Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
SEC02-BP05 Auditez et alternez régulièrement les informations d'identification
Contrôlez et effectuez régulièrement une rotation des informations d’identification afin de limiter leur durée d’utilisation pour accéder à vos ressources. Les informations d’identification à long terme créent de nombreux risques, et ces risques peuvent être réduits par une rotation régulière de ces informations.
Résultat escompté : mettre en œuvre la rotation des informations d’identification afin de réduire les risques associés à l’utilisation à long terme des informations d’identification. Auditez et corrigez régulièrement toute non-conformité avec les politiques de rotation des informations d’identification.
Anti-modèles courants :
-
Ne pas auditer l’utilisation des informations d’identification.
-
Utiliser inutilement des informations d’identification à long terme.
-
Utiliser des informations d’identification à long terme et ne pas effectuer de rotation régulièrement.
Niveau d’exposition au risque si cette bonne pratique n’est pas respectée : élevé
Directives d’implémentation
Lorsque vous ne pouvez pas vous fier à des informations d'identification temporaires et que vous avez besoin d'informations d'identification à long terme, auditez les informations d'identification pour vérifier que les contrôles définis tels que l'authentification multifactorielle (MFA) sont appliqués, renouvelés régulièrement et disposent du niveau d'accès approprié.
La validation régulière, de préférence via un outil automatisé, est nécessaire pour vérifier que les contrôles corrects sont appliqués. Pour les identités humaines, vous devez obliger les utilisateurs à modifier leurs mots de passe régulièrement et à mettre hors service les clés d’accès au profit d’informations d’identification temporaires. Lorsque vous passez de AWS Identity and Access Management (IAM) utilisateurs à des identités centralisées, vous pouvez générer un rapport d'identification pour auditer vos utilisateurs.
Nous vous recommandons également de faire appliquer et de surveiller MFA votre fournisseur d'identité. Vous pouvez configurer AWS Config Rulesou utiliser des normes AWS Security Hub de sécurité pour vérifier si les utilisateurs ont configuréMFA. Envisagez d'IAMutiliser Roles Anywhere pour fournir des informations d'identification temporaires pour les identités des machines. Dans les situations où l'utilisation de IAM rôles et d'informations d'identification temporaires n'est pas possible, des audits fréquents et une rotation des clés d'accès sont nécessaires.
Étapes d’implémentation
-
Auditez régulièrement les informations d'identification : auditer les identités configurées dans votre fournisseur d'identité IAM permet de vérifier que seules les identités autorisées ont accès à votre charge de travail. Ces identités peuvent inclure, sans toutefois s'y limiter, des IAM utilisateurs, des AWS IAM Identity Center utilisateurs Active Directory ou des utilisateurs d'un autre fournisseur d'identité en amont. Par exemple, supprimez les personnes qui quittent l’organisation et supprimez les rôles intercomptes qui ne sont plus requis. Mettez en place un processus pour vérifier périodiquement les autorisations relatives aux services auxquels une IAM entité accède. Cela vous permet d’identifier les politiques à modifier afin de supprimer les autorisations inutilisées. Utilisez les rapports d'identification et AWS Identity and Access Management Access Analyzerpour auditer les IAM informations d'identification et les autorisations. Vous pouvez utiliser Amazon CloudWatch pour configurer des alarmes pour des API appels spécifiques passés dans votre AWS environnement. Amazon GuardDuty peut également vous avertir en cas d'activité inattendue, qui peut indiquer un accès trop permissif ou un accès involontaire aux informations d'identification. IAM
-
Rotation régulière des informations d'identification : lorsque vous ne pouvez pas utiliser d'informations d'identification temporaires, alternez régulièrement les clés IAM d'accès à long terme (au maximum tous les 90 jours). Si une clé d’accès est divulguée involontairement à votre insu, cela limite la durée pendant laquelle les informations d’identification peuvent être utilisées pour accéder à vos ressources. Pour plus d'informations sur la rotation des touches d'accès pour IAM les utilisateurs, voir Rotation des touches d'accès.
-
Révision IAM des autorisations : pour améliorer la sécurité de vos politiques Compte AWS, passez régulièrement en revue et surveillez chacune de vos IAM politiques. Vérifiez que les politiques respectent le principe du moindre privilège.
-
Envisagez d'automatiser la création et la mise à jour des IAM ressources : IAM Identity Center automatise de nombreuses IAM tâches, telles que la gestion des rôles et des politiques. Il AWS CloudFormation peut également être utilisé pour automatiser le déploiement des IAM ressources, y compris les rôles et les politiques, afin de réduire le risque d'erreur humaine, car les modèles peuvent être vérifiés et leur version contrôlée.
-
Utilisez IAM Roles Anywhere pour remplacer IAM les utilisateurs par des identités de machine : IAM Roles Anywhere vous permet d'utiliser des rôles dans des domaines que vous ne pouviez pas utiliser auparavant, tels que les serveurs sur site. IAMRoles Anywhere utilise un certificat X.509 sécurisé pour s'authentifier AWS et recevoir des informations d'identification temporaires. L'utilisation IAM de Roles Anywhere évite d'avoir à alterner ces informations d'identification, car les informations d'identification à long terme ne sont plus stockées dans votre environnement local. Veuillez noter que vous devrez surveiller et faire tourner le certificat X.509 à l’approche de son expiration.
Ressources
Bonnes pratiques associées :
Documents connexes :
Vidéos connexes :
Exemples connexes :
