SEC03-BP06 Gérer l'accès en fonction du cycle de vie

Surveillez et ajustez les autorisations accordées à vos principaux (utilisateurs, rôles et groupes) tout au long de leur cycle de vie au sein de votre organisation. Ajustez les appartenances aux groupes lorsque les utilisateurs changent de rôle et supprimez l’accès lorsqu’un utilisateur quitte l’organisation.

Résultat souhaité : vous surveillez et ajustez les autorisations tout au long du cycle de vie des principaux au sein de l’organisation, réduisant ainsi le risque de privilèges inutiles. Vous accordez l’accès approprié lorsque vous créez un utilisateur. Vous modifiez l’accès en fonction de l’évolution des responsabilités de l’utilisateur et vous supprimez l’accès lorsque l’utilisateur n’est plus actif ou s’il a quitté l’organisation. Vous gérez de manière centralisée les modifications apportées à vos utilisateurs, rôles et groupes. Vous utilisez l'automatisation pour propager les modifications AWS dans vos environnements.

Anti-modèles courants :

Vous accordez d’emblée des privilèges d’accès excessifs ou étendus aux identités, au-delà de ce qui est initialement requis.
Vous ne révisez pas et vous ne modifiez pas les privilèges d’accès au fur et à mesure de l’évolution des rôles et des responsabilités des identités au fil du temps.
Vous laissez des identités inactives ou résiliées avec des privilèges d’accès actifs. Cela augmente le risque d’accès non autorisé.
Vous n’automatisez pas la gestion des cycles de vie des identités.

Niveau d’exposition au risque si cette bonne pratique n’est pas respectée : moyen

Directives d’implémentation

Gérez et ajustez avec soin les privilèges d’accès que vous accordez aux identités (telles que les utilisateurs, les rôles, les groupes) tout au long de leur cycle de vie. Ce cycle de vie comprend la phase initiale d’intégration, les changements continus des rôles et des responsabilités, et le départ ou la résiliation éventuels. Gérez l’accès de manière proactive en fonction de l’étape du cycle de vie afin de maintenir un niveau d’accès approprié. Optez pour le principe du moindre privilège afin de réduire le risque de privilèges d’accès excessifs ou inutiles.

Vous pouvez gérer le cycle de vie des IAM utilisateurs directement au sein du Compte AWS ou via une fédération entre le fournisseur d'identité de votre personnel et AWS IAM Identity Center. Pour IAM les utilisateurs, vous pouvez créer, modifier et supprimer des utilisateurs et leurs autorisations associées dans le Compte AWS. Pour les utilisateurs fédérés, vous pouvez utiliser IAM Identity Center pour gérer leur cycle de vie en synchronisant les informations relatives aux utilisateurs et aux groupes provenant du fournisseur d'identité de votre organisation à l'aide du protocole System for Cross-Domain Identity Management ()SCIM.

SCIMest un protocole standard ouvert pour le provisionnement et le déprovisionnement automatisés des identités des utilisateurs sur différents systèmes. En intégrant votre fournisseur d'identité à IAM Identity Center usingSCIM, vous pouvez synchroniser automatiquement les informations relatives aux utilisateurs et aux groupes, ce qui permet de valider que les privilèges d'accès sont accordés, modifiés ou révoqués en fonction des modifications apportées à la source d'identité officielle de votre organisation.

Ajustez les privilèges en fonction de l’évolution des rôles et responsabilités des employés au sein de votre organisation. Vous pouvez utiliser les ensembles d'autorisations d'IAMIdentity Center pour définir différents rôles ou responsabilités professionnels et les associer aux IAM politiques et autorisations appropriées. Lorsque le rôle d’un employé change, vous pouvez mettre à jour l’ensemble d’autorisations qui lui a été attribué de façon à refléter ses nouvelles responsabilités. Vérifiez qu’il dispose de l’accès nécessaire tout en respectant le principe du moindre privilège.

Étapes d’implémentation

Définissez et documentez un processus de gestion des accès tout au long du cycle de vie, y compris les procédures relatives à l’octroi de l’accès initial, aux révisions périodiques et à la révocation de l’accès.
Implémentez les IAM rôles, les groupes et les limites d'autorisations pour gérer l'accès collectivement et appliquer les niveaux d'accès maximaux autorisés.
Intégrez un fournisseur d'identité fédéré (tel que Microsoft Active Directory, Okta, Ping Identity) en tant que source officielle d'informations sur les utilisateurs et les groupes à l'aide IAM d'Identity Center.
Utilisez le SCIM protocole pour synchroniser les informations relatives aux utilisateurs et aux groupes depuis le fournisseur d'identité avec l'IAMIdentity Store d'Identity Center.
Créez des ensembles d'autorisations dans IAM Identity Center qui représentent les différents rôles ou responsabilités professionnels au sein de votre organisation. Définissez les IAM politiques et les autorisations appropriées pour chaque ensemble d'autorisations.
Mettez en œuvre des contrôles d’accès réguliers, une révocation rapide des accès et une amélioration continue du processus de gestion du cycle de vie des accès.
Formez et sensibilisez les employés aux bonnes pratiques de gestion des accès.

Ressources

Bonnes pratiques associées :

SEC02-BP04 Appuyez-vous sur un fournisseur d'identité centralisé

Documents connexes :

Vidéos connexes :

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

SEC03-BP05 Définissez des barrières en matière d'autorisations pour votre organisation

SEC03-BP07 Analyser l'accès public et entre comptes