SEC03-BP08 Partagez les ressources en toute sécurité au sein de votre organisation - AWS Framework Well-Architected
Directives d’implémentationRessources

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

SEC03-BP08 Partagez les ressources en toute sécurité au sein de votre organisation

À mesure que le nombre de charges de travail augmente, vous devrez peut-être partager l’accès aux ressources de ces charges de travail ou fournir les ressources plusieurs fois pour plusieurs comptes. Vous pouvez utiliser des constructions pour compartimenter votre environnement, par exemple des environnements de développement, de test et de production. Cependant, le fait d’avoir des constructions distinctes ne vous empêche pas de partager en toute sécurité. En partageant des composants qui se chevauchent, vous pouvez réduire les frais d’exploitation et offrir une expérience cohérente sans avoir à deviner ce que vous avez pu manquer en créant la même ressource plusieurs fois.

Résultat souhaité : minimisez les accès involontaires en utilisant des méthodes sécurisées pour partager les ressources au sein de votre organisation et contribuer à votre initiative de prévention des pertes de données. Réduisez vos frais généraux opérationnels par rapport à la gestion de composants individuels, réduisez les erreurs liées à la création manuelle du même composant plusieurs fois et augmentez la capacité de mise à l’échelle de vos charges de travail. Vous pouvez bénéficier d’une réduction du délai de résolution dans les scénarios de défaillance multipoints et augmenter votre confiance dans l’évaluation du moment où un composant n’est plus nécessaire. Pour obtenir des conseils prescriptifs sur l’analyse des ressources partagées en externe, voir SEC03-BP07 Analyser l'accès public et entre comptes.

Anti-modèles courants :

  • Manque de processus pour surveiller continuellement et alerter automatiquement sur un partage externe inattendu.

  • Manque de référence sur ce qui doit être partagé et ce qui ne doit pas l’être.

  • Adoption par défaut d’une politique largement ouverte au lieu de la partager explicitement lorsque c’est nécessaire.

  • Création manuelle des ressources de base qui se chevauchent si nécessaire.

Niveau d’exposition au risque si cette bonne pratique n’est pas respectée : moyen

Directives d’implémentation

Concevez vos contrôles et modèles d’accès de façon à régir la consommation de ressources partagées en toute sécurité et uniquement avec des entités approuvées. Surveillez les ressources partagées et examinez l’accès aux ressources partagées en permanence, et soyez alerté sur les partages inappropriés ou inattendus. Consultez Analyser l’accès public et intercompte pour vous aider à établir une gouvernance visant à réduire l’accès externe aux seules ressources qui en ont besoin, et à établir un processus de surveillance continue et d’alerte automatique.

Le partage entre comptes au sein de celui-ci AWS Organizations est pris en charge par un certain nombre de AWS services AWS Security Hub, tels que Amazon GuardDuty et AWS Backup. Ces services permettent de partager les données vers un compte central, de rendre les données accessibles à partir d’un compte central ou de gérer les ressources et les données à partir d’un compte central. Par exemple, AWS Security Hub vous pouvez transférer les résultats de comptes individuels vers un compte central où vous pouvez consulter tous les résultats. AWS Backup peut effectuer une sauvegarde d'une ressource et la partager entre comptes. Vous pouvez utiliser AWS Resource Access Manager(AWS RAM) pour partager d'autres ressources communes, telles que des VPCsous-réseaux et des pièces jointes Transit Gateway AWS Network Firewall, ou des SageMaker pipelines Amazon.

Pour empêcher votre compte de partager uniquement les ressources au sein de votre organisation, utilisez les politiques de contrôle des services (SCPs) pour empêcher l'accès aux principaux externes. Lorsque vous partagez des ressources, combinez les contrôles basés sur l’identité et les contrôles réseau pour créer un périmètre de données pour votre organisation afin de la protéger contre tout accès non intentionnel. Un périmètre de données est un ensemble de barrières de protection préventives qui vous permettent de vous assurer que seules les identités approuvées accèdent aux ressources approuvées à partir des réseaux attendus. Ces contrôles doivent placer des limites appropriées pour les ressources susceptibles d’être partagées et empêcher le partage ou l’exposition de ressources qui ne doivent pas être autorisées. Par exemple, dans le cadre de votre périmètre de données, vous pouvez utiliser les politiques relatives aux points de VPC terminaison et la AWS:PrincipalOrgId condition pour garantir que les identités accédant à vos compartiments Amazon S3 appartiennent à votre organisation. Il est important de noter que cela SCPsne s'applique pas aux rôles liés aux services ou aux principaux de AWS service.

Lorsque vous utilisez Amazon S3, ACLsdésactivez votre compartiment Amazon S3 et utilisez des IAM politiques pour définir le contrôle d'accès. Pour restreindre l'accès à une origine Amazon S3 depuis Amazon CloudFront, migrez de l'identité d'accès d'origine (OAI) vers le contrôle d'accès à l'origine (OAC), qui prend en charge des fonctionnalités supplémentaires, notamment le chiffrement côté serveur avec. AWS Key Management Service

Dans certains cas, vous pouvez autoriser le partage des ressources à l’extérieur de votre organisation ou accorder à un tiers l’accès à vos ressources. Pour obtenir des conseils prescriptifs sur la gestion des autorisations de partage de ressources en externe, consultez la section Gestion des autorisations.

Étapes d’implémentation

  1. Utilise AWS Organizations.

    AWS Organizations est un service de gestion de comptes qui vous permet de Comptes AWS regrouper plusieurs comptes au sein d'une organisation que vous créez et gérez de manière centralisée. Vous pouvez regrouper vos comptes en unités organisationnelles (OUs) et associer des politiques différentes à chaque unité d'organisation afin de répondre à vos besoins en matière de budget, de sécurité et de conformité. Vous pouvez également contrôler la manière dont les services d'intelligence AWS artificielle (IA) et d'apprentissage automatique (ML) peuvent collecter et stocker les données, et utiliser la gestion multi-comptes des AWS services intégrés aux Organizations.

  2. AWS Organizations Intégrez les AWS services.

    Lorsque vous utilisez un AWS service pour effectuer des tâches en votre nom dans les comptes membres de votre organisation, un rôle IAM lié au service (SLR) est AWS Organizations créé pour ce service dans chaque compte membre. Vous devez gérer l'accès sécurisé à l'aide du AWS Management Console AWS APIs, du ou du AWS CLI. Pour obtenir des conseils prescriptifs sur l'activation de l'accès sécurisé, voir Utilisation AWS Organizations avec d'autres AWS services et AWS services que vous pouvez utiliser avec des Organisations.

  3. Établir un périmètre de données.

    Le AWS périmètre est généralement représenté sous la forme d'une organisation gérée par AWS Organizations. Tout comme les réseaux et systèmes sur site, l'accès aux AWS ressources est considéré par beaucoup comme le périmètre de My AWS. L’objectif du périmètre est de vérifier que l’accès est autorisé si l’identité est approuvée, si la ressource est approuvée et si le réseau est attendu.

    1. Définissez et implémentez les périmètres.

      Suivez les étapes décrites dans la section Mise en œuvre du périmètre dans le AWS livre blanc Construire un périmètre sur chaque condition d'autorisation. Pour obtenir des conseils prescriptifs sur la protection de la couche réseau, consultez Protection des réseaux.

    2. Surveillez et alertez en continu.

      AWS Identity and Access Management Access Analyzer vous aide à identifier les ressources de votre organisation et de vos comptes qui sont partagées avec des entités externes. Vous pouvez intégrer IAMAccess Analyzer pour AWS Security Hub envoyer et agréger les résultats d'une ressource d'IAMAccess Analyzer à Security Hub afin d'analyser le niveau de sécurité de votre environnement. Pour procéder à l'intégration, activez IAM Access Analyzer et Security Hub dans chaque région de chaque compte. Vous pouvez également l'utiliser AWS Config Rules pour auditer la configuration et alerter la partie appropriée à l'AWS Chatbot aide de AWS Security Hub. Vous pouvez ensuite utiliser des documents d’automatisation AWS Systems Manager pour corriger les ressources non conformes.

    3. Pour obtenir des conseils prescriptifs sur la surveillance et les alertes continues concernant les ressources partagées en externe, voir Analyser l’accès public et intercompte.

  4. Utilisez le partage des ressources dans les AWS services et limitez en conséquence.

    De nombreux AWS services vous permettent de partager des ressources avec un autre compte ou de cibler une ressource d'un autre compte, comme Amazon Machine Images (AMIs) et AWS Resource Access Manager (AWS RAM). Restreignez le ModifyImageAttribute API pour spécifier les comptes de confiance AMI avec lesquels les partager. Spécifiez la ram:RequestedAllowsExternalPrincipals condition lors de l'utilisation AWS RAM pour limiter le partage à votre organisation uniquement, afin d'empêcher l'accès par des identités non fiables. Pour des conseils et des considérations prescriptifs, voir Partage des ressources et cibles externes.

  5. AWS RAM À utiliser pour partager en toute sécurité dans un compte ou avec un autre Comptes AWS.

    AWS RAM vous aide également à partager en toute sécurité les ressources que vous avez créées avec les rôles et les utilisateurs de votre compte et avec d’autres Comptes AWS. Dans un environnement multi-comptes, vous AWS RAM permet de créer une ressource une seule fois et de la partager avec d'autres comptes. Cette approche permet de réduire vos frais opérationnels tout en garantissant cohérence, visibilité et auditabilité grâce à des intégrations avec Amazon CloudWatch AWS CloudTrail, que vous ne recevez pas lorsque vous utilisez un accès entre comptes.

    Si vous avez déjà partagé des ressources à l'aide d'une politique basée sur les ressources, vous pouvez utiliser le PromoteResourceShareCreatedFromPolicyAPIou un équivalent pour transformer le partage de ressources en partage de AWS RAM ressources complet.

    Dans certains cas, vous devrez peut-être prendre des mesures supplémentaires pour partager les ressources. Par exemple, pour partager un instantané chiffré, vous devez partager une AWS KMS clé.

Ressources

Bonnes pratiques associées :

Documents connexes :

Vidéos connexes :

Outils associés :