COST02-BP04 Mise en œuvre de groupes et de rôles

Mettez en œuvre des groupes et des rôles conformes à vos stratégies et qui indiquent qui crée, modifie ou met hors service des instances et des ressources dans chaque groupe. Par exemple, mettez en place des groupes de développement, de test et de production. Cela s’applique aux services AWS et aux solutions tierces.

Niveau d’exposition au risque si cette bonne pratique n’est pas respectée : faible

Directives d’implémentation

Les rôles et les groupes d’utilisateurs sont des éléments fondamentaux de la conception et de l’implémentation de systèmes sécurisés et efficaces. Les rôles et les groupes aident les organisations à trouver un équilibre entre le besoin de contrôle et le besoin de flexibilité et de productivité, et répondent ainsi aux objectifs de l’organisation et aux besoins des utilisateurs. Comme recommandé dans la section Gestion des identités et des accès du pilier de sécurité du cadre AWS Well-Architected, vous avez besoin d’une gestion des identités robuste et d’autorisations en place pour fournir un accès aux bonnes ressources aux bonnes personnes et dans les bonnes conditions. Les utilisateurs disposent uniquement de l’accès dont ils ont besoin pour effectuer leurs tâches. Le risque d’accès non autorisé ou d’utilisation abusive s’en trouve ainsi réduit.

Après avoir élaboré des stratégies, vous pouvez créer des groupes logiques et des rôles d’utilisateurs au sein de votre organisation. Vous pouvez alors attribuer des autorisations, contrôler les utilisations et mettre en œuvre des mécanismes robustes de contrôle des accès pour empêcher tout accès non autorisé à des informations sensibles. Commencez par des groupes de personnes de haut niveau. Ils correspondent généralement à des unités organisationnelles et à des fonctions (par exemple, administrateur système au sein du service informatique, contrôleur financier ou analyste commercial). Les groupes classent par catégories les personnes qui effectuent des tâches similaires et ont besoin d’un accès similaire. Les rôles définissent ce qu’un groupe doit faire. Il est plus facile de gérer les autorisations pour les groupes et les rôles que pour les utilisateurs individuels. Les rôles et les groupes attribuent des autorisations de manière cohérente et systématique à tous les utilisateurs, ce qui permet d’éviter les erreurs et les incohérences.

Lorsqu’un utilisateur voit son rôle changer, les administrateurs peuvent modifier son accès au niveau du rôle ou du groupe au lieu de reconfigurer des comptes d’utilisateur individuels. Par exemple, un administrateur de système du service informatique a besoin d’un accès pour créer toutes les ressources, mais un membre de l’équipe d’analytique n’a besoin que de créer des ressources d’analytique.

Étapes d’implémentation

• Mise en œuvre de groupes : en utilisant les groupes d’utilisateurs définis dans vos politiques organisationnelles, mettez en œuvre les groupes correspondants, si nécessaire. Pour connaître les bonnes pratiques relatives aux utilisateurs, aux groupes et à l’authentification, consultez le pilier de sécurité du cadre AWS Well-Architected.

• Mise en œuvre de rôles et de stratégies : à l’aide des actions définies dans vos politiques organisationnelles, créez les rôles et stratégies d’accès requis. Pour connaître les bonnes pratiques relatives aux utilisateurs, et aux stratégies, consultez le pilier de sécurité du cadre AWS Well-Architected.

Ressources

Documents connexes :

• Stratégies gérées par AWS pour les activités professionnelles

• Stratégie de facturation multicompte AWS

• Pilier de sécurité du cadre AWS Well-Architected

• AWS Identity and Access Management (IAM)

• Stratégies AWS Identity and Access Management

Vidéos connexes :

• Pourquoi utiliser la gestion de l’identité et des accès

Exemples connexes :

• Identité et accès de base de l’atelier Well-Architected

• Contrôle de l’accès aux Régions AWS avec des politiques IAM

• Démarrage de la transition vers la gestion financière dans le cloud : opérations liées aux coûts du cloud