Bonnes pratiques de sécurité pour Amazon Connect - Amazon Connect
Bonnes pratiques de sécurité préventive d'Amazon ConnectBonnes pratiques en matière de sécurité d'Amazon Connect DetectiveBonnes pratiques relatives à la sécurité d'Amazon Connect Chat

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Bonnes pratiques de sécurité pour Amazon Connect

Amazon Connect fournit différentes fonctionnalités de sécurité à prendre en compte lorsque vous développez et implémentez vos propres politiques de sécurité. Les bonnes pratiques suivantes doivent être considérées comme des instructions générales et ne représentent pas une solution de sécurité complète. Étant donné que ces bonnes pratiques peuvent ne pas être appropriées ou suffisantes pour votre environnement, considérez-les comme des remarques utiles plutôt que comme des recommandations.

Bonnes pratiques de sécurité préventive d'Amazon Connect

  • Veillez à ce que toutes les autorisations de profil soient aussi restrictives que possible. Autorisez l'accès uniquement aux ressources absolument nécessaires pour le rôle de l'utilisateur. Par exemple, ne donnez pas aux agents les autorisations nécessaires pour créer, lire ou mettre à jour des utilisateurs dans Amazon Connect.

  • Assurez-vous que l'authentification multifactorielle (MFA) est configurée par le biais de votre fournisseur d'identité SAML 2.0, ou du serveur Radius, si cela convient mieux à votre cas d'utilisation. Une fois la configuration MFA terminée, une troisième zone de texte apparaît sur la page de connexion Amazon Connect pour indiquer le deuxième facteur.

  • Si vous utilisez un annuaire existant par le biais d'une authentification AWS Directory Service ou SAML basée sur l'authentification pour la gestion des identités, assurez-vous de respecter toutes les exigences de sécurité adaptées à votre cas d'utilisation.

  • Utilisez le bouton Se connecter pour un accès d'urgence URL sur la page d'instance de la AWS console uniquement dans les situations d'urgence, et non pour une utilisation quotidienne. Pour de plus amples informations, veuillez consulter Connexion d'urgence au site Web d'administration Amazon Connect.

Utiliser les politiques de contrôle des services (SCPs)

Les politiques de contrôle des services (SCPs) sont un type de politique d'organisation que vous pouvez utiliser pour gérer les autorisations au sein de votre organisation. An SCP définit un garde-fou, ou fixe des limites, aux actions que l'administrateur du compte peut déléguer aux utilisateurs et aux rôles dans les comptes concernés. Vous pouvez l'utiliser SCPs pour protéger les ressources critiques associées à votre charge de travail Amazon Connect.

Définition d'une politique de contrôle des services pour empêcher la suppression de ressources critiques

Si vous utilisez l'authentification SAML 2.0 et que vous supprimez le AWS IAM rôle utilisé pour authentifier les utilisateurs d'Amazon Connect, les utilisateurs ne pourront pas se connecter à l'instance Amazon Connect. Vous devez supprimer et recréer les utilisateurs à associer à un nouveau rôle. Toutes les données associées à ces utilisateurs sont alors supprimées.

Pour éviter la suppression accidentelle de ressources critiques et pour protéger la disponibilité de votre instance Amazon Connect, vous pouvez définir une politique de contrôle des services (SCP) comme contrôle supplémentaire.

Voici un exemple SCP qui peut être appliqué au AWS compte, à l'unité organisationnelle ou à la racine de l'organisation pour empêcher la suppression de l'instance Amazon Connect et du rôle associé :

{    
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AmazonConnectRoleDenyDeletion",
      "Effect": "Deny",
      "Action": [
        "iam:DeleteRole"
      ],
      "Resource": [
        "arn:aws:iam::*:role/Amazon Connect user role"
      ]
    },
    {
      "Sid": "AmazonConnectInstanceDenyDeletion",
      "Effect": "Deny",
      "Action": [
        "connect:DeleteInstance"         
      ],
      "Resource": [
        "Amazon Connect instance ARN"
      ]
    }
  ]
}

Bonnes pratiques en matière de sécurité d'Amazon Connect Detective

La journalisation et la surveillance sont importantes pour garantir la fiabilité, la disponibilité et les performances du centre de contact. Vous devez enregistrer les informations pertinentes provenant des flux Amazon Connect CloudWatch et créer des alertes et des notifications sur cette base.

Définissez les exigences de conservation des journaux et les politiques de cycle de vie dès le début, et prévoyez de déplacer les fichiers journaux vers des emplacements de stockage économiques dès que possible. APIsConnectez-vous publiquement à Amazon Connect sur CloudTrail. Passez en revue et automatisez les actions en fonction CloudTrail des journaux.

Nous recommandons d'utiliser Amazon S3 pour la conservation et l'archivage à long terme des données de journal, en particulier pour les entreprises dotées de programmes de conformité qui exigent que les données des journaux soient vérifiables dans leur format natif. Une fois que les données du journal se trouvent dans un compartiment Amazon S3, définissez des règles de cycle de vie pour appliquer automatiquement les politiques de conservation et déplacez ces objets vers d'autres classes de stockage rentables, telles qu'Amazon S3 Standard - Infrequent Access (Standard - IA) ou Amazon S3 Glacier.

Le AWS cloud fournit une infrastructure et des outils flexibles pour prendre en charge à la fois les offres sophistiquées des partenaires et les solutions de journalisation centralisée autogérées. Cela inclut des solutions telles qu'Amazon OpenSearch Service et Amazon CloudWatch Logs.

Vous pouvez mettre en œuvre la détection et la prévention des fraudes pour les contacts entrants en personnalisant les flux Amazon Connect en fonction de vos besoins. Par exemple, vous pouvez comparer les contacts entrants à leur activité précédente dans Dynamo DB, puis prendre des mesures telles que déconnecter un contact figurant sur une liste de refus.

Bonnes pratiques relatives à la sécurité d'Amazon Connect Chat

Lorsque vous intégrez directement le service participant Amazon Connect (ou que vous utilisez la bibliothèque Java Script d'Amazon Connect Chat) et que vous utilisez WebSocket ou diffusez des points de terminaison pour recevoir des messages destinés à vos applications frontales ou à vos sites Web, vous devez protéger votre application contre les attaques DOM basées sur XSS des scripts intersites.

Les recommandations de sécurité suivantes peuvent vous aider à vous protéger contre XSS les attaques :

  • Implémentez un codage de sortie approprié pour empêcher l'exécution de scripts malveillants.

  • Ne mutez pas DOM directement. Par exemple, ne l'utilisez pas innerHTML pour afficher le contenu des réponses au chat. Il peut contenir du code Javascript malveillant susceptible de mener à une XSS attaque. Utilisez des bibliothèques frontales telles que React pour échapper à tout code exécutable inclus dans la réponse au chat et le désinfecter.

  • Mettez en œuvre une politique de sécurité du contenu (CSP) pour limiter les sources à partir desquelles votre application peut charger des scripts, des styles et d'autres ressources. Cela ajoute une couche de protection supplémentaire.