SEC03-BP04 Limiter les autorisations au minimum requis en permanence - Framework AWS Well-Architected

SEC03-BP04 Limiter les autorisations au minimum requis en permanence

Au fur et à mesure que vos équipes déterminent les accès nécessaires, supprimez les autorisations inutiles et mettez en place des processus de révision afin d’obtenir des autorisations de moindre privilège. Surveillez et supprimez en permanence les identités et autorisations inutilisées pour les accès humains et machines.

Résultat souhaité : les politiques d’autorisation doivent respecter le principe du moindre privilège. Au fur et à mesure que les tâches et les rôles sont mieux définis, vos politiques d’autorisation doivent être revues de façon à supprimer les autorisations inutiles. Cette approche réduit l’impact si les informations d’identification sont exposées par inadvertance ou autrement consultées sans autorisation.

Anti-modèles courants :

  • Octroi par défaut des autorisations d’administrateur aux utilisateurs.

  • Création de politiques trop permissives, mais sans tous les privilèges d’administrateur.

  • Maintien des politiques d’autorisation une fois qu’elles ne sont plus nécessaires.

Niveau d’exposition au risque si cette bonne pratique n’est pas respectée : moyen

Directives d’implémentation

Lorsque les équipes et les projets ne font que commencer, des politiques d’autorisation permissives peuvent être utilisées pour favoriser l’innovation et l’agilité. Par exemple, dans un environnement de développement ou de test, les développeurs peuvent se voir octroyer un accès à un large éventail de services AWS. Nous vous recommandons d’évaluer l’accès en continu et de restreindre l’accès aux services et aux actions de service nécessaires pour effectuer le travail en cours. Nous recommandons cette évaluation pour les identités humaines et machine. Les identités machine, parfois appelées comptes de système ou de service, donnent un accès AWS aux applications ou aux serveurs. Cet accès est particulièrement important dans un environnement de production, où des autorisations trop permissives peuvent avoir un impact important et exposer les données des clients.

AWS fournit plusieurs méthodes pour identifier les utilisateurs, les rôles, les autorisations et les informations d’identification inutilisés. AWS peut également faciliter l’analyse de l’activité d’accès des utilisateurs et rôles IAM, notamment des clés d’accès associées, ainsi que l’accès aux ressources AWS telles que les objets dans les compartiments Amazon S3. La génération de politiques AWS Identity and Access Management Access Analyzer peut vous aider à créer des politiques d’autorisations restrictives basées sur les services et les actions réels avec lesquels un principal interagit. Le contrôle d’accès par attributs (ABAC) peut contribuer à simplifier la gestion des autorisations, car vous pouvez fournir des autorisations aux utilisateurs en utilisant leurs attributs au lieu d’associer des politiques d’autorisations directement à chaque utilisateur.

Étapes d’implémentation

Ressources

Documents connexes :

Vidéos connexes :