[IAM.1] IAM les politiques ne doivent pas autoriser tous les privilèges administratifs « * »[IAM.2] aucune IAM politique ne doit être attachée aux IAM utilisateurs [IAM.3] Les clés d'accès IAM des utilisateurs doivent être renouvelées tous les 90 jours ou moins [IAM.4] IAM La clé d'accès de l'utilisateur root ne doit pas exister [IAM.5] MFA doit être activé pour tous les IAM utilisateurs disposant d'un mot de passe de console [IAM.6] Le matériel MFA doit être activé pour l'utilisateur root [IAM.7] Les politiques de mot de passe pour les IAM utilisateurs doivent être configurées de manière stricte [IAM.8] Les informations IAM d'identification utilisateur non utilisées doivent être supprimées [IAM.9] MFA doit être activé pour l'utilisateur root [IAM.10] Les politiques relatives aux mots de passe pour IAM les utilisateurs doivent avoir une durée stricte AWS Config [IAM.11] Assurez-vous que la politique IAM de mot de passe nécessite au moins une lettre majuscule [IAM.12] Assurez-vous que la politique IAM de mot de passe nécessite au moins une lettre minuscule [IAM.13] Assurez-vous que la politique IAM de mot de passe nécessite au moins un symbole [IAM.14] Assurez-vous que la politique IAM de mot de passe nécessite au moins un chiffre [IAM.15] Assurez-vous que la politique IAM de mot de passe exige une longueur de mot de passe minimale de 14 ou plus [IAM.16] Assurez-vous que la politique de IAM mot de passe empêche la réutilisation des mots de passe [IAM.17] Assurez-vous que la politique IAM de mot de passe expire les mots de passe dans un délai de 90 jours ou moins [IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support [IAM.19] MFA doit être activé pour tous les utilisateurs IAM [IAM.20] Évitez d'utiliser l'utilisateur root [IAM.21] les politiques gérées par le IAM client que vous créez ne doivent pas autoriser les actions génériques pour les services [IAM.22] Les informations IAM d'identification utilisateur non utilisées pendant 45 jours doivent être supprimées [IAM.23] Les analyseurs IAM Access Analyzer doivent être étiquetés [IAM.24] IAM les rôles doivent être balisés [IAM.25] IAM les utilisateurs doivent être tagués [IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés [IAM.27] la AWSCloudShellFullAccess politique ne doit pas être attachée aux IAM identités [IAM.28] IAM L'analyseur d'accès externe Access Analyzer doit être activé

Contrôles Security Hub pour IAM

Ces AWS Security Hub contrôles évaluent le service AWS Identity and Access Management (IAM) et les ressources.

Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour de plus amples informations, veuillez consulter Disponibilité des contrôles par région.

[IAM.1] IAM les politiques ne doivent pas autoriser tous les privilèges administratifs « * »

Exigences associées : PCI DSS v3.2.1/7.2.1, CIS AWS Foundations Benchmark v1.2.0/1.22, CIS AWS Foundations Benchmark v1.4.0/1.16,, NIST.800-53.r5 AC-2 (1), (15) NIST.800-53.r5 AC-2, (7),, NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (10), NIST.800-53.r5 AC-3 (2), NIST.800-53.r5 AC-5 (3) NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Élevée

Type de ressource : AWS::IAM::Policy

Règle AWS Config : iam-policy-no-statements-with-admin-access

Type de calendrier : changement déclenché

Paramètres :

excludePermissionBoundaryPolicy: true(non personnalisable)

Ce contrôle vérifie si la version par défaut des IAM politiques (également appelée politiques gérées par le client) dispose d'un accès administrateur en incluant une instruction "Effect": "Allow" avec "Action": "*" over"Resource": "*". Le contrôle échoue si vous avez des IAM politiques comportant une telle déclaration.

Le contrôle vérifie uniquement les stratégies gérées par le client que vous créez. Il ne vérifie pas les politiques intégrées et AWS gérées.

IAMles politiques définissent un ensemble de privilèges accordés aux utilisateurs, aux groupes ou aux rôles. Conformément aux conseils de sécurité standard, il est AWS recommandé d'accorder le moindre privilège, c'est-à-dire de n'accorder que les autorisations nécessaires à l'exécution d'une tâche. Si vous accordez des privilèges d'administrateur complets plutôt qu'un jeu d'autorisations minimal dont l’utilisateur a besoin, les ressources risquent d'être exposées à des actions potentiellement indésirables.

Déterminez quelles tâches doivent accomplir les utilisateurs, puis créez des stratégies pour permettre à ces derniers de réaliser uniquement ces tâches, plutôt que de leur accorder des privilèges d'administrateur complets. Il est plus sûr de commencer avec un minimum d'autorisations et d’en accordez d'autres si nécessaire. Ne commencez pas avec des autorisations trop permissives, pour essayer de les restreindre plus tard.

Vous devez supprimer les IAM politiques dont l'instruction comporte la mention « "Effect": "Allow" with "Action": "*" over "Resource": "*" ».

Note

AWS Config doit être activé dans toutes les régions dans lesquelles vous utilisez Security Hub. Cependant, l'enregistrement des ressources globales peut être activé dans une seule région. Si vous enregistrez uniquement des ressources globales dans une seule région, vous pouvez désactiver ce contrôle dans toutes les régions, à l'exception de la région dans laquelle vous enregistrez des ressources globales.

Correction

Pour modifier vos IAM politiques afin qu'elles n'accordent pas tous les privilèges administratifs « * », consultez la section Modification des IAM politiques dans le guide de IAM l'utilisateur.

[IAM.2] aucune IAM politique ne doit être attachée aux IAM utilisateurs

Exigences associées : PCI DSS v3.2.1/7.2.1, CIS AWS Foundations Benchmark v3.0.0/1.15, Foundations Benchmark v1.2.0/1.16,, CIS AWS NIST.800-53.r5 AC-2 (1),, (15), (7) NIST.800-53.r5 AC-2, (3) NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Faible

Type de ressource : AWS::IAM::User

Règle AWS Config : iam-user-no-policies-check

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si des politiques sont associées à vos IAM utilisateurs. Le contrôle échoue si des politiques sont associées à vos IAM utilisateurs. IAMLes utilisateurs doivent plutôt hériter des autorisations des IAM groupes ou assumer un rôle.

Par défaut, IAM les utilisateurs, les groupes et les rôles n'ont aucun accès aux AWS ressources. IAMles politiques accordent des privilèges aux utilisateurs, aux groupes ou aux rôles. Nous vous recommandons d'appliquer IAM les politiques directement aux groupes et aux rôles, mais pas aux utilisateurs. L'attribution de privilèges au niveau du groupe ou du rôle réduit la complexité de la gestion des accès au fur et à mesure que le nombre d'utilisateurs augmente. La simplification de la gestion des accès peut contribuer à réduire les chances pour un mandataire de recevoir ou de conserver par inadvertance des privilèges excessifs.

Note

IAMles utilisateurs créés par Amazon Simple Email Service sont automatiquement créés à l'aide de politiques intégrées. Security Hub exempte automatiquement ces utilisateurs de ce contrôle.

Correction

Pour résoudre ce problème, créez un IAM groupe et associez la politique au groupe. Ajoutez ensuite les utilisateurs au groupe. La stratégie est appliquée à chaque utilisateur du groupe. Pour supprimer une politique attachée directement à un utilisateur, consultez la section Ajout et suppression IAM d'autorisations d'identité dans le Guide de IAM l'utilisateur.

[IAM.3] Les clés d'accès IAM des utilisateurs doivent être renouvelées tous les 90 jours ou moins

Exigences associées : CIS AWS Foundations Benchmark v3.0.0/1.14, CIS AWS Foundations Benchmark v1.4.0/1.14, Foundations Benchmark v1.2.0/1.4, CIS AWS (1), (3), (15) NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Moyenne

Type de ressource : AWS::IAM::User

Règle AWS Config : access-keys-rotated

Type de calendrier : Périodique

Paramètres :

maxAccessKeyAge: 90 (non personnalisable)

Ce contrôle vérifie si les clés d'accès actives font l’objet d’une rotation dans un délai de 90 jours.

Nous vous recommandons vivement de ne pas générer et de supprimer toutes les clés d'accès de votre compte. La meilleure pratique recommandée consiste plutôt à créer un ou plusieurs IAM rôles ou à utiliser la fédération par le biais de la fédération AWS IAM Identity Center. Vous pouvez utiliser ces méthodes pour permettre à vos utilisateurs d'accéder au AWS Management Console et AWS CLI.

Chaque approche a ses cas d'utilisation. La fédération est généralement préférable pour les entreprises qui disposent d'un annuaire central existant ou qui prévoient d'avoir besoin d'un nombre d'IAMutilisateurs supérieur à la limite actuelle. Les applications qui s'exécutent en dehors d'un AWS environnement ont besoin de clés d'accès pour accéder aux AWS ressources par programmation.

Toutefois, si les ressources nécessitant un accès programmatique s'y trouvent AWS, la meilleure pratique consiste à utiliser IAM des rôles. Les rôles vous permettent d'accorder un accès à une ressource sans coder en dur un ID de clé d'accès et une clé d'accès secrète dans la configuration.

Pour en savoir plus sur la protection de vos clés d'accès et de votre compte, consultez la section Meilleures pratiques de gestion des clés AWS d'accès dans le Références générales AWS. Consultez également le billet de blog Directives pour vous protéger Compte AWS lors de l'utilisation de l'accès programmatique.

Si vous possédez déjà une clé d'accès, Security Hub vous recommande de changer les clés d'accès tous les 90 jours. La rotation des clés d'accès permet de réduire les possibilités qu'une clé d'accès associée à un compte compromis ou résilié ne soit utilisée. Elle permet également de s’assurer qu'il n'est pas possible d'accéder aux données avec une ancienne clé qui peut avoir été perdue, compromise ou volée. Mettez toujours à jour vos applications après avoir exécuté la rotation des clés d'accès.

Les clés d'accès sont constituées d'un ID de clé d'accès et une clé d'accès secrète. Ils sont utilisés pour signer les demandes programmatiques que vous envoyez à AWS. Les utilisateurs ont besoin de leurs propres clés d'accès pour effectuer des appels programmatiques AWS depuis AWS CLI, Outils pour Windows PowerShell AWS SDKs, ou des HTTP appels directs à l'aide API des opérations individuelles AWS services.

Si votre organisation utilise AWS IAM Identity Center (IAMIdentity Center), vos utilisateurs peuvent se connecter à Active Directory, à un annuaire IAM Identity Center intégré ou à un autre fournisseur d'identité (IdP) connecté à IAM Identity Center. Ils peuvent ensuite être mappés à un IAM rôle qui leur permet d'exécuter des AWS CLI commandes ou d'appeler AWS API des opérations sans avoir besoin de clés d'accès. Pour en savoir plus, consultez la section Configuration du AWS CLI à utiliser AWS IAM Identity Center dans le guide de AWS Command Line Interface l'utilisateur.

Note

Correction

Pour effectuer une rotation des clés d'accès datant de plus de 90 jours, voir Rotation des clés d'accès dans le guide de IAM l'utilisateur. Suivez les instructions pour tout utilisateur dont l'âge de la clé d'accès est supérieur à 90 jours.

[IAM.4] IAM La clé d'accès de l'utilisateur root ne doit pas exister

Exigences associées : CIS AWS Foundations Benchmark v3.0.0/1.4, CIS AWS Foundations Benchmark v1.4.0/1.4, Foundations Benchmark v1.2.0/1.12, CIS AWS v3.2.1/2.1, PCI DSS v3.2.1/2.2, PCI DSS v3.2.1/7.2.1, (1), (15), (7), (10), (PCIDSS2) NIST.800-53.r5 AC-2 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6 NIST.800-53.r5 AC-6

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Critique

Type de ressource : AWS::::Account

Règle AWS Config : iam-root-access-key-check

Type de calendrier : Périodique

Paramètres : Aucun

Ce contrôle vérifie si la clé d'accès de l'utilisateur root est présente.

L'utilisateur root est l'utilisateur le plus privilégié d'un Compte AWS. AWS les clés d'accès fournissent un accès programmatique à un compte donné.

Security Hub recommande de supprimer toutes les clés d'accès associées à l'utilisateur root. Cela limite les vecteurs qui peuvent être utilisés pour compromettre votre compte. Cela incite également à créer et à utiliser comptes basés sur des rôles avec moins de privilèges.

Correction

Pour supprimer la clé d'accès de l'utilisateur root, reportez-vous à la section Suppression des clés d'accès de l'utilisateur root dans le Guide de IAM l'utilisateur. Pour supprimer les clés d'accès utilisateur root d'une entrée Compte AWS AWS GovCloud (US), voir Supprimer les clés d'accès utilisateur root de mon AWS GovCloud (US) compte dans le guide de AWS GovCloud (US) l'utilisateur.

[IAM.5] MFA doit être activé pour tous les IAM utilisateurs disposant d'un mot de passe de console

Exigences associées : CIS AWS Foundations Benchmark v3.0.0/1.10, CIS AWS Foundations Benchmark v1.4.0/1.10, CIS AWS Foundations Benchmark v1.2.0/1.2, (1), NIST.800-53.r5 AC-2 (15), (1), NIST.800-53.r5 AC-3 (2), NIST.800-53.r5 IA-2 (6), (8) NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Moyenne

Type de ressource : AWS::IAM::User

Règle AWS Config : mfa-enabled-for-iam-console-access

Type de calendrier : Périodique

Paramètres : Aucun

Ce contrôle vérifie si l'authentification AWS multifactorielle (MFA) est activée pour tous les IAM utilisateurs qui utilisent un mot de passe de console.

L'authentification multifactorielle (MFA) ajoute une couche de protection supplémentaire en plus du nom d'utilisateur et du mot de passe. Lorsque MFA cette option est activée, lorsqu'un utilisateur se connecte à un AWS site Web, il est invité à saisir son nom d'utilisateur et son mot de passe. En outre, ils sont invités à saisir un code d'authentification sur leur AWS MFA appareil.

Nous vous recommandons de l'activer MFA pour tous les comptes dotés d'un mot de passe de console. MFAest conçu pour renforcer la sécurité de l'accès à la console. Le mandataire d'authentification doit posséder un dispositif qui émet une clé sensible au temps et connaître des informations d’identification.

Note

Correction

Pour en ajouter MFA pour IAM les utilisateurs, consultez la section Utilisation de l'authentification multifactorielle (MFA) AWS dans le guide de l'IAMutilisateur.

Nous offrons une clé MFA de sécurité gratuite aux clients éligibles. Vérifiez si vous êtes éligible et commandez votre clé gratuite.

[IAM.6] Le matériel MFA doit être activé pour l'utilisateur root

Exigences associées : CIS AWS Foundations Benchmark v3.0.0/1.6, CIS AWS Foundations Benchmark v1.4.0/1.6, CIS AWS Foundations Benchmark v1.2.0/1.14, PCI DSS v3.2.1/8.3.1, (1), (15), NIST.800-53.r5 AC-2 (1), (2), NIST.800-53.r5 AC-3 (6), (8) NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Critique

Type de ressource : AWS::::Account

Règle AWS Config : root-account-hardware-mfa-enabled

Type de calendrier : Périodique

Paramètres : Aucun

Ce contrôle vérifie si vous Compte AWS êtes autorisé à utiliser un dispositif d'authentification matérielle multifactorielle (MFA) pour vous connecter avec les informations d'identification de l'utilisateur root. Le contrôle échoue s'il MFA n'est pas activé ou si des MFA périphériques virtuels sont autorisés à se connecter avec les informations d'identification de l'utilisateur root.

Le virtuel MFA peut ne pas fournir le même niveau de sécurité que MFA les périphériques matériels. Nous vous recommandons de n'utiliser qu'un MFA appareil virtuel pendant que vous attendez l'approbation de l'achat du matériel ou l'arrivée de votre matériel. Pour en savoir plus, consultez la section Activation d'un dispositif d'authentification multifactorielle virtuelle (MFA) (console) dans le guide de l'IAMutilisateur.

Les jetons de mot de passe à usage unique (TOTP) et de deuxième facteur universel (U2F) basés sur le temps sont des options matérielles viables. MFA

Correction

Pour ajouter un MFA périphérique matériel pour l'utilisateur root, voir Activer un MFA périphérique matériel pour l'utilisateur Compte AWS root (console) dans le guide de IAM l'utilisateur.

Nous offrons une clé MFA de sécurité gratuite aux clients éligibles. Vérifiez si vous êtes éligible et commandez votre clé gratuite.

[IAM.7] Les politiques de mot de passe pour les IAM utilisateurs doivent être configurées de manière stricte

Exigences associées : NIST.800-53.r5 AC-2 (1), NIST.800-53.r5 AC-2 (3), NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 IA-5 (1)

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Moyenne

Type de ressource : AWS::::Account

Règle AWS Config : iam-password-policy

Type de calendrier : Périodique

Paramètres :

Paramètre	Description	Type	Valeurs personnalisées autorisées	Valeur par défaut de Security Hub
`RequireUppercaseCharacters`	Exiger au moins une majuscule dans le mot de passe	Booléen	`true` ou `false`	`true`
`RequireLowercaseCharacters`	Exiger au moins une minuscule dans le mot de passe	Booléen	`true` ou `false`	`true`
`RequireSymbols`	Exiger au moins un symbole dans le mot de passe	Booléen	`true` ou `false`	`true`
`RequireNumbers`	Exiger au moins un chiffre dans le mot de passe	Booléen	`true` ou `false`	`true`
`MinimumPasswordLength`	Nombre minimum de caractères dans le mot de passe	Entier	`8` sur `128`	`8`
`PasswordReusePrevention`	Nombre de rotations de mots de passe avant qu'un ancien mot de passe puisse être réutilisé	Entier	`12` sur `24`	Aucune valeur par défaut
`MaxPasswordAge`	Nombre de jours avant l'expiration du mot de passe	Entier	`1` sur `90`	Aucune valeur par défaut

Ce contrôle vérifie si la politique de mot de passe du compte pour IAM les utilisateurs utilise des configurations strictes. Le contrôle échoue si la politique de mot de passe n'utilise pas de configurations fortes. À moins que vous ne fournissiez des valeurs de paramètres personnalisées, Security Hub utilise les valeurs par défaut mentionnées dans le tableau précédent. Les MaxPasswordAge paramètres PasswordReusePrevention et n'ont aucune valeur par défaut. Par conséquent, si vous excluez ces paramètres, Security Hub ignore le nombre de rotations de mots de passe et l'âge des mots de passe lors de l'évaluation de ce contrôle.

Pour y accéder AWS Management Console, les IAM utilisateurs ont besoin de mots de passe. À titre de bonne pratique, Security Hub recommande vivement d'utiliser la fédération plutôt que de créer des IAM utilisateurs. La fédération permet aux utilisateurs d'utiliser leurs informations d'identification d'entreprise existantes pour se connecter au AWS Management Console. Utilisez AWS IAM Identity Center (IAMIdentity Center) pour créer ou fédérer l'utilisateur, puis assumez un IAM rôle dans un compte.

Pour en savoir plus sur les fournisseurs d'identité et la fédération, consultez la section Fournisseurs d'identité et fédération dans le guide de IAM l'utilisateur. Pour en savoir plus sur IAM Identity Center, consultez le guide de AWS IAM Identity Center l'utilisateur.

Si vous devez utiliser des IAM utilisateurs, Security Hub vous recommande d'imposer la création de mots de passe utilisateur forts. Vous pouvez définir une politique de mot de passe Compte AWS pour définir les exigences de complexité et les périodes de rotation obligatoires pour les mots de passe. Lorsque vous créez ou modifiez une politique de mot de passe, la plupart des paramètres de la politique de mot de passe sont appliqués la prochaine fois que les utilisateurs modifient leur mot de passe. Certains paramètres sont appliqués immédiatement.

Correction

Pour mettre à jour votre politique de mot de passe, consultez la section Définition d'une politique de mot de passe de compte pour IAM les utilisateurs dans le Guide de IAM l'utilisateur.

[IAM.8] Les informations IAM d'identification utilisateur non utilisées doivent être supprimées

Exigences associées : PCI DSS v3.2.1/8.1.4, CIS AWS Foundations Benchmark v1.2.0/1.3,, NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-2, (3), NIST.800-53.r5 AC-2 (15), (7) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Moyenne

Type de ressource : AWS::IAM::User

Règle AWS Config : iam-user-unused-credentials-check

Type de calendrier : Périodique

Paramètres :

maxCredentialUsageAge: 90 (non personnalisable)

Ce contrôle vérifie si vos IAM utilisateurs ont des mots de passe ou des clés d'accès actives qui n'ont pas été utilisés depuis 90 jours.

IAMles utilisateurs peuvent accéder aux AWS ressources à l'aide de différents types d'informations d'identification, tels que des mots de passe ou des clés d'accès.

Security Hub vous recommande de supprimer ou de désactiver toutes les informations d'identification non utilisées pendant 90 jours ou plus. La désactivation ou la suppression des informations d'identification inutiles permet d'éviter que des informations d'identification associées à un compte compromis ou abandonné ne soient utilisées.

Note

Correction

Lorsque vous consultez les informations utilisateur dans la IAM console, des colonnes indiquent l'âge de la clé d'accès, l'âge du mot de passe et la dernière activité. Si la valeur dans l'une de ces colonnes est supérieure à 90 jours, rendez inactives les informations d'identification de ces utilisateurs.

Vous pouvez également utiliser les rapports d'identification pour surveiller les utilisateurs et identifier ceux qui sont restés inactifs pendant 90 jours ou plus. Vous pouvez télécharger les rapports d'identification au .csv format depuis la IAM console.

Après avoir identifié les comptes inactifs ou les informations d'identification non utilisées, désactivez-les. Pour obtenir des instructions, consultez la section Création, modification ou suppression d'un mot de passe IAM utilisateur (console) dans le guide de IAM l'utilisateur.

[IAM.9] MFA doit être activé pour l'utilisateur root

Exigences associées : PCI DSS v3.2.1/8.3.1, CIS AWS Foundations Benchmark v3.0.0/1.5, Foundations Benchmark v1.4.0/1.5, CIS AWS Foundations Benchmark v1.2.0/1.13, CIS AWS (1), (15), NIST.800-53.r5 AC-2 (1), (2), NIST.800-53.r5 AC-3 (6), (8) NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2 NIST.800-53.r5 IA-2

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Critique

Type de ressource : AWS::::Account

Règle AWS Config : root-account-mfa-enabled

Type de calendrier : Périodique

Paramètres : Aucun

L'utilisateur root dispose d'un accès complet à tous les services et ressources d'un Compte AWS. MFAajoute une couche de protection supplémentaire en plus du nom d'utilisateur et du mot de passe. Lorsque MFA cette option est activée, lorsqu'un utilisateur se connecte au AWS Management Console, il est invité à saisir son nom d'utilisateur et son mot de passe ainsi qu'un code d'authentification sur son AWS MFA appareil.

Lorsque vous utilisez le virtuel MFA pour l'utilisateur root, il est CIS recommandé que l'appareil utilisé ne soit pas un appareil personnel. Utilisez plutôt un appareil mobile dédié (tablette ou téléphone) qui restera toujours chargé et sécurisé, indépendant de tout appareil personnel individuel. Cela réduit les risques de perte d'accès en cas de MFA perte d'appareil, d'échange d'appareil ou si le propriétaire de l'appareil n'est plus employé par l'entreprise.

Correction

Pour l'activer MFA pour l'utilisateur root, consultez la section Activer pour l'utilisateur Compte AWS root dans le Guide de référence MFA sur la gestion des AWS comptes.

[IAM.10] Les politiques relatives aux mots de passe pour IAM les utilisateurs doivent avoir une durée stricte AWS Config

Exigences associées : PCI DSS v3.2.1/8.1.4, v3.2.1/8.2.3, v3.2.1/8.2.4, PCI DSS v3.2.1/8.2.5 PCI DSS PCI DSS

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Moyenne

Type de ressource : AWS::::Account

Règle AWS Config : iam-password-policy

Type de calendrier : Périodique

Paramètres : Aucun

Ce contrôle vérifie si la politique de mot de passe du compte pour IAM les utilisateurs utilise les PCI DSS configurations minimales suivantes.

RequireUppercaseCharacters— Exige au moins une majuscule dans le mot de passe. (Valeur par défaut = true)
RequireLowercaseCharacters— Exige au moins une minuscule dans le mot de passe. (Valeur par défaut = true)
RequireNumbers— Exige au moins un chiffre dans le mot de passe. (Valeur par défaut = true)
MinimumPasswordLength— Longueur minimale du mot de passe. (Par défaut = 7 ou plus)
PasswordReusePrevention— Nombre de mots de passe avant d'autoriser leur réutilisation. (Par défaut = 4)
MaxPasswordAge — Nombre de jours avant l'expiration du mot de passe. (Par défaut = 90)

Correction

Pour mettre à jour votre politique de mot de passe afin d'utiliser la configuration recommandée, consultez la section Définition d'une politique de mot de passe de compte pour IAM les utilisateurs dans le Guide de IAM l'utilisateur.

[IAM.11] Assurez-vous que la politique IAM de mot de passe nécessite au moins une lettre majuscule

Exigences associées : CIS AWS Foundations Benchmark v1.2.0/1.5

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Moyenne

Type de ressource : AWS::::Account

Règle AWS Config : iam-password-policy

Type de calendrier : Périodique

Paramètres : Aucun

CISrecommande que la politique de mot de passe exige au moins une majuscule. La définition d'une stratégie de complexité des mots de passe accroît la résilience des comptes en cas de tentatives de connexion en force.

Correction

Pour modifier votre politique de mot de passe, consultez la section Définition d'une politique de mot de passe de compte pour IAM les utilisateurs dans le Guide de IAM l'utilisateur. Pour la sécurité du mot de passe, sélectionnez Exiger au moins une lettre majuscule de l'alphabet latin (A—Z).

[IAM.12] Assurez-vous que la politique IAM de mot de passe nécessite au moins une lettre minuscule

Exigences associées : CIS AWS Foundations Benchmark v1.2.0/1.6

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Moyenne

Type de ressource : AWS::::Account

Règle AWS Config : iam-password-policy

Type de calendrier : Périodique

Paramètres : Aucun

Les stratégies de mot de passe, en partie, font appliquer les exigences de complexité des mots de passe. Utilisez des politiques relatives aux mots de IAM passe pour vous assurer que les mots de passe utilisent des jeux de caractères différents. CISrecommande que la politique de mot de passe exige au moins une lettre minuscule. La définition d'une stratégie de complexité des mots de passe accroît la résilience des comptes en cas de tentatives de connexion en force.

Correction

Pour modifier votre politique de mot de passe, consultez la section Définition d'une politique de mot de passe de compte pour IAM les utilisateurs dans le Guide de IAM l'utilisateur. Pour renforcer le mot de passe, sélectionnez Exiger au moins une lettre minuscule de l'alphabet latin (A—Z).

[IAM.13] Assurez-vous que la politique IAM de mot de passe nécessite au moins un symbole

Exigences associées : CIS AWS Foundations Benchmark v1.2.0/1.7

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Moyenne

Type de ressource : AWS::::Account

Règle AWS Config : iam-password-policy

Type de calendrier : Périodique

Paramètres : Aucun

CISrecommande que la politique de mot de passe exige au moins un symbole. La définition d'une stratégie de complexité des mots de passe accroît la résilience des comptes en cas de tentatives de connexion en force.

Correction

Pour modifier votre politique de mot de passe, consultez la section Définition d'une politique de mot de passe de compte pour IAM les utilisateurs dans le Guide de IAM l'utilisateur. Pour la sécurité du mot de passe, sélectionnez Exiger au moins un caractère non alphanumérique.

[IAM.14] Assurez-vous que la politique IAM de mot de passe nécessite au moins un chiffre

Exigences associées : CIS AWS Foundations Benchmark v1.2.0/1.8

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Moyenne

Type de ressource : AWS::::Account

Règle AWS Config : iam-password-policy

Type de calendrier : Périodique

Paramètres : Aucun

CISrecommande que la politique de mot de passe exige au moins un chiffre. La définition d'une stratégie de complexité des mots de passe accroît la résilience des comptes en cas de tentatives de connexion en force.

Correction

[IAM.15] Assurez-vous que la politique IAM de mot de passe exige une longueur de mot de passe minimale de 14 ou plus

Exigences associées : CIS AWS Foundations Benchmark v3.0.0/1.8, Foundations Benchmark v1.4.0/1.8, CIS AWS Foundations Benchmark v1.2.0/1.9 CIS AWS

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Moyenne

Type de ressource : AWS::::Account

Règle AWS Config : iam-password-policy

Type de calendrier : Périodique

Paramètres : Aucun

Les stratégies de mot de passe, en partie, font appliquer les exigences de complexité des mots de passe. Utilisez des politiques IAM de mots de passe pour vous assurer que les mots de passe ont au moins une longueur donnée.

CISrecommande que la politique de mot de passe exige une longueur de mot de passe minimale de 14 caractères. La définition d'une stratégie de complexité des mots de passe accroît la résilience des comptes en cas de tentatives de connexion en force.

Correction

Pour modifier votre politique de mot de passe, consultez la section Définition d'une politique de mot de passe de compte pour IAM les utilisateurs dans le Guide de IAM l'utilisateur. Pour la longueur minimale du mot de passe, entrez 14 ou un nombre supérieur.

[IAM.16] Assurez-vous que la politique de IAM mot de passe empêche la réutilisation des mots de passe

Exigences associées : CIS AWS Foundations Benchmark v3.0.0/1.9, Foundations Benchmark v1.4.0/1.9, CIS AWS Foundations Benchmark v1.2.0/1.10 CIS AWS

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Faible

Type de ressource : AWS::::Account

Règle AWS Config : iam-password-policy

Type de calendrier : Périodique

Paramètres : Aucun

Ce contrôle vérifie si le nombre de mots de passe à mémoriser est défini sur 24. Le contrôle échoue si la valeur n'est pas 24.

IAMles politiques de mot de passe peuvent empêcher la réutilisation d'un mot de passe donné par le même utilisateur.

CISrecommande que la politique en matière de mots de passe empêche la réutilisation des mots de passe. Le fait d'empêcher la réutilisation des mots de passe accroît la résilience d'un compte en cas de tentatives de connexion en force.

Correction

Pour modifier votre politique de mot de passe, consultez la section Définition d'une politique de mot de passe de compte pour IAM les utilisateurs dans le Guide de IAM l'utilisateur. Pour Empêcher la réutilisation du mot de passe, entrez24.

[IAM.17] Assurez-vous que la politique IAM de mot de passe expire les mots de passe dans un délai de 90 jours ou moins

Exigences connexes : CIS AWS Foundations Benchmark v1.2.0/1.11

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Faible

Type de ressource : AWS::::Account

Règle AWS Config : iam-password-policy

Type de calendrier : Périodique

Paramètres : Aucun

IAMles politiques relatives aux mots de passe peuvent exiger que les mots de passe soient renouvelés ou qu'ils expirent après un certain nombre de jours.

CISrecommande que la politique en matière de mots de passe fasse expirer les mots de passe au bout de 90 jours ou moins. Le fait de réduire la durée de vie des mots de passe accroît la résilience d'un compte en cas de tentatives de connexion en force. Il s'avère également utile d'avoir à changer régulièrement de mot de passe dans les cas suivants :

Les mots de passe peuvent être volés ou compromis à votre insu. Cela peut se produire si un système est compromis, si un logiciel est vulnérable ou par le biais d'une menace interne.
Certains filtres web ou serveurs proxy d'entreprise et d'administrations peuvent intercepter et enregistrer le trafic, même s'il est chiffré.
De nombreuses personnes utilisent le même mot de passe pour plusieurs systèmes (ordinateurs au bureau et à domicile, messagerie électronique, etc.).
Un enregistreur de frappe peut être installé sur les postes de travail des utilisateurs finaux compromis.

Correction

Pour modifier votre politique de mot de passe, consultez la section Définition d'une politique de mot de passe de compte pour IAM les utilisateurs dans le Guide de IAM l'utilisateur. Pour Activer l'expiration du mot de passe, entrez 90 ou un nombre inférieur.

[IAM.18] Assurez-vous qu'un rôle de support a été créé pour gérer les incidents avec AWS Support

Exigences associées : CIS AWS Foundations Benchmark v3.0.0/1.17, Foundations Benchmark v1.4.0/1.17, CIS AWS Foundations Benchmark v1.2.0/1.20 CIS AWS

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Faible

Type de ressource : AWS::::Account

Règle AWS Config : iam-policy-in-use

Type de calendrier : Périodique

Paramètres :

policyARN: arn:partition:iam::aws:policy/AWSSupportAccess (non personnalisable)
policyUsageType: ANY (non personnalisable)

AWS fournit un centre de support qui peut être utilisé pour la notification et la réponse aux incidents, ainsi que pour le support technique et le service client.

Créez un IAM rôle pour permettre aux utilisateurs autorisés de gérer les incidents avec le AWS Support. En mettant en œuvre le moindre privilège pour le contrôle d'accès, un IAM rôle aura besoin d'une IAM politique appropriée pour autoriser l'accès au centre de support afin de gérer les incidents avec AWS Support.

Note

Correction

Pour remédier à ce problème, créez un rôle permettant aux utilisateurs autorisés de gérer les AWS Support incidents.

Pour créer le rôle à utiliser pour l' AWS Support accès

Ouvrez la IAM console à l'adresse https://console.aws.amazon.com/iam/.
Dans le volet IAM de navigation, choisissez Rôles, puis Create role.
Pour Type de rôle, choisissez Autre Compte AWS.
Dans le champ Compte AWS ID de compte, entrez l'identifiant Compte AWS auquel vous souhaitez accorder l'accès à vos ressources.

Si les utilisateurs ou les groupes qui assument ce rôle se trouvent dans le même compte, entrez le numéro de compte local.

Note
L'administrateur du compte spécifié peut accorder l'autorisation d'assumer ce rôle à n'importe quel utilisateur de ce compte. Pour ce faire, l'administrateur attache une politique à l'utilisateur ou à un groupe qui donne l'autorisation pour l'action sts:AssumeRole. Dans cette politique, la ressource doit être le rôleARN.
Sélectionnez Next: Permissions (Étape suivante : autorisations).
Recherchez la stratégie gérée AWSSupportAccess.
Activez la case à cocher de la stratégie AWSSupportAccess gérée.
Choisissez Suivant : Balises.
(Facultatif) Pour ajouter des métadonnées au rôle, associez des balises sous forme de paires clé-valeur.

Pour plus d'informations sur l'utilisation des balisesIAM, consultez la section Marquage des IAM utilisateurs et des rôles dans le Guide de l'IAMutilisateur.
Choisissez Suivant : vérification.
Dans le champ Role name (Nom de rôle), saisissez un nom pour votre rôle.

Les noms de rôles doivent être uniques au sein de votre Compte AWS. Elles ne sont pas sensibles à la casse.
(Facultatif) Dans le champ Description du rôle, saisissez la description du nouveau rôle.
Passez en revue les informations du rôle, puis choisissez Create role (Créer un rôle).

Afficher plus

Afficher moins

[IAM.19] MFA doit être activé pour tous les utilisateurs IAM

Exigences associées : PCI DSS v3.2.1/8.3.1, NIST.800-53.r5 AC-2 (1), (15), NIST.800-53.r5 AC-3 (1), NIST.800-53.r5 IA-2 (2), NIST.800-53.r5 IA-2 (6), NIST.800-53.r5 IA-2 (8) NIST.800-53.r5 IA-2

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Moyenne

Type de ressource : AWS::IAM::User

Règle AWS Config : iam-user-mfa-enabled

Type de calendrier : Périodique

Paramètres : Aucun

Ce contrôle vérifie si l'authentification multifactorielle (MFA) est activée pour les IAM utilisateurs.

Note

Correction

Pour en ajouter MFA pour IAM les utilisateurs, consultez la section Activation des MFA appareils pour les utilisateurs AWS dans le Guide de IAM l'utilisateur.

[IAM.20] Évitez d'utiliser l'utilisateur root

Important

Security Hub a retiré ce contrôle en avril 2024. Pour de plus amples informations, veuillez consulter Journal des modifications pour les contrôles du Security Hub.

Exigences associées : CIS AWS Foundations Benchmark v1.2.0/1.1

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Faible

Type de ressource : AWS::IAM::User

AWS Config règle : use-of-root-account-test (règle Security Hub personnalisée)

Type de calendrier : Périodique

Paramètres : Aucun

Ce contrôle vérifie si un utilisateur root Compte AWS est soumis à des restrictions d'utilisation. Le contrôle évalue les ressources suivantes :

Sujets relatifs à Amazon Simple Notification Service (AmazonSNS)
AWS CloudTrail sentiers
Filtres métriques associés aux CloudTrail sentiers
CloudWatch Alarmes Amazon basées sur les filtres

Cette vérification permet de FAILED déterminer si une ou plusieurs des affirmations suivantes sont vraies :

Aucune CloudTrail trace n'existe dans le compte.
Un suivi CloudTrail est activé, mais il n'est pas configuré avec au moins un suivi multirégional incluant des événements de gestion de lecture et d'écriture.
Un suivi CloudTrail est activé, mais il n'est pas associé à un groupe de CloudWatch journaux Logs.
Le filtre métrique exact prescrit par le Center for Internet Security (CIS) n'est pas utilisé. Le filtre métrique prescrit est'{$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}'.
Aucune CloudWatch alarme basée sur le filtre métrique n'existe dans le compte.
CloudWatch les alarmes configurées pour envoyer une notification au SNS sujet associé ne se déclenchent pas en fonction de la condition de l'alarme.
Le SNS sujet ne respecte pas les contraintes relatives à l'envoi d'un message à un SNS sujet.
Le SNS sujet n'a pas au moins un abonné.

Cette vérification donne lieu à un statut de contrôle indiquant NO_DATA si une ou plusieurs des affirmations suivantes sont vraies :

Un sentier multirégional est basé dans une région différente. Security Hub ne peut générer des résultats que dans la région où le sentier est basé.
Un sentier multirégional appartient à un compte différent. Security Hub peut uniquement générer des résultats pour le compte propriétaire de la piste.

Cette vérification donne lieu à un statut de contrôle indiquant WARNING si une ou plusieurs des affirmations suivantes sont vraies :

Le compte courant ne possède pas le SNS sujet référencé dans l' CloudWatch alarme.
Le compte courant n'a pas accès au SNS sujet lorsqu'il invoque le ListSubscriptionsByTopic SNSAPI.

Note

Nous vous recommandons d'utiliser les traces d'organisation pour enregistrer les événements provenant de nombreux comptes d'une organisation. Les parcours d'organisation sont des sentiers multirégionaux par défaut et ne peuvent être gérés que par le compte AWS Organizations de gestion ou le compte d'administrateur CloudTrail délégué. L'utilisation d'un suivi de l'organisation aboutit à un statut de contrôle NO_ DATA pour les contrôles évalués dans les comptes des membres de l'organisation. Dans les comptes membres, Security Hub génère uniquement des résultats pour les ressources appartenant aux membres. Les résultats relatifs aux parcours de l'organisation sont générés dans le compte du propriétaire de la ressource. Vous pouvez consulter ces résultats dans votre compte d'administrateur délégué Security Hub en utilisant l'agrégation entre régions.

Il est recommandé d'utiliser les informations d'identification de votre utilisateur root uniquement lorsque cela est nécessaire pour effectuer des tâches de gestion des comptes et des services. Appliquez IAM les politiques directement aux groupes et aux rôles, mais pas aux utilisateurs. Pour obtenir des instructions sur la configuration d'un administrateur pour une utilisation quotidienne, consultez la section Création de votre premier utilisateur et de votre premier groupe d'IAMadministrateurs dans le guide de IAM l'utilisateur.

Correction

Les étapes pour résoudre ce problème incluent la configuration d'une SNS rubrique Amazon, d'un journal CloudTrail, d'un filtre métrique et d'une alarme pour le filtre métrique.

Pour créer un SNS sujet Amazon

Ouvrez la SNS console Amazon sur https://console.aws.amazon.com/sns/v3/home.
Créez une SNS rubrique Amazon qui reçoit toutes les CIS alarmes.

Créez au moins un abonné à la rubrique. Pour plus d'informations, consultez Getting started with Amazon SNS dans le guide du développeur Amazon Simple Notification Service.

Ensuite, configurez une option active CloudTrail qui s'applique à toutes les régions. Pour cela, suivez les étapes de correction dans [CloudTrail.1] CloudTrail doit être activé et configuré avec au moins un journal multirégional incluant des événements de gestion de lecture et d'écriture.

Notez le nom du groupe de CloudWatch journaux Logs que vous associez au CloudTrail parcours. Vous créez le filtre métrique pour ce groupe de journaux.

Enfin, créez le filtre métrique et l'alarme.

Pour créer un filtre de métrique et une alarme

Ouvrez la CloudWatch console à l'adresse https://console.aws.amazon.com/cloudwatch/.
Dans le panneau de navigation, choisissez Groupes de journaux.
Cochez la case correspondant au groupe de CloudWatch journaux Logs associé au journal CloudTrail que vous avez créé.
Dans Actions, choisissez Create Metric Filter.
Sous Définir le modèle, procédez comme suit :
1. Copiez le modèle suivant, puis collez-le dans le champ Modèle de filtre.
```
{$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}
```
2. Choisissez Suivant.
Sous Affecter une métrique, procédez comme suit :
1. Dans Nom du filtre, entrez le nom de votre filtre métrique.
2. Pour Metric Namespace, entrezLogMetrics.
  
  Si vous utilisez le même espace de noms pour tous vos filtres de métriques de CIS log, toutes les métriques CIS Benchmark sont regroupées.
3. Dans Nom de la métrique, entrez le nom de la métrique. N'oubliez pas le nom de la métrique. Vous devrez sélectionner la métrique lorsque vous créerez l'alarme.
4. Pour Valeur de la métrique, saisissez 1.
5. Choisissez Suivant.
Sous Vérifier et créer, vérifiez les informations que vous avez fournies pour le nouveau filtre métrique. Choisissez ensuite Créer un filtre métrique.
Dans le volet de navigation, choisissez Log groups, puis choisissez le filtre que vous avez créé sous Filtres métriques.
Cochez la case correspondant au filtre. Sélectionnez Créer une alerte.
Sous Spécifier la métrique et les conditions, procédez comme suit :
1. Sous Conditions, dans le champ Seuil, sélectionnez Static.
2. Pour Définir la condition de l'alarme, choisissez Greater/Equal.
3. Pour Définir la valeur de seuil, entrez1.
4. Choisissez Suivant.
Sous Configurer les actions, procédez comme suit :
1. Sous Déclencheur d'état d'alarme, choisissez En alarme.
2. Sous Sélectionner un SNS sujet, choisissez Sélectionner un SNS sujet existant.
3. Pour Envoyer une notification à, entrez le nom du SNS sujet que vous avez créé lors de la procédure précédente.
4. Choisissez Suivant.
Sous Ajouter un nom et une description, entrez un nom et une description pour l'alarme, tels queCIS-1.1-RootAccountUsage. Ensuite, sélectionnez Suivant.
Sous Aperçu et création, passez en revue la configuration de l'alarme. Ensuite, choisissez Créer une alarme.

Afficher plus

Afficher moins

[IAM.21] les politiques gérées par le IAM client que vous créez ne doivent pas autoriser les actions génériques pour les services

Exigences associées : NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2 (1) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6 (10), NIST.800-53.r5 AC-6 (2), NIST.800-53.r5 AC-6 (3)

Catégorie : Détecter > Gestion des accès sécurisés

Gravité : Faible

Type de ressource : AWS::IAM::Policy

Règle AWS Config : iam-policy-no-statements-with-full-access

Type de calendrier : changement déclenché

Paramètres :

excludePermissionBoundaryPolicy: True (non personnalisable)

Ce contrôle vérifie si les politiques IAM basées sur l'identité que vous créez comportent des instructions Allow qui utilisent le caractère générique* pour accorder des autorisations pour toutes les actions sur n'importe quel service. Le contrôle échoue si une déclaration de politique inclut la mention « "Effect": "Allow" with "Action": "Service:*" ».

Par exemple, l'instruction suivante dans une politique entraîne un échec de recherche.


"Statement": [
{
  "Sid": "EC2-Wildcard",
  "Effect": "Allow",
  "Action": "ec2:*",
  "Resource": "*"
}

Le contrôle échoue également si vous utilisez "Effect": "Allow" avec"NotAction": "service:*". Dans ce cas, l'NotActionélément donne accès à toutes les actions d'un AWS service, à l'exception des actions spécifiées dansNotAction.

Ce contrôle s'applique uniquement aux IAM politiques gérées par le client. Elle ne s'applique pas aux IAM politiques gérées par AWS.

Lorsque vous attribuez des autorisations à AWS services, il est important de définir les IAM actions autorisées dans vos IAM politiques. Vous devez limiter IAM les actions aux seules actions nécessaires. Cela vous permet d'octroyer des autorisations avec le moindre privilège. Des politiques trop permissives peuvent entraîner une augmentation des privilèges si elles sont associées à un IAM principal qui n'a peut-être pas besoin d'autorisation.

Dans certains cas, vous souhaiterez peut-être autoriser IAM les actions ayant un préfixe similaire, tel que DescribeFlowLogs etDescribeAvailabilityZones. Dans ces cas autorisés, vous pouvez ajouter un caractère générique suffixé au préfixe commun. Par exemple, ec2:Describe*.

Ce contrôle passe si vous utilisez une IAM action préfixée avec un caractère générique suffixé. Par exemple, l'instruction suivante figurant dans une politique aboutit à un résultat positif.


"Statement": [
{
  "Sid": "EC2-Wildcard",
  "Effect": "Allow",
  "Action": "ec2:Describe*",
  "Resource": "*"
}

Lorsque vous regroupez IAM les actions associées de cette manière, vous pouvez également éviter de dépasser les limites de taille IAM de la politique.

Note

Correction

Pour remédier à ce problème, mettez à jour vos IAM politiques afin qu'elles n'autorisent pas les privilèges administratifs « * » complets. Pour plus de détails sur la façon de modifier une IAM politique, consultez la section Modification IAM des politiques dans le Guide de IAM l'utilisateur.

[IAM.22] Les informations IAM d'identification utilisateur non utilisées pendant 45 jours doivent être supprimées

Exigences connexes : CIS AWS Foundations Benchmark v3.0.0/1.12, Foundations Benchmark v1.4.0/1.12 CIS AWS

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Moyenne

Type de ressource : AWS::IAM::User

AWS Config règle : iam-user-unused-credentials-check

Type de calendrier : Périodique

Paramètres : Aucun

Ce contrôle vérifie si vos IAM utilisateurs ont des mots de passe ou des clés d'accès actives qui n'ont pas été utilisés depuis 45 jours ou plus. Pour ce faire, il vérifie si le maxCredentialUsageAge paramètre de la AWS Config règle est égal ou supérieur à 45.

Les utilisateurs peuvent accéder aux AWS ressources à l'aide de différents types d'informations d'identification, tels que des mots de passe ou des clés d'accès.

CISrecommande de supprimer ou de désactiver toutes les informations d'identification non utilisées depuis 45 jours ou plus. La désactivation ou la suppression des informations d'identification inutiles permet d'éviter que des informations d'identification associées à un compte compromis ou abandonné ne soient utilisées.

La AWS Config règle de ce contrôle utilise les GenerateCredentialReportAPIopérations GetCredentialReportet, qui ne sont mises à jour que toutes les quatre heures. Les modifications apportées aux IAM utilisateurs peuvent prendre jusqu'à quatre heures pour être visibles par cette commande.

Note

AWS Config doit être activé dans toutes les régions dans lesquelles vous utilisez Security Hub. Cependant, vous pouvez activer l'enregistrement des ressources mondiales dans une seule région. Si vous enregistrez uniquement des ressources globales dans une seule région, vous pouvez désactiver ce contrôle dans toutes les régions, à l'exception de la région dans laquelle vous enregistrez des ressources globales.

Correction

Lorsque vous consultez les informations utilisateur dans la IAM console, des colonnes indiquent l'âge de la clé d'accès, l'âge du mot de passe et la dernière activité. Si la valeur de l'une de ces colonnes est supérieure à 45 jours, désactivez les informations d'identification de ces utilisateurs.

Vous pouvez également utiliser les rapports d'identification pour surveiller les utilisateurs et identifier ceux qui sont restés inactifs pendant 45 jours ou plus. Vous pouvez télécharger les rapports d'identification au .csv format depuis la IAM console.

[IAM.23] Les analyseurs IAM Access Analyzer doivent être étiquetés

Catégorie : Identifier > Inventaire > Étiquetage

Gravité : Faible

Type de ressource : AWS::AccessAnalyzer::Analyzer

AWS Config règle : tagged-accessanalyzer-analyzer (règle Security Hub personnalisée)

Type de calendrier : changement déclenché

Paramètres :

Paramètre	Description	Type	Valeurs personnalisées autorisées	Valeur par défaut de Security Hub
`requiredTagKeys`	Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse.	StringList	Liste des tags répondant aux AWS exigences	`No default value`

Ce contrôle vérifie si un analyseur géré par AWS Identity and Access Management Access Analyzer (IAMAccess Analyzer) possède des balises avec les clés spécifiques définies dans le paramètre. requiredTagKeys Le contrôle échoue si l'analyseur ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètrerequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si l'analyseur n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.

Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises à IAM des entités (utilisateurs ou rôles) et à AWS des ressources. Vous pouvez créer une ABAC politique unique ou un ensemble de politiques distinct pour vos IAM mandants. Vous pouvez concevoir ces ABAC politiques pour autoriser les opérations lorsque le tag du principal correspond au tag de ressource. Pour plus d'informations, voir À quoi ça ABAC sert AWS ? dans le guide de IAM l'utilisateur.

Note

N'ajoutez pas d'informations personnellement identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes AWS services, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de vos AWS ressources dans le. Références générales AWS

Correction

Pour ajouter des balises à un analyseur, reportez-vous TagResourceà la section AWS IAMAccess Analyzer Reference API.

[IAM.24] IAM les rôles doivent être balisés

Catégorie : Identifier > Inventaire > Étiquetage

Gravité : Faible

Type de ressource : AWS::IAM::Role

AWS Config règle : tagged-iam-role (règle Security Hub personnalisée)

Type de calendrier : changement déclenché

Paramètres :

Paramètre	Description	Type	Valeurs personnalisées autorisées	Valeur par défaut de Security Hub
`requiredTagKeys`	Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse.	StringList	Liste des tags répondant aux AWS exigences	`No default value`

Ce contrôle vérifie si un rôle AWS Identity and Access Management (IAM) possède des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys. Le contrôle échoue si le rôle ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètrerequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le rôle n'est associé à aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.

Note

Correction

Pour ajouter des balises à un IAM rôle, consultez la section IAMRessources relatives au balisage dans le Guide de l'IAMutilisateur.

[IAM.25] IAM les utilisateurs doivent être tagués

Catégorie : Identifier > Inventaire > Étiquetage

Gravité : Faible

Type de ressource : AWS::IAM::User

AWS Config règle : tagged-iam-user (règle Security Hub personnalisée)

Type de calendrier : changement déclenché

Paramètres :

Paramètre	Description	Type	Valeurs personnalisées autorisées	Valeur par défaut de Security Hub
`requiredTagKeys`	Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse.	StringList	Liste des tags répondant aux AWS exigences	`No default value`

Ce contrôle vérifie si un utilisateur AWS Identity and Access Management (IAM) possède des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys. Le contrôle échoue si l'utilisateur ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètrerequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si l'utilisateur n'est étiqueté avec aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.

Note

Correction

Pour ajouter des balises à un IAM utilisateur, consultez la section IAMRessources relatives au balisage dans le Guide de l'IAMutilisateur.

[IAM.26] SSL Expirés/ TLS les certificats gérés dans IAM devraient être supprimés

Exigences connexes : CIS AWS Foundations Benchmark v3.0.0/1.19

Catégorie : Identifier > Conformité

Gravité : Moyenne

Type de ressource : AWS::IAM::ServerCertificate

AWS Config règle : iam-server-certificate-expiration-check

Type de calendrier : Périodique

Paramètres : Aucun

Cela permet de vérifier si un certificat SSL TLS actif/serveur géré dans IAM a expiré. Le contrôle échoue si le certificatSSL/TLSserver expiré n'est pas supprimé.

Pour activer HTTPS les connexions à votre site Web ou à votre application dans AWS, vous avez besoin d'un certificatSSL/TLSserver. Vous pouvez utiliser IAM ou AWS Certificate Manager (ACM) pour stocker et déployer des certificats de serveur. À utiliser IAM en tant que gestionnaire de certificats uniquement lorsque vous devez prendre en charge HTTPS les connexions dans un pays Région AWS qui n'est pas pris en charge parACM. IAMchiffre en toute sécurité vos clés privées et stocke la version cryptée dans le stockage de IAM SSL certificats. IAMprend en charge le déploiement de certificats de serveur dans toutes les régions, mais vous devez obtenir votre certificat auprès d'un fournisseur externe pour pouvoir l'utiliser avec AWS. Vous ne pouvez pas télécharger de ACM certificat versIAM. En outre, vous ne pouvez pas gérer vos certificats depuis la IAM console. La suppression TLS des certificats SSL expirés/ élimine le risque qu'un certificat non valide soit accidentellement déployé sur une ressource, ce qui peut nuire à la crédibilité de l'application ou du site Web sous-jacent.

Correction

Pour supprimer un certificat de serveurIAM, consultez la section Gestion des certificats de serveur IAM dans le Guide de IAM l'utilisateur.

[IAM.27] la AWSCloudShellFullAccess politique ne doit pas être attachée aux IAM identités

Exigences connexes : CIS AWS Foundations Benchmark v3.0.0/1.22

Catégorie : Protéger > Gestion des accès sécurisés > IAM Politiques de sécurité

Gravité : Moyenne

Type de ressource :AWS::IAM::Role,AWS::IAM::User, AWS::IAM::Group

AWS Config règle : iam-policy-blacklisted-check

Type de calendrier : changement déclenché

Paramètres :

« : policyArns « arn:aws:iam : :aws:policy/, arn:aws-cn:iam : :aws:policy/AWSCloudShellFullAccess, arn ::iam : :aws:policy/ » AWSCloudShellFullAccess aws-us-gov AWSCloudShellFullAccess

Ce contrôle vérifie si la politique AWS gérée est AWSCloudShellFullAccess attachée à une IAM identité (utilisateur, rôle ou groupe). Le contrôle échoue si la AWSCloudShellFullAccess politique est attachée à une IAM identité.

AWS CloudShell fournit un moyen pratique d'exécuter CLI des commandes contre AWS services. La politique AWS gérée AWSCloudShellFullAccess fournit un accès complet à CloudShell, ce qui permet de charger et de télécharger des fichiers entre le système local de l'utilisateur et l' CloudShell environnement. Dans l' CloudShell environnement, un utilisateur dispose d'autorisations sudo et peut accéder à Internet. Par conséquent, l'association de cette politique gérée à une IAM identité leur permet d'installer un logiciel de transfert de fichiers et de transférer des données CloudShell vers des serveurs Internet externes. Nous vous recommandons de suivre le principe du moindre privilège et d'attribuer des autorisations plus restreintes à votre IAM identité.

Correction

Pour dissocier la AWSCloudShellFullAccess politique d'une IAM identité, consultez la section Ajouter et supprimer des autorisations IAM d'identité dans le Guide de l'IAMutilisateur.

[IAM.28] IAM L'analyseur d'accès externe Access Analyzer doit être activé

Exigences connexes : CIS AWS Foundations Benchmark v3.0.0/1.20

Catégorie : Détecter > Services de détection > Surveillance des utilisations privilégiées

Gravité : Élevée

Type de ressource : AWS::AccessAnalyzer::Analyzer

AWS Config règle : iam-external-access-analyzer-enabled

Type de calendrier : Périodique

Paramètres : Aucun

Ce contrôle vérifie si un analyseur Compte AWS d'IAMaccès externe Access Analyzer est activé. Le contrôle échoue si aucun analyseur d'accès externe n'est activé sur le compte actuellement sélectionné Région AWS.

IAMLes analyseurs d'accès externes Access Analyzer aident à identifier les ressources de votre organisation et les comptes, tels que les compartiments ou les IAM rôles Amazon Simple Storage Service (Amazon S3), qui sont partagés avec une entité externe. Cela vous permet d'éviter tout accès involontaire à vos ressources et à vos données. IAMAccess Analyzer est régional et doit être activé dans chaque région. Pour identifier les ressources partagées avec des principaux externes, un analyseur d'accès utilise un raisonnement basé sur la logique pour analyser les politiques basées sur les ressources dans votre environnement. AWS Lorsque vous activez un analyseur d'accès externe, vous créez un analyseur pour l'ensemble de votre organisation ou de votre compte.

Correction

Pour activer un analyseur d'accès externe dans une région spécifique, consultez la section Activation de l'analyseur IAM d'accès dans le guide de l'IAMutilisateur. Vous devez activer un analyseur dans chaque région dans laquelle vous souhaitez contrôler l'accès à vos ressources.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

GuardDuty Contrôles Amazon

Contrôles Amazon Inspector