Gestion des autorisations - Pilier Sécurité

Gestion des autorisations

Gérez les autorisations des identités humaines et machines qui nécessitent un accès à AWS ainsi qu’à votre charge de travail. Les autorisations vous permettent de contrôler qui peut accéder à quoi et dans quelles conditions. En définissant des autorisations pour des identités humaines et des identités de machines spécifiques, vous leur donnez accès à des actions de service spécifiques sur des ressources spécifiques. En outre, vous pouvez spécifier les conditions qui doivent être remplies pour que l’accès soit accordé.

Il existe plusieurs façons d’accorder l’accès à différents types de ressources. L’une d’entre elles consiste à utiliser différents types de politiques.

Les politiques basées sur l’identité dans IAM sont gérées ou intégrées et associées aux identités IAM, y compris les utilisateurs, les groupes ou les rôles. Ces politiques vous permettent de spécifier ce que peut faire cette identité (ses autorisations). Les politiques basées sur l’identité peuvent être catégorisées davantage.

Politiques gérées : politiques autonomes basées sur une identité que vous pouvez attacher à plusieurs utilisateurs, groupes et rôles dans votre compte AWS. Il existe deux types de politiques gérées.

  • Politiques gérées par AWS : politiques gérées qui sont créées et gérées par AWS.

  • Politiques gérées par le client : politiques gérées que vous créez et gérez dans votre compte AWS. Les politiques gérées par le client offrent un contrôle plus précis de vos politiques que les politiques gérées par AWS.

Les politiques gérées sont la méthode privilégiée pour appliquer les autorisations. Cependant, vous pouvez également utiliser des politiques intégrées que vous ajoutez directement à un seul utilisateur, groupe ou rôle. Les politiques en ligne maintiennent une relation un-à-un stricte entre une politique et une identité. Elles sont éliminées lorsque vous supprimez l’identité.

Dans la plupart des cas, vous devez créer vos propres politiques gérées par le client en suivant le principe du moindre privilège.

Les politiques basées sur les ressources sont attachées à une ressource. Par exemple, une politique de compartiment S3 est une politique basée sur les ressources. Ces politiques accordent une autorisation à un mandataire qui peut se trouver dans le même compte que la ressource ou dans un autre compte. Pour obtenir une liste des services qui prennent en charge les stratégies basées sur les ressources, consultez les services AWS qui fonctionnent avec IAM.

Les limites de permissions utilisent une politique gérée pour définir les autorisations maximales qu’un administrateur peut définir. Cela vous permet de déléguer aux développeurs la possibilité de créer et de gérer des autorisations, comme la création d’un rôle IAM, mais de limiter les autorisations qu’ils peuvent accorder afin qu’ils ne puissent pas faire remonter leur privilège grâce à ce qu’ils ont créé.

Le contrôle d’accès basé sur les attributs (ABAC) dans AWS vous permet d’accorder des autorisations en fonction des attributs, qui sont appelés balises. Ces balises peuvent être attachées à des principaux IAM (utilisateurs ou rôles) et à des ressources AWS. Les administrateurs peuvent créer des politiques IAM réutilisables qui appliquent des autorisations en fonction des attributs du principal IAM. Par exemple, en tant qu’administrateur, vous pouvez utiliser une politique IAM unique pour accorder aux développeurs de votre organisation l’accès aux ressources AWS qui correspondent à leurs balises de projet. Lorsque l’équipe de développeurs ajoute des ressources aux projets, les autorisations sont automatiquement appliquées en fonction des attributs, ce qui élimine la nécessité de mettre à jour la politique pour chaque nouvelle ressource.

Les politiques de contrôle des services (SCP) des organisations définissent les autorisations maximales pour les comptes membres d’une organisation ou d’une unité d’organisation (OU). Les PCS limitent les autorisations que les politiques basées sur l’identité ou les politiques basées sur les ressources accordent aux entités (utilisateurs ou rôles) au sein du compte, mais n’accordent pas d’autorisations.

Les politiques de session supposent un rôle ou un utilisateur fédéré. Transmettez des politiques de session lors de l’utilisation d’AWS CLI ou de l’API AWS. Ces politiques limitent les autorisations que les politiques basées sur l’identité du rôle ou de l’utilisateur accordent à la session. Ces politiques limitent les autorisations pour une session créée, mais n’accordent pas d’autorisations. Pour plus d’informations, consultez Politiques de session.

Bonnes pratiques