SEC03-BP01 Définir les conditions d'accès

Les administrateurs, utilisateurs finaux ou autres composants doivent pouvoir accéder à chaque composant ou ressource de votre charge de travail. Définissez clairement qui ou quoi doit avoir accès à chaque composant, choisissez le type d'identité et la méthode d'authentification et d'autorisation appropriés.

Anti-modèles courants :

• Codage en dur ou stockage de secrets dans votre application.

• Octroi d'autorisations personnalisées à chaque utilisateur.

• Utilisation d'informations d'identification durables.

Niveau d'exposition au risque si cette bonne pratique n'est pas respectée : Élevé

Directives d'implémentation

Les administrateurs, utilisateurs finaux ou autres composants doivent pouvoir accéder à chaque composant ou ressource de votre charge de travail. Définissez clairement qui ou quoi doit avoir accès à chaque composant, choisissez le type d'identité et la méthode d'authentification et d'autorisation appropriés.

Un accès standard aux Comptes AWS de l'organisation doit être fourni à l'aide d'un accès fédéré ou d'un fournisseur d'identité centralisé. Vous devez également centraliser la gestion des identités et vous assurer qu'il existe une pratique établie pour intégrer l'accès à AWS au cycle de vie de l'accès des employés. Par exemple, lorsqu'un employé change de poste et de niveau d'accès, son appartenance à un groupe doit également évoluer de façon à refléter les nouvelles conditions d'accès qui lui sont associées.

Lorsque vous définissez des conditions d'accès pour des identités non humaines, déterminez quels applications et composants ont besoin d'un accès et comment les autorisations sont accordées. Dans cette optique, il est recommandé d'utiliser les rôles IAM créés avec le modèle d'accès du moindre privilège. Les politiques gérées par AWS établissent des politiques IAM prédéfinies qui couvrent les cas d'utilisation les plus courants.

Les services AWS, tels qu' AWS Secrets Manager et AWS Systems Manager Parameter Store,peuvent permettre de dissocier les secrets de l'application ou de la charge de travail en toute sécurité lorsqu'il est impossible d'utiliser des rôles IAM. Dans Secrets Manager, vous pouvez établir une rotation automatique de vos informations d'identification. Vous pouvez utiliser Systems Manager de façon à référencer les paramètres dans vos scripts, commandes, documents SSM, configuration et flux de travail d'automatisation en utilisant le nom unique que vous avez spécifié lors de la création du paramètre.

Vous pouvez utiliser des rôles AWS Identity and Access Management partout de façon à obtenir des informations d'identification de sécurité temporaires dans IAM pour les charges de travail exécutées en dehors d'AWS. Vos charges de travail peuvent utiliser les mêmes politiques IAM et rôles IAM que ceux utilisés avec les applications AWS pour accéder aux ressources AWS.

Dans la mesure du possible, privilégiez les informations d'identification temporaires à court terme plutôt que les informations d'identification statiques à long terme. Pour les scénarios dans le cadre desquels les utilisateurs IAM doivent disposer d'un accès par programmation et d'informations d'identification à long terme, utilisez les dernières informations de clé d'accès utilisées pour effectuer la rotation des clés d'accès et supprimer ces dernières.

Ressources

Documents connexes :

• Contrôle d'accès basé sur les attributs (ABAC)

• AWS IAM Identity Center

• IAM Roles Anywhere

• AWS politiques gérées pour IAM Identity Center

• AWS IAM policy conditions

• IAM use cases

• Remove unnecessary credentials

• Gestion des politiques IAM

• How to control access to AWS resources based on Compte AWS, OU, or organization

• Identify, arrange, and manage secrets easily using enhanced search in AWS Secrets Manager

Vidéos connexes :

• Devenir un expert en stratégie IAM en 60 minutes maximum

• Separation of Duties, Least Privilege, Delegation, and CI/CD

• Streamlining identity and access management for innovation