# Guide d'audit
Ce didacticiel fournit des instructions sur la façon de configurer un audit récurrent, de configurer des alarmes, d'examiner les résultats d'audit et d'atténuer les problèmes d'audit.
**Topics**
+ [Conditions préalables](#audit-tutorial-prerequisites)
+ [Activation des vérifications d'audit](#audit-tutorial-enable-checks)
+ [Afficher les résultats d'audit](#audit-tutorial-view-audit)
+ [Création d'actions d'atténuation des audits](#audit-tutorial-mitigation)
+ [Appliquez des mesures d'atténuation aux résultats de votre audit](#apply-mitigation-actions)
+ [Création d'un rôle AWS IoT Device Defender d'audit IAM (facultatif)](#audit-iam)
+ [Activer les notifications SNS (facultatif)](#audit-tutorial-enable-sns)
+ [Configurer les autorisations pour les clés gérées par le client (facultatif)](#audit-tutorial-cmk-permissions)
+ [(Facultatif) Activer la journalisation](#enable-logging)
## Conditions préalables
Pour suivre ce didacticiel, vous aurez besoin des éléments suivants :
+ Un Compte AWS. Si vous n'avez pas cela, consultez [Setting up](https://docs.aws.amazon.com/iot/latest/developerguide/dd-setting-up.html).
## Activation des vérifications d'audit
Dans la procédure suivante, vous activez les contrôles d’audit qui examinent les paramètres et les politiques des comptes et des appareils pour garantir que les mesures de sécurité sont en place. Dans ce didacticiel, nous vous demandons d'activer tous les contrôles d'audit, mais vous pouvez sélectionner ceux que vous souhaitez.
Le prix de l'audit est calculé par nombre d'appareils par mois (flotte d'appareils connectés à AWS IoT). Par conséquent, l'ajout ou la suppression de contrôles d'audit n'affecterait pas votre facture mensuelle lorsque vous utiliserez cette fonctionnalité.
1. Ouvrez la [AWS IoT console](https://console.aws.amazon.com/iot). Dans le volet de navigation, développez **Sécurité** et choisissez **Intro**.
1. Choisissez **Automatiser l'audit de AWS IoT sécurité**. Les contrôles d'audit sont automatiquement activés.
1. Développez **Audit** et choisissez **Paramètres** pour afficher vos contrôles d'audit. Sélectionnez le nom du contrôle d'audit pour en savoir plus sur le rôle du contrôle d'audit. Pour plus d'informations sur les contrôles d'audit, consultez [Contrôles d'audit](https://docs.aws.amazon.com/iot/latest/developerguide/device-defender-audit-checks.html).
1. (Facultatif) Si vous avez déjà un rôle que vous souhaitez utiliser, choisissez **Gérer les autorisations de service**, choisissez le rôle dans la liste, puis **Mettre à jour**.
## Afficher les résultats d'audit
La procédure suivante vous explique comment afficher les résultats d'audit. Dans ce didacticiel, vous pouvez voir les résultats d'audit issus des contrôles d'audit configurés dans le didacticiel [Activation des vérifications d'audit](#audit-tutorial-enable-checks).
**Pour consulter les résultats de l'audit**
1. Ouvrez la [AWS IoT console](https://console.aws.amazon.com/iot). Dans le volet de navigation, développez **Sécurité**, **Audit**, puis sélectionnez **Résultats**.
1. Sélectionnez le **nom** du calendrier d'audit que vous souhaitez étudier.
1. Dans **Contrôles non conformes**, sous **Atténuation**, sélectionnez les boutons d'information pour savoir pourquoi ils ne sont pas conformes. Pour obtenir des conseils sur la manière de rendre conformes vos contrôles non conformes, consultez [Contrôles d’audit](device-defender-audit-checks.md).
## Création d'actions d'atténuation des audits
Dans la procédure suivante, vous allez créer une action d'atténuation de AWS IoT Device Defender l'audit pour activer la journalisation AWS IoT. Chaque contrôle d'audit comporte des actions d'atténuation mappées qui affecteront le **type d'action** que vous choisissez pour le contrôle d'audit que vous souhaitez corriger. Pour plus d'informations, consultez les [Mitigation action (Action d'atténuation)](https://docs.aws.amazon.com/iot/latest/developerguide/device-defender-mitigation-actions.html#defender-audit-apply-mitigation-actions.html).
**Utiliser la console AWS IoT pour créer des actions d'atténuation**
1. Ouvrez la [AWS IoT console](https://console.aws.amazon.com/iot). Dans le volet de navigation, développez **Security**, **Detect**, puis choisissez **Mitigation actions**.
1. Dans la page **Mitigation Actions (Actions d'atténuation)**, choisissez **Create (Créer)**.
1. Dans la page **Create a Mitigation Action (Créer une action d’atténuation)**, dans **Action name (Nom de l’action)**, saisissez un nom unique pour votre action d'atténuation tel que *EnableErrorLoggingAction.*.
1. Pour **Type d'action**, choisissez **Activer la AWS IoT journalisation**.
1. Dans **Autorisations**, choisissez **Créer un rôle**. Pour le **nom du rôle**, utilisez *IOTMitigationActionErrorLoggingRole*. Ensuite, choisissez **Créer**.
1. Dans **Paramètres**, sous **Rôle pour la journalisation**, sélectionnez `IoTMitigationActionErrorLoggingRole`. Pour **Niveau de journalisation**, sélectionnez`Error`.
1. Choisissez **Créer**.
## Appliquez des mesures d'atténuation aux résultats de votre audit
La procédure suivante vous explique comment appliquer des mesures d'atténuation aux résultats d'audit.
**Pour atténuer les résultats d'audit non conformes**
1. Ouvrez la [AWS IoT console](https://console.aws.amazon.com/iot). Dans le volet de navigation, développez **Sécurité**, **Audit**, puis sélectionnez **Résultats**.
1. Choisissez un résultat d'audit auquel vous voulez répondre.
1. Vérifiez vos résultats.
1. Choisissez **Start Mitigation Actions (Lancer des actions d’atténuation)**.
1. Pour la **journalisation désactivée**, choisissez l'action d'atténuation que vous avez créée précédemment,`EnableErrorLoggingAction`. Vous pouvez sélectionner les actions appropriées pour chaque résultat de non-conformité afin de résoudre les problèmes.
1. Pour **Select reason codes (Sélectionner les codes de motif)**, choisissez le code de motif renvoyé par le contrôle d'audit.
1. Choisissez **Démarrer la tâche**. L'action d'atténuation peut prendre quelques minutes.
**Pour vérifier que les mesures d'atténuation ont fonctionné**
1. Dans la console AWS IoT, dans le volet de navigation, choisissez **Paramètres**.
1. Dans le **journal de service**, vérifiez que le **niveau du journal** est`Error (least verbosity)`.
## Création d'un rôle AWS IoT Device Defender d'audit IAM (facultatif)
Dans la procédure suivante, vous allez créer un rôle AWS IoT Device Defender Audit IAM qui fournit un accès en AWS IoT Device Defender lecture à AWS IoT.
**Pour créer un rôle pour un service AWS IoT Device Defender (console IAM)**
1. Connectez-vous à l'AWS Management Console et ouvrez la console IAM à l'adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Dans le volet de navigation de la console IAM, sélectionnez **Roles** (Rôles), puis **Create role** (Créer un rôle).
1. Choisissez le type du rôle de l'**Service AWS**.
1. Dans **Cas d'utilisation pour d'autres AWS services**, choisissez **AWS IoT**, puis **IoT - Device Defender Audit**.
1. Choisissez **Suivant**.
1. (Facultatif) Définissez une [limite d'autorisations](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html). Il s'agit d'une fonctionnalité avancée disponible pour les rôles de service, mais pas les rôles liés à un service.
Développez la section **Permissions boundary** (Limite d'autorisations) et sélectionnez **Use a permissions boundary to control the maximum role permissions** (Utiliser une limite d'autorisations pour contrôler le nombre maximum d'autorisations de rôle). IAM inclut une liste des politiques gérées par AWS et des politiques gérées par le client dans votre compte. Sélectionnez la politique à utiliser pour la limite d'autorisations ou choisissez **Créer une politique** pour ouvrir un nouvel onglet de navigateur et créer une nouvelle politique de bout en bout. Pour plus d'informations, consultez [Création de politiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-start) dans le *Guide de l'utilisateur IAM*. Une fois la politique créée, fermez cet onglet et revenez à l'onglet initial pour sélectionner la politique à utiliser pour la limite d'autorisations.
1. Choisissez **Suivant**.
1. Entrez un nom de rôle pour vous aider à identifier l'objectif de ce rôle. Les noms de rôle doivent être uniques dans votre Compte AWS. Ils ne sont pas sensibles à la casse. Par exemple, vous ne pouvez pas créer deux rôles nommés **PRODROLE** et **prodrole**. Différentes entités peuvent référencer le rôle et il n'est donc pas possible de modifier son nom après sa création.
1. (Facultatif) Pour **Description**, saisissez une description pour le nouveau rôle.
1. Choisissez **Edit** (Modifier) dans les sections **Step 1: Select trusted entities** (Étape 1 : sélection d'entités de confiance) ou **Step 2: Select permissions** (Étape 2 : sélection d'autorisations) pour modifier les cas d'utilisation et les autorisations pour le rôle.
1. (Facultatif) Ajoutez des métadonnées à l'utilisateur en associant les balises sous forme de paires clé-valeur. Pour plus d'informations sur l'utilisation des balises dans IAM, consultez la rubrique [Balisage des ressources IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) dans le *Guide de l'utilisateur IAM*.
1. Passez en revue les informations du rôle, puis choisissez **Créer un rôle**.
## Activer les notifications SNS (facultatif)
Dans la procédure suivante, vous activez les notifications Amazon SNS (SNS) pour vous avertir lorsque vos audits identifient des ressources non conformes. Dans ce didacticiel, vous allez configurer des notifications pour les contrôles d'audit activés dans le didacticiel [Activation des vérifications d'audit](#audit-tutorial-enable-checks).
1. Si ce n'est pas déjà fait, joignez une politique permettant d'accéder au réseau social via le AWS Management Console. Pour ce faire, suivez les instructions de la section [Attacher une politique à un groupe d'utilisateurs IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_attach-policy.html) dans le *guide de l'utilisateur IAM* et en sélectionnant la politique **AwsiotDeviceDefenderPublishFindingsMitigationAction**.
1. Ouvrez la [AWS IoT console](https://console.aws.amazon.com/iot). Dans le volet de navigation, développez **Sécurité**, **Audit**, puis sélectionnez **Paramètres**.
1. Au bas de la page des **paramètres d'audit de Device Defender**, choisissez **Activer les alertes SNS**.
1. Choisissez **Enabled (Activé)**.
1. Choisissez **Rubriques**, puis **Créer une rubrique**. Nommez le sujet *IOTDDNotifications* et choisissez **Créer.** Pour **Rôle**, choisissez le rôle que vous avez créé dans [Création d'un rôle AWS IoT Device Defender d'audit IAM (facultatif)](#audit-iam).
1. Choisissez **Mettre à jour**.
1. Si vous souhaitez recevoir des e-mails ou des SMS sur vos plateformes Ops via Amazon SNS, consultez la section [Utilisation d'Amazon Simple Notification Service pour les notifications destinées aux utilisateurs](https://docs.aws.amazon.com/sns/latest/dg/sns-user-notifications.html).
## Configurer les autorisations pour les clés gérées par le client (facultatif)
**Note**
Cette configuration n’est requise que si vous avez opté pour les clés gérées par le client pour AWS IoT Core. Pour plus d’informations sur le chiffrement AWS IoT Core au repos, consultez [Data encryption at rest in AWS IoT Core](https://docs.aws.amazon.com/iot/latest/developerguide/encryption-at-rest.html).
Si vous avez activé les clés gérées par le client (CMK) pour le chiffrement AWS IoT Core au repos, le rôle IAM utilisé par AWS IoT Device Defender Audit nécessite des autorisations supplémentaires pour déchiffrer les données. Sans ces autorisations, vos opérations d’audit échoueront.
La politique gérée par [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSIoTDeviceDefenderAudit.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSIoTDeviceDefenderAudit.html) n’inclut pas les autorisations `kms:Decrypt` par conception, conformément au principe du moindre privilège. Vous devez ajouter manuellement ces autorisations à votre rôle d’audit lorsque vous utilisez des clés gérées par le client.
**Pour ajouter des autorisations KMS à votre rôle IAM AWS IoT Device Defender Audit**
1. Connectez-vous à l’outil AWS Management Console, puis ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Dans le volet de navigation, choisissez **Rôles**, puis recherchez le rôle que vous avez créé dans [Création d'un rôle AWS IoT Device Defender d'audit IAM (facultatif)](#audit-iam) ou le rôle que vous avez spécifié lors de la configuration des paramètres d’audit.
1. Choisissez le nom du rôle pour ouvrir la page de ses informations détaillées.
1. Dans l’onglet **Autorisations**, choisissez **Ajouter des autorisations**, puis **Créer une politique en ligne**.
1. Choisissez l’onglet **JSON** et saisissez la politique suivante. Remplacez *REGION*, *ACCOUNT\$1ID* et *KEY\$1ID* par vos informations de clés AWS KMS :
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:REGION:ACCOUNT_ID:key/KEY_ID"
}
]
}
```
1. Choisissez **Suivant**.
1. Pour **Nom de la stratégie**, entrez un nom descriptif, tel que **DeviceDefenderAuditKMSDecrypt**.
1. Choisissez **Créer une politique**.
## (Facultatif) Activer la journalisation
Cette procédure décrit comment activer la journalisation AWS IoT des informations dans CloudWatch Logs. Cela vous permettra de consulter les résultats de votre audit. L'activation de la journalisation peut entraîner des frais.
**Pour activer la journalisation**
1. Ouvrez la [AWS IoT console](https://console.aws.amazon.com/iot). Dans le volet de navigation, choisissez **Paramètres**.
1. Dans **Logs**, sélectionnez **Gérer les journaux **.
1. Pour **Sélectionner un rôle**, choisissez **Créer un rôle**. Nommez le rôle *AWSIOTLoggingRole* et choisissez **Créer**. Une politique est automatiquement jointe.
1. Pour le **niveau de journalisation**, choisissez **Debug (niveau de verbosité le plus** élevé).
1. Choisissez **Mettre à jour**.