Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Bonnes pratiques de sécurité pour Elastic Beanstalk
AWS Elastic Beanstalk fournit plusieurs fonctionnalités de sécurité à prendre en compte lors de l'élaboration et de la mise en œuvre de vos propres politiques de sécurité. Les bonnes pratiques suivantes doivent être considérées comme des instructions générales et ne représentent pas une solution de sécurité complète. Étant donné que ces bonnes pratiques peuvent ne pas être appropriées ou suffisantes pour votre environnement, considérez-les comme des considérations utiles et non comme des recommandations.
Pour consulter d'autres rubriques de sécurité Elastic Beanstalk, veuillez vous reporter à AWS Elastic Beanstalk sécurité.
Bonnes pratiques de sécurité préventive
Les contrôles de sécurité préventifs tentent d'éviter les incidents avant qu'ils ne se produisent.
Implémentation d’un accès sur la base du moindre privilège
Elastic AWS Identity and Access Management Beanstalk fournit des politiques gérées (IAM) pour les profils d'instance, les rôles de service et les utilisateurs IAM. Ces stratégies gérées spécifient toutes les autorisations qui peuvent être nécessaires au bon fonctionnement de votre environnement et de votre application.
Votre application peut ne pas exiger toutes les autorisations de nos stratégies gérées. Vous pouvez les personnaliser et accorder uniquement les autorisations requises pour que les instances de votre environnement, le service Elastic Beanstalk et vos utilisateurs puissent effectuer leurs tâches. C'est particulièrement pertinent pour les stratégies utilisateur, où différents rôles utilisateur peuvent avoir des besoins différents en matière d'autorisations. L’implémentation d’un accès sur la base du moindre privilège est fondamentale pour réduire les risques en matière de sécurité et l’impact que pourraient avoir des d’erreurs ou des actes de malveillance.
Mise à jour régulière de vos plateformes
Elastic Beanstalk publie régulièrement de nouvelles versions de plateforme pour mettre à jour toutes ses plateformes. Les nouvelles versions de plateforme fournissent des mises à jour du système d'exploitation, de l'environnement d'exécution, du serveur d'applications et du serveur web, ainsi que des mises à jour des composants Elastic Beanstalk. Bon nombre de ces mises à jour de plateforme incluent des correctifs de sécurité importants. Assurez-vous que vos environnements Elastic Beanstalk s'exécutent sur une version de plateforme prise en charge (généralement la dernière version de votre plateforme). Pour plus de détails, consultez Mise à jour de la version de la plateforme de votre environnement Elastic Beanstalk.
Le moyen le plus simple de maintenir à jour la plateforme de votre environnement consiste à configurer l'environnement pour utiliser les mises à jour gérées de la plateforme.
Appliquer IMDSv2 sur les instances de l'environnement
Les instances Amazon Elastic Compute Cloud (Amazon EC2) de vos environnements Elastic Beanstalk utilisent le service de métadonnées d'instance (IMDS), un composant intégré à l'instance, pour accéder en toute sécurité aux métadonnées des instances. L'IMDS prend en charge deux méthodes pour accéder aux données : IMDSv1 et IMDSv2. IMDSv2 utilise des requêtes orientées session et atténue plusieurs types de vulnérabilités susceptibles d'être utilisées pour tenter d'accéder à l'IMDS. Pour plus de détails sur les avantages de IMDSv2, consultez les améliorations visant à renforcer la défense du service de métadonnées d' EC2 instance
IMDSv2 est plus sécurisé, c'est donc une bonne idée d'imposer l'utilisation de IMDSv2 sur vos instances. Pour appliquer IMDSv2, assurez-vous que tous les composants de votre application sont pris en charge IMDSv2, puis désactivez-les IMDSv1. Pour de plus amples informations, veuillez consulter Configuration de l'IMDS sur les instances de votre environnement Elastic Beanstalk.
Bonnes pratiques de sécurité de détection
Les contrôles de sécurité de détection identifient les violations de sécurité après qu'elles se sont produites. Ils peuvent vous aider à détecter une menace ou un incident de sécurité potentiel.
Mise en œuvre de la surveillance
La surveillance joue un rôle important dans le maintien de la fiabilité, de la sécurité, de la disponibilité et des performances de vos solutions Elastic Beanstalk. AWS fournit plusieurs outils et services pour vous aider à surveiller vos AWS services.
Voici quelques exemples d'éléments à surveiller :
-
CloudWatch Métriques Amazon pour Elastic Beanstalk — Définissez des alarmes pour les mesures clés d'Elastic Beanstalk et pour les mesures personnalisées de votre application. Pour plus de détails, consultez Utilisation d'Elastic Beanstalk avec Amazon CloudWatch.
-
AWS CloudTrail entrées — Suivez les actions susceptibles d'avoir un impact sur la disponibilité, comme
UpdateEnvironmentouTerminateEnvironment. Pour plus de détails, consultez Journalisation des appels d'API Elastic Beanstalk avec AWS CloudTrail.
Activer AWS Config
AWS Config fournit une vue détaillée de la configuration des AWS ressources de votre compte. Vous pouvez voir comment les ressources sont liées, obtenir un historique des changements de configuration, et voir comment les configurations et les relations changent au fil du temps.
Vous pouvez l'utiliser AWS Config pour définir des règles qui évaluent les configurations des ressources en termes de conformité des données. AWS Config les règles représentent les paramètres de configuration idéaux pour vos ressources Elastic Beanstalk. Si une ressource enfreint une règle et est signalée comme non conforme, vous AWS Config pouvez être alertée via une rubrique Amazon Simple Notification Service (Amazon SNS). Pour plus de détails, consultez Trouver et suivre les ressources Elastic Beanstalk avec AWS Config.
