SEC03-BP08 Partager des ressources en toute sécurité au sein de votre organisation

À mesure que le nombre de charges de travail augmente, vous devrez peut-être partager l'accès aux ressources de ces charges de travail ou fournir les ressources plusieurs fois pour plusieurs comptes. Vous pouvez utiliser des constructions pour compartimenter votre environnement, par exemple des environnements de développement, de test et de production. Cependant, le fait d'avoir des constructions distinctes ne vous empêche pas de partager en toute sécurité. En partageant des composants qui se chevauchent, vous pouvez réduire les frais d'exploitation et offrir une expérience cohérente sans avoir à deviner ce que vous avez pu manquer en créant la même ressource plusieurs fois.

Résultat souhaité : limiter autant que possible les accès involontaires en utilisant des méthodes sécurisées pour partager des ressources au sein de votre organisation, et vous aider dans le cadre de votre initiative de prévention de la perte de données. Réduisez vos frais généraux opérationnels par rapport à la gestion de composants individuels, réduisez les erreurs liées à la création manuelle du même composant plusieurs fois et augmentez la capacité de mise à l'échelle de vos charges de travail. Vous pouvez bénéficier d'une réduction du délai de résolution dans les scénarios de défaillance multipoints et augmenter votre confiance dans l'évaluation du moment où un composant n'est plus nécessaire. Pour des conseils normatifs sur l'analyse des ressources partagées en externe, consultez SEC03-BP07 Analyser l'accès public et entre les comptes.

Anti-modèles courants :

• Manque de processus pour surveiller continuellement et alerter automatiquement sur un partage externe inattendu.

• Manque de référence sur ce qui doit être partagé et ce qui ne doit pas l'être.

• Adoption par défaut d'une politique largement ouverte au lieu de la partager explicitement lorsque c'est nécessaire.

• Création manuelle des ressources de base qui se chevauchent si nécessaire.

Niveau de risque exposé si cette bonne pratique n'est pas instaurée : moyen

Directives d'implémentation

Concevez vos contrôles et modèles d'accès de façon à régir la consommation de ressources partagées en toute sécurité et uniquement avec des entités approuvées. Surveillez les ressources partagées et examinez l'accès aux ressources partagées en permanence, et soyez alerté sur les partages inappropriés ou inattendus. Consultez Analyser l'accès public et intercompte pour vous aider à établir une gouvernance afin de réduire l'accès externe aux seules ressources qui en ont besoin, et d'établir un processus de surveillance continue et d'alerte automatique.

Le partage intercompte dans AWS Organizations est pris en charge par un certain nombre de services AWS, comme AWS Security Hub, Amazon GuardDuty et AWS Backup. Ces services permettent de partager les données vers un compte central, de rendre les données accessibles à partir d'un compte central ou de gérer les ressources et les données à partir d'un compte central. Par exemple, AWS Security Hub peut transférer les découvertes des comptes individuels vers un compte central où vous pouvez voir toutes ces informations. AWS Backup peut prendre une sauvegarde pour une ressource et la partager entre les comptes. Vous pouvez utiliser AWS Resource Access Manager (AWS RAM) afin de partager d'autres ressources communes, telles que les sous-réseaux VPC et les pièces jointes Transit Gateway, AWS Network Firewall ou les pipelines Amazon SageMaker.

Pour limiter votre compte au partage de ressources au sein de votre organisation, utilisez les politiques de contrôle des services (SCP) afin d'empêcher l'accès aux principaux externes. Lorsque vous partagez des ressources, combinez les contrôles basés sur l'identité et les contrôles réseau afin de créer un périmètre de données pour votre organisation dans le but de contribuer à la protection contre les accès involontaires. Un périmètre de données est un ensemble de barrières de protection préventives qui vous permettent de vous assurer que seules les identités approuvées accèdent aux ressources approuvées à partir des réseaux attendus. Ces contrôles doivent placer des limites appropriées pour les ressources susceptibles d'être partagées et empêcher le partage ou l'exposition de ressources qui ne doivent pas être autorisées. Par exemple, dans le cadre de votre périmètre de données, vous pouvez utiliser les politiques de point de terminaison VPC et la condition AWS:PrincipalOrgId afin de vous assurer que les identités qui accèdent aux compartiments Amazon S3 appartiennent à votre organisation. Il est important de noter que les SCP ne s'appliquent pas aux rôles liés aux services (LSR) ni aux principaux de services AWS.

Lorsque vous utilisez Amazon S3, désactivez les listes de contrôle d'accès pour votre compartiment Amazon S3 et utilisez les politiques IAM pour définir le contrôle des accès. Pour limiter l'accès à une origine Amazon S3 depuis Amazon CloudFront, migrez depuis l'identité d'accès d'origine (OAI) vers le contrôle d'accès d'origine (OAC) qui prend en charge des fonctionnalités supplémentaires, y compris le chiffrement côté serveur avec AWS Key Management Service.

Dans certains cas, vous pouvez autoriser le partage des ressources à l'extérieur de votre organisation ou accorder à un tiers l'accès à vos ressources. Pour des conseils normatifs sur la gestion des autorisations de partage des ressources à l'externe, consultez Gestion des autorisations.

Étapes d'implémentation

1. Utilisez AWS Organizations.

   AWS Organizations est un service de gestion des comptes qui vous permet de regrouper plusieurs Comptes AWS dans une organisation que vous créez et gérez de façon centralisée. Vous pouvez regrouper vos comptes en unités d'organisation (UO) et joindre différentes politiques à chacune d'entre elles afin de vous aider à répondre à vos besoins en matière de budget, de sécurité et de conformité. Vous pouvez également contrôler la façon dont l'intelligence artificielle (IA) et le machine learning (ML) d'AWS peuvent collecter et stocker des données, et utiliser la gestion multicompte des services AWS intégrés à Organizations.

2. Intégrez AWS Organizations aux services AWS.

   Lorsque vous permettez à un service AWS d'effectuer des tâches en votre nom dans les comptes membres de votre organisation, AWS Organizations crée un rôle IAM lié à ce service dans chaque compte membre. Gérez l'accès approuvé à l'aide de la AWS Management Console, des API AWS ou d'AWS CLI. Pour obtenir des conseils normatifs sur la mise en place d'un accès approuvé, consultez Utilisation d'AWS Organizations avec d'autres services AWS et Services AWS que vous pouvez utiliser avec Organizations.

3. Établissez un périmètre de données.

   Le périmètre AWS est généralement représenté comme une organisation gérée par AWS Organizations. Avec les réseaux et les systèmes sur site, l'accès aux ressources AWS est ce que beaucoup considèrent comme le périmètre de mon AWS. L'objectif du périmètre est de vérifier que l'accès est autorisé si l'identité est approuvée, si la ressource est approuvée et si le réseau est attendu.

   1. Définissez et implémentez les périmètres.

      Suivez les étapes décrites dans Perimeter implementation (Implémentation du périmètre) dans le livre blanc Building a Perimeter on AWS (Créer un périmètre sur AWS) pour chaque condition d'autorisation. Pour des conseils normatifs sur la protection de la couche réseau, consultez Protection des réseaux.

   2. Surveillez et alertez en continu.

      AWS Identity and Access Management Access Analyzer vous permet d'identifier les ressources de votre organisation et les comptes qui sont partagés avec des entités externes. Vous pouvez intégrer IAM Access Analyzer à AWS Security Hub pour envoyer et regrouper les découvertes d'une ressource d'IAM Access Analyzer vers Security Hub afin de contribuer à l'analyse de la situation de sécurité de votre environnement. Pour mettre en place l'intégration, activez IAM Access Analyzer et Security Hub dans chaque région de chaque compte. Vous pouvez utiliser AWS Config Rules pour auditer la configuration et alerter la partie appropriée à l'aide d'AWS Chatbot avec AWS Security Hub. Vous pouvez ensuite utiliser les documents AWS Systems Manager Automation pour résoudre les problèmes des ressources non conformes.

   3. Pour des conseils normatifs sur la surveillance et les alertes en continu relatives aux ressources partagées en externe, consultez Analyser l'accès public et entre les comptes.

4. Utilisez le partage des ressources dans les services AWS et limitez l'accès en conséquence.

   De nombreux services AWS vous permettent de partager des ressources avec un autre compte ou de cibler une ressource dans un autre compte, par exemple Amazon Machine Images (AMI) et AWS Resource Access Manager (AWS RAM). Limitez l'API ModifyImageAttribute à la spécification des comptes approuvés pour partager l'AMI. Spécifiez la condition ram:RequestedAllowsExternalPrincipals lorsque vous utilisez AWS RAM pour limiter le partage à votre organisation seulement, pour empêcher l'accès à des identités non approuvées. Pour des conseils et des considérations normatifs, consultez Partage des ressources et cibles externes.

5. Utilisez AWS RAM pour partager en toute sécurité dans un compte ou avec d'autres Comptes AWS.

   AWS RAM vous aide à partager en toute sécurité les ressources que vous avez créées avec les rôles et les utilisateurs de votre compte et avec d'autres Comptes AWS. Dans un environnement multicompte, AWS RAM vous permet de créer une ressource une fois et de la partager avec d'autres comptes. Cette approche permet de réduire vos frais généraux opérationnels tout en assurant la cohérence, la visibilité et l'auditabilité grâce à des intégrations avec Amazon CloudWatch et AWS CloudTrail, que vous ne recevez pas lorsque vous utilisez l'accès intercompte.

   Si vous avez déjà partagé des ressources à l'aide d'une politique basée sur les ressources, vous pouvez utiliser l'API PromoteResourceShareCreatedFromPolicy ou un équivalent pour faire passer le partage des ressources vers un partage AWS RAM complet.

   Dans certains cas, vous devrez peut-être prendre des mesures supplémentaires pour partager les ressources. Par exemple, pour partager un instantané chiffré, vous devez partager une clé AWS KMS.

Ressources

Bonnes pratiques associées :

• SEC03-BP07 Analyser l'accès public et entre les comptes

• SEC03-BP09 Partager des ressources en toute sécurité avec un tiers

• SEC05-BP01 Créer des couches réseau

Documents connexes :

• Propriétaire d'un compartiment accordant des autorisations entre comptes à des objets qu'il ne possède pas

• How to use Trust Policies with IAM

• Building Data Perimeter on AWS

• Procédure d'utilisation d'un ID externe lorsque vous accordez l'accès à vos ressources AWS à un tiers

• Services AWS que vous pouvez utiliser avec AWS Organizations

• Establishing a data perimeter on AWS: Allow only trusted identities to access company data

Vidéos connexes :

• Granular Access with AWS Resource Access Manager

• Securing your data perimeter with VPC endpoints

• Establishing a data perimeter on AWS

Outils associés :

• Exemples de politiques de périmètre de données