SEC03-BP07 Analyser l'accès public et entre comptes

Surveillez en continu les résultats qui mettent en évidence l’accès public et intercompte. Limitez l’accès public et l’accès intercompte aux seules ressources spécifiques qui nécessitent cet accès.

Résultat escompté : Sachez quelles AWS ressources sont partagées et avec qui. Surveillez et auditez continuellement vos ressources partagées afin de vérifier qu’elles ne sont partagées qu’avec les principaux autorisés.

Anti-modèles courants :

Ne pas tenir un inventaire des ressources partagées.
Ne pas suivre de processus pour régir l’accès intercompte et public aux ressources.

Niveau d’exposition au risque si cette bonne pratique n’est pas respectée : faible

Directives d’implémentation

Si votre compte est ouvert AWS Organizations, vous pouvez accorder l'accès aux ressources à l'ensemble de l'organisation, à des unités organisationnelles spécifiques ou à des comptes individuels. Si votre compte n’est pas membre d’une organisation, vous pouvez partager des ressources avec des comptes individuels. Vous pouvez accorder un accès direct entre comptes à l'aide de politiques basées sur les ressources, par exemple les politiques de compartiment Amazon Simple Storage Service (Amazon S3), ou en autorisant le principal d'un autre compte à assumer un rôle dans votre compte. IAM Lorsque vous utilisez des politiques de ressources, vérifiez que l’accès n’est accordé qu’aux principaux autorisés. Définir un processus d’approbation de toutes les ressources qui doivent être accessibles au public.

AWS Identity and Access Management Access Analyzer utilise la sécurité prouvable pour identifier tous les chemins d’accès à une ressource en dehors de son compte. Il passe en revue les stratégies de ressources en continu et présente les résultats d’accès public et intercompte pour vous permettre d’analyser facilement un accès potentiellement étendu. Envisagez de configurer IAM Access Analyzer avec AWS Organizations pour vérifier que vous avez une visibilité sur tous vos comptes. IAMAccess Analyzer vous permet également de prévisualiser les résultats avant de déployer les autorisations relatives aux ressources. Vous pouvez ainsi vérifier que vos modifications de politique n’accordent que l’accès public et intercompte prévu à vos ressources. Lorsque vous concevez un accès multicompte, vous pouvez utiliser des politiques de confiance pour contrôler dans quels cas un rôle peut être assumé. Par exemple, vous pouvez utiliser la clé de condition PrincipalOrgId pour refuser une tentative d’assumer un rôle en dehors de votre AWS Organizations.

AWS Config peut signaler les ressources mal configurées et, par le biais de vérifications des AWS Config politiques, détecter les ressources dont l'accès public est configuré. Des services tels que AWS Control Toweret AWS Security Hubsimplifient le déploiement de contrôles de détection et de garde-fous AWS Organizations pour identifier et corriger les ressources exposées au public. Par exemple, AWS Control Tower dispose d'un garde-corps géré qui peut détecter si des EBSinstantanés Amazon peuvent être restaurés par. Comptes AWS

Étapes d’implémentation

Envisagez d'utiliser AWS Config for AWS Organizations : vous AWS Config permet d'agréger les résultats de plusieurs comptes au sein d'un compte d'administrateur délégué. AWS Organizations Cela fournit une vue complète et vous permet de déployer AWS Config Rules sur plusieurs comptes afin de détecter les ressources accessibles au public.
Configure AWS Identity and Access Management Access Analyzer IAM Access Analyzer vous aide à identifier les ressources de votre organisation et de vos comptes, telles que les compartiments Amazon S3 ou IAM les rôles partagés avec une entité externe.
Utilisez la correction automatique AWS Config pour répondre aux modifications de la configuration de l'accès public des compartiments Amazon S3 : vous pouvez activer automatiquement les paramètres de blocage de l'accès public pour les compartiments Amazon S3.
Mettez en œuvre la surveillance et les alertes pour déterminer si les compartiments Amazon S3 sont devenus publics : vous devez mettre en place un système de surveillance et d’alerte pour identifier quand le blocage de l’accès public Amazon S3 est désactivé et si les compartiments Amazon S3 deviennent publics. En outre, si vous utilisez AWS Organizations, vous pouvez créer une politique de contrôle des services qui empêche toute modification des politiques d'accès public d'Amazon S3. AWS Trusted Advisor vérifie la présence de compartiments Amazon S3 dotés d'autorisations d'accès ouvert. Les autorisations de compartiment qui accordent à tous un accès au chargement ou à la suppression créent des problèmes de sécurité potentiels, en permettant à quiconque d’ajouter, de modifier ou de supprimer les éléments d’un compartiment. La Trusted Advisor vérification examine les autorisations de compartiment explicites et les politiques de compartiment associées susceptibles de remplacer les autorisations de compartiment. Vous pouvez également l'utiliser AWS Config pour surveiller l'accès public à vos compartiments Amazon S3. Pour plus d'informations, consultez Comment les utiliser AWS Config pour surveiller les compartiments Amazon S3 autorisant un accès public et y répondre. Lors de l’examen des accès, il est important de prendre en compte les types de données contenus dans les compartiments Amazon S3. Amazon Macie permet de découvrir et de protéger les données sensibles, telles que, et les informations d'identification PIIPHI, telles que le code privé ou AWS les clés.

Ressources

Documents connexes :

Vidéos connexes :

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

SEC03-BP06 Gérer l'accès en fonction du cycle de vie

SEC03-BP08 Partagez les ressources en toute sécurité au sein de votre organisation