Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Éonnes pour les groupes de sécurité pour les Resource Groups sécurité pour
Les bonnes pratiques suivantes doivent être considérées comme des instructions générales et ne représentent pas une solution de sécurité complète. Étant donné que ces bonnes pratiques peuvent ne pas être appropriées ou suffisantes pour votre environnement, considérez-les comme des remarques utiles plutôt que comme des recommandations.
-
Utilisez le principe du moindre privilège pour accorder l'accès aux groupes. Les Resource Groups prennent en charge les autorisations au niveau des ressources. Accordez l'accès à des groupes spécifiques uniquement selon les besoins de certains utilisateurs. Évitez d'utiliser des astérisques dans les déclarations de politique qui attribuent des autorisations à tous les utilisateurs ou à tous les groupes. Pour plus d'informations sur le principe du moindre privilège, consultez la section Octroyer le moindre privilège dans le guide de l'utilisateur IAM.
-
Gardez les informations privées hors des champs publics. Le nom d'un groupe est traité comme des métadonnées de service. Les noms des groupes ne sont pas cryptés. Ne mettez pas d'informations sensibles dans les noms de groupes. Les descriptions des groupes sont privées.
Ne saisissez pas d'informations privées ou sensibles dans les clés ou les valeurs de balises.
-
Utilisez l'autorisation basée sur le balisage chaque fois que cela est approprié. Les Resource Groups prennent en charge les autorisations basées sur des balises. Vous pouvez étiqueter des groupes, puis mettre à jour les politiques associées à vos principaux IAM, tels que les utilisateurs et les rôles, afin de définir leur niveau d'accès en fonction des balises appliquées à un groupe. Pour plus d'informations sur l'utilisation de l'autorisation basée sur des balises, consultez la section Contrôle de l'accès auxAWS ressources à l'aide de balises de ressources dans le Guide de l'utilisateur IAM.
De nombreuxAWS services prennent en charge les autorisations basées sur des balises pour leurs ressources. Sachez que l'autorisation basée sur des balises peut être configurée pour les ressources des membres d'un groupe. Si l'accès aux ressources d'un groupe est restreint par des balises, les utilisateurs ou les groupes non autorisés risquent de ne pas être en mesure d'effectuer des actions ou des automatisations sur ces ressources. Par exemple, si une instance Amazon EC2 de l'un de vos groupes est balisée avec une clé de balise
Confidentiality
et une valeur de balise deHigh
, et que vous n'êtes pas autorisé à exécuter des commandes sur les ressources baliséesConfidentiality:High
, les actions ou les automatisations que vous effectuez sur l'instance EC2 échoueront, même si les actions aboutissent pour d'autres ressources du groupe de ressources. Pour plus d'informations sur les services qui prennent en charge l'autorisation basée sur des balises pour leurs ressources, consultez la section AWSServices compatibles avec IAM dans le guide de l'utilisateur d'IAM.Pour plus d'informations sur le développement d'une stratégie de balisage pour vosAWS ressources, consultez la section Stratégies deAWS balisage
.