SEC02-BP05 Contrôler et effectuer régulièrement une rotation des informations d'identification

Lorsque l'utilisation d'informations d'identification temporaires est impossible et que vous avez besoin d'informations d'identification à long terme, vérifiez les informations d'identification pour vous assurer que les contrôles définis, tels que l'authentification multifacteur (MFA) sont appliqués, changés régulièrement et disposent du niveau d'accès approprié. La validation régulière, de préférence via un outil automatisé, est nécessaire pour vérifier que les contrôles corrects sont appliqués. Pour les identités humaines, vous devez obliger les utilisateurs à modifier leurs mots de passe régulièrement et à abandonner les clés d'accès au profit d'informations d'identification temporaires. Lorsque vous passez d'utilisateurs AWS Identity and Access Management (IAM) à des identités centralisées, vous pouvez générer un rapport d'informations d'identification pour auditer vos utilisateurs IAM. Nous vous recommandons également d'appliquer les paramètres MFA dans votre fournisseur d'identité. Vous pouvez configurer des règles AWS Config Rules pour surveiller ces paramètres. Pour les identités machine, vous devez vous appuyer sur des informations d'identification temporaires à l'aide des rôles IAM. Pour les situations où cela n'est pas possible, un audit fréquent et une rotation des clés d'accès sont nécessaires.

Niveau de risque exposé si cette bonne pratique n'est pas respectée : Moyenne entreprise

Directives d'implémentation

Contrôler régulièrement les informations d'identification : utilisez les rapports sur les informations d'identification et Identify and Access Management (IAM) Access Analyzer pour contrôler les informations d'identification et les autorisations IAM.
Utiliser les niveaux d'accès pour examiner les autorisations IAM : pour améliorer la sécurité de votre Compte AWS, examinez et surveillez régulièrement chacune de vos politiques IAM. Veillez à ce que vos stratégies accordent le moins de privilèges possible pour n'effectuer que les actions nécessaires.
- Utiliser des niveaux d'accès pour vérifier les autorisations IAM

Envisager d'automatiser la création et les mises à jour des ressources IAM : AWS CloudFormation peut être utilisé pour automatiser le déploiement des ressources IAM, y compris les rôles et les politiques, afin de réduire les erreurs humaines, car les modèles peuvent être vérifiés et contrôlés par leur version.
- Atelier : Déploiement automatisé des groupes et rôles IAM

Ressources

Documents connexes :

Vidéos connexes :

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

SEC02-BP04 S'appuyer sur un fournisseur d'identité centralisé

SEC02-BP06 Tirer parti des groupes d'utilisateurs et des attributs