SEC03-BP04 Limiter les autorisations au minimum requis en permanence

Au fur et à mesure que vos équipes déterminent les accès nécessaires, supprimez les autorisations inutiles et mettez en place des processus de révision afin d’obtenir des autorisations de moindre privilège. Surveillez et supprimez en permanence les identités et autorisations inutilisées pour les accès humains et machines.

Résultat escompté : les politiques d’autorisation doivent respecter le principe du moindre privilège. Au fur et à mesure que les tâches et les rôles sont mieux définis, vos politiques d’autorisation doivent être revues de façon à supprimer les autorisations inutiles. Cette approche réduit l’impact si les informations d’identification sont exposées par inadvertance ou autrement consultées sans autorisation.

Anti-modèles courants :

Octroi par défaut des autorisations d’administrateur aux utilisateurs.
Création de politiques trop permissives, mais sans tous les privilèges d’administrateur.
Maintien des politiques d’autorisation une fois qu’elles ne sont plus nécessaires.

Niveau d’exposition au risque si cette bonne pratique n’est pas respectée : moyen

Directives d’implémentation

Lorsque les équipes et les projets ne font que commencer, des politiques d’autorisation permissives peuvent être utilisées pour favoriser l’innovation et l’agilité. Par exemple, dans un environnement de développement ou de test, les développeurs peuvent se voir octroyer un accès à un large éventail de services AWS. Nous vous recommandons d’évaluer l’accès en continu et de restreindre l’accès aux services et aux actions de service nécessaires pour effectuer le travail en cours. Nous recommandons cette évaluation pour les identités humaines et machine. Les identités machine, parfois appelées comptes de système ou de service, donnent un accès AWS aux applications ou aux serveurs. Cet accès est particulièrement important dans un environnement de production, où des autorisations trop permissives peuvent avoir un impact important et exposer les données des clients.

AWS fournit plusieurs méthodes pour identifier les utilisateurs, les rôles, les autorisations et les informations d’identification inutilisés. AWS peut également faciliter l’analyse de l’activité d’accès des utilisateurs et rôles IAM, notamment des clés d’accès associées, ainsi que l’accès aux ressources AWS telles que les objets dans les compartiments Amazon S3. La génération de politiques AWS Identity and Access Management Access Analyzer peut vous aider à créer des politiques d’autorisations restrictives basées sur les services et les actions réels avec lesquels un principal interagit. Le contrôle d’accès par attributs (ABAC) peut contribuer à simplifier la gestion des autorisations, car vous pouvez fournir des autorisations aux utilisateurs en utilisant leurs attributs au lieu d’associer des politiques d’autorisations directement à chaque utilisateur.

Étapes d’implémentation

Utilisez AWS Identity and Access Management Access Analyzer : l’Analyseur d’accès IAM vous aide à identifier les ressources de votre organisation et de vos comptes, comme les compartiments Amazon Simple Storage Service (Amazon S3) ou les rôles IAM, qui sont partagées avec une entité externe.
Utilisez la génération de politiques de l’Analyseur d’accès IAM : la génération de politiques de l’Analyseur d’accès IAM vous permet de créer des politiques d’autorisation précises reposant sur l’activité d’accès d’un utilisateur ou d’un rôle IAM.
Testez les autorisations dans les environnements inférieurs avant la production : commencez par utiliser les environnements de développement et de test (sandbox) les moins critiques pour tester les autorisations requises pour les différentes fonctions professionnelles à l’aide de l’Analyseur d’accès IAM. Ensuite, renforcez progressivement et validez ces autorisations dans les environnements de test, d’assurance qualité et intermédiaires avant de les appliquer en production. Les environnements inférieurs peuvent avoir des autorisations plus souples au départ, car les politiques de contrôle des services (SCP) constituent un garde-fou en limitant le nombre maximal d’autorisations accordées.
Déterminez un délai et une politique d’utilisation acceptables pour les utilisateurs et les rôles IAM : utilisez le dernier horodatage consulté pour identifier les utilisateurs et les rôles non utilisés et les supprimer. Consultez les informations relatives aux services et actions consultées en dernier afin d’identifier et de délimiter les autorisations à des utilisateurs et des rôles spécifiques. Par exemple, vous pouvez utiliser les dernières informations consultées pour identifier les actions Amazon S3 spécifiques dont votre rôle d’application a besoin et limiter l’accès du rôle à celles-ci uniquement. Ces fonctionnalités relatives aux informations sur les derniers accès sont disponibles dans la AWS Management Console et par programmation pour vous permettre de les intégrer dans vos flux de travail d’infrastructure et vos outils automatisés.
Envisagez de consigner les événements de données dans AWS CloudTrail : par défaut, CloudTrail n’enregistre pas les événements de données tels que l’activité au niveau des objets Amazon S3 (par exemple, GetObject et DeleteObject) ou les activités des tables Amazon DynamoDB (par exemple, PutItem et DeleteItem). Envisagez d’utiliser la journalisation de ces événements afin de déterminer quels utilisateurs et rôles ont besoin d’accéder à des objets Amazon S3 ou des éléments de table DynamoDB spécifiques.

Ressources

Documents connexes :

Vidéos connexes :

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

SEC03-BP03 Établir un processus d’accès d’urgence

SEC03-BP05 Définir des garde-fous des autorisations pour votre organisation