SEC02-BP04 S'appuyer sur un fournisseur d'identité centralisé
Pour les identités humaines, appuyez-vous sur un fournisseur d'identité vous permettant de gérer les identités dans un emplacement centralisé. Cela facilite la gestion de l'accès entre plusieurs applications et services, car vous créez, gérez et révoquez l'accès depuis un seul emplacement. Par exemple, si quelqu'un quitte votre organisation, vous pouvez révoquer l'accès à toutes les applications et services (y compris AWS) depuis un seul emplacement. Cela réduit le nombre d'informations d'identification nécessaires et permet l'intégration aux processus de ressources humaines (RH) existants.
Pour la fédération avec des comptes AWS individuels, vous pouvez utiliser des identités centralisées pour AWS ayant un fournisseur SAML 2.0 avec AWS Identity and Access Management. Vous pouvez utiliser n'importe quel fournisseur, qu'il soit hébergé par vous sur AWS, externe à AWS ou fourni par le réseau de partenaires AWS Partner, compatible avec le protocole SAML 2.0 . Vous pouvez utiliser la fédération entre votre compte AWS et le fournisseur choisi pour accorder à un utilisateur ou à une application l'accès pour appeler les opérations d'API AWS à l'aide d'une assertion SAML afin d'obtenir des informations d'identification de sécurité temporaires. L'authentification unique basée sur le web est également prise en charge, ce qui permet aux utilisateurs de se connecter à AWS Management Console à partir de votre site web de connexion.
Pour la fédération sur plusieurs comptes de votre AWS Organizations, vous pouvez configurer votre source d'identité dans AWS IAM Identity Center (IAM Identity Center)
IAM Identity Center s'intègre à AWS Organizations, ce qui vous permet de configurer votre fournisseur d'identité une fois, puis d'accorder l'accès aux comptes existants et aux nouveaux comptes gérés dans votre organisation. IAM Identity Center vous fournit un stockage par défaut, que vous pouvez utiliser pour gérer vos utilisateurs et groupes. Si vous choisissez d'utiliser le stockage IAM Identity Center, créez vos utilisateurs et groupes et attribuez leur niveau d'accès à vos comptes et applications AWS, en gardant à l'esprit la bonne pratique du moindre privilège. Sinon, vous pouvez choisir de vous connecter à votre fournisseur d'identité externe à l'aide de SAML 2.0 ou de vous connecter à votre annuaire Microsoft AD à l'aide d’AWS Directory Service. Une fois configuré, vous pouvez vous connecter à AWS Management Console ou à l'application mobile AWS en vous authentifiant via votre fournisseur d'identité central.
Pour gérer les utilisateurs finaux ou les consommateurs de vos charges de travail, comme une application mobile, vous pouvez utiliser
Amazon Cognito
Niveau de risque exposé si cette bonne pratique n'est pas respectée : Débit
Directives d'implémentation
-
Centraliser l'accès administratif : créez une entité de fournisseur d'identité de gestion des identités et des accès (IAM) pour établir une relation de confiance entre votre Compte AWS et votre fournisseur d'identité (IdP). IAM prend en charge les IdP compatibles avec OpenID Connect (OIDC) ou SAML 2.0 (Security Assertion Markup Language 2.0).
-
Centraliser l'accès aux applications : envisagez Amazon Cognito pour centraliser l'accès aux applications. Cognito vous permet d'ajouter rapidement et facilement une inscription et une connexion utilisateur ainsi qu'un contrôle d'accès à vos applications Web et mobiles. Amazon Cognito
s'adapte à des millions d'utilisateurs et prend en charge la connexion avec les fournisseurs d'identité sociale comme Facebook, Google et Amazon, ainsi qu'avec les fournisseurs d'identité entreprise via SAML 2.0.
-
Supprimez les utilisateurs et les groupes IAM obsolètes : une fois que vous commencez à utiliser un fournisseur d'identité (IdP), supprimez les utilisateurs et groupes IAM qui ne sont plus nécessaires.
Ressources
Documents connexes :
Vidéos connexes :
