SEC 3: Comment gérez-vous les autorisations des personnes et des machines ?

Gérez les autorisations des identités de personnes et de machines qui nécessitent un accès à AWS ainsi qu'à votre charge de travail. Les autorisations régissent les ressources accessibles et les conditions d'accès.

Ressources

Become an IAM Policy Master in 60 Minutes or Less
Separation of Duties, Least Privilege, Delegation, and CI/CD
Grant least privilege
Working with Policies
IAM Access Analyzer
Remove unnecessary credentials
Attribute-based access control (ABAC)

Bonnes pratiques:

• Définir les conditions d'accès: Les administrateurs, utilisateurs finaux ou autres composants doivent pouvoir accéder à chaque composant ou ressource de votre charge de travail. Définissez clairement qui ou quoi doit avoir accès à chaque composant, choisissez le type d'identité et la méthode d'authentification et d'autorisation appropriés.

• Utilisez le principe du moindre privilège: Accordez uniquement l'accès dont les identités ont besoin en autorisant des actions spécifiques sur certaines ressources AWS, dans des conditions définies. Faites appel à des groupes et des attributs d'identité pour définir de façon dynamique des autorisations à grande échelle, plutôt que pour des utilisateurs individuels. Par exemple, vous pouvez autoriser un groupe de développeurs à gérer uniquement les ressources de leur projet. Ainsi, lorsqu'un développeur est supprimé du groupe, son accès est révoqué partout où ce groupe a été utilisé pour le contrôle d'accès, sans devoir modifier les stratégies d'accès.

• Établissez un processus d'accès d'urgence: Un processus permettant l'accès d'urgence à votre charge de travail en cas de problème lié à un processus automatisé ou un pipeline. Ceci vous permet d'utiliser la stratégie du moindre privilège, tout en veillant à ce que les utilisateurs obtiennent le niveau d'accès approprié lorsqu'ils en ont besoin. Par exemple, établissez un processus permettant aux administrateurs de vérifier et d'approuver leur demande.

• Réduisez les autorisations en continu: Lorsque les équipes et les charges de travail déterminent l'accès dont elles ont besoin, supprimez les autorisations inutilisées et établissez des processus de vérification pour obtenir les autorisations de moindre privilège. Surveillez et réduisez en continu les identités et les autorisations inutilisées.

• Définissez des protections d'autorisation pour votre organisation: Établissez des contrôles communs qui limitent l'accès à toutes les identités de votre organisation. Par exemple, vous pouvez restreindre l'accès à des régions AWS spécifiques ou empêcher vos opérateurs de supprimer des ressources courantes, telles qu'un rôle IAM utilisé pour votre équipe de sécurité centrale.

• Gérer l'accès en fonction du cycle de vie: Intégrez les contrôles d'accès au cycle de vie des opérateurs et des applications et à votre fournisseur de fédération centralisée. Par exemple, supprimez l'accès d'un utilisateur lorsqu'il quitte l'organisation ou change de rôles.

• Analysez l'accès public et entre les comptes: Surveillez en continu les résultats qui mettent en évidence l'accès public et entre les comptes. Limitez l'accès public et l'accès entre les comptes uniquement aux ressources qui requièrent ce type d'accès.

• Partagez des ressources en toute sécurité: Contrôlez la consommation des ressources partagées entre les comptes ou au sein de votre organisation AWS. Surveillez et vérifiez l'accès aux ressources partagées.

Plan d'amélioration

Définir les conditions d'accès

Définir les privilèges requis pour la fonction professionnelle et les responsabilités: Définissez, en fonction de sa fonction, de son rôle ou de ses responsabilités, les ressources auxquelles l'utilisateur doit avoir accès et les conditions qui peuvent s'appliquer. Regroupez les utilisateurs ayant des besoins communs pour faciliter la délégation de stratégies.
IAM use cases

Utilisez le principe du moindre privilège

Implémentez des stratégies de moindre privilège: Attribuez des stratégies d'accès avec le moins de privilèges possibles aux groupes et rôles IAM pour rester cohérent avec le rôle ou la fonction de l'utilisateur que vous avez défini.
Grant least privilege

Supprimer des autorisations inutiles: Implémentez la stratégie de moindre privilège en supprimant les autorisations superflues.
Reducing policy scope by viewing user activity
View role access

Prendre en compte les limites d'autorisations: Une limite des autorisations est une fonction avancée permettant d'utiliser une stratégie gérée qui définit les autorisations maximales qu'une identité IAM peut recevoir d'une stratégie basée sur une identité. La limite des autorisations d'une entité lui permet d'exécuter uniquement les actions autorisées par ses stratégies basées sur l'identité et ses limites d'autorisations.
Lab: IAM permissions boundaries delegating role creation

Prendre en compte les balises de ressource pour les autorisations: Vous pouvez utiliser des balises pour contrôler l'accès à vos ressources AWS qui prennent en charge le balisage. Vous pouvez également baliser des utilisateurs et des rôles IAM pour contrôler les éléments auxquels ils peuvent accéder.
Lab: IAM tag based access control for EC2
Attribute-based access control (ABAC)

Établissez un processus d'accès d'urgence

Préprovisionnez l'accès d'urgence: Le préprovisionnement d'un rôle pour un accès d'urgence à partir d'un compte approuvé, par exemple un compte utilisé pour l'équipe de sécurité, peut vous aider à y accéder rapidement.
Tutorial: Delegate Access Across AWS Accounts Using IAM Roles

Réduisez les autorisations en continu

Configurez IAM Access Analyzer: AWS IAM Access Analyzer vous aide à identifier les ressources de votre organisation et de vos comptes comme les compartiments Amazon S3 ou les rôles IAM, qui sont partagées avec une entité externe.
AWS IAM Access Analyzer

Définissez des protections d'autorisation pour votre organisation

Définissez des restrictions communes qui s'appliquent à toutes les identités: En fonction des exigences uniques de votre organisation, par exemple l'accès exclusif à une région AWS spécifique, créez un certain nombre de restrictions que vous pouvez appliquer à l'aide d'AWS Organizations.
AWS Organizations Service Control Policies

Utilisez AWS Control Tower pour gérer les protections: En fonction des exigences uniques de votre organisation, par exemple l'accès exclusif à une région AWS spécifique, créez un certain nombre de restrictions que vous pouvez appliquer à l'aide d'AWS Organizations.
AWS Control Tower Guardrails

Gérer l'accès en fonction du cycle de vie

Cycle de vie de l'accès utilisateur: Implémentez une stratégie de cycle de vie d'accès utilisateur pour les nouveaux utilisateurs entrants, les changements de fonction professionnelle et les utilisateurs sortants pour faciliter l'accès des utilisateurs actuels.

Analysez l'accès public et entre les comptes

Configurez IAM Access Analyzer: AWS IAM Access Analyzer vous aide à identifier les ressources de votre organisation et de vos comptes comme les compartiments Amazon S3 ou les rôles IAM, qui sont partagées avec une entité externe.
AWS IAM Access Analyzer

Partagez des ressources en toute sécurité

Utilisez AWS Resource Access Manager: AWS Resource Access Manager (RAM) est un service qui vous permet de partager des ressources AWS de manière simple et sécurisée avec un autre compte AWS ou au sein de votre organisation AWS.
AWS Resource Access Manager