SEC02-BP02 Utiliser des informations d'identification temporaires

Lors de tout type d’authentification, il est préférable d’utiliser des informations d’identification temporaires plutôt que des informations d’identification à long terme afin de réduire ou d’éliminer les risques, tels que la divulgation, le partage ou le vol des informations d’identification par inadvertance.

Résultat souhaité : pour réduire le risque d’informations d’identification à long terme, utilisez des informations d’identification temporaires dans la mesure du possible pour les identités humaines et les identités machine. Les informations d'identification à long terme présentent de nombreux risques, par exemple, elles peuvent être téléchargées sous forme de code vers GitHub des référentiels publics. En utilisant des informations d’identification temporaires, vous réduisez considérablement les risques de compromission de ces informations d’identification.

Anti-modèles courants :

Les développeurs utilisent des clés d'accès à long terme fournies par IAM les utilisateurs plutôt que d'obtenir des informations d'identification temporaires auprès de la fédération CLI utilisatrice.
Les développeurs intègrent des clés d’accès à long terme dans leur code et téléchargent ce code dans des référentiels Git publics.
Les développeurs intègrent des clés d’accès à long terme dans les applications mobiles qui sont ensuite disponibles dans les boutiques d’applications.
Les utilisateurs partagent des clés d’accès à long terme avec d’autres utilisateurs ou des employés quittent l’entreprise avec des clés d’accès à long terme toujours en leur possession.
Utilisation des clés d’accès à long terme pour les identités machine lorsque des informations d’identification temporaires peuvent être utilisées.

Niveau d’exposition au risque si cette bonne pratique n’est pas respectée : élevé

Directives d’implémentation

Utilisez des informations d'identification de sécurité temporaires plutôt que des informations d'identification à long terme pour toutes AWS API les CLI demandes. APIet les CLI demandes adressées aux AWS services doivent, dans presque tous les cas, être signées AWS à l'aide de clés d'accès. Ces demandes peuvent être signées avec des informations d’identification temporaires ou à long terme. Vous ne devez utiliser des informations d'identification à long terme, également appelées clés d'accès à long terme, que si vous utilisez un IAMutilisateur ou un utilisateur Compte AWS root. Lorsque vous vous fédérez AWS ou que vous assumez un IAMrôle par le biais d'autres méthodes, des informations d'identification temporaires sont générées. Même lorsque vous accédez à l' AWS Management Console aide d'informations d'identification de connexion, des informations d'identification temporaires sont générées pour vous permettre de passer des appels aux AWS services. Vous avez rarement besoin d’informations d’identification à long terme et vous pouvez accomplir presque toutes les tâches en utilisant des informations d’identification temporaires.

Éviter d'utiliser des informations d'identification à long terme au profit d'informations d'identification temporaires devrait aller de pair avec une stratégie visant à réduire l'utilisation des IAM utilisateurs au profit de la fédération et IAM des rôles. Bien que IAM les utilisateurs aient été utilisés à la fois pour identifier des personnes et des machines par le passé, nous recommandons désormais de ne pas les utiliser pour éviter les risques liés à l'utilisation de clés d'accès à long terme.

Étapes d’implémentation

Pour les identités humaines comme les employés, les administrateurs, les développeurs, les opérateurs et les clients :

Vous devez vous fier à un fournisseur d'identité centralisé et demander aux utilisateurs humains d'utiliser la fédération avec un fournisseur d'identité pour accéder à AWS l'aide d'informations d'identification temporaires. La fédération de vos utilisateurs peut se faire soit par une fédération directe à chaque Compte AWS, soit en utilisant AWS IAM Identity Center et le fournisseur d’identité de votre choix. La fédération offre un certain nombre d'avantages par rapport à l'utilisation d'IAMutilisateurs, en plus d'éliminer les informations d'identification à long terme. Vos utilisateurs peuvent également demander des informations d'identification temporaires depuis la ligne de commande pour une fédération directe ou en utilisant IAMIdentity Center. Cela signifie qu'il existe peu de cas d'utilisation nécessitant des IAM utilisateurs ou des informations d'identification à long terme pour vos utilisateurs.
Lorsque vous accordez à des tiers, tels que des fournisseurs de logiciels en tant que service (SaaS), l'accès aux ressources de votre entreprise Compte AWS, vous pouvez utiliser des rôles entre comptes et des politiques basées sur les ressources.
Si vous devez autoriser des demandes permettant à des consommateurs ou à des clients d'accéder à vos AWS ressources, vous pouvez utiliser les groupes d'identités Amazon Cognito ou les groupes d'utilisateurs Amazon Cognito pour fournir des informations d'identification temporaires. Les autorisations relatives aux informations d'identification sont configurées par le biais de IAM rôles. Vous pouvez également définir un IAM rôle distinct avec des autorisations limitées pour les utilisateurs invités qui ne sont pas authentifiés.

Pour les identités machine, vous devrez peut-être utiliser des informations d’identification à long terme. Dans ces cas, vous devez exiger que les charges de travail utilisent des informations d'identification temporaires avec IAM des rôles d'accès AWS.

Pour Amazon Elastic Compute Cloud (AmazonEC2), vous pouvez utiliser des rôles pour Amazon EC2.

AWS Lambdavous permet de configurer un rôle d'exécution Lambda pour accorder au service les autorisations nécessaires pour effectuer des AWS actions à l'aide d'informations d'identification temporaires. Il existe de nombreux autres modèles similaires permettant AWS aux services d'octroyer des informations d'identification temporaires à l'aide de IAM rôles.
Pour les appareils IoT, vous pouvez utiliser le fournisseur d’informations d’identification AWS IoT Core pour demander des informations d’identification temporaires.
Pour les systèmes sur site ou ceux qui s'exécutent en dehors de AWS ces systèmes nécessitant un accès aux AWS ressources, vous pouvez utiliser IAMRoles Anywhere.

Dans certains cas, il est impossible d’utiliser des informations d’identification temporaires et vous devrez alors opter pour des informations d’identification à long terme. Dans ces cas, vérifiez et faites tourner régulièrement les informations d’identification et faites tourner régulièrement les clés d’accès pour les cas d’utilisation nécessitant des informations d’identification à long terme. Parmi les exemples susceptibles de nécessiter des informations d'identification à long terme, citons les WordPress plugins et AWS les clients tiers. Dans les situations où vous devez utiliser des informations d'identification à long terme ou pour des informations d'identification autres que des clés d' AWS accès, telles que les connexions à la base de données, vous pouvez utiliser un service conçu pour gérer la gestion des secrets, tel que AWS Secrets Manager. Secrets Manager facilite la gestion, la rotation et le stockage en toute sécurité des secrets chiffrés à l’aide des services supportés. Pour plus d’informations sur la rotation des informations d’identification à long terme, veuillez consulter Rotation des clés d’accès.

Ressources

Bonnes pratiques associées :

Documents connexes :

Vidéos connexes :

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

SEC02-BP01 Utiliser des mécanismes de connexion robustes

SEC02-BP03 Stocker et utiliser les secrets en toute sécurité