SEC03-BP04 Limiter les autorisations au minimum requis en permanence
Au fur et à mesure que vos équipes déterminent les accès nécessaires, supprimez les autorisations inutiles et mettez en place des processus de révision afin d’obtenir des autorisations de moindre privilège. Surveillez et supprimez en permanence les identités et autorisations inutilisées pour les accès humains et machines.
Résultat souhaité : les politiques d’autorisation doivent respecter le principe du moindre privilège. Au fur et à mesure que les tâches et les rôles sont mieux définis, vos politiques d’autorisation doivent être revues de façon à supprimer les autorisations inutiles. Cette approche réduit l’impact si les informations d’identification sont exposées par inadvertance ou autrement consultées sans autorisation.
Anti-modèles courants :
-
Octroi par défaut des autorisations d’administrateur aux utilisateurs.
-
Création de politiques trop permissives, mais sans tous les privilèges d’administrateur.
-
Maintien des politiques d’autorisation une fois qu’elles ne sont plus nécessaires.
Niveau d’exposition au risque si cette bonne pratique n’est pas respectée : moyen
Directives d’implémentation
Lorsque les équipes et les projets ne font que commencer, des politiques d’autorisation permissives peuvent être utilisées pour favoriser l’innovation et l’agilité. Par exemple, dans un environnement de développement ou de test, les développeurs peuvent se voir octroyer un accès à un large éventail de services AWS. Nous vous recommandons d’évaluer l’accès en continu et de restreindre l’accès aux services et aux actions de service nécessaires pour effectuer le travail en cours. Nous recommandons cette évaluation pour les identités humaines et machine. Les identités machine, parfois appelées comptes de système ou de service, donnent un accès AWS aux applications ou aux serveurs. Cet accès est particulièrement important dans un environnement de production, où des autorisations trop permissives peuvent avoir un impact important et exposer les données des clients.
AWS fournit plusieurs méthodes pour identifier les utilisateurs, les rôles, les autorisations et les informations d’identification inutilisés. AWS peut également faciliter l’analyse de l’activité d’accès des utilisateurs et rôles IAM, notamment des clés d’accès associées, ainsi que l’accès aux ressources AWS telles que les objets dans les compartiments Amazon S3. La génération de politiques AWS Identity and Access Management Access Analyzer peut vous aider à créer des politiques d’autorisations restrictives basées sur les services et les actions réels avec lesquels un principal interagit. Le contrôle d’accès par attributs (ABAC) peut contribuer à simplifier la gestion des autorisations, car vous pouvez fournir des autorisations aux utilisateurs en utilisant leurs attributs au lieu d’associer des politiques d’autorisations directement à chaque utilisateur.
Étapes d’implémentation
-
Utilisez AWS Identity and Access Management Access Analyzer : IAM Access Analyzer vous aide à identifier les ressources de votre organisation et de vos comptes, comme les compartiments Amazon Simple Storage Service (Amazon S3) ou les rôles IAM, qui sont partagées avec une entité externe.
-
Utilisez la génération de politiques IAM Access Analyzer : la génération de politiques IAM Access Analyzer vous permet de créer des politiques d’autorisation précises reposant sur l’activité d’accès d’un utilisateur ou d’un rôle IAM.
-
Déterminez un délai et une politique d’utilisation acceptables pour les utilisateurs et les rôles IAM : utilisez le dernier horodatage consulté pour identifier les utilisateurs et les rôles non utilisés
et les supprimer. Consultez les informations relatives aux services et actions consultées en dernier afin d’identifier et de délimiter les autorisations à des utilisateurs et des rôles spécifiques. Par exemple, vous pouvez utiliser les dernières informations consultées pour identifier les actions Amazon S3 spécifiques dont votre rôle d’application a besoin et limiter l’accès du rôle à celles-ci uniquement. Ces fonctionnalités relatives aux informations sur les derniers accès sont disponibles dans la AWS Management Console et par programmation pour vous permettre de les intégrer dans vos flux de travail d’infrastructure et vos outils automatisés. -
Envisagez de consigner les événements de données dans AWS CloudTrail : par défaut, CloudTrail n’enregistre pas les événements de données tels que l’activité au niveau des objets Amazon S3 (par exemple,
GetObject
etDeleteObject
) ou les activités des tables Amazon DynamoDB (par exemple,PutItem
etDeleteItem
). Envisagez d’utiliser la journalisation de ces événements afin de déterminer quels utilisateurs et rôles ont besoin d’accéder à des objets Amazon S3 ou des éléments de table DynamoDB spécifiques.
Ressources
Documents connexes :
Vidéos connexes :