SEC01-BP02 Utilisateur root et propriétés du compte sécurisé - AWS Framework Well-Architected

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

SEC01-BP02 Utilisateur root et propriétés du compte sécurisé

L'utilisateur root est l'utilisateur le plus privilégié d'un compte Compte AWS, avec un accès administratif complet à toutes les ressources du compte et, dans certains cas, il ne peut pas être limité par des politiques de sécurité. Si vous désactivez l’accès par programmation pour l’utilisateur racine, établissez des contrôles appropriés pour l’utilisateur racine et évitez l’utilisation de routine de l’utilisateur racine, vous réduirez le risque d’exposition accidentelle des informations d’identification racine et de compromission ultérieure de l’environnement cloud.

Résultat souhaité : la sécurisation de l’utilisateur racine permet de réduire les risques de dommages accidentels ou intentionnels dus à une mauvaise utilisation des informations d’identification de l’utilisateur racine. La mise en place de contrôles de détection permet également d’alerter le personnel approprié lorsque des mesures sont prises à l’aide de l’utilisateur racine.

Anti-modèles courants :

  • Se servir de l’utilisateur racine pour des tâches autres que celles nécessitant des informations d’identification de l’utilisateur racine. 

  • Omettre de tester régulièrement des plans d’urgence pour vérifier le fonctionnement de l’infrastructure, des processus et du personnel essentiels dans les situations d’urgence.

  • Ne tenir compte que du flux de connexion type du compte et omettre d’envisager ou de tester d’autres méthodes de récupération de compte.

  • Ne pas gérer DNS les serveurs de messagerie et les fournisseurs de téléphonie dans le cadre du périmètre de sécurité critique, car ils sont utilisés dans le flux de récupération des comptes.

Avantages du respect de cette bonne pratique : la sécurisation de l’accès à l’utilisateur racine permet de s’assurer que les actions de votre compte sont contrôlées et auditées.

Niveau d’exposition au risque si cette bonne pratique n’est pas respectée : élevé

Directives d’implémentation

AWS propose de nombreux outils pour sécuriser votre compte. Toutefois, étant donné que certaines de ces mesures ne sont pas activées par défaut, vous devez intervenir directement pour les implémenter. Considérez ces recommandations comme des étapes fondamentales pour sécuriser votre Compte AWS. À mesure que vous mettez en œuvre ces étapes, il est important d’établir un processus permettant d’évaluer et de surveiller continuellement les contrôles de sécurité.

Lorsque vous créez un Compte AWS, vous commencez par une identité offrant un accès complet à tous les AWS services et ressources du compte. Cette identité est appelée utilisateur Compte AWS root. Vous pouvez vous connecter en tant qu’utilisateur racine avec l’adresse e-mail et le mot de passe que vous avez utilisés pour créer le compte. En raison de l'accès élevé accordé à l'utilisateur AWS root, vous devez limiter l'utilisation de l'utilisateur AWS root pour effectuer des tâches qui l'exigent spécifiquement. Les identifiants de connexion de l'utilisateur root doivent être étroitement protégés, et l'authentification multifactorielle (MFA) doit toujours être utilisée pour l'utilisateur Compte AWS root.

Outre le flux d'authentification normal pour vous connecter à votre utilisateur root à l'aide d'un nom d'utilisateur, d'un mot de passe et d'un dispositif d'authentification multifactorielle (MFA), il existe des flux de récupération de compte permettant de se connecter à votre utilisateur Compte AWS root ayant accès à l'adresse e-mail et au numéro de téléphone associés à votre compte. Par conséquent, il est tout aussi important de sécuriser le compte de messagerie de l’utilisateur racine là où l’e-mail de récupération est envoyé, ainsi que le numéro de téléphone associé au compte. Tenez également compte des dépendances circulaires potentielles dans lesquelles l'adresse e-mail associée à l'utilisateur root est hébergée sur des serveurs de messagerie ou sur des ressources de service de noms de domaine (DNS) de ces serveurs Compte AWS.

Lors de l'utilisation AWS Organizations, il y en a plusieurs, Comptes AWS chacun ayant un utilisateur root. Un compte est désigné comme compte de gestion et plusieurs couches de comptes membres peuvent alors être ajoutées sous le compte de gestion. Privilégiez la sécurisation de l’utilisateur racine de votre compte de gestion, puis occupez-vous des utilisateurs racine des comptes membres. La stratégie de sécurisation de l’utilisateur racine de votre compte de gestion peut différer de celle des utilisateurs racine des comptes membres et vous pouvez placer des contrôles de sécurité préventifs sur les utilisateurs racine des comptes membres.

Étapes d’implémentation

Les étapes d’implémentation suivantes sont recommandées afin d’établir des contrôles pour l’utilisateur racine. Le cas échéant, les recommandations sont recoupées avec la version 1.4.0 du benchmark de CIS AWS Foundations. Outre ces étapes, consultez les directives relatives aux AWS meilleures pratiques pour sécuriser vos ressources Compte AWS et vos ressources.

Contrôles préventifs

  1. Configurez des informations de contact précises pour le compte.

    1. Ces informations sont utilisées pour le flux de récupération du mot de passe perdu, le flux de récupération du compte d'MFAappareil perdu et pour les communications critiques liées à la sécurité avec votre équipe.

    2. Utilisez une adresse e-mail hébergée par votre domaine d’entreprise, de préférence une liste de distribution, comme adresse e-mail de l’utilisateur racine. L’utilisation d’une liste de distribution plutôt que d’un compte de messagerie individuel fournit une redondance et une continuité supplémentaires pour l’accès au compte racine sur de longues périodes.

    3. Le numéro de téléphone indiqué pour les coordonnées doit correspondre à un téléphone dédié et sécurisé à cette fin. Ce numéro de téléphone ne doit figurer sur aucune liste ni être communiqué à personne.

  2. Ne créez pas de clés d’accès pour l’utilisateur racine. Si des clés d'accès existent, supprimez-les (CIS1.4).

    1. Éliminez les informations d’identification par programmation de longue durée (clés d’accès et secrètes) pour l’utilisateur racine.

    2. Si des clés d'accès utilisateur root existent déjà, vous devez transférer les processus utilisant ces clés pour utiliser les clés d'accès temporaires d'un rôle AWS Identity and Access Management (IAM), puis supprimer les clés d'accès utilisateur root.

  3. Déterminez si vous devez stocker les informations d’identification de l’utilisateur racine.

    1. Si vous créez AWS Organizations de nouveaux comptes membres, le mot de passe initial de l'utilisateur root sur les nouveaux comptes membres est défini sur une valeur aléatoire qui ne vous est pas révélée. Envisagez d'utiliser le flux de réinitialisation du mot de passe du compte de gestion de votre AWS organisation pour accéder au compte membre si nécessaire.

    2. Dans le cas d'un compte autonome Comptes AWS ou d'un compte d' AWS organisation de gestion, pensez à créer et à stocker en toute sécurité les informations d'identification de l'utilisateur root. À utiliser MFA pour l'utilisateur root.

  4. Utilisez des contrôles préventifs pour les utilisateurs root des comptes membres dans les environnements AWS multi-comptes.

    1. Envisagez d’utiliser la barrière de sécurité préventive Interdire la création de clés d’accès racine pour l’utilisateur racine pour les comptes des membres.

    2. Envisagez d’utiliser la barrière de sécurité préventive Désactiver les actions en tant qu’utilisateur racine pour les comptes des membres.

  5. Si vous avez besoin d’informations d’identification pour l’utilisateur racine :

    1. Utilisez un mot de passe complexe.

    2. Activez l'authentification multifactorielle (MFA) pour l'utilisateur root, en particulier pour les comptes AWS Organizations de gestion (payeur) (CIS1.5).

    3. Pensez aux MFA périphériques matériels pour des raisons de résilience et de sécurité, car les appareils à usage unique peuvent réduire les chances que les appareils contenant vos MFA codes soient réutilisés à d'autres fins. Vérifiez que MFA les périphériques matériels alimentés par une batterie sont remplacés régulièrement. (CIS1,6)

    4. Envisagez d'inscrire plusieurs MFA appareils à des fins de sauvegarde. Jusqu'à 8 MFA appareils sont autorisés par compte.

    5. Stockez le mot de passe en sécurité et tenez compte des dépendances circulaires si vous le stockez électroniquement. Ne stockez pas le mot de passe d'une manière qui nécessiterait d'y accéder Compte AWS pour l'obtenir.

  6. Facultatif : envisagez d’établir un calendrier périodique de rotation des mots de passe pour l’utilisateur racine.

    • Les bonnes pratiques relatives à la gestion des informations d’identification dépendent de vos exigences en matière de réglementation et de politiques. Les utilisateurs root protégés par ne MFA comptent pas sur le mot de passe comme seul facteur d'authentification.

    • La modification périodique du mot de passe de l’utilisateur racine réduit le risque d’utilisation abusive d’un mot de passe exposé par inadvertance.

Contrôles de détection

Conseils opérationnels

  • Déterminez qui, au sein de l’organisation, doit avoir accès aux informations d’identification de l’utilisateur racine.

    • Utilisez une règle à deux personnes afin qu'aucune personne n'ait accès à toutes les informations d'identification nécessaires et MFA pour obtenir l'accès de l'utilisateur root.

    • Vérifiez que l'organisation, et non une seule personne, garde le contrôle sur le numéro de téléphone et l'alias e-mail associés au compte (qui sont utilisés pour la réinitialisation du mot de passe et le flux de MFA réinitialisation).

  • Utiliser l'utilisateur root uniquement par exception (CIS1.7).

    • L'utilisateur AWS root ne doit pas être utilisé pour les tâches quotidiennes, même administratives. Connectez-vous uniquement en tant qu’utilisateur racine pour effectuer des tâches AWS nécessitant un utilisateur racine. Toutes les autres actions doivent être effectuées par d’autres utilisateurs assumant les rôles appropriés.

  • Vérifiez régulièrement que l’accès à l’utilisateur racine fonctionne afin que les procédures soient testées avant une situation d’urgence nécessitant l’utilisation des informations d’identification de l’utilisateur racine.

  • Vérifiez régulièrement que l’adresse e-mail associée au compte et celles répertoriées sous Contacts alternatifs fonctionnent. Vérifiez dans ces boîtes de réception si vous avez reçu des notifications de sécurité de la part de . Assurez-vous également que les numéros de téléphone associés au compte fonctionnent.

  • Préparez les procédures d’intervention en cas d’incident pour réagir face à une utilisation inappropriée du compte racine. Consultez le guide de réponse aux incidents de sécuritéAWS et les bonnes pratiques décrites dans la section Réponse aux incidents du livre blanc sur le pilier Sécurité pour plus d’informations sur l’élaboration d’une stratégie de réponse aux incidents adaptée à votre Compte AWS.

Ressources

Bonnes pratiques associées :

Documents connexes :

Vidéos connexes :

Exemples et ateliers connexes :