COST02-BP04 Mettre en œuvre des groupes et des rôles - AWS Well-Architected Framework

COST02-BP04 Mettre en œuvre des groupes et des rôles

Mettez en œuvre des groupes et des rôles conformes à vos politiques et qui indiquent qui crée, modifie ou met hors service des instances et des ressources dans chaque groupe. Par exemple, mettez en place des groupes de développement, de test et de production. Cela s'applique aux services AWS et aux solutions tierces.

Niveau de risque exposé si cette bonne pratique n'est pas respectée : faible

Directives d'implémentation

Les rôles et les groupes d'utilisateurs sont des éléments fondamentaux de la conception et de l'implémentation de systèmes sécurisés et efficaces. Les rôles et les groupes aident les organisations à trouver un équilibre entre le besoin de contrôle et le besoin de flexibilité et de productivité, et répondent ainsi aux objectifs de l'organisation et aux besoins des utilisateurs. Comme recommandé dans la section Identity and Access Management du livre blanc Pilier Sécurité - AWS Well-Architected Framework, vous devez mettre en place une gestion des identités et des autorisations solides pour garantir que les bonnes personnes ont accès aux bonnes ressources dans les bonnes conditions. Les utilisateurs disposent uniquement de l'accès dont ils ont besoin pour effectuer leurs tâches. Le risque d'accès non autorisé ou d'utilisation abusive s'en trouve ainsi réduit.

Après avoir élaboré des stratégies, vous pouvez créer des groupes logiques et des rôles d'utilisateurs au sein de votre organisation. Vous pouvez alors attribuer des autorisations, contrôler les utilisations et mettre en œuvre des mécanismes robustes de contrôle des accès pour empêcher tout accès non autorisé à des informations sensibles. Commencez par des groupes de personnes généraux. Ils correspondent généralement à des unités organisationnelles et à des fonctions (par exemple, administrateur système au sein du service informatique, contrôleur financier ou analyste commercial). Les groupes classent par catégories les personnes qui effectuent des tâches similaires et ont besoin d'un accès similaire. Les rôles définissent ce qu'un groupe doit faire. Il est plus facile de gérer les autorisations pour les groupes et les rôles que pour les utilisateurs individuels. Les rôles et les groupes attribuent des autorisations de manière systématique à tous les utilisateurs, ce qui permet d'éviter les erreurs et les incohérences.

Lorsqu'un utilisateur voit son rôle changer, les administrateurs peuvent modifier son accès au niveau du rôle ou du groupe au lieu de reconfigurer ses comptes individuels. Par exemple, un administrateur de système du service informatique a besoin d'un accès pour créer toutes les ressources, mais un membre de l'équipe d'analyse n'a besoin que de créer des ressources analytiques.

Étapes d'implémentation

  • Mettre en place des groupes : utilisez les groupes d'utilisateurs définis dans les stratégies de votre organisation pour mettre en œuvre les groupes correspondants, si nécessaire. Pour connaître les bonnes pratiques en matière d'utilisateurs, de groupes et d'authentification, consultez le livre blanc Pilier Sécurité - AWS Well-Architected Framework.

  • Mettre en œuvre des rôles et des stratégies : utilisez les actions définies dans les stratégies de votre organisation pour créer les rôles et stratégies d'accès requis. Pour connaître les bonnes pratiques en matière de rôles et de stratégies, consultez le livre blanc Pilier Sécurité - AWS Well-Architected Framework.

Ressources

Documents connexes :

Vidéos connexes :

Exemples connexes :