Bonnes pratiques SNS de sécurité d'Amazon - Amazon Simple Notification Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Bonnes pratiques SNS de sécurité d'Amazon

AWS fournit de nombreuses fonctionnalités de sécurité pour AmazonSNS. Déterminez en quoi ces fonctionnalités de sécurité peuvent être utiles dans le contexte de votre propre stratégie de sécurité.

Note

Les instructions relatives à ces fonctionnalités de sécurité s'appliquent aux cas d'utilisation et aux implémentations courants. Nous vous suggérons de consulter ces bonnes pratiques dans le contexte de votre cas d'utilisation, de votre architecture et de votre modèle spécifique de lutte contre les menaces.

Bonnes pratiques en matière de prévention

Vous trouverez ci-dessous les meilleures pratiques de sécurité préventive pour AmazonSNS.

Vérification que les rubriques ne sont pas accessibles publiquement

À moins que vous ne demandiez explicitement à quiconque sur Internet de lire ou d'écrire sur votre SNS sujet Amazon, vous devez vous assurer que votre sujet n'est pas accessible au public (accessible par tout le monde dans le monde ou par tout AWS utilisateur authentifié).

  • Évitez de créer des stratégies avec Principal défini sur "".

  • Évitez d'utiliser un caractère générique (*). Nommez plutôt un ou plusieurs utilisateurs spécifiques.

Implémentation d'un accès sur la base du moindre privilège

Lorsque vous accordez des autorisations, vous décidez qui les reçoit, les sujets auxquels elles sont destinées et API les actions spécifiques que vous souhaitez autoriser pour ces sujets. La mise en œuvre du principe du moindre privilège est cruciale pour réduire les risques en matière de sécurité. Elle contribue également à réduire l'effet négatif des erreurs ou des intentions malveillantes.

Suivez les conseils de sécurité standard pour accorder le moindre privilège. Autrement dit, accordez uniquement les autorisations requises pour effectuer une tâche spécifique. Vous pouvez implémenter le moindre privilège en utilisant une combinaison de stratégies de sécurité relatives à l'accès des utilisateurs.

Amazon SNS utilise le modèle éditeur-abonné, qui nécessite trois types d'accès au compte utilisateur :

  • Administrateurs - Accès à la création, à la modification et à la suppression de rubriques. Les administrateurs contrôlent également les stratégies de rubrique.

  • Éditeurs – Accès à l'envoi de messages à des rubriques.

  • Abonnés – Accès à l'abonnement à des rubriques.

Pour plus d'informations, consultez les sections suivantes :

Utiliser IAM des rôles pour les applications et AWS les services qui nécessitent un SNS accès Amazon

Pour que les applications ou les AWS services, tels qu'AmazonEC2, puissent accéder aux SNS rubriques Amazon, ils doivent utiliser des AWS informations d'identification valides dans leurs AWS API demandes. Ces informations d'identification ne faisant pas l'objet d'une rotation automatique, vous ne devez pas les stocker AWS directement dans l'application ou l'EC2instance.

Vous devez utiliser un IAM rôle pour gérer les informations d'identification temporaires pour les applications ou les services qui doivent accéder à AmazonSNS. Lorsque vous utilisez un rôle, vous n'avez pas besoin de distribuer des informations d'identification à long terme (telles qu'un nom d'utilisateur, un mot de passe et des clés d'accès) à une EC2 instance ou à un AWS service, tel que AWS Lambda. Le rôle fournit plutôt des autorisations temporaires que les applications peuvent utiliser lorsqu'elles appellent d'autres AWS ressources.

Pour plus d'informations, consultez la section IAMRôles et scénarios courants pour les rôles : utilisateurs, applications et services dans le guide de IAM l'utilisateur.

Mise en œuvre du chiffrement côté serveur

Pour atténuer les problèmes de fuite de données, utilisez le chiffrement au repos pour chiffrer vos messages à l'aide d'une clé stockée dans un emplacement différent de celui où les messages sont stockés. Le chiffrement côté serveur (SSE) assure le chiffrement des données au repos. Amazon SNS chiffre vos données au niveau des messages lorsqu'il les stocke, et les déchiffre pour vous lorsque vous y accédez. SSEutilise les clés gérées dans AWS Key Management Service. Tant que vous authentifiez votre demande et que vous avez des autorisations d'accès, il n'y a aucune différence entre l'accès aux rubriques chiffrées et aux rubriques déchiffrées.

Pour plus d’informations, consultez Sécurisation SNS des données Amazon grâce au chiffrement côté serveur et Gestion des clés SNS de chiffrement et des coûts Amazon.

Application du chiffrement des données en transit

Il est possible, mais déconseillé, de publier des messages qui ne sont pas chiffrés pendant le transit en utilisantHTTP. Toutefois, lorsqu'un sujet est chiffré au repos AWS KMS, il est nécessaire de l'utiliser HTTPS pour publier des messages afin de garantir le chiffrement à la fois au repos et en transit. Bien que le sujet ne rejette pas automatiquement HTTP les messages, son utilisation HTTPS est nécessaire pour maintenir les normes de sécurité.

AWS vous recommande d'utiliser à la HTTPS place deHTTP. Lorsque vous l'utilisezHTTPS, les messages sont automatiquement chiffrés pendant le transfert, même si le SNS sujet lui-même n'est pas crypté. Sans celaHTTPS, un attaquant basé sur le réseau peut espionner le trafic réseau ou le manipuler à l'aide d'une attaque telle que. man-in-the-middle

Pour appliquer uniquement les connexions chiffréesHTTPS, ajoutez la aws:SecureTransportcondition dans la IAM politique qui est attachée aux SNS sujets non chiffrés. Cela oblige les éditeurs de messages à utiliser HTTPS au lieu deHTTP. Vous pouvez utiliser l'exemple de politique suivant à titre de guide :

{ "Id": "ExamplePolicy", "Version": "2012-10-17", "Statement": [ { "Sid": "AllowPublishThroughSSLOnly", "Action": "SNS:Publish", "Effect": "Deny", "Resource": [ "arn:aws:sns:us-east-1:1234567890:test-topic" ], "Condition": { "Bool": { "aws:SecureTransport": "false" } }, "Principal": "*" } ] }

Envisagez d'utiliser des VPC points de terminaison pour accéder à Amazon SNS

Si vous devez être en mesure d'interagir avec des sujets, mais que ces sujets ne doivent absolument pas être exposés à Internet, utilisez des VPC points de terminaison pour limiter l'accès aux sujets uniquement aux hôtes d'un sujet en particulierVPC. Vous pouvez utiliser les politiques relatives aux rubriques pour contrôler l'accès aux rubriques depuis des points de VPC terminaison Amazon spécifiques ou depuis des points spécifiquesVPCs.

SNSVPCLes points de terminaison Amazon proposent deux méthodes pour contrôler l'accès à vos messages :

  • Vous pouvez contrôler les demandes, les utilisateurs ou les groupes autorisés via un point de VPC terminaison spécifique.

  • Vous pouvez contrôler quels VPCs VPC points de terminaison ont accès à votre sujet à l'aide d'une politique de sujet.

Pour plus d’informations, consultez Création du point de terminaison et Création d'une politique relative aux VPC terminaux Amazon pour Amazon SNS.

Assurez-vous que les abonnements ne sont pas configurés pour être livrés aux points de terminaison http bruts

Évitez de configurer les abonnements pour effectuer une livraison à des points de terminaison http bruts. Ayez toujours des abonnements livrés au nom de domaine d’un de point de terminaison. Par exemple, un abonnement configuré pour effectuer une livraison à un point de terminaison, http://1.2.3.4/my-path, doit être remplacé par http://my.domain.name/my-path.