôles, mais pas aux utilisateurs. L'attribution de privilèges au niveau du groupe ou du rôle réduit la complexité de la gestion des accès au fur et à mesure que le nombre d'utilisateurs augmente. La simplification de la gestion des accès peut contribuer à réduire les chances pour un mandataire de recevoir ou de conserver par inadvertance des privilèges excessifs.

Note

Les utilisateurs IAM créés par Amazon Simple Email Service sont automatiquement créés à l'aide de politiques intégrées. Security Hub exempte automatiquement ces utilisateurs de ce contrôle.

AWS Config doit être activé dans toutes les régions dans lesquelles vous utilisez Security Hub. Cependant, l'enregistrement des ressources globales peut être activé dans une seule région. Si vous enregistrez uniquement des ressources globales dans une seule région, vous pouvez désactiver ce contrôle dans toutes les régions, à l'exception de la région dans laquelle vous enregistrez des ressources globales.

Correction

Pour résoudre ce problème, créez un groupe IAM et associez la politique au groupe. Ajoutez ensuite les utilisateurs au groupe. La stratégie est appliquée à chaque utilisateur du groupe. Pour supprimer une politique directement attachée à un utilisateur, consultez la section Ajout et suppression d'autorisations d'identité IAM dans le guide de l'utilisateur IAM.

[IAM.3] Les clés d'accès des utilisateurs IAM doivent être renouvelées tous les 90 jours ou moins

Exigences associées : CIS AWS Foundations Benchmark v1.2.0/1.4, CIS AWS Foundations Benchmark v1.4.0/1.14, NIST.800-53.R5 AC-2 (1), NIST.800-53.R5 AC-2 (3), NIST.800-53.R5 AC-3 (15)

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Moyenne

Type de ressource : AWS::IAM::User

Règle AWS Config  : access-keys-rotated

Type de calendrier : Périodique

Paramètres :

  • maxAccessKeyAge: 90 (non personnalisable)

Ce contrôle vérifie si les clés d'accès actives font l’objet d’une rotation dans un délai de 90 jours.

Nous vous recommandons vivement de ne pas générer et de supprimer toutes les clés d'accès de votre compte. La meilleure pratique recommandée consiste plutôt à créer un ou plusieurs rôles IAM ou à utiliser la fédération via AWS IAM Identity Center. Vous pouvez utiliser ces méthodes pour permettre à vos utilisateurs d'accéder au AWS Management Console et AWS CLI.

Chaque approche a ses cas d'utilisation. La fédération est généralement préférable pour les entreprises qui disposent d'un annuaire central existant ou qui prévoient d'avoir besoin d'une quantité supérieure à la limite actuelle d'utilisateurs IAM. Les applications qui s'exécutent en dehors d'un AWS environnement ont besoin de clés d'accès pour accéder aux AWS ressources par programmation.

Toutefois, si les ressources nécessitant un accès programmatique s'exécutent à l'intérieur AWS, la meilleure pratique consiste à utiliser des rôles IAM. Les rôles vous permettent d'accorder un accès à une ressource sans coder en dur un ID de clé d'accès et une clé d'accès secrète dans la configuration.

Pour en savoir plus sur la protection de vos clés d'accès et de votre compte, consultez la section Meilleures pratiques de gestion des clés AWS d'accès dans le Références générales AWS. Consultez également le billet de blog Directives pour vous protéger Compte AWS lors de l'utilisation de l'accès programmatique.

Si vous possédez déjà une clé d'accès, Security Hub vous recommande de changer les clés d'accès tous les 90 jours. La rotation des clés d'accès permet de réduire les possibilités qu'une clé d'accès associée à un compte compromis ou résilié ne soit utilisée. Elle permet également de s’assurer qu'il n'est pas possible d'accéder aux données avec une ancienne clé qui peut avoir été perdue, compromise ou volée. Mettez toujours à jour vos applications après avoir exécuté la rotation des clés d'accès.

Les clés d'accès sont constituées d'un ID de clé d'accès et une clé d'accès secrète. Ils sont utilisés pour signer les demandes programmatiques que vous envoyez à AWS. Les utilisateurs ont besoin de leurs propres clés d'accès pour effectuer des appels programmatiques AWS depuis les AWS CLI outils pour Windows PowerShell, les AWS SDK, ou des appels HTTP directs à l'aide des opérations d'API individuelles. Services AWS

Si votre organisation utilise AWS IAM Identity Center (IAM Identity Center), vos utilisateurs peuvent se connecter à Active Directory, à un annuaire IAM Identity Center intégré ou à un autre fournisseur d'identité (IdP) connecté à IAM Identity Center. Ils peuvent ensuite être mappés à un rôle IAM qui leur permet d'exécuter des AWS CLI commandes ou d'appeler des opérations d' AWS API sans avoir besoin de clés d'accès. Pour en savoir plus, consultez la section Configuration du AWS CLI à utiliser AWS IAM Identity Center dans le guide de AWS Command Line Interface l'utilisateur.

Note

AWS Config doit être activé dans toutes les régions dans lesquelles vous utilisez Security Hub. Cependant, l'enregistrement des ressources globales peut être activé dans une seule région. Si vous enregistrez uniquement des ressources globales dans une seule région, vous pouvez désactiver ce contrôle dans toutes les régions, à l'exception de la région dans laquelle vous enregistrez des ressources globales.

Correction

Pour effectuer une rotation des clés d'accès datant de plus de 90 jours, consultez la section Rotation des clés d'accès dans le guide de l'utilisateur d'IAM. Suivez les instructions pour tout utilisateur dont l'âge de la clé d'accès est supérieur à 90 jours.

[IAM.4] La clé d'accès de l'utilisateur root IAM ne doit pas exister

Exigences connexes : PCI DSS v3.2.1/2.1, PCI DSS v3.2.1/2.2, PCI DSS v3.2.1/7.2.1, CIS AWS Foundations Benchmark v1.2.0/1.12, CIS Foundations Benchmark v1.4.0/1.4, Nist.800-53.R5 AC-2 (1), NIST.800-53.R5 AC-3 (15), NIST.800-53.R5 AC-3 (7), NIST.800-53.R5 R5 AC-6, NIST.800-53.R5 AC-6 (10), NIST.800-53.R5 AC-6 (2) AWS

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Critique

Type de ressource : AWS::::Account

Règle AWS Config  : iam-root-access-key-check

Type de calendrier : Périodique

Paramètres : Aucun

Ce contrôle vérifie si la clé d'accès de l'utilisateur root est présente.

L'utilisateur root est l'utilisateur le plus privilégié d'un Compte AWS. AWS les clés d'accès fournissent un accès programmatique à un compte donné.

Security Hub recommande de supprimer toutes les clés d'accès associées à l'utilisateur root. Cela limite les vecteurs qui peuvent être utilisés pour compromettre votre compte. Cela incite également à créer et à utiliser comptes basés sur des rôles avec moins de privilèges.

Correction

Pour supprimer la clé d'accès de l'utilisateur root, consultez la section Suppression des clés d'accès de l'utilisateur root dans le guide de l'utilisateur IAM. Pour supprimer les clés d'accès utilisateur root d'une entrée Compte AWS AWS GovCloud (US), voir Supprimer les clés d'accès utilisateur root de mon AWS GovCloud (US) compte dans le guide de AWS GovCloud (US) l'utilisateur.

[IAM.5] L’authentification multi-facteurs (MFA) doit être activée pour tous les utilisateurs IAM disposant d'un mot de passe de console

Exigences connexes : CIS AWS Foundations Benchmark v1.2.0/1.2, CIS AWS Foundations Benchmark v1.4.0/1.10, NIST.800-53.R5 AC-2 (1), NIST.800-53.R5 AC-3 (15), NIST.800-53.R5 IA-2 (1), NIST.800-53.R5 IA-2 (6), NIST.800-53.R5 IA-2 (8)

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Moyenne

Type de ressource : AWS::IAM::User

Règle AWS Config  : mfa-enabled-for-iam-console-access

Type de calendrier : Périodique

Paramètres : Aucun

Ce contrôle vérifie si l'authentification AWS multifactorielle (MFA) est activée pour tous les utilisateurs IAM qui utilisent un mot de passe de console.

L'authentification multi-facteurs (MFA, Multi-Factor Authentication) ajoute une couche de sécurité supplémentaire, en plus d'un nom d'utilisateur et d'un mot de passe. Lorsque la MFA est activée, lorsqu'un utilisateur se connecte à un AWS site Web, il est invité à saisir son nom d'utilisateur et son mot de passe. En outre, ils sont invités à saisir un code d'authentification depuis leur dispositif AWS MFA.

Nous vous recommandons d'activer l'authentification MFA pour tous les comptes disposant d'un mot de passe de console. L’authentification MFA est conçue pour fournir une sécurité accrue pour l'accès à la console. Le mandataire d'authentification doit posséder un dispositif qui émet une clé sensible au temps et connaître des informations d’identification.

Note

AWS Config doit être activé dans toutes les régions dans lesquelles vous utilisez Security Hub. Cependant, l'enregistrement des ressources globales peut être activé dans une seule région. Si vous enregistrez uniquement des ressources globales dans une seule région, vous pouvez désactiver ce contrôle dans toutes les régions, à l'exception de la région dans laquelle vous enregistrez des ressources globales.

Correction

Pour ajouter une authentification MFA pour les utilisateurs IAM, consultez la section Utilisation de l'authentification multifactorielle (MFA) dans AWS le guide de l'utilisateur IAM.

Nous offrons une clé de sécurité MFA gratuite aux clients éligibles. Vérifiez si vous êtes éligible et commandez votre clé gratuite.

[IAM.6] Le périphérique MFA matériel doit être activé pour l'utilisateur racine

Exigences associées : PCI DSS v3.2.1/8.3.1, CIS AWS Foundations Benchmark v1.2.0/1.14, CIS Foundations Benchmark v1.4.0/1.6, NIST.800-53.R5 AC-2 (1), NIST.800-53.R5 AC-3 (15), NIST.800-53.R5 IA-2 (1), NIST.800-53.R5 IA-2 (2), NIST.800-53.R5 IA-2 (6), NIST.800-53.R5 IA-2 (8) AWS

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Critique

Type de ressource : AWS::::Account

Règle AWS Config  : root-account-hardware-mfa-enabled

Type de calendrier : Périodique

Paramètres : Aucun

Ce contrôle vérifie si vous Compte AWS êtes autorisé à utiliser un dispositif d'authentification matérielle multifactorielle (MFA) pour vous connecter avec les informations d'identification de l'utilisateur root. Le contrôle échoue si l'authentification MFA n'est pas activée ou si des périphériques MFA virtuels sont autorisés à se connecter avec les informations d'identification de l'utilisateur root.

Un appareil MFA virtuel peut ne pas fournir le même niveau de sécurité qu'un appareil MFA matériel. Nous vous recommandons d'utiliser un périphérique MFA virtuel pendant l'attente de l'approbation d'achat du matériel ou en attendant de recevoir votre matériel. Pour en savoir plus, consultez la section Activation d'un dispositif d'authentification multifactorielle virtuelle (MFA) (console) dans le guide de l'utilisateur IAM.

Les jetons TOTP (mot de passe à usage unique basé sur le temps) et U2F (Universal 2nd Factor) sont viables en tant qu'options matérielles MFA.

Correction

Pour ajouter un périphérique MFA matériel pour l'utilisateur root, voir Activer un périphérique MFA matériel pour l'utilisateur Compte AWS root (console) dans le guide de l'utilisateur IAM.

Nous offrons une clé de sécurité MFA gratuite aux clients éligibles. Vérifiez si vous êtes éligible et commandez votre clé gratuite.

[IAM.7] Les politiques de mot de passe pour les utilisateurs IAM doivent être configurées de manière stricte

Exigences connexes : NIST.800-53.R5 AC-2 (1), NIST.800-53.R5 AC-2 (3), NIST.800-53.R5 AC-3 (15), NIST.800-53.R5 IA-5 (1)

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Moyenne

Type de ressource : AWS::::Account

Règle AWS Config  : iam-password-policy

Type de calendrier : Périodique

Paramètres :

Paramètre Description Type Valeurs personnalisées autorisées Valeur par défaut de Security Hub

RequireUppercaseCharacters

Exiger au moins une majuscule dans le mot de passe

Booléen

true ou false

true

RequireLowercaseCharacters

Exiger au moins une minuscule dans le mot de passe

Booléen

true ou false

true

RequireSymbols

Exiger au moins un symbole dans le mot de passe

Booléen

true ou false

true

RequireNumbers

Exiger au moins un chiffre dans le mot de passe

Booléen

true ou false

true

MinimumPasswordLength

Nombre minimum de caractères dans le mot de passe

Entier

8 sur 128

8

PasswordReusePrevention

Nombre de rotations de mots de passe avant qu'un ancien mot de passe puisse être réutilisé

Entier

12 sur 24

Aucune valeur par défaut

MaxPasswordAge

Nombre de jours avant l'expiration du mot de passe

Entier

1 sur 90

Aucune valeur par défaut

Ce contrôle vérifie si la politique de mot de passe du compte pour les utilisateurs IAM utilise des configurations strictes. Le contrôle échoue si la politique de mot de passe n'utilise pas de configurations fortes. À moins que vous ne fournissiez des valeurs de paramètres personnalisées, Security Hub utilise les valeurs par défaut mentionnées dans le tableau précédent. Les MaxPasswordAge paramètres PasswordReusePrevention et n'ont aucune valeur par défaut. Par conséquent, si vous excluez ces paramètres, Security Hub ignore le nombre de rotations de mots de passe et l'âge des mots de passe lors de l'évaluation de ce contrôle.

Pour y accéder AWS Management Console, les utilisateurs d'IAM ont besoin de mots de passe. À titre de bonne pratique, Security Hub recommande vivement d'utiliser la fédération au lieu de créer des utilisateurs IAM. La fédération permet aux utilisateurs d'utiliser leurs informations d'identification d'entreprise existantes pour se connecter au AWS Management Console. Utilisez AWS IAM Identity Center (IAM Identity Center) pour créer ou fédérer l'utilisateur, puis assumez un rôle IAM dans un compte.

Pour en savoir plus sur les fournisseurs d'identité et la fédération, consultez la section Fournisseurs d'identité et fédération dans le guide de l'utilisateur IAM. Pour en savoir plus sur IAM Identity Center, consultez le guide de l'AWS IAM Identity Center utilisateur.

Si vous devez utiliser des utilisateurs IAM, Security Hub vous recommande d'imposer la création de mots de passe utilisateur forts. Vous pouvez définir une politique de mot de passe Compte AWS pour définir les exigences de complexité et les périodes de rotation obligatoires pour les mots de passe. Lorsque vous créez ou modifiez une politique de mot de passe, la plupart des paramètres de la politique de mot de passe sont appliqués la prochaine fois que les utilisateurs modifient leur mot de passe. Certains paramètres sont appliqués immédiatement.

Correction

Pour mettre à jour votre politique de mot de passe, consultez la section Définition d'une politique de mot de passe de compte pour les utilisateurs IAM dans le guide de l'utilisateur IAM.

[IAM.8] Les informations d'identification utilisateur IAM non utilisées doivent être supprimées

Exigences associées : PCI DSS v3.2.1/8.1.4, CIS AWS Foundations Benchmark v1.2.0/1.3, Nist.800-53.R5 AC-2, Nist.800-53.R5 AC-2 (1), Nist.800-53.R5 AC-2 (3), Nist.800-53.R5 AC-3 (15), Nist.800-53.R5 AC-3 (7), IST.800-53.R5 AC-6

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Moyenne

Type de ressource : AWS::IAM::User

Règle AWS Config  : iam-user-unused-credentials-check

Type de calendrier : Périodique

Paramètres :

  • maxCredentialUsageAge: 90 (non personnalisable)

Ce contrôle vérifie si vos utilisateurs IAM ont des mots de passe ou des clés d'accès actives qui n'ont pas été utilisés depuis 90 jours.

Les utilisateurs IAM peuvent accéder aux AWS ressources à l'aide de différents types d'informations d'identification, tels que des mots de passe ou des clés d'accès.

Security Hub vous recommande de supprimer ou de désactiver toutes les informations d'identification non utilisées pendant 90 jours ou plus. La désactivation ou la suppression des informations d'identification inutiles permet d'éviter que des informations d'identification associées à un compte compromis ou abandonné ne soient utilisées.

Note

AWS Config doit être activé dans toutes les régions dans lesquelles vous utilisez Security Hub. Cependant, l'enregistrement des ressources globales peut être activé dans une seule région. Si vous enregistrez uniquement des ressources globales dans une seule région, vous pouvez désactiver ce contrôle dans toutes les régions, à l'exception de la région dans laquelle vous enregistrez des ressources globales.

Correction

Lorsque vous consultez les informations utilisateur dans la console IAM, des colonnes indiquent l'âge de la clé d'accès, l'âge du mot de passe et la dernière activité. Si la valeur dans l'une de ces colonnes est supérieure à 90 jours, rendez inactives les informations d'identification de ces utilisateurs.

Vous pouvez également utiliser les rapports d'identification pour surveiller les utilisateurs et identifier ceux qui sont restés inactifs pendant 90 jours ou plus. Vous pouvez télécharger les rapports d'identification au .csv format depuis la console IAM.

Après avoir identifié les comptes inactifs ou les informations d'identification non utilisées, désactivez-les. Pour obtenir des instructions, consultez la section Création, modification ou suppression d'un mot de passe utilisateur IAM (console) dans le guide de l'utilisateur IAM.

[IAM.9] La MFA doit être activée pour l'utilisateur root

Exigences associées : PCI DSS v3.2.1/8.3.1, CIS AWS Foundations Benchmark v1.2.0/1.13, CIS Foundations Benchmark v1.4.0/1.5, NIST.800-53.R5 AC-2 (1), NIST.800-53.R5 AC-3 (15), NIST.800-53.R5 IA-2 (1), NIST.800-53.R5 IA-2 (2), NIST.800-53.R5 IA-2 (6), NIST.800-53.R5 IA-2 (8) AWS

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Critique

Type de ressource : AWS::::Account

Règle AWS Config  : root-account-mfa-enabled

Type de calendrier : Périodique

Paramètres : Aucun

L'utilisateur root dispose d'un accès complet à tous les services et ressources d'un Compte AWS. L'authentification MFA ajoute une couche de sécurité supplémentaire, en plus d'un nom d'utilisateur et d'un mot de passe. Lorsque l'authentification multifacteur est activée, lorsqu'un utilisateur se connecte au AWS Management Console, il est invité à saisir son nom d'utilisateur et son mot de passe ainsi qu'un code d'authentification provenant de son appareil MFA AWS .

Lorsque vous utilisez le MFA virtuel pour l'utilisateur root, CIS recommande que le périphérique utilisé ne soit pas un appareil personnel. Utilisez plutôt un appareil mobile dédié (tablette ou téléphone) qui restera toujours chargé et sécurisé, indépendant de tout appareil personnel individuel. Vous limitez ainsi les risques de perte d'accès MFA suite à la perte ou à l'échange de l'appareil, ou si le propriétaire de l'appareil n'est plus employé dans l'entreprise.

Correction

Pour activer l'authentification multifacteur pour l'utilisateur root, consultez la section Activer l'authentification multifacteur pour l'utilisateur Compte AWS root dans le guide de référence sur la gestion des AWS comptes.

[IAM.10] Les politiques de mot de passe pour les utilisateurs IAM devraient avoir une durée de validité stricte AWS Config

Exigences connexes : PCI DSS v3.2.1/8.1.4, PCI DSS v3.2.1/8.2.3, PCI DSS v3.2.1/8.2.4, PCI DSS v3.2.1/8.2.5

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Moyenne

Type de ressource : AWS::::Account

Règle AWS Config  : iam-password-policy

Type de calendrier : Périodique

Paramètres : Aucun

Ce contrôle vérifie si la politique de mot de passe du compte pour les utilisateurs IAM utilise les configurations PCI DSS minimales suivantes.

  • RequireUppercaseCharacters— Exige au moins une majuscule dans le mot de passe. (Valeur par défaut = true)

  • RequireLowercaseCharacters— Exige au moins une minuscule dans le mot de passe. (Valeur par défaut = true)

  • RequireNumbers— Exige au moins un chiffre dans le mot de passe. (Valeur par défaut = true)

  • MinimumPasswordLength— Longueur minimale du mot de passe. (Par défaut = 7 ou plus)

  • PasswordReusePrevention— Nombre de mots de passe avant d'autoriser leur réutilisation. (Par défaut = 4)

  • MaxPasswordAge — Nombre de jours avant l'expiration du mot de passe. (Par défaut = 90)

Correction

Pour mettre à jour votre politique de mot de passe afin d'utiliser la configuration recommandée, consultez la section Définition d'une politique de mot de passe de compte pour les utilisateurs IAM dans le guide de l'utilisateur IAM.

[IAM.11] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre majuscule

Exigences associées : CIS AWS Foundations Benchmark v1.2.0/1.5

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Moyenne

Type de ressource : AWS::::Account

Règle AWS Config  : iam-password-policy

Type de calendrier : Périodique

Paramètres : Aucun

Les stratégies de mot de passe, en partie, font appliquer les exigences de complexité des mots de passe. Utilisez les politiques de mot de passe IAM pour vous assurer que les mots de passe utilisent des jeux de caractères différents.

Le CIS recommande que la politique de mot de passe exige au moins une lettre majuscule. La définition d'une stratégie de complexité des mots de passe accroît la résilience des comptes en cas de tentatives de connexion en force.

Correction

Pour modifier votre politique de mot de passe, consultez la section Définition d'une politique de mot de passe de compte pour les utilisateurs IAM dans le guide de l'utilisateur IAM. Pour la sécurité du mot de passe, sélectionnez Exiger au moins une lettre majuscule de l'alphabet latin (A—Z).

[IAM.12] Assurez-vous que la politique de mot de passe IAM nécessite au moins une lettre minuscule

Exigences associées : CIS AWS Foundations Benchmark v1.2.0/1.6

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Moyenne

Type de ressource : AWS::::Account

Règle AWS Config  : iam-password-policy

Type de calendrier : Périodique

Paramètres : Aucun

Les stratégies de mot de passe, en partie, font appliquer les exigences de complexité des mots de passe. Utilisez les politiques de mot de passe IAM pour vous assurer que les mots de passe utilisent des jeux de caractères différents. Le CIS recommande que la politique de mot de passe exige au moins une lettre minuscule. La définition d'une stratégie de complexité des mots de passe accroît la résilience des comptes en cas de tentatives de connexion en force.

Correction

Pour modifier votre politique de mot de passe, consultez la section Définition d'une politique de mot de passe de compte pour les utilisateurs IAM dans le guide de l'utilisateur IAM. Pour renforcer le mot de passe, sélectionnez Exiger au moins une lettre minuscule de l'alphabet latin (A—Z).

[IAM.13] Assurez-vous que la politique de mot de passe IAM nécessite au moins un symbole

Exigences associées : CIS AWS Foundations Benchmark v1.2.0/1.7

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Moyenne

Type de ressource : AWS::::Account

Règle AWS Config  : iam-password-policy

Type de calendrier : Périodique

Paramètres : Aucun

Les stratégies de mot de passe, en partie, font appliquer les exigences de complexité des mots de passe. Utilisez les politiques de mot de passe IAM pour vous assurer que les mots de passe utilisent des jeux de caractères différents.

Le CIS recommande que la politique de mot de passe exige au moins un symbole. La définition d'une stratégie de complexité des mots de passe accroît la résilience des comptes en cas de tentatives de connexion en force.

Correction

Pour modifier votre politique de mot de passe, consultez la section Définition d'une politique de mot de passe de compte pour les utilisateurs IAM dans le guide de l'utilisateur IAM. Pour la sécurité du mot de passe, sélectionnez Exiger au moins un caractère non alphanumérique.

[IAM.14] Assurez-vous que la politique de mot de passe IAM nécessite au moins un chiffre

Exigences associées : CIS AWS Foundations Benchmark v1.2.0/1.8

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Moyenne

Type de ressource : AWS::::Account

Règle AWS Config  : iam-password-policy

Type de calendrier : Périodique

Paramètres : Aucun

Les stratégies de mot de passe, en partie, font appliquer les exigences de complexité des mots de passe. Utilisez les politiques de mot de passe IAM pour vous assurer que les mots de passe utilisent des jeux de caractères différents.

Le CIS recommande que la politique de mot de passe exige au moins un chiffre. La définition d'une stratégie de complexité des mots de passe accroît la résilience des comptes en cas de tentatives de connexion en force.

Correction

Pour modifier votre politique de mot de passe, consultez la section Définition d'une politique de mot de passe de compte pour les utilisateurs IAM dans le guide de l'utilisateur IAM. Pour la sécurité du mot de passe, sélectionnez Exiger au moins un chiffre.

[IAM.15] Assurez-vous que la politique de mot de passe IAM exige une longueur de mot de passe minimale de 14 ou plus

Exigences associées : CIS AWS Foundations Benchmark v1.2.0/1.9, CIS AWS Foundations Benchmark v1.4.0/1.8

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Moyenne

Type de ressource : AWS::::Account

Règle AWS Config  : iam-password-policy

Type de calendrier : Périodique

Paramètres : Aucun

Les stratégies de mot de passe, en partie, font appliquer les exigences de complexité des mots de passe. Utilisez les politiques de mot de passe IAM pour vous assurer que les mots de passe ont au moins une longueur donnée.

Le CIS recommande que la politique de mot de passe exige une longueur de mot de passe minimale de 14 caractères. La définition d'une stratégie de complexité des mots de passe accroît la résilience des comptes en cas de tentatives de connexion en force.

Correction

Pour modifier votre politique de mot de passe, consultez la section Définition d'une politique de mot de passe de compte pour les utilisateurs IAM dans le guide de l'utilisateur IAM. Pour la longueur minimale du mot de passe, entrez 14 ou un nombre supérieur.

[IAM.16] Assurez-vous que la politique de mot de passe IAM empêche la réutilisation des mots de passe

Exigences associées : CIS AWS Foundations Benchmark v1.2.0/1.10, CIS Foundations Benchmark v1.4.0/1.9 AWS

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Faible

Type de ressource : AWS::::Account

Règle AWS Config  : iam-password-policy

Type de calendrier : Périodique

Paramètres : Aucun

Ce contrôle vérifie si le nombre de mots de passe à mémoriser est défini sur 24. Le contrôle échoue si la valeur n'est pas 24.

Les politiques de mot de passe IAM peuvent empêcher la réutilisation d'un mot de passe donné par le même utilisateur.

Le CIS recommande que la politique en matière de mots de passe empêche la réutilisation des mots de passe. Le fait d'empêcher la réutilisation des mots de passe accroît la résilience d'un compte en cas de tentatives de connexion en force.

Correction

Pour modifier votre politique de mot de passe, consultez la section Définition d'une politique de mot de passe de compte pour les utilisateurs IAM dans le guide de l'utilisateur IAM. Pour Empêcher la réutilisation du mot de passe, entrez24.

[IAM.17] Assurez-vous que la politique de mot de passe IAM expire les mots de passe dans un délai de 90 jours ou moins

Exigences associées : CIS AWS Foundations Benchmark v1.2.0/1.11

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Faible

Type de ressource : AWS::::Account

Règle AWS Config  : iam-password-policy

Type de calendrier : Périodique

Paramètres : Aucun

Les politiques de mot de passe IAM peuvent exiger la rotation ou l'expiration des mots de passe après un certain nombre de jours.

Le CIS recommande que la politique en matière de mots de passe fasse expirer les mots de passe après 90 jours ou moins. Le fait de réduire la durée de vie des mots de passe accroît la résilience d'un compte en cas de tentatives de connexion en force. Il s'avère également utile d'avoir à changer régulièrement de mot de passe dans les cas suivants :

  • Les mots de passe peuvent être volés ou compromis à votre insu. Cela peut se produire si un système est compromis, si un logiciel est vulnérable ou par le biais d'une menace interne.

  • Certains filtres web ou serveurs proxy d'entreprise et d'administrations peuvent intercepter et enregistrer le trafic, même s'il est chiffré.

  • De nombreuses personnes utilisent le même mot de passe pour plusieurs systèmes (ordinateurs au bureau et à domicile, messagerie électronique, etc.).

  • Un enregistreur de frappe peut être installé sur les postes de travail des utilisateurs finaux compromis.

Correction

Pour modifier votre politique de mot de passe, consultez la section Définition d'une politique de mot de passe de compte pour les utilisateurs IAM dans le guide de l'utilisateur IAM. Pour Activer l'expiration du mot de passe, entrez 90 ou un nombre inférieur.

[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support

Exigences associées : CIS AWS Foundations Benchmark v1.2.0/1.20, CIS Foundations Benchmark v1.4.0/1.17 AWS

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Faible

Type de ressource : AWS::::Account

Règle AWS Config  : iam-policy-in-use

Type de calendrier : Périodique

Paramètres :

  • policyARN: arn:partition:iam::aws:policy/AWSSupportAccess (non personnalisable)

  • policyUsageType: ANY (non personnalisable)

AWS fournit un centre de support qui peut être utilisé pour la notification et la réponse aux incidents, ainsi que pour le support technique et le service client.

Créez un rôle IAM pour permettre aux utilisateurs autorisés de gérer les incidents avec AWS Support. En mettant en œuvre le moindre privilège pour le contrôle d'accès, un rôle IAM nécessitera une politique IAM appropriée pour autoriser l'accès au centre de support afin de gérer les incidents avec. AWS Support

Note

AWS Config doit être activé dans toutes les régions dans lesquelles vous utilisez Security Hub. Cependant, l'enregistrement des ressources globales peut être activé dans une seule région. Si vous enregistrez uniquement des ressources globales dans une seule région, vous pouvez désactiver ce contrôle dans toutes les régions, à l'exception de la région dans laquelle vous enregistrez des ressources globales.

Correction

Pour résoudre ce problème, créez un rôle permettant aux utilisateurs autorisés de gérer les AWS Support incidents.

Pour créer le rôle à utiliser pour l' AWS Support accès
  1. Ouvrez la console IAM à l’adresse https://console.aws.amazon.com/iam/.

  2. Dans le volet de navigation IAM, choisissez Roles, puis Create role.

  3. Pour Type de rôle, choisissez Autre Compte AWS.

  4. Dans le champ Compte AWS ID de compte, entrez l'identifiant Compte AWS auquel vous souhaitez accorder l'accès à vos ressources.

    Si les utilisateurs ou les groupes qui assument ce rôle se trouvent dans le même compte, entrez le numéro de compte local.

    Note

    L'administrateur du compte spécifié peut accorder l'autorisation d'assumer ce rôle à n'importe quel utilisateur de ce compte. Pour ce faire, l'administrateur attache une politique à l'utilisateur ou à un groupe qui donne l'autorisation pour l'action sts:AssumeRole. Dans cette stratégie, la ressource doit être l'ARN du rôle.

  5. Sélectionnez Next: Permissions (Étape suivante : autorisations).

  6. Recherchez la stratégie gérée AWSSupportAccess.

  7. Activez la case à cocher de la stratégie AWSSupportAccess gérée.

  8. Choisissez Suivant : Balises.

  9. (Facultatif) Pour ajouter des métadonnées au rôle, associez des balises sous forme de paires clé-valeur.

    Pour plus d'informations sur l'utilisation des balises dans IAM, consultez Balisage des utilisateurs et des rôles IAM dans le Guide de l'utilisateur IAM.

  10. Choisissez Suivant : vérification.

  11. Dans le champ Role name (Nom de rôle), saisissez un nom pour votre rôle.

    Les noms de rôles doivent être uniques au sein de votre Compte AWS. Elles ne sont pas sensibles à la casse.

  12. (Facultatif) Dans le champ Description du rôle, saisissez la description du nouveau rôle.

  13. Passez en revue les informations du rôle, puis choisissez Create role (Créer un rôle).

[IAM.19] Le MFA doit être activé pour tous les utilisateurs IAM

Exigences connexes : PCI DSS v3.2.1/8.3.1, nIST.800-53.R5 AC-2 (1), nIST.800-53.R5 AC-3 (15), NIST.800-53.R5 IA-2 (1), nIST.800-53.R5 IA-2 (2), NIST.800-53.R5 IA-2 (6), NIST.800-53.R5 IA-2 (8)

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Moyenne

Type de ressource : AWS::IAM::User

Règle AWS Config  : iam-user-mfa-enabled

Type de calendrier : Périodique

Paramètres : Aucun

Ce contrôle vérifie si l'authentification multifactorielle (MFA) est activée pour les utilisateurs IAM.

Note

AWS Config doit être activé dans toutes les régions dans lesquelles vous utilisez Security Hub. Cependant, l'enregistrement des ressources globales peut être activé dans une seule région. Si vous enregistrez uniquement des ressources globales dans une seule région, vous pouvez désactiver ce contrôle dans toutes les régions, à l'exception de la région dans laquelle vous enregistrez des ressources globales.

Correction

Pour ajouter l'authentification MFA pour les utilisateurs IAM, consultez la section Activation des appareils MFA pour les utilisateurs AWS dans le guide de l'utilisateur IAM.

[IAM.20] Évitez d'utiliser l'utilisateur root

Important

Security Hub supprimera ce contrôle en mars 2024. Pour plus d’informations, consultez Journal des modifications pour les contrôles du Security Hub.

Exigences associées : CIS AWS Foundations Benchmark v1.2.0/1.1

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Faible

Type de ressource : AWS::IAM::User

AWS Config règle : use-of-root-account-test (règle Security Hub personnalisée)

Type de calendrier : Périodique

Paramètres : Aucun

Ce contrôle vérifie si un utilisateur root Compte AWS est soumis à des restrictions d'utilisation. Le contrôle évalue les ressources suivantes :

  • Rubriques Amazon Simple Notification Service (Amazon SNS)

  • AWS CloudTrail sentiers

  • Filtres métriques associés aux CloudTrail sentiers

  • CloudWatch Alarmes Amazon basées sur les filtres

Cette vérification permet de FAILED déterminer si une ou plusieurs des affirmations suivantes sont vraies :

  • Aucune CloudTrail trace n'existe dans le compte.

  • Un suivi CloudTrail est activé, mais il n'est pas configuré avec au moins un suivi multirégional incluant des événements de gestion de lecture et d'écriture.

  • Un suivi CloudTrail est activé, mais il n'est pas associé à un groupe de CloudWatch journaux Logs.

  • Le filtre métrique exact prescrit par le Center for Internet Security (CIS) n'est pas utilisé. Le filtre métrique prescrit est'{$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}'.

  • Aucune CloudWatch alarme basée sur le filtre métrique n'existe dans le compte.

  • CloudWatch les alarmes configurées pour envoyer une notification à la rubrique SNS associée ne se déclenchent pas en fonction de la condition de l'alarme.

  • La rubrique SNS n'est pas conforme aux contraintes d'envoi d'un message à une rubrique SNS.

  • La rubrique SNS n'a pas au moins un abonné.

Cette vérification donne lieu à un statut de contrôle indiquant NO_DATA si une ou plusieurs des affirmations suivantes sont vraies :

  • Un sentier multirégional est basé dans une région différente. Security Hub ne peut générer des résultats que dans la région où le sentier est basé.

  • Un sentier multirégional appartient à un compte différent. Security Hub peut uniquement générer des résultats pour le compte propriétaire de la piste.

Cette vérification donne lieu à un statut de contrôle indiquant WARNING si une ou plusieurs des affirmations suivantes sont vraies :

  • Le compte courant ne possède pas la rubrique SNS référencée dans l' CloudWatch alarme.

  • Le compte actuel n'a pas accès à la rubrique SNS lorsqu'il appelle l'API ListSubscriptionsByTopic SNS.

Note

Nous vous recommandons d'utiliser les traces d'organisation pour enregistrer les événements provenant de nombreux comptes d'une organisation. Les parcours d'organisation sont des sentiers multirégionaux par défaut et ne peuvent être gérés que par le compte AWS Organizations de gestion ou le compte d'administrateur CloudTrail délégué. L'utilisation d'un suivi de l'organisation aboutit à un statut de contrôle NO_DATA pour les contrôles évalués dans les comptes des membres de l'organisation. Dans les comptes membres, Security Hub génère uniquement des résultats pour les ressources appartenant aux membres. Les résultats relatifs aux parcours de l'organisation sont générés dans le compte du propriétaire de la ressource. Vous pouvez consulter ces résultats dans votre compte d'administrateur délégué Security Hub en utilisant l'agrégation entre régions.

Il est recommandé d'utiliser les informations d'identification de votre utilisateur root uniquement lorsque cela est nécessaire pour effectuer des tâches de gestion des comptes et des services. Appliquez les politiques IAM directement aux groupes et aux rôles, mais pas aux utilisateurs. Pour obtenir des instructions sur la configuration d'un administrateur pour une utilisation quotidienne, consultez la section Création de votre premier utilisateur et de votre premier groupe d'administrateurs IAM dans le guide de l'utilisateur IAM.

Correction

Les étapes pour résoudre ce problème incluent la configuration d'une rubrique Amazon SNS, CloudTrail d'un journal, d'un filtre métrique et d'une alarme pour le filtre métrique.

Pour créer une rubrique Amazon SNS
  1. Ouvrez la console Amazon SNS à partir de l’adresse https://console.aws.amazon.com/sns/v3/home.

  2. Créez une rubrique Amazon SNS qui reçoit toutes les alarmes CIS.

    Créez au moins un abonné à la rubrique. Pour plus d'informations, consultez Prise en main d'Amazon SNS dans le Guide du développeur Amazon Simple Notification Service.

Ensuite, configurez une option active CloudTrail qui s'applique à toutes les régions. Pour cela, suivez les étapes de correction dans [CloudTrail.1] CloudTrail doit être activé et configuré avec au moins un journal multirégional incluant des événements de gestion de lecture et d'écriture.

Notez le nom du groupe de CloudWatch journaux Logs que vous associez au CloudTrail parcours. Vous créez le filtre métrique pour ce groupe de journaux.

Enfin, créez le filtre métrique et l'alarme.

Pour créer un filtre de métrique et une alarme
  1. Ouvrez la CloudWatch console à l'adresse https://console.aws.amazon.com/cloudwatch/.

  2. Dans le panneau de navigation, choisissez Groupes de journaux.

  3. Cochez la case correspondant au groupe de CloudWatch journaux Logs associé au journal CloudTrail que vous avez créé.

  4. Dans Actions, choisissez Create Metric Filter.

  5. Sous Définir le modèle, procédez comme suit :

    1. Copiez le modèle suivant, puis collez-le dans le champ Modèle de filtre.

      {$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}
    2. Choisissez Suivant.

  6. Sous Affecter une métrique, procédez comme suit :

    1. Dans Nom du filtre, entrez le nom de votre filtre métrique.

    2. Pour Metric Namespace, entrezLogMetrics.

      Si vous utilisez le même espace de noms pour tous vos filtres de métriques de log CIS, toutes les métriques CIS Benchmark sont regroupées.

    3. Dans Nom de la métrique, entrez le nom de la métrique. N'oubliez pas le nom de la métrique. Vous devrez sélectionner la métrique lorsque vous créerez l'alarme.

    4. Pour Valeur de la métrique, saisissez 1.

    5. Choisissez Suivant.

  7. Sous Vérifier et créer, vérifiez les informations que vous avez fournies pour le nouveau filtre métrique. Choisissez ensuite Créer un filtre métrique.

  8. Dans le volet de navigation, choisissez Log groups, puis choisissez le filtre que vous avez créé sous Filtres métriques.

  9. Cochez la case correspondant au filtre. Sélectionnez Créer une alerte.

  10. Sous Spécifier la métrique et les conditions, procédez comme suit :

    1. Sous Conditions, pour Seuil, choisissez Static.

    2. Pour Définir la condition de l'alarme, choisissez Greater/Equal.

    3. Pour Définir la valeur de seuil, entrez1.

    4. Choisissez Suivant.

  11. Sous Configurer les actions, procédez comme suit :

    1. Sous Déclencheur de l'état de l'alarme, choisissez En alarme.

    2. Sous Select an SNS topic (Sélectionner une rubrique SNS), choisissez Select an existing SNS topic (Sélectionner une rubrique SNS existante).

    3. Pour Envoyer une notification à, entrez le nom de la rubrique SNS que vous avez créée lors de la procédure précédente.

    4. Choisissez Suivant.

  12. Sous Ajouter un nom et une description, entrez un nom et une description pour l'alarme, tels queCIS-1.1-RootAccountUsage. Ensuite, sélectionnez Suivant.

  13. Sous Prévisualiser et créer, passez en revue la configuration de l'alarme. Ensuite, choisissez Créer une alarme.

[IAM.21] Les politiques gérées par le client IAM que vous créez ne doivent pas autoriser les actions génériques pour les services

Exigences connexes : NIST.800-53.R5 AC-2, NIST.800-53.R5 AC-2 (1), NIST.800-53.R5 AC-3, NIST.800-53.R5 AC-3 (15), NIST.800-53.R5 AC-3 (7), NIST.800-53.R5 AC-5, NIST.800-53.R5 AC-6 (10), NIST.800-53.R5 AC-6 (2), NIST.800-53.R5 AC-6 (3)

Catégorie : Détecter > Gestion des accès sécurisés

Gravité : Faible

Type de ressource : AWS::IAM::Policy

Règle AWS Config  : iam-policy-no-statements-with-full-access

Type de calendrier : changement déclenché

Paramètres :

  • excludePermissionBoundaryPolicy: True (non personnalisable)

Ce contrôle vérifie si les politiques basées sur l'identité IAM que vous créez comportent des instructions Allow qui utilisent le caractère générique* pour accorder des autorisations pour toutes les actions sur n'importe quel service. Le contrôle échoue si une déclaration de politique inclut la mention « "Effect": "Allow" with "Action": "Service:*" ».

Par exemple, l'instruction suivante dans une politique entraîne un échec de recherche.

"Statement": [ { "Sid": "EC2-Wildcard", "Effect": "Allow", "Action": "ec2:*", "Resource": "*" }

Le contrôle échoue également si vous utilisez "Effect": "Allow" avec"NotAction": "service:*". Dans ce cas, l'NotActionélément donne accès à toutes les actions d'un Service AWS, à l'exception des actions spécifiées dansNotAction.

Ce contrôle s'applique uniquement aux politiques IAM gérées par le client. Elle ne s'applique pas aux politiques IAM gérées par AWS.

Lorsque vous attribuez des autorisations à Services AWS, il est important de définir les actions IAM autorisées dans vos politiques IAM. Vous devez limiter les actions IAM aux seules actions nécessaires. Cela vous permet d'octroyer des autorisations de moindre privilège. Des politiques trop permissives peuvent entraîner une augmentation des privilèges si elles sont associées à un principal IAM qui n'a peut-être pas besoin d'autorisation.

Dans certains cas, vous souhaiterez peut-être autoriser les actions IAM qui ont un préfixe similaire, tel que DescribeFlowLogs et. DescribeAvailabilityZones Dans ces cas autorisés, vous pouvez ajouter un caractère générique suffixé au préfixe commun. Par exemple, ec2:Describe*.

Ce contrôle passe si vous utilisez une action IAM préfixée avec un caractère générique suffixé. Par exemple, l'instruction suivante figurant dans une politique aboutit à un résultat positif.

"Statement": [ { "Sid": "EC2-Wildcard", "Effect": "Allow", "Action": "ec2:Describe*", "Resource": "*" }

Lorsque vous regroupez les actions IAM associées de cette manière, vous pouvez également éviter de dépasser les limites de taille de la politique IAM.

Note

AWS Config doit être activé dans toutes les régions dans lesquelles vous utilisez Security Hub. Cependant, l'enregistrement des ressources globales peut être activé dans une seule région. Si vous enregistrez uniquement des ressources globales dans une seule région, vous pouvez désactiver ce contrôle dans toutes les régions, à l'exception de la région dans laquelle vous enregistrez des ressources globales.

Correction

Pour remédier à ce problème, mettez à jour vos politiques IAM afin qu'elles n'accordent pas de privilèges administratifs « * » complets. Pour plus de détails sur la modification d'une stratégie IAM, consultez la section Modification des politiques IAM dans le Guide de l'utilisateur IAM.

[IAM.22] Les informations d'identification d'utilisateur IAM non utilisées pendant 45 jours doivent être supprimées

Exigences associées : CIS AWS Foundations Benchmark v1.4.0/1.12

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Moyenne

Type de ressource : AWS::IAM::User

AWS Config règle : iam-user-unused-credentials-check

Type de calendrier : Périodique

Paramètres : Aucun

Ce contrôle vérifie si vos utilisateurs IAM ont des mots de passe ou des clés d'accès actives qui n'ont pas été utilisés depuis 45 jours ou plus. Pour cela, il vérifie si le maxCredentialUsageAge paramètre de la AWS Config règle est égal ou supérieur à 45.

Les utilisateurs peuvent accéder aux AWS ressources à l'aide de différents types d'informations d'identification, tels que des mots de passe ou des clés d'accès.

CIS vous recommande de supprimer ou de désactiver toutes les informations d'identification non utilisées depuis 45 jours ou plus. La désactivation ou la suppression des informations d'identification inutiles permet d'éviter que des informations d'identification associées à un compte compromis ou abandonné ne soient utilisées.

La AWS Config règle de ce contrôle utilise les opérations de l'GenerateCredentialReportAPI GetCredentialReportet, qui ne sont mises à jour que toutes les quatre heures. Les modifications apportées aux utilisateurs IAM peuvent prendre jusqu'à quatre heures pour être visibles par ce contrôle.

Note

AWS Config doit être activé dans toutes les régions dans lesquelles vous utilisez Security Hub. Cependant, vous pouvez activer l'enregistrement des ressources mondiales dans une seule région. Si vous enregistrez uniquement des ressources globales dans une seule région, vous pouvez désactiver ce contrôle dans toutes les régions, à l'exception de la région dans laquelle vous enregistrez des ressources globales.

Correction

Lorsque vous consultez les informations utilisateur dans la console IAM, des colonnes indiquent l'âge de la clé d'accès, l'âge du mot de passe et la dernière activité. Si la valeur de l'une de ces colonnes est supérieure à 45 jours, désactivez les informations d'identification de ces utilisateurs.

Vous pouvez également utiliser les rapports d'identification pour surveiller les utilisateurs et identifier ceux qui sont restés inactifs pendant 45 jours ou plus. Vous pouvez télécharger les rapports d'identification au .csv format depuis la console IAM.

Après avoir identifié les comptes inactifs ou les informations d'identification non utilisées, désactivez-les. Pour obtenir des instructions, consultez la section Création, modification ou suppression d'un mot de passe utilisateur IAM (console) dans le guide de l'utilisateur IAM.