SEC03-BP01 Définir les conditions d’accès

Chaque composant ou ressource de votre charge de travail doit être accessible aux administrateurs, aux utilisateurs finaux ou à d’autres composants. Définissez clairement qui ou quoi doit avoir accès à chaque composant, choisissez le type d’identité approprié et la méthode d’authentification et d’autorisation.

Anti-modèles courants :

Codage en dur ou stockage de secrets dans votre application.
Octroi d’autorisations personnalisées à chaque utilisateur.
Utilisation d’informations d’identification durables.

Niveau d’exposition au risque si cette bonne pratique n’est pas respectée : élevé

Directives d’implémentation

L’accès régulier aux Comptes AWS au sein d’une organisation doit être assuré par un accès fédéré ou un fournisseur d’identité centralisé. Vous devez également centraliser la gestion des identités et vous assurer qu’il existe une pratique établie pour intégrer l’accès à AWS au cycle de vie de l’accès des employés. Par exemple, lorsqu’un employé change de poste et de niveau d’accès, son appartenance à un groupe doit également évoluer de façon à refléter les nouvelles conditions d’accès qui lui sont associées.

Lorsque vous définissez des conditions d’accès pour des identités non humaines, déterminez quels applications et composants ont besoin d’un accès et comment les autorisations sont accordées. Dans cette optique, il est recommandé d’utiliser les rôles IAM créés avec le modèle d’accès du moindre privilège. AWS Les politiques gérées établissent des politiques IAM prédéfinies qui couvrent les cas d’utilisation les plus courants.

Les services AWS, tels que AWS Secrets Manager et AWS Systems Manager Parameter Store, peuvent aider à dissocier les secrets de l’application ou de la charge de travail en toute sécurité dans les cas où il n’est pas possible d’utiliser des rôles IAM. Dans Secrets Manager, vous pouvez établir une rotation automatique de vos informations d’identification. Vous pouvez utiliser Secrets Manager de façon à référencer les paramètres dans vos scripts, commandes, documents SSM, configuration et flux de travail d’automatisation en utilisant le nom unique que vous avez spécifié lors de la création du paramètre.

Vous pouvez utiliser Rôles Anywhere AWS Identity and Access Management pour obtenir des informations d’identification de sécurité temporaires dans IAM pour les charges de travail qui s’exécutent en dehors d’AWS. Vos charges de travail peuvent utiliser les mêmes politiques et rôles IAM que ceux que vous utilisez avec les applications AWS pour accéder aux ressources AWS.

Dans la mesure du possible, privilégiez les informations d’identification temporaires à court terme plutôt que les informations d’identification statiques à long terme. Pour les scénarios dans lesquels vous avez besoin d’utilisateurs disposant d’un accès programmatique et d’informations d’identification à long terme, utilisez les dernières informations utilisées concernant les clés d’accès pour faire pivoter et supprimer les clés d’accès.

Les utilisateurs ont besoin d’un accès programmatique s’ils souhaitent interagir avec AWS en dehors de la AWS Management Console. La manière d’octroyer un accès par programmation dépend du type d’utilisateur qui accède à AWS.

Pour accorder aux utilisateurs un accès programmatique, choisissez l’une des options suivantes.

Quel utilisateur a besoin d’un accès programmatique ?	Pour	Par
Identité de la main-d’œuvre (Utilisateurs gérés dans IAM Identity Center)	Utilisez des informations d’identification temporaires pour signer des demandes par programmation destinées à la AWS CLI, aux AWS SDK ou aux API AWS.	Suivez les instructions de l’interface que vous souhaitez utiliser. Pour l’AWS CLI, consultez la rubrique Configuration de l’AWS CLI pour l’utilisation d’AWS IAM Identity Center dans le Guide de l’utilisateur AWS Command Line Interface. Pour les kits SDK et les outils AWS ainsi que les API AWS, consultez la rubrique Authentification IAM Identity Center dans le Guide de référence des kits SDK et des outils AWS.
IAM	Utilisez des informations d’identification temporaires pour signer des demandes par programmation destinées à la AWS CLI, aux AWS SDK ou aux API AWS.	Suivez les instructions de la section Utilisation d’informations d’identification temporaires avec des ressources AWS dans le Guide de l’utilisateur IAM.
IAM	(Non recommandé) Utilisez des informations d’identification à long terme pour signer des demandes par programmation destinées à la AWS CLI, aux AWS SDK ou aux API AWS.	Suivez les instructions de l’interface que vous souhaitez utiliser. Pour l’AWS CLI, consultez la rubrique Authentification à l’aide des informations d’identification d’utilisateur IAM dans le Guide de l’utilisateur AWS Command Line Interface. Pour les kits SDK et les outils AWS, consultez la rubrique Authentification à l’aide d’informations d’identification à long terme dans le Guide de référence des kits SDK et des outils AWS. Pour les API AWS, consultez la rubrique Gestion des clés d’accès pour les utilisateurs IAM dans le Guide de l’utilisateur IAM.

Quel utilisateur a besoin d’un accès programmatique ?

Pour

Par

Identité de la main-d’œuvre

(Utilisateurs gérés dans IAM Identity Center)

Utilisez des informations d’identification temporaires pour signer des demandes par programmation destinées à la AWS CLI, aux AWS SDK ou aux API AWS.

Suivez les instructions de l’interface que vous souhaitez utiliser.

Pour l’AWS CLI, consultez la rubrique Configuration de l’AWS CLI pour l’utilisation d’AWS IAM Identity Center dans le Guide de l’utilisateur AWS Command Line Interface.
Pour les kits SDK et les outils AWS ainsi que les API AWS, consultez la rubrique Authentification IAM Identity Center dans le Guide de référence des kits SDK et des outils AWS.

IAM

Utilisez des informations d’identification temporaires pour signer des demandes par programmation destinées à la AWS CLI, aux AWS SDK ou aux API AWS.

Suivez les instructions de la section Utilisation d’informations d’identification temporaires avec des ressources AWS dans le Guide de l’utilisateur IAM.

IAM

(Non recommandé)

Utilisez des informations d’identification à long terme pour signer des demandes par programmation destinées à la AWS CLI, aux AWS SDK ou aux API AWS.

Suivez les instructions de l’interface que vous souhaitez utiliser.

Pour l’AWS CLI, consultez la rubrique Authentification à l’aide des informations d’identification d’utilisateur IAM dans le Guide de l’utilisateur AWS Command Line Interface.
Pour les kits SDK et les outils AWS, consultez la rubrique Authentification à l’aide d’informations d’identification à long terme dans le Guide de référence des kits SDK et des outils AWS.
Pour les API AWS, consultez la rubrique Gestion des clés d’accès pour les utilisateurs IAM dans le Guide de l’utilisateur IAM.

Ressources

Documents connexes :

Vidéos connexes :

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Gestion des autorisations

SEC03-BP02 Accorder un accès selon le principe du moindre privilège