SEC03-BP08 Partager des ressources en toute sécurité au sein de votre organisation - AWS Framework Well-Architected
Directives d’implémentationRessources

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

SEC03-BP08 Partager des ressources en toute sécurité au sein de votre organisation

À mesure que le nombre de charges de travail augmente, vous devrez peut-être partager l’accès aux ressources de ces charges de travail ou fournir les ressources plusieurs fois pour plusieurs comptes. Vous pouvez utiliser des constructions pour compartimenter votre environnement, par exemple des environnements de développement, de test et de production. Cependant, le fait d’avoir des constructions distinctes ne vous empêche pas de partager en toute sécurité. En partageant des composants qui se chevauchent, vous pouvez réduire les frais d’exploitation et offrir une expérience cohérente sans avoir à deviner ce que vous avez pu manquer en créant la même ressource plusieurs fois.

Résultat escompté : minimisez les accès involontaires en utilisant des méthodes sécurisées pour partager les ressources au sein de votre organisation et contribuer à votre initiative de prévention des pertes de données. Réduisez vos frais généraux opérationnels par rapport à la gestion de composants individuels, réduisez les erreurs liées à la création manuelle du même composant plusieurs fois et augmentez la capacité de mise à l’échelle de vos charges de travail. Vous pouvez bénéficier d’une réduction du délai de résolution dans les scénarios de défaillance multipoints et augmenter votre confiance dans l’évaluation du moment où un composant n’est plus nécessaire. Pour obtenir des conseils prescriptifs sur l’analyse des ressources partagées en externe, voir SEC03-BP07 Analyser l’accès public et intercompte.

Anti-modèles courants :

  • Manque de processus pour surveiller continuellement et alerter automatiquement sur un partage externe inattendu.

  • Manque de référence sur ce qui doit être partagé et ce qui ne doit pas l’être.

  • Adoption par défaut d’une politique largement ouverte au lieu de la partager explicitement lorsque c’est nécessaire.

  • Création manuelle des ressources de base qui se chevauchent si nécessaire.

Niveau d’exposition au risque si cette bonne pratique n’est pas respectée : moyen

Directives d’implémentation

Concevez vos contrôles et modèles d’accès de façon à régir la consommation de ressources partagées en toute sécurité et uniquement avec des entités approuvées. Surveillez les ressources partagées et examinez l’accès aux ressources partagées en permanence, et soyez alerté sur les partages inappropriés ou inattendus. Consultez Analyser l’accès public et intercompte pour vous aider à établir une gouvernance visant à réduire l’accès externe aux seules ressources qui en ont besoin, et à établir un processus de surveillance continue et d’alerte automatique.

Le partage entre comptes au sein de AWS Organizations est pris en charge par un certain nombre de services AWS, tels que AWS Security Hub, Amazon GuardDuty et AWS Backup. Ces services permettent de partager les données vers un compte central, de rendre les données accessibles à partir d’un compte central ou de gérer les ressources et les données à partir d’un compte central. Par exemple, AWS Security Hub peut transférer les résultats des comptes individuels vers un compte central où vous pouvez voir tous ces résultats. AWS Backup peut prendre une sauvegarde pour une ressource et la partager entre les comptes. Vous pouvez utiliser AWS Resource Access Manager (AWS RAM) pour partager d’autres ressources communes, telles que des sous-réseaux VPC et des attachements de la passerelle de transit, AWS Network Firewall ou des pipelines Amazon SageMaker.

Pour empêcher votre compte de partager uniquement les ressources au sein de votre organisation, utilisez des politiques de contrôle des services (SCP) pour empêcher l’accès aux principaux externes. Lorsque vous partagez des ressources, combinez les contrôles basés sur l’identité et les contrôles réseau pour créer un périmètre de données pour votre organisation afin de la protéger contre tout accès non intentionnel. Un périmètre de données est un ensemble de barrières de protection préventives qui vous permettent de vous assurer que seules les identités approuvées accèdent aux ressources approuvées à partir des réseaux attendus. Ces contrôles doivent placer des limites appropriées pour les ressources susceptibles d’être partagées et empêcher le partage ou l’exposition de ressources qui ne doivent pas être autorisées. Par exemple, dans le cadre de votre périmètre de données, vous pouvez utiliser les politiques de point de terminaison d’un VPC et la condition AWS:PrincipalOrgId pour garantir que les identités accédant à vos compartiments Amazon S3 appartiennent à votre organisation. Il est important de noter que les SCP ne s’appliquent pas aux rôles liés aux services ou aux principaux de service AWS.

Lorsque vous utilisez Amazon S3, désactivez les ACL pour votre compartiment Amazon S3 et utilisez les politiques IAM pour définir le contrôle d’accès. Pour restreindre l’accès à une origine Amazon S3 à partir d’Amazon CloudFront, migrez l’identité d’accès d’origine (OAI) vers le contrôle d’accès d’origine (OAC) qui prend en charge des fonctionnalités supplémentaires, dont le chiffrement côté serveur avec AWS Key Management Service.

Dans certains cas, vous pouvez autoriser le partage des ressources à l’extérieur de votre organisation ou accorder à un tiers l’accès à vos ressources. Pour obtenir des conseils prescriptifs sur la gestion des autorisations de partage de ressources en externe, consultez la section Gestion des autorisations.

Étapes d’implémentation

  1. Utilisez AWS Organizations : AWS Organizations est un service de gestion de comptes qui vous permet de consolider plusieurs Comptes AWS en une organisation que vous créez et gérez de façon centralisée. Vous pouvez regrouper vos comptes en unités d’organisation (OU) et joindre différentes politiques à chacune d’entre elles afin de vous aider à répondre à vos besoins en matière de budget, de sécurité et de conformité. Vous pouvez également contrôler la façon dont l’intelligence artificielle (IA) et le machine learning (ML) d’AWS peuvent collecter et stocker des données, et utiliser la gestion multicompte des services AWS intégrés à Organizations.

  2. Intégrez AWS Organizations aux services AWS : lorsque vous utilisez un service AWS pour exécuter des tâches en votre nom dans les comptes membres de votre organisation, AWS Organizations crée un rôle lié à un service IAM (SLR) pour ce service dans chaque compte membre. Gérez l’accès approuvé à l’aide de la AWS Management Console, des API AWS ou de la AWS CLI. Pour obtenir des conseils prescriptifs sur l’activation de l’accès sécurisé, voir Utilisation d’AWS Organizations avec d’autres services AWS et services AWS que vous pouvez utiliser avec Organizations.

  3. Établissez un périmètre de données : un périmètre de données fournit une délimitation claire de la confiance et de la propriété. Sur AWS, il est généralement représenté comme votre organisation AWS gérée par AWS Organizations, ainsi que par tous les réseaux ou systèmes sur site qui accèdent à vos ressources AWS. L’objectif du périmètre de données est de vérifier que l’accès est autorisé si l’identité est approuvée, si la ressource est approuvée et si le réseau est attendu. Toutefois, l’établissement d’un périmètre de données n’est pas une approche universelle. Évaluez et adoptez les objectifs de contrôle décrits dans le livre blanc Construire un périmètre sur AWS sur la base de vos modèles de risques de sécurité et de vos exigences spécifiques. Vous devez examiner attentivement votre position unique en matière de risque et mettre en œuvre les contrôles périmétriques adaptés à vos besoins en matière de sécurité.

  4. Utilisez le partage des ressources dans les services AWS et limitez en conséquence : de nombreux services AWS vous permettent de partager des ressources avec un autre compte ou de cibler une ressource d’un autre compte, comme Amazon Machine Images (AMI) et AWS Resource Access Manager (AWS RAM). Limitez l’API ModifyImageAttribute pour spécifier les comptes fiables avec lesquels partager l’AMI. Spécifiez la condition ram:RequestedAllowsExternalPrincipals lors de l’utilisation de AWS RAM pour limiter le partage à votre organisation uniquement, afin d’empêcher l’accès par des identités non fiables. Pour des conseils et des considérations prescriptifs, voir Partage des ressources et cibles externes.

  5. Utilisez AWS RAM pour partager en toute sécurité dans un compte ou avec d’autres Comptes AWS : AWS RAM vous aide à partager en toute sécurité les ressources que vous avez créées avec les rôles et les utilisateurs de votre compte et avec d’autres Comptes AWS. Dans un environnement multicompte, AWS RAM vous permet de créer une ressource une fois et de la partager avec d’autres comptes. Cette approche permet de réduire vos frais généraux opérationnels tout en assurant la cohérence, la visibilité et l’auditabilité grâce à des intégrations avec Amazon CloudWatch et AWS CloudTrail, que vous ne recevez pas lorsque vous utilisez l’accès intercompte.

    Si vous avez déjà partagé des ressources à l’aide d’une politique basée sur les ressources, vous pouvez utiliser l’API PromoteResourceShareCreatedFromPolicy ou un équivalent pour transformer le partage de ressources en partage de ressources AWS RAM complet.

    Dans certains cas, vous devrez peut-être prendre des mesures supplémentaires pour partager les ressources. Par exemple, pour partager un instantané chiffré, vous devez partager une clé AWS KMS.

Ressources

Bonnes pratiques associées :

Documents connexes :

Vidéos connexes :

Outils associés :