AWS Identity and Access Management - Gestion de la conformité au RGPD sur AWS

AWS Identity and Access Management

Lorsque vous créez un compte AWS, un compte utilisateur racine est automatiquement créé pour ce compte. Ce compte utilisateur dispose d'un accès complet à tous les services et ressources AWS de votre compte AWS. Au lieu d'utiliser ce compte pour les tâches quotidiennes, vous devez l'utiliser uniquement pour créer initialement des rôles et des comptes d'utilisateurs supplémentaires, ainsi que pour les activités administratives qui l'exigent. AWS recommande d'appliquer le principe du moindre privilège dès le début, c'est-à-dire de définir différents rôles et comptes d'utilisateurs pour différentes tâches, et de spécifier l'ensemble minimum d'autorisations requises pour effectuer chaque tâche. Cette approche est un mécanisme permettant de régler un concept clé introduit dans le RGPD : la protection des données dès la conception. Le service web AWS Identity and Access Management (IAM) peut être utilisé pour contrôler en toute sécurité l'accès à vos ressources AWS.

Les utilisateurs et les rôles définissent les identités IAM avec des autorisations spécifiques. Un utilisateur autorisé peut assumer un rôle IAM pour effectuer certaines tâches. Des informations d'identification temporaires sont créées lorsque le rôle est assumé. Par exemple, vous pouvez utiliser des rôles IAM pour fournir en toute sécurité des applications qui s'exécutent dans Amazon Elastic Compute Cloud (Amazon EC2) avec les informations d'identification temporaires requises pour accéder à d'autres ressources AWS, telles que les compartiments Amazon S3 et les bases de données Amazon Relational Database Service (Amazon RDS) ou Amazon DynamoDB. De même, les rôles d'exécution fournissent des fonctions AWS Lambda avec les autorisations nécessaires pour accéder à d'autres services et ressources AWS, tels qu'Amazon CloudWatch Logs pour la diffusion de journaux ou la lecture d'un message à partir d'une file d'attente Amazon Simple Queue Service (Amazon SQS). Lorsque vous créez un rôle, vous y ajoutez des stratégies afin de définir des autorisations.

Pour aider les clients à surveiller les stratégies de ressources et à identifier les ressources dont l'accès public ou entre comptes n'est pas prévu, IAM Access Analyzer peut être activé afin de générer des résultats exhaustifs qui identifient les ressources accessibles depuis l'extérieur d'un compte AWS. IAM Access Analyzer évalue les stratégies de ressources en appliquant une inférence et une logique mathématique pour déterminer les chemins d'accès possibles autorisés par les stratégies. IAM Access Analyzer surveille en continu les stratégies mises à jour ou nouvelles, et analyse les autorisations octroyées à l'aide des stratégies pour les rôles IAM, mais aussi pour les ressources de services telles que les compartiments Amazon S3, les clés AWS Key Management Service (AWS KMS), les files d'attente Amazon SQS, ainsi que les fonctions Lambda.

Access Analyzer pour S3 vous avertit au sujet des compartiments configurés pour autoriser l'accès à toute personne sur Internet ou à d'autres comptes AWS, y compris les comptes AWS en dehors de votre organisation. Lorsque vous examinez un compartiment à risque dans Access Analyzer pour S3, vous pouvez bloquer tout accès public au compartiment en un seul clic. AWS recommande de bloquer tous les accès aux compartiments, sauf si vous avez besoin d'un accès public pour prendre en charge un cas d'utilisation précis. Avant de bloquer tout accès public, assurez-vous que vos applications continueront à fonctionner correctement sans accès public. Pour en savoir plus, consultez la section Utilisation d'Amazon S3 pour bloquer l'accès public.

IAM présente également les dernières informations consultées afin de vous aider à identifier les autorisations inutilisées, pour que vous puissiez les supprimer des entités associées. À l'aide des dernières informations consultées, il est possible d'affiner vos stratégies et d'autoriser l'accès uniquement aux services et aux actions nécessaires. Vous êtes ainsi mieux à même de vous conformer à la bonne pratique relative au principe du moindre privilège et de l'appliquer. Vous pouvez afficher les dernières informations consultées pour les entités ou les stratégies qui existent dans IAM ou dans l'ensemble d'un environnement AWS Organizations.