SEC03-BP08 Partager des ressources en toute sécurité au sein de votre organisation

À mesure que le nombre de charges de travail augmente, vous devrez peut-être partager l’accès aux ressources de ces charges de travail ou fournir les ressources plusieurs fois pour plusieurs comptes. Vous pouvez utiliser des constructions pour compartimenter votre environnement, par exemple des environnements de développement, de test et de production. Cependant, le fait d’avoir des constructions distinctes ne vous empêche pas de partager en toute sécurité. En partageant des composants qui se chevauchent, vous pouvez réduire les frais d’exploitation et offrir une expérience cohérente sans avoir à deviner ce que vous avez pu manquer en créant la même ressource plusieurs fois.

Résultat souhaité : minimisez les accès involontaires en utilisant des méthodes sécurisées pour partager les ressources au sein de votre organisation et contribuer à votre initiative de prévention des pertes de données. Réduisez vos frais généraux opérationnels par rapport à la gestion de composants individuels, réduisez les erreurs liées à la création manuelle du même composant plusieurs fois et augmentez la capacité de mise à l’échelle de vos charges de travail. Vous pouvez bénéficier d’une réduction du délai de résolution dans les scénarios de défaillance multipoints et augmenter votre confiance dans l’évaluation du moment où un composant n’est plus nécessaire. Pour obtenir des conseils prescriptifs sur l’analyse des ressources partagées en externe, voir SEC03-BP07 Analyser l’accès public et intercompte.

Anti-modèles courants :

• Manque de processus pour surveiller continuellement et alerter automatiquement sur un partage externe inattendu.

• Manque de référence sur ce qui doit être partagé et ce qui ne doit pas l’être.

• Adoption par défaut d’une politique largement ouverte au lieu de la partager explicitement lorsque c’est nécessaire.

• Création manuelle des ressources de base qui se chevauchent si nécessaire.

Niveau d’exposition au risque si cette bonne pratique n’est pas respectée : moyen

Directives d’implémentation

Concevez vos contrôles et modèles d’accès de façon à régir la consommation de ressources partagées en toute sécurité et uniquement avec des entités approuvées. Surveillez les ressources partagées et examinez l’accès aux ressources partagées en permanence, et soyez alerté sur les partages inappropriés ou inattendus. Consultez Analyser l’accès public et intercompte pour vous aider à établir une gouvernance visant à réduire l’accès externe aux seules ressources qui en ont besoin, et à établir un processus de surveillance continue et d’alerte automatique.

Le partage entre comptes au sein de AWS Organizations est pris en charge par un certain nombre de services AWS, tels que AWS Security Hub, Amazon GuardDuty et AWS Backup. Ces services permettent de partager les données vers un compte central, de rendre les données accessibles à partir d’un compte central ou de gérer les ressources et les données à partir d’un compte central. Par exemple, AWS Security Hub peut transférer les résultats des comptes individuels vers un compte central où vous pouvez voir tous ces résultats. AWS Backup peut prendre une sauvegarde pour une ressource et la partager entre les comptes. Vous pouvez utiliser AWS Resource Access Manager (AWS RAM) pour partager d’autres ressources communes, telles que des sous-réseaux VPC et des attachements de la passerelle de transit, AWS Network Firewall ou des pipelines Amazon SageMaker.

Pour empêcher votre compte de partager uniquement les ressources au sein de votre organisation, utilisez des politiques de contrôle des services (SCP) pour empêcher l’accès aux principaux externes. Lorsque vous partagez des ressources, combinez les contrôles basés sur l’identité et les contrôles réseau pour créer un périmètre de données pour votre organisation afin de la protéger contre tout accès non intentionnel. Un périmètre de données est un ensemble de barrières de protection préventives qui vous permettent de vous assurer que seules les identités approuvées accèdent aux ressources approuvées à partir des réseaux attendus. Ces contrôles doivent placer des limites appropriées pour les ressources susceptibles d’être partagées et empêcher le partage ou l’exposition de ressources qui ne doivent pas être autorisées. Par exemple, dans le cadre de votre périmètre de données, vous pouvez utiliser les politiques de point de terminaison d’un VPC et la condition AWS:PrincipalOrgId pour garantir que les identités accédant à vos compartiments Amazon S3 appartiennent à votre organisation. Il est important de noter que les SCP ne s’appliquent pas aux rôles liés aux services ou aux principaux de service AWS.

Lorsque vous utilisez Amazon S3, désactivez les ACL pour votre compartiment Amazon S3 et utilisez les politiques IAM pour définir le contrôle d’accès. Pour restreindre l’accès à une origine Amazon S3 à partir d’Amazon CloudFront, migrez l’identité d’accès d’origine (OAI) vers le contrôle d’accès d’origine (OAC) qui prend en charge des fonctionnalités supplémentaires, dont le chiffrement côté serveur avec AWS Key Management Service.

Dans certains cas, vous pouvez autoriser le partage des ressources à l’extérieur de votre organisation ou accorder à un tiers l’accès à vos ressources. Pour obtenir des conseils prescriptifs sur la gestion des autorisations de partage de ressources en externe, consultez la section Gestion des autorisations.

Étapes d’implémentation

1. Utilisez AWS Organizations.

   AWS Organizations est un service de gestion de comptes qui vous permet de consolider plusieurs Comptes AWS dans une organisation que vous créez et gérez de façon centralisée. Vous pouvez regrouper vos comptes en unités d’organisation (UO) et joindre différentes politiques à chacune d’entre elles afin de vous aider à répondre à vos besoins en matière de budget, de sécurité et de conformité. Vous pouvez également contrôler la façon dont l’intelligence artificielle (IA) et le machine learning (ML) d’AWS peuvent collecter et stocker des données, et utiliser la gestion multicompte des services AWS intégrés à Organizations.

2. Intégration d’AWS Organizations aux services AWS.

   Lorsque vous activez un service AWS pour exécuter des tâches en votre nom dans les comptes membres de votre organisation, AWS Organizations crée un rôle lié à un service IAM (SLR) pour ce service dans chaque compte membre. Gérez l’accès approuvé à l’aide de la AWS Management Console, des API AWS ou de la AWS CLI. Pour obtenir des conseils prescriptifs sur l’activation de l’accès sécurisé, voir Utilisation d’AWS Organizations avec d’autres services AWS et services AWS que vous pouvez utiliser avec Organizations.

3. Établir un périmètre de données.

   Le périmètre AWS est généralement représenté comme une organisation gérée par AWS Organizations. Avec les réseaux et les systèmes sur site, l’accès aux ressources AWS est ce que beaucoup considèrent comme le périmètre de mon AWS. L’objectif du périmètre est de vérifier que l’accès est autorisé si l’identité est approuvée, si la ressource est approuvée et si le réseau est attendu.

   1. Définissez et implémentez les périmètres.

      Suivez les étapes décrites dans la section Mise en œuvre du périmètre dans le livre blanc Construire un périmètre sur AWS pour chaque condition d’autorisation. Pour obtenir des conseils prescriptifs sur la protection de la couche réseau, consultez Protection des réseaux.

   2. Surveillez et alertez en continu.

      AWS Identity and Access Management Access Analyzer vous aide à identifier les ressources de votre organisation et de vos comptes qui sont partagées avec des entités externes. Vous pouvez intégrer IAM Access Analyzer avec AWS Security Hub pour envoyer et agréger les résultats d’une ressource d’IAM Access Analyzer à Security Hub afin de vous aider à analyser le niveau de sécurité de votre environnement. Pour intégrer, activez à la fois IAM Access Analyzer et Security Hub dans chaque région de chaque compte. Vous pouvez également utiliser AWS Config Rules pour auditer la configuration et alerter la partie appropriée à l’aide de AWS Chatbot avec AWS Security Hub. Vous pouvez ensuite utiliser des documents d’automatisation AWS Systems Manager pour corriger les ressources non conformes.

   3. Pour obtenir des conseils prescriptifs sur la surveillance et les alertes continues concernant les ressources partagées en externe, voir Analyser l’accès public et intercompte.

4. Utilisez le partage des ressources dans les services AWS et limitez en conséquence.

   De nombreux services AWS vous permettent de partager des ressources avec un autre compte ou de cibler une ressource d’un autre compte, comme Amazon Machine Images (AMI) et AWS Resource Access Manager(AWS RAM). Limitez l’API ModifyImageAttribute pour spécifier les comptes fiables avec lesquels partager l’AMI. Spécifiez la condition ram:RequestedAllowsExternalPrincipals lors de l’utilisation de AWS RAM pour limiter le partage à votre organisation uniquement, afin d’empêcher l’accès par des identités non fiables. Pour des conseils et des considérations prescriptifs, voir Partage des ressources et cibles externes.

5. Utiliser AWS RAM pour partager en toute sécurité dans un compte ou avec d’autres Comptes AWS.

   AWS RAM vous aide également à partager en toute sécurité les ressources que vous avez créées avec les rôles et les utilisateurs de votre compte et avec d’autres Comptes AWS. Dans un environnement multicompte, AWS RAM vous permet de créer une ressource une fois et de la partager avec d’autres comptes. Cette approche permet de réduire vos frais généraux opérationnels tout en assurant la cohérence, la visibilité et l’auditabilité grâce à des intégrations avec Amazon CloudWatch et AWS CloudTrail, que vous ne recevez pas lorsque vous utilisez l’accès intercompte.

   Si vous avez déjà partagé des ressources à l’aide d’une politique basée sur les ressources, vous pouvez utiliser l’API PromoteResourceShareCreatedFromPolicy ou un équivalent pour transformer le partage de ressources en partage de ressources AWS RAM complet.

   Dans certains cas, vous devrez peut-être prendre des mesures supplémentaires pour partager les ressources. Par exemple, pour partager un instantané chiffré, vous devez partager une clé AWS KMS.

Ressources

Bonnes pratiques associées :

• SEC03-BP07 Analyser l’accès public et intercompte

• SEC03-BP09 Partager des ressources en toute sécurité avec un tiers

• SEC05-BP01 Créer des couches réseau

Documents connexes :

• Propriétaire d’un compartiment accordant des autorisations entre comptes à des objets qu’il ne possède pas

• How to use Trust Policies with IAM

• Building Data Perimeter on AWS

• Procédure d’utilisation d’un ID externe lorsque vous accordez l’accès à vos ressources AWS à un tiers

• Services AWS que vous pouvez utiliser avec AWS Organizations

• Établissement d’un périmètre de données sur AWS : autoriser uniquement les identités fiables à accéder aux données de l’entreprise

Vidéos connexes :

• Granular Access with AWS Resource Access Manager

• Securing your data perimeter with VPC endpoints

• Establishing a data perimeter on AWS

Outils associés :

• Exemples de stratégies relatives au périmètre des données