SEC03-BP09 Partagez des ressources en toute sécurité avec un tiers

La sécurité de votre environnement cloud ne s’arrête pas à votre organisation. Votre organisation peut faire appel à un tiers pour gérer une partie de vos données. La gestion des autorisations pour le système géré par un tiers doit suivre la pratique de l' just-in-timeaccès utilisant le principe du moindre privilège avec des informations d'identification temporaires. En travaillant en étroite collaboration avec un tiers, vous pouvez réduire ensemble l’étendue de l’impact et le risque d’accès involontaire.

Résultat souhaité : Les informations d'identification à long terme AWS Identity and Access Management (IAM), les clés d'IAMaccès et les clés secrètes associées à un utilisateur peuvent être utilisées par n'importe qui tant que les informations d'identification sont valides et actives. L'utilisation d'un IAM rôle et d'informations d'identification temporaires vous permet d'améliorer votre position globale en matière de sécurité en réduisant les efforts liés à la conservation des informations d'identification à long terme, y compris les frais de gestion et d'exploitation liés à ces informations sensibles. En utilisant un identifiant unique universel (UUID) pour l'ID externe dans la politique de IAM confiance et en gardant sous votre contrôle les IAM politiques associées au IAM rôle, vous pouvez auditer et vérifier que l'accès accordé au tiers n'est pas trop permissif. Pour obtenir des conseils prescriptifs sur l’analyse des ressources partagées en externe, voir SEC03-BP07 Analyser l'accès public et entre comptes.

Anti-modèles courants :

• Utilisation de la politique de IAM confiance par défaut sans aucune condition.

• Utilisation d'IAMinformations d'identification et de clés d'accès à long terme.

• Réutilisation de l'extérieurIDs.

Niveau d’exposition au risque si cette bonne pratique n’est pas respectée : moyen

Directives d’implémentation

Vous souhaiterez peut-être autoriser le partage de ressources en dehors de votre compte AWS Organizations ou accorder à un tiers l'accès à celui-ci. Par exemple, un tiers peut fournir une solution de surveillance qui doit accéder aux ressources de votre compte. Dans ces cas, créez un rôle IAM multi-comptes avec uniquement les privilèges requis par le tiers. Définissez également une politique d’approbation à l’aide de la condition d’ID externe. Lorsque vous utilisez un identifiant externe, vous pouvez (ou le tiers peut) générer un identifiant unique pour chaque client, tiers ou location. L’ID unique ne doit être contrôlé que par vous après sa création. Le tiers doit implémenter un processus pour relier l’ID externe au client de manière sécurisée, auditable et reproductible.

Vous pouvez également utiliser IAMRoles Anywhere pour gérer les IAM rôles des applications n'appartenant pas à AWS cette utilisation AWS APIs.

Si le tiers n’a plus besoin d’accéder à votre environnement, supprimez le rôle. Évitez de fournir à des tiers des informations d’identification à long terme. Tenez-vous au courant des autres AWS services qui favorisent le partage. Par exemple, il AWS Well-Architected Tool permet de partager une charge de travail avec d'autres Comptes AWS utilisateurs et vous AWS Resource Access Manageraide à partager en toute sécurité une AWS ressource que vous possédez avec d'autres comptes.

Étapes d’implémentation

1. Utilisez des rôles intercomptes pour fournir l’accès aux comptes externes.

   Les rôles intercomptes réduisent la quantité d’informations sensibles stockées par les comptes externes et les tiers pour servir leurs clients. Les rôles entre comptes vous permettent d'accorder l'accès aux AWS ressources de votre compte en toute sécurité à un tiers, tel que AWS Partner s ou d'autres comptes de votre organisation, tout en conservant la capacité de gérer et d'auditer cet accès.

   Il se peut que le tiers vous fournisse des services à partir d’une infrastructure hybride ou qu’il extraie des données hors site pour les transférer dans un emplacement hors site. IAMRoles Anywhere vous permet de permettre à des charges de travail tierces d'interagir en toute sécurité avec vos AWS charges de travail et de réduire encore le besoin d'informations d'identification à long terme.

   Vous ne devez pas utiliser d’informations d’identification à long terme ni de clés d’accès associées aux utilisateurs pour fournir un accès à un compte externe. Utilisez plutôt les rôles intercomptes pour fournir l’accès intercompte.

2. Utilisez un identifiant externe pour les tiers.

   L'utilisation d'un identifiant externe vous permet de désigner les personnes habilitées à jouer un rôle dans une politique de IAM confiance. La politique d’approbation peut exiger que l’utilisateur qui assume le rôle fasse valoir la condition et la cible dans lesquelles il opère. Il permet également au titulaire du compte d’autoriser que le rôle soit endossé uniquement dans des circonstances spécifiques. La fonction principale de l’ID externe consiste à traiter et à prévenir le problème du député confus.

   Utilisez un identifiant externe si vous êtes Compte AWS propriétaire et que vous avez configuré un rôle pour un tiers qui accède à un autre Comptes AWS que le vôtre, ou lorsque vous êtes en position d'assumer des rôles pour le compte de différents clients. Travaillez avec votre tiers ou AWS Partner établissez une condition d'identification externe à inclure dans la politique de IAM confiance.

3. Utilisez des composants externes uniques et universelsIDs.

   Implémentez un processus qui génère une valeur unique aléatoire pour un identifiant externe, tel qu'un identifiant unique universel (UUID). Le fait qu'un tiers réutilise des données externes pour IDs différents clients ne résout pas le problème de confusion des adjoints, car le client A peut être en mesure de consulter les données du client B en utilisant le rôle ARN du client B associé à l'identifiant externe dupliqué. Dans un environnement mutualisé, où un tiers prend en charge plusieurs clients avec des clients différents Comptes AWS, le tiers doit utiliser un identifiant unique différent comme identifiant externe pour chacun Compte AWS d'entre eux. Le tiers est chargé de détecter les doublons externes IDs et de mapper de manière sécurisée chaque client à son identifiant externe respectif. Le tiers doit vérifier qu’il peut uniquement assumer ce rôle lorsqu’il indique l’ID externe. Le tiers doit s'abstenir de stocker le rôle du client ARN et l'identifiant externe tant que celui-ci n'est pas requis.

   L’ID externe n’est pas traité comme un secret, mais il ne doit pas être facile à deviner, comme un numéro de téléphone, un nom ou un numéro de compte. Faites de l’ID externe un champ en lecture seule afin qu’il ne puisse pas être modifié dans le but de se faire passer pour la configuration.

   Le tiers ou vous-même pouvez générer l’ID externe. Définissez un processus pour déterminer qui est responsable de la génération de l’ID. Quelle que soit l’entité qui crée l’ID externe, le tiers applique l’unicité et les formats de façon uniforme parmi les clients.

4. Rendez obsolètes les informations d’identification à long terme fournies par le client.

   Déconseillez l'utilisation d'informations d'identification à long terme et utilisez des rôles entre comptes ou IAM Roles Anywhere. Si vous devez utiliser des informations d’identification à long terme, établissez un plan pour migrer vers un accès basé sur les rôles. Pour plus de détails sur la gestion des clés, consultez la section Gestion des identités. Travaillez également avec votre Compte AWS équipe et le tiers pour établir un calendrier d'atténuation des risques. Pour obtenir des conseils prescriptifs sur la réponse à un incident de sécurité et l’atténuation de son impact potentiel, consultez la section Réponse aux incidents.

5. Vérifiez que la configuration est guidée par des instructions prescriptives ou qu’elle est automatisée.

   La politique créée pour l’accès intercompte à vos comptes doit respecter le principe du moindre privilège. Le tiers doit fournir un document de politique de rôle ou un mécanisme de configuration automatique utilisant un AWS CloudFormation modèle ou un équivalent pour vous. Cela réduit le risque d’erreurs associées à la création manuelle de politiques et offre une piste auditable. Pour plus d'informations sur l'utilisation d'un AWS CloudFormation modèle pour créer des rôles multicomptes, consultez la section Rôles multicomptes.

   Le tiers doit fournir un mécanisme de configuration automatisé et auditable. Cependant, si vous utilisez le document de politique de rôle décrivant l’accès nécessaire, vous devez automatiser la configuration du rôle. À l'aide d'un AWS CloudFormation modèle ou d'un équivalent, vous devez surveiller les modifications en détectant les dérives dans le cadre de la pratique d'audit.

6. Tenez compte des modifications.

   Votre structure de compte, la nécessité de faire appel à un tiers, ou son offre de service peuvent changer. Vous devez anticiper les changements et les défaillances, et planifier en conséquence avec les personnes, processus et technologies appropriés. Auditez régulièrement le niveau d’accès que vous fournissez et implémentez des méthodes de détection pour vous avertir des changements imprévus. Surveillez et auditez l'utilisation du rôle et de la banque de données de l'externeIDs. Vous devez être prêt à révoquer l’accès tiers, de façon temporaire ou permanente, en raison de changements ou de tendances d’accès imprévus. De plus, mesurez l’impact sur votre opération de révocation, y compris le temps nécessaire pour l’exécution, les personnes impliquées, le coût et l’impact sur d’autres ressources.

   Pour obtenir des conseils prescriptifs sur les méthodes de détection, consultez les bonnes pratiques en matière de détection.

Ressources

Bonnes pratiques associées :

• SEC02-BP02 Utiliser des informations d'identification temporaires

• SEC03-BP05 Définissez des barrières en matière d'autorisations pour votre organisation

• SEC03-BP06 Gérer l'accès en fonction du cycle de vie

• SEC03-BP07 Analyser l'accès public et entre comptes

• SEC04 Détection

Documents connexes :

• Bucket owner granting cross-account permission to objects it does not own

• Comment utiliser les politiques de confiance avec IAM les rôles

• Déléguer l'accès aux Comptes AWS différents IAM rôles utilisateurs

• Comment accéder aux ressources d'un autre Compte AWS utilisateur IAM ?

• Bonnes pratiques de sécurité dans IAM

• Logique d’évaluation des politiques entre comptes

• Comment utiliser un identifiant externe lorsque vous accordez l'accès à vos AWS ressources à un tiers

• Collecte d'informations à partir de AWS CloudFormation ressources créées dans des comptes externes avec des ressources personnalisées

• Utilisation sécurisée d'un identifiant externe pour accéder à AWS des comptes appartenant à des tiers

• Étendez IAM les rôles à des charges de IAM travail extérieures à IAM Roles Anywhere

Vidéos connexes :

• Comment autoriser des utilisateurs ou des rôles à Compte AWS accéder à mon compte séparément Compte AWS ?

• AWS re:Invent 2018 : devenez un expert en IAM politiques en 60 minutes ou moins

• AWS Knowledge Center Live : IAM meilleures pratiques et décisions de conception

Exemples connexes :

• Well-Architected Lab - Hypothèse de rôle entre IAM comptes Lambda (niveau 300)

• Configuration de l’accès intercompte à Amazon DynamoDB

• AWS STS Outil de requête réseau