Utiliser AWS les Organizations pour la sécurité - AWS Conseils prescriptifs

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utiliser AWS les Organizations pour la sécurité

Influencez le futur de l'architecture de référence de AWS sécurité (AWS SRA) en répondant à une courte enquête.

AWSOrganizations vous aide à gérer et à gouverner de manière centralisée votre environnement à mesure que vous développez et faites évoluer vos AWS ressources. En utilisant AWS Organizations, vous pouvez créer de nouveaux AWS comptes par programmation, allouer des ressources, regrouper des comptes pour organiser vos charges de travail et appliquer des politiques à des comptes ou à des groupes de comptes à des fins de gouvernance. Une AWS organisation consolide vos AWS comptes afin que vous puissiez les administrer en tant qu'unité unique. Il possède un compte de gestion et zéro ou plusieurs comptes membres. La plupart de vos charges de travail résident dans les comptes des membres, à l'exception de certains processus gérés de manière centralisée qui doivent résider soit dans le compte de gestion, soit dans des comptes désignés en tant qu'administrateurs délégués pour des AWS services spécifiques. Vous pouvez fournir des outils et un accès à partir d'un emplacement central à votre équipe de sécurité afin qu'elle puisse gérer les besoins de sécurité au nom d'une AWS organisation. Vous pouvez réduire la duplication des ressources en partageant les ressources critiques au sein de votre AWS organisation. Vous pouvez regrouper les comptes en unités AWS organisationnelles (OUs), qui peuvent représenter différents environnements en fonction des exigences et de l'objectif de la charge de travail.

Avec AWS Organizations, vous pouvez utiliser les politiques de contrôle des services (SCPs) pour appliquer des barrières d'autorisation au niveau de l'AWSorganisation, de l'unité d'organisation ou du compte. Ces garanties s'appliquent aux principaux associés au compte d'une organisation, à l'exception du compte de gestion (ce qui est l'une des raisons de ne pas exécuter de charges de travail sur ce compte). Lorsque vous attachez un SCP à une UO, elle est héritée par l'enfant OUs et les comptes associés à l'UO. SCPsn'accordez aucune autorisation. SCPsSpécifiez plutôt les autorisations maximales pour une AWS organisation, une unité d'organisation ou un compte. Vous devez tout de même associer des politiques basées sur l'identité ou les ressources aux principaux ou aux ressources de vos AWS comptes pour leur accorder des autorisations. Par exemple, si un SCP refuse l'accès à l'ensemble d'Amazon S3, le principal concerné n'SCPaura pas accès à Amazon S3 même s'il y est explicitement autorisé par le biais d'une IAM politique. Pour des informations détaillées sur la manière dont IAM les politiques sont évaluées, le rôle des SCPs politiques et la manière dont l'accès est finalement accordé ou refusé, consultez la section sur la logique d'évaluation des politiques dans la IAM documentation. 

AWSControl Tower propose un moyen simplifié de configurer et de gérer plusieurs comptes. Il automatise la configuration des comptes dans votre AWS organisation, automatise le provisionnement, applique des garde-fous (notamment des contrôles préventifs et de détection) et vous fournit un tableau de bord pour plus de visibilité. Une politique IAM de gestion supplémentaire, une limite d'autorisations, est attachée à des IAM entités spécifiques (utilisateurs ou rôles) et définit les autorisations maximales qu'une politique basée sur l'identité peut accorder à une IAM entité.

AWSOrganizations vous aide à configurer AWSdes services qui s'appliquent à tous vos comptes. Par exemple, vous pouvez configurer la journalisation centralisée de toutes les actions effectuées au sein de votre AWS organisation en utilisant AWS CloudTrailet en empêchant les comptes membres de désactiver la journalisation. Vous pouvez également agréger de manière centralisée les données relatives aux règles que vous avez définies à l'aide de AWSConfig, afin de vérifier la conformité de vos charges de travail et de réagir rapidement aux modifications. Vous pouvez l'utiliser AWS CloudFormation StackSetspour gérer de manière centralisée les AWS CloudFormation stacks entre les comptes et OUs au sein de votre AWS organisation, afin de pouvoir configurer automatiquement un nouveau compte pour répondre à vos exigences de sécurité. 

La configuration par défaut de AWS Organizations prend en charge l'utilisation en SCPs tant que listes de refus. En utilisant une stratégie de liste de refus, les administrateurs des comptes membres peuvent déléguer tous les services et actions jusqu'à ce SCP que vous créiez et joigniez un document refusant un service ou un ensemble d'actions spécifique. Les instructions de refus nécessitent moins de maintenance qu'une liste d'autorisation, car vous n'avez pas à les mettre à jour lors de l'AWSajout de nouveaux services. Les instructions de refus sont généralement plus courtes en caractères, il est donc plus facile de respecter la taille maximale pourSCPs. Dans une instruction dont la valeur de l'Effect élément est égale àDeny, vous pouvez également restreindre l'accès à des ressources spécifiques ou définir les conditions d'entrée en vigueur. SCPs En revanche, une instruction Allow dans un SCP s'applique à toutes les ressources ("*") et ne peut pas être limitée par des conditions. Pour plus d'informations et des exemples, consultez la section Stratégies d'utilisation SCPs dans la documentation AWS des Organizations.

Considérations relatives à la conception

  • Sinon, pour l'utiliser SCPs comme liste d'autorisation, vous devez remplacer la liste AWS gérée FullAWSAccess SCP par une SCP qui n'autorise explicitement que les services et les actions que vous souhaitez autoriser. Pour qu'une autorisation soit activée pour un compte spécifique, chaque utilisateur SCP (de la racine à chaque unité d'organisation sur le chemin direct vers le compte, et même attaché au compte lui-même) doit autoriser cette autorisation. Ce modèle est de nature plus restrictive et pourrait convenir à des charges de travail sensibles et hautement réglementées. Cette approche nécessite que vous autorisiez explicitement chaque IAM service ou action sur le chemin entre le AWS compte et l'unité d'organisation.

  • Idéalement, vous devriez utiliser une combinaison de stratégies de liste de refus et de liste d'autorisation. Utilisez la liste des services autorisés pour définir la liste des AWS services autorisés dont l'utilisation est approuvée au sein d'une AWS organisation et attachez-la SCP à la racine de votre AWS organisation. Si un ensemble de services différent est autorisé par votre environnement de développement, vous devez les associer SCPs à chaque unité d'organisation. Vous pouvez ensuite utiliser la liste de refus pour définir les garde-fous de l'entreprise en refusant explicitement des actions spécifiquesIAM.