Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

SEC03-BP01 Définir les exigences d'accès

Chaque composant ou ressource de votre charge de travail doit être accessible aux administrateurs, aux utilisateurs finaux ou à d’autres composants. Définissez clairement qui ou quoi doit avoir accès à chaque composant, choisissez le type d’identité approprié et la méthode d’authentification et d’autorisation.

Anti-modèles courants :

Niveau d’exposition au risque si cette bonne pratique n’est pas respectée : élevé

Directives d’implémentation

Chaque composant ou ressource de votre charge de travail doit être accessible aux administrateurs, aux utilisateurs finaux ou à d’autres composants. Définissez clairement qui ou quoi doit avoir accès à chaque composant, choisissez le type d’identité approprié et la méthode d’authentification et d’autorisation.

L'accès régulier au Comptes AWS sein de l'organisation doit être fourni à l'aide d'un accès fédéré ou d'un fournisseur d'identité centralisé. Vous devez également centraliser la gestion de votre identité et vous assurer qu'il existe une pratique établie pour intégrer l' AWS accès au cycle de vie des accès de vos employés. Par exemple, lorsqu’un employé change de poste et de niveau d’accès, son appartenance à un groupe doit également évoluer de façon à refléter les nouvelles conditions d’accès qui lui sont associées.

Lorsque vous définissez des conditions d’accès pour des identités non humaines, déterminez quels applications et composants ont besoin d’un accès et comment les autorisations sont accordées. L'utilisation de IAM rôles créés avec le modèle d'accès le moins privilégié est une approche recommandée. AWS Les politiques gérées fournissent des IAM politiques prédéfinies qui couvrent les cas d'utilisation les plus courants.

AWS des services, tels que AWS Secrets ManagerAWSSystems Manager Parameter Store, peuvent aider à dissocier les secrets de l'application ou de la charge de travail en toute sécurité dans les cas où il n'est pas possible d'utiliser IAM des rôles. Dans Secrets Manager, vous pouvez établir une rotation automatique de vos informations d’identification. Vous pouvez utiliser Systems Manager pour référencer des paramètres dans vos scripts, commandes, SSM documents, processus de configuration et d'automatisation en utilisant le nom unique que vous avez spécifié lors de la création du paramètre.

Vous pouvez utiliser AWS Identity and Access Management Roles Anywhere pour obtenir des informations d'identification de sécurité temporaires IAM pour les charges de travail exécutées en dehors de AWS. Vos charges de travail peuvent utiliser les mêmes IAMpolitiques et IAMrôles que ceux que vous utilisez avec AWS les applications pour accéder aux AWS ressources.

Dans la mesure du possible, privilégiez les informations d’identification temporaires à court terme plutôt que les informations d’identification statiques à long terme. Pour les scénarios dans lesquels vous avez besoin d’utilisateurs disposant d’un accès programmatique et d’informations d’identification à long terme, utilisez les dernières informations utilisées concernant les clés d’accès pour faire pivoter et supprimer les clés d’accès.

Les utilisateurs ont besoin d'un accès programmatique s'ils souhaitent interagir avec AWS l'extérieur du AWS Management Console. La manière d'accorder un accès programmatique dépend du type d'utilisateur qui y accède AWS.

Pour accorder aux utilisateurs un accès programmatique, choisissez l’une des options suivantes.

Ressources

Documents connexes :

Vidéos connexes :