SEC03-BP06 Gérer l’accès en fonction du cycle de vie
Surveillez et ajustez les autorisations accordées à vos principaux (utilisateurs, rôles et groupes) tout au long de leur cycle de vie au sein de votre organisation. Ajustez les appartenances aux groupes lorsque les utilisateurs changent de rôle et supprimez l’accès lorsqu’un utilisateur quitte l’organisation.
Résultat souhaité : vous surveillez et ajustez les autorisations tout au long du cycle de vie des principaux au sein de l’organisation, réduisant ainsi le risque de privilèges inutiles. Vous accordez l’accès approprié lorsque vous créez un utilisateur. Vous modifiez l’accès en fonction de l’évolution des responsabilités de l’utilisateur et vous supprimez l’accès lorsque l’utilisateur n’est plus actif ou s’il a quitté l’organisation. Vous gérez de manière centralisée les modifications apportées à vos utilisateurs, rôles et groupes. Vous utilisez l’automatisation pour propager les modifications à vos environnements AWS.
Anti-modèles courants :
-
Vous accordez d’emblée des privilèges d’accès excessifs ou étendus aux identités, au-delà de ce qui est initialement requis.
-
Vous ne révisez pas et vous ne modifiez pas les privilèges d’accès au fur et à mesure de l’évolution des rôles et des responsabilités des identités au fil du temps.
-
Vous laissez des identités inactives ou résiliées avec des privilèges d’accès actifs. Cela augmente le risque d’accès non autorisé.
-
Vous n’automatisez pas la gestion des cycles de vie des identités.
Niveau d’exposition au risque si cette bonne pratique n’est pas respectée : moyen
Directives d’implémentation
Gérez et ajustez avec soin les privilèges d’accès que vous accordez aux identités (telles que les utilisateurs, les rôles, les groupes) tout au long de leur cycle de vie. Ce cycle de vie comprend la phase initiale d’intégration, les changements continus des rôles et des responsabilités, et le départ ou la résiliation éventuels. Gérez l’accès de manière proactive en fonction de l’étape du cycle de vie afin de maintenir un niveau d’accès approprié. Optez pour le principe du moindre privilège afin de réduire le risque de privilèges d’accès excessifs ou inutiles.
Vous pouvez gérer le cycle de vie des utilisateurs IAM directement dans le Compte AWS ou par le biais d’une fédération entre le fournisseur d’identité de votre personnel et AWS IAM Identity Center. Pour les utilisateurs IAM, vous pouvez créer, modifier et supprimer des utilisateurs et leurs autorisations associées dans le Compte AWS. Pour les utilisateurs fédérés, vous pouvez utiliser IAM Identity Center afin de gérer leur cycle de vie en synchronisant les informations relatives aux utilisateurs et aux groupes provenant du fournisseur d’identité de votre organisation à l’aide du protocole SCIM (System for Cross-domain Identity Management).
SCIM est un protocole standard ouvert pour le provisionnement et le déprovisionnement automatisés des identités des utilisateurs sur différents systèmes. En intégrant votre fournisseur d’identité avec IAM Identity Center à l’aide de SCIM, vous pouvez synchroniser automatiquement les informations des utilisateurs et des groupes, ce qui aide à valider que les privilèges d’accès sont accordés, modifiés ou révoqués en fonction des modifications apportées à la source d’identité officielle de votre organisation.
Ajustez les privilèges en fonction de l’évolution des rôles et responsabilités des employés au sein de votre organisation. Vous pouvez utiliser les ensembles d’autorisations d’IAM Identity Center pour définir différents rôles ou responsabilités professionnels et les associer aux politiques et autorisations IAM Identity Center appropriées. Lorsque le rôle d’un employé change, vous pouvez mettre à jour l’ensemble d’autorisations qui lui a été attribué de façon à refléter ses nouvelles responsabilités. Vérifiez qu’il dispose de l’accès nécessaire tout en respectant le principe du moindre privilège.
Étapes d’implémentation
-
Définissez et documentez un processus de gestion des accès tout au long du cycle de vie, y compris les procédures relatives à l’octroi de l’accès initial, aux révisions périodiques et à la révocation de l’accès.
-
Mettez en œuvre des rôles, des groupes et des limites des autorisations IAM pour gérer l’accès collectivement et appliquer des niveaux d’accès maximaux autorisés.
-
Intégrez un fournisseur d’identité fédéré (tel que Microsoft Active Directory, Okta, Ping Identity) en tant que source officielle d’informations sur les utilisateurs et les groupes utilisant IAM Identity Center.
-
Utilisez le protocole SCIM pour synchroniser les informations sur les utilisateurs et les groupes provenant du fournisseur d’identité dans l’Identity Store d’IAM Identity Center.
-
Dans IAM Identity Center, créez des ensembles d’autorisations qui représentent les différents rôles ou responsabilités au sein de votre organisation. Définissez les politiques et les autorisations IAM appropriées pour chaque ensemble d’autorisations.
-
Mettez en œuvre des contrôles d’accès réguliers, une révocation rapide des accès et une amélioration continue du processus de gestion du cycle de vie des accès.
-
Formez et sensibilisez les employés aux bonnes pratiques de gestion des accès.
Ressources
Bonnes pratiques associées :
Documents connexes :
Vidéos connexes :