Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Appliquez des services de sécurité à l'ensemble de votre AWS organisation

Comme décrit dans une section précédente, les clients recherchent un autre moyen de réfléchir à l'ensemble des services de AWS sécurité et de les organiser de manière stratégique. L'approche organisationnelle la plus courante aujourd'hui consiste à regrouper les services de sécurité par fonction principale, en fonction de ce que fait chaque service. Du point de vue de la sécurité, neuf fonctionnalités sont AWS CAF répertoriées, notamment la gestion des identités et des accès, la protection de l'infrastructure, la protection des données et la détection des menaces. Associer AWS les services à ces capacités fonctionnelles est un moyen pratique de prendre des décisions de mise en œuvre dans chaque domaine. Par exemple, lorsqu'il s'agit de la gestion des identités et des accès, IAM et IAM Identity Center sont des services à prendre en compte. Lors de l'élaboration de votre approche de détection des menaces, Amazon GuardDuty peut être votre première considération.

En complément de cette vue fonctionnelle, vous pouvez également visualiser votre sécurité à l'aide d'une vue structurelle transversale. C'est-à-dire, en plus de demander : « Quels AWS services dois-je utiliser pour contrôler et protéger mes identités, mon accès logique ou mes mécanismes de détection des menaces ? » , vous pouvez également demander : « Quels AWS services dois-je appliquer à l'ensemble de mon AWS organisation ?  Quelles sont les couches de défense que je dois mettre en place pour protéger les EC2 instances Amazon au cœur de mon application ? » Dans cette vue, vous pouvez mapper AWS les services et les entités aux couches de votre AWS environnement. Certains services et fonctionnalités conviennent parfaitement à la mise en œuvre de contrôles dans l'ensemble de votre AWS organisation. Par exemple, le blocage de l'accès public aux compartiments Amazon S3 est un contrôle spécifique à cette couche. Il est préférable de le faire au niveau de l'organisation racine plutôt que de faire partie de la configuration du compte individuel. Il est préférable d'utiliser les autres services et fonctionnalités pour protéger les ressources individuelles d'un AWS compte. La mise en œuvre d'une autorité de certification (CA) subordonnée au sein d'un compte qui nécessite TLS des certificats privés est un exemple de cette catégorie. Un autre groupe tout aussi important comprend les services qui ont un effet sur la couche réseau virtuelle de votre AWS infrastructure. Le schéma suivant montre six couches dans un AWS environnement typique : AWS organisation, unité organisationnelle (UO), compte, infrastructure réseau, principaux et ressources.

Comprendre les services dans ce contexte structurel, y compris les contrôles et les protections à chaque niveau, vous aide à planifier et à mettre en œuvre une defense-in-depth stratégie dans votre AWS environnement. Dans cette perspective, vous pouvez répondre aux questions du haut vers le bas (par exemple, « Quels services utilisez-vous pour mettre en œuvre des contrôles de sécurité dans AWS l'ensemble de mon organisation ? ») et de bas en haut (par exemple, « Quels services gèrent les contrôles sur cette EC2 instance ? »). Dans cette section, nous examinons les éléments d'un AWS environnement et identifions les services et fonctionnalités de sécurité associés. Bien entendu, certains AWS services proposent de vastes ensembles de fonctionnalités et répondent à plusieurs objectifs de sécurité. Ces services peuvent prendre en charge plusieurs éléments de votre AWS environnement.

Pour plus de clarté, nous fournissons de brèves descriptions de la manière dont certains services répondent aux objectifs énoncés. La section suivante fournit une discussion plus approfondie sur les différents services de chaque AWS compte.

Comptes multiples ou à l'échelle de l'organisation

Au niveau supérieur, certains AWS services et fonctionnalités sont conçus pour appliquer des fonctionnalités de gouvernance et de contrôle ou des garde-fous à plusieurs comptes d'une AWS organisation (y compris l'ensemble de l'organisation ou un compte spécifiqueOUs). Les politiques de contrôle des services (SCPs) sont un bon exemple de IAM fonctionnalité fournissant un garde-fou préventif à AWS l'échelle de l'organisation. Un autre exemple est AWS CloudTrail celui qui fournit une surveillance par le biais d'un journal d'organisation qui enregistre tous les événements pour tous les AWS comptes de cette AWS organisation. Ce parcours complet est distinct des parcours individuels qui peuvent être créés dans chaque compte. Le troisième exemple est AWS Firewall Manager, que vous pouvez utiliser pour configurer, appliquer et gérer plusieurs ressources sur tous les comptes de votre AWS organisation : AWS WAF règles, règles AWS WAF classiques, protections AWS Shield Advanced, groupes de sécurité Amazon Virtual Private Cloud (AmazonVPC), politiques AWS Network Firewall et politiques Amazon Route 53 Resolver DNS Firewall. 

Les services marqués d'un astérisque * dans le schéma suivant ont une double portée : à l'échelle de l'organisation et axés sur les comptes. Ces services surveillent ou aident essentiellement à contrôler la sécurité d'un compte individuel. Cependant, ils offrent également la possibilité d'agréger les résultats de plusieurs comptes dans un compte à l'échelle de l'organisation pour une visibilité et une gestion centralisées. Pour plus de clarté, considérez SCPs que cela s'applique à l'ensemble d'une unité d'organisation, d'un AWS compte ou d'une AWS organisation. En revanche, vous pouvez configurer et gérer Amazon à la GuardDuty fois au niveau du compte (où les résultats individuels sont générés) et au niveau de l'AWSorganisation (à l'aide de la fonctionnalité d'administrateur délégué), où les résultats peuvent être consultés et gérés de manière agrégée.

AWScomptes

Il existe OUs des services qui aident à protéger plusieurs types d'éléments au sein d'un AWS compte. Par exemple, AWS Secrets Manager est généralement géré à partir d'un compte spécifique et protège les ressources (telles que les informations d'identification de base de données ou d'authentification), les applications et les AWS services de ce compte. AWSIAMAccess Analyzer peut être configuré pour générer des résultats lorsque des ressources spécifiées sont accessibles par des personnes extérieures au AWS compte. Comme indiqué dans la section précédente, bon nombre de ces services peuvent également être configurés et administrés au sein d'AWSOrganizations, afin de pouvoir être gérés sur plusieurs comptes. Ces services sont marqués d'un astérisque (*) dans le schéma. Ils facilitent également l'agrégation des résultats de plusieurs comptes et leur transfert vers un seul compte. Cela donne aux équipes d'application individuelles la flexibilité et la visibilité nécessaires pour gérer les besoins de sécurité spécifiques à leur charge de travail, tout en offrant une gouvernance et une visibilité aux équipes de sécurité centralisées. Amazon GuardDuty est un exemple de ce type de service. GuardDutysurveille les ressources et les activités associées à un seul compte, et GuardDuty les résultats provenant de plusieurs comptes membres (tels que tous les comptes d'une AWS organisation) peuvent être collectés, consultés et gérés à partir d'un compte d'administrateur délégué.

 

Réseau virtuel, calcul et diffusion de contenu

Étant donné que l'accès au réseau est essentiel en matière de sécurité et que l'infrastructure informatique est un élément fondamental de nombreuses AWS charges de travail, de nombreux services et fonctionnalités de AWS sécurité sont dédiés à ces ressources. Par exemple, Amazon Inspector est un service de gestion des vulnérabilités qui analyse en permanence vos AWS charges de travail pour détecter les vulnérabilités. Ces analyses incluent des contrôles d'accessibilité au réseau qui indiquent qu'il existe des chemins réseau autorisés vers les EC2 instances Amazon dans votre environnement. Amazon Virtual Private Cloud (AmazonVPC) vous permet de définir un réseau virtuel dans lequel vous pouvez lancer AWS des ressources. Ce réseau virtuel ressemble beaucoup à un réseau traditionnel et inclut une variété de fonctionnalités et d'avantages. VPCles points de terminaison vous permettent de vous connecter en privé VPC aux AWS services pris en charge et aux services de point de terminaison alimentés par ceux-ci AWS PrivateLink sans avoir besoin d'un chemin d'accès à Internet. Le schéma suivant illustre les services de sécurité axés sur le réseau, le calcul et l'infrastructure de diffusion de contenu.

Principes et ressources

AWSles principes et les AWS ressources (ainsi que les IAM politiques) sont les éléments fondamentaux de la gestion des identités et des AWS accès. Un utilisateur principal authentifié AWS peut effectuer des actions et accéder aux AWS ressources. Un principal peut être authentifié en tant qu'utilisateur root du AWS compte, ou en tant qu'IAMutilisateur, ou en assumant un rôle.

Une AWS ressource est un objet existant au sein d'un AWS service avec lequel vous pouvez travailler. Les exemples incluent une EC2 instance, une AWS CloudFormation pile, une rubrique Amazon Simple Notification Service (AmazonSNS) et un compartiment S3. IAMles politiques sont des objets qui définissent les autorisations lorsqu'elles sont associées à une IAM identité (utilisateur, groupe ou rôle) ou à une AWS ressource. Les politiques basées sur l'identité sont des documents de stratégie que vous attachez à un principal (rôles, utilisateurs et groupes d'utilisateurs) pour contrôler les actions qu'un principal peut effectuer, sur quelles ressources et dans quelles conditions. Les politiques basées sur les ressources sont des documents de politique que vous attachez à une ressource telle qu'un compartiment S3. Ces politiques accordent l'autorisation principale spécifiée pour effectuer des actions spécifiques sur cette ressource et définissent les conditions de cette autorisation. Les politiques basées sur les ressources sont des politiques intégrées. La section IAMdes ressources aborde de manière plus approfondie les types de IAM politiques et la manière dont elles sont utilisées.

Pour simplifier les choses dans cette discussion, nous listons les services et fonctionnalités de AWS sécurité destinés aux IAM entités dont l'objectif principal est d'opérer sur les principaux comptes ou de s'appliquer à ceux-ci. Nous conservons cette simplicité tout en reconnaissant la flexibilité et l'ampleur des effets des politiques d'IAMautorisation. Une seule déclaration dans une politique peut avoir des effets sur plusieurs types d'AWSentités. Par exemple, bien qu'une politique IAM basée sur l'identité soit associée à une IAM entité et définisse les autorisations (autoriser, refuser) pour cette entité, la politique définit également implicitement les autorisations pour les actions, les ressources et les conditions spécifiées. Ainsi, une politique basée sur l'identité peut être un élément essentiel dans la définition des autorisations pour une ressource.

Le schéma suivant illustre les services et fonctionnalités de AWS sécurité destinés AWS aux principaux. Les politiques basées sur l'identité sont associées aux objets de IAM ressources utilisés pour l'identification et le regroupement, tels que les utilisateurs, les groupes et les rôles. Ces politiques vous permettent de spécifier ce que peut faire cette identité (ses autorisations). Une stratégie de IAM session est une politique d'autorisation intégrée que les utilisateurs transmettent au cours de la session lorsqu'ils assument le rôle. Vous pouvez transmettre la politique vous-même ou configurer votre courtier d'identité pour qu'il insère la politique lorsque vos identités se fédérent. AWS Cela permet à vos administrateurs de réduire le nombre de rôles qu'ils doivent créer, car plusieurs utilisateurs peuvent assumer le même rôle tout en disposant d'autorisations de session uniques. Le service IAM Identity Center est intégré aux AWS organisations et aux AWS API opérations et vous aide à gérer l'SSOaccès et les autorisations utilisateur sur l'ensemble de vos AWS comptes dans AWS Organizations.

Le schéma suivant illustre les services et les fonctionnalités des ressources du compte. Les politiques basées sur les ressources sont attachées à une ressource. Par exemple, vous pouvez associer des politiques basées sur les ressources aux compartiments S3, aux files d'attente Amazon Simple Queue Service (AmazonSQS), aux VPC points de terminaison et aux clés de chiffrement. AWS KMS Vous pouvez utiliser des politiques basées sur les ressources pour spécifier qui a accès à la ressource et quelles actions ils peuvent effectuer sur celle-ci. Les politiques relatives aux compartiments S3, les politiques AWS KMS clés et les politiques relatives aux VPC terminaux sont des types de politiques basées sur les ressources. AWSIAMAccess Analyzer vous aide à identifier les ressources de votre organisation et les comptes, tels que les compartiments ou les IAM rôles S3, qui sont partagés avec une entité externe. Cela vous permet d'identifier les accès imprévus à vos ressources et données, ce qui constitue un risque de sécurité. AWSConfig vous permet d'évaluer, d'auditer et d'évaluer les configurations des AWS ressources prises en charge dans vos AWS comptes. AWSConfig surveille et enregistre en permanence les configurations AWS des ressources, et évalue automatiquement les configurations enregistrées par rapport aux configurations souhaitées.