Sécurité, identité et conformité

AWS est conçue pour être l'infrastructure cloud mondiale la plus sécurisée sur laquelle créer, migrer et gérer des applications et des charges de travail.

Chaque service est décrit après le schéma. Pour vous aider à choisir le service qui répond le mieux à vos besoins, consultez Choisir AWS services de sécurité, d'identité et de gouvernance. Pour des informations générales, voir Sécurité, identité et conformité sur AWS.

Schéma montrant AWS services de sécurité, d'identité et de gouvernance

Retournez àAWS services.

Amazon Cognito

Amazon Cognito vous permet d'ajouter rapidement et facilement l'inscription des utilisateurs, la connexion et le contrôle d'accès à vos applications Web et mobiles. Avec Amazon Cognito, vous pouvez atteindre des millions d'utilisateurs et vous permet de vous connecter auprès de fournisseurs d'identité sociale tels qu'Apple, Facebook, Twitter ou Amazon, avec des solutions d'identité SAML 2.0 ou en utilisant votre propre système d'identité.

En outre, Amazon Cognito vous permet d'enregistrer des données localement sur les appareils des utilisateurs, ce qui permet à vos applications de fonctionner même lorsque les appareils sont hors ligne. Vous pouvez ensuite synchroniser les données entre les appareils des utilisateurs afin que leur expérience d'application reste cohérente, quel que soit l'appareil qu'ils utilisent.

Grâce à Amazon Cognito, vous pouvez créer des applications conviviales, au lieu de vous préoccuper de créer, sécuriser et mettre à l'échelle une solution pour s'occuper de la gestion des utilisateurs, de l'authentification et de la synchronisation sur plusieurs appareils.

Amazon Detective

Amazon Detective facilite l'analyse, l'investigation et l'identification rapide de la cause première de problèmes de sécurité potentiels ou d'activités suspectes. Amazon Detective collecte automatiquement les données de journal de votre AWS ressources et utilise l'apprentissage automatique, l'analyse statistique et la théorie des graphes pour créer un ensemble de données liées qui vous permet de mener facilement des enquêtes de sécurité plus rapides et plus efficaces. Amazon Detective simplifie davantage la gestion des comptes pour les opérations de sécurité et les enquêtes sur tous les comptes existants et futurs d'une entreprise en utilisant AWS Organizations pour un maximum de 1 200 AWS comptes.

AWS des services de sécurité tels qu'Amazon GuardDuty, Amazon Macie et AWS Security Hub, ainsi que les produits de sécurité des partenaires, peuvent être utilisés pour identifier les problèmes de sécurité potentiels ou les résultats. Ces services sont très utiles pour vous avertir en cas d'accès non autorisé ou de comportement suspect dans votre AWS déploiement. Cependant, il arrive parfois que vous souhaitiez effectuer des recherches plus approfondies sur les événements qui ont conduit à ces découvertes afin d'en corriger la cause première. Pour les analystes de sécurité, la détermination de la cause première des problèmes de sécurité peut être un processus complexe qui implique souvent de collecter et de combiner des journaux provenant de nombreuses sources de données, d'utiliser des outils d'extraction, de transformation et de chargement (ETL), ainsi que des scripts personnalisés pour organiser les données.

Amazon Detective simplifie ce processus en permettant à vos équipes de sécurité d'enquêter facilement et d'identifier rapidement la cause première d'une découverte. Detective peut analyser des milliards d'événements provenant de plusieurs sources de données telles que Amazon Virtual Private Cloud (VPC) Flow Logs, AWS CloudTrail, et Amazon GuardDuty. Detective utilise ces événements pour créer automatiquement une vue unifiée et interactive de vos ressources, de vos utilisateurs et des interactions entre eux au fil du temps. Grâce à cette vue unifiée, vous pouvez visualiser tous les détails et le contexte en un seul endroit afin d'identifier les raisons sous-jacentes des résultats, d'explorer les activités historiques pertinentes et d'en déterminer rapidement la cause première.

Vous pouvez commencer à utiliser Amazon Detective en quelques clics dans AWS Management Console. Il n'y a aucun logiciel à déployer, ni aucune source de données à activer et à gérer. Vous pouvez essayer Detective sans frais supplémentaires grâce à un essai gratuit de 30 jours disponible pour les nouveaux comptes.

Amazon GuardDuty

Amazon GuardDuty est un service de détection des menaces qui surveille en permanence les activités malveillantes et les comportements anormaux afin de protéger votre Comptes AWS, les charges de travail, les clusters Kubernetes et les données stockées dans Amazon Simple Storage Service (Amazon S3). Le GuardDuty service surveille les activités telles que les API appels inhabituels, les déploiements non autorisés et les informations d'identification exfiltrées indiquant une éventuelle reconnaissance ou compromission du compte.

Activé en quelques clics dans AWS Management Console et facilement administrable à l'échelle de l'organisation grâce à son support de AWS Organizations, Amazon GuardDuty peut immédiatement commencer à analyser des milliards d'événements sur votre AWS tient compte des signes d'utilisation non autorisée. GuardDuty identifie les attaquants présumés grâce à des flux intégrés de renseignements sur les menaces et à la détection des anomalies par le machine learning afin de détecter les anomalies liées à l'activité des comptes et à la charge de travail. Lorsqu'une utilisation non autorisée potentielle est détectée, le service fournit un résultat détaillé à la GuardDuty console, à Amazon CloudWatch Events et AWS Security Hub. Cela rend les résultats exploitables et faciles à intégrer dans les systèmes de gestion des événements et de flux de travail existants. Il est facile d'effectuer des recherches supplémentaires pour déterminer la cause première d'une découverte en utilisant Amazon Detective directement depuis la GuardDuty console.

Amazon GuardDuty est rentable et facile à utiliser. Il ne vous oblige pas à déployer et à maintenir un logiciel ou une infrastructure de sécurité, ce qui signifie qu'il peut être activé rapidement sans risque d'impact négatif sur les charges de travail des applications et des conteneurs existants. Il n'y a aucun coût initial GuardDuty, aucun logiciel à déployer et aucun flux de renseignements sur les menaces à activer. En outre, il GuardDuty optimise les coûts en appliquant des filtres intelligents et en analysant uniquement un sous-ensemble de journaux pertinents pour la détection des menaces, et les nouveaux GuardDuty comptes Amazon sont gratuits pendant 30 jours.

Amazon Inspector

Amazon Inspector est un nouveau service de gestion automatique des vulnérabilités qui analyse en permanence AWS charges de travail liées à des vulnérabilités logicielles et à une exposition involontaire au réseau. En quelques clics dans AWS Management Console and AWS Organizations, Amazon Inspector peut être utilisé sur tous les comptes de votre organisation. Une fois lancé, Amazon Inspector découvre automatiquement les instances Amazon Elastic Compute Cloud (AmazonEC2) en cours d'exécution et les images de conteneur résidant dans Amazon Elastic Container Registry (AmazonECR), à n'importe quelle échelle, et commence immédiatement à les évaluer pour détecter les vulnérabilités connues.

Amazon Inspector présente de nombreuses améliorations par rapport à Amazon Inspector Classic. Par exemple, le nouvel Amazon Inspector calcule un score de risque hautement contextualisé pour chaque découverte en corrélant les informations courantes sur les vulnérabilités et les expositions (CVE) avec des facteurs tels que l'accès au réseau et l'exploitabilité. Ce score est utilisé pour hiérarchiser les vulnérabilités les plus critiques afin d'améliorer l'efficacité des mesures correctives. En outre, Amazon Inspector utilise désormais le AWS Systems Manager Agent (SSMagent) pour vous éviter de devoir déployer et gérer un agent autonome pour exécuter les évaluations des EC2 instances Amazon. Pour les charges de travail liées aux conteneurs, Amazon Inspector est désormais intégré à Amazon Elastic Container Registry (AmazonECR) afin de permettre des évaluations intelligentes, rentables et continues des vulnérabilités des images de conteneurs. Tous les résultats sont agrégés dans la console Amazon Inspector, puis acheminés vers AWS Security Hub, et transmis via Amazon EventBridge pour automatiser les flux de travail tels que la billetterie.

Tous les nouveaux comptes Amazon Inspector peuvent bénéficier d'un essai gratuit de 15 jours afin d'évaluer le service et d'estimer son coût. Pendant la période d'essai, toutes les EC2 instances Amazon éligibles et les images de conteneur envoyées à Amazon ECR sont continuellement numérisées gratuitement.

Amazon Macie

Amazon Macie est un service de sécurité et de confidentialité des données entièrement géré qui utilise des évaluations d'inventaire, l'apprentissage automatique et la correspondance de modèles pour découvrir les données sensibles et leur accessibilité dans votre environnement Amazon S3. Macie prend en charge les tâches de découverte de données sensibles évolutives à la demande et automatisées qui suivent automatiquement les modifications apportées au compartiment et évaluent uniquement les objets nouveaux ou modifiés au fil du temps. À l'aide de Macie, vous pouvez détecter une liste importante et croissante de types de données sensibles pour de nombreux pays et régions, notamment plusieurs types de données financières, d'informations de santé personnelles (PHI) et d'informations personnelles identifiables (PII), ainsi que des types personnalisés. Macie évalue également en permanence votre environnement Amazon S3 afin de fournir un résumé des ressources S3 et une évaluation de la sécurité de tous vos comptes. Vous pouvez rechercher, filtrer et trier les compartiments S3 en fonction de variables de métadonnées, telles que les noms des compartiments, les balises et les contrôles de sécurité tels que l'état du chiffrement ou l'accessibilité publique. Pour tous les compartiments non chiffrés, accessibles au public ou partagés avec Comptes AWS en dehors de ceux que vous avez définis dans AWS Organizations, vous pouvez être alerté pour agir.

Dans la configuration multi-comptes, un seul compte administrateur Macie peut gérer tous les comptes des membres, y compris la création et l'administration de tâches de découverte de données sensibles sur des comptes avec AWS Organizations. Les résultats relatifs à la sécurité et à la découverte de données sensibles sont agrégés dans le compte administrateur Macie et envoyés à Amazon CloudWatch Events et AWS Security Hub. Désormais, en utilisant un seul compte, vous pouvez intégrer les systèmes de gestion des événements, de flux de travail et de billetterie ou utiliser les résultats de Macie avec AWS Step Functions pour automatiser les actions de correction. Vous pouvez démarrer rapidement avec Macie grâce à l'essai gratuit de 30 jours proposé aux nouveaux comptes pour l'inventaire des compartiments S3 et l'évaluation au niveau des compartiments. La découverte de données sensibles n'est pas incluse dans l'essai de 30 jours pour l'évaluation des compartiments.

Amazon Security Lake

Amazon Security Lake centralise les données de sécurité provenant de AWS environnements, fournisseurs de SaaS, sources sur site et dans le cloud, dans un lac de données spécialement conçu qui est stocké dans votre Compte AWS. Security Lake automatise la collecte et la gestion des données de sécurité entre les comptes et Régions AWS afin que vous puissiez utiliser vos outils d'analyse préférés tout en gardant le contrôle et la propriété de vos données de sécurité. Avec Security Lake, vous pouvez également améliorer la protection des charges de travail, des applications et des données.

Security Lake automatise la collecte des données relatives aux journaux et aux événements liés à la sécurité à partir d'une solution intégrée AWS services et services tiers. Il vous aide également à gérer le cycle de vie des données grâce à des paramètres de conservation personnalisables. Le lac de données est soutenu par des compartiments Amazon S3, et vous restez propriétaire de vos données. Security Lake convertit les données ingérées au format Apache Parquet et en un schéma open source standard appelé Open Cybersecurity Schema Framework ()OCSF. Grâce à OCSF l'assistance, Security Lake normalise et combine les données de sécurité provenant de AWS et un large éventail de sources de données de sécurité d'entreprise.

Autre AWS les services et les services tiers peuvent s'abonner aux données stockées dans Security Lake pour la réponse aux incidents et l'analyse des données de sécurité.

Amazon Verified Permissions

Amazon Verified Permissions est un service de gestion et d'autorisation des autorisations évolutif et précis pour les applications personnalisées que vous avez créées. Les autorisations vérifiées permettent à vos développeurs de créer des applications sécurisées plus rapidement en externalisant les autorisations et en centralisant la gestion et l'administration des politiques.

Verified Permissions utilise Cedar, un langage de politique open sourceSDK, pour définir des autorisations précises pour les utilisateurs de l'application. Votre modèle d'autorisation est défini à l'aide de types principaux, de types de ressources et d'actions valides, afin de contrôler qui peut effectuer quelles actions sur quelles ressources dans un contexte d'application donné. Les modifications de politique sont auditées afin que vous puissiez voir qui les a apportées et quand.

AWS Artifact

AWS Artifactest votre ressource centrale de référence pour les informations relatives à la conformité qui vous intéressent. Il fournit un accès à la demande à AWS des rapports de sécurité et de conformité et certains accords en ligne. Rapports disponibles en AWS Artifact incluez nos rapports de contrôle de l'organisation des services (SOC), nos rapports sur le secteur des cartes de paiement (PCI) et les certifications des organismes d'accréditation de toutes les zones géographiques et de tous les secteurs de conformité qui valident la mise en œuvre et l'efficacité opérationnelle de AWS contrôles de sécurité. Contrats disponibles en AWS Artifact inclure le Business Associate Addendum (BAA) et l'accord de confidentialité ()NDA.

AWS Audit Manager

AWS Audit Managervous aide à auditer en permanence votre AWS utilisation pour simplifier la façon dont vous évaluez les risques et la conformité aux réglementations et aux normes du secteur. Audit Manager automatise la collecte de preuves afin de réduire les tâches manuelles souvent associées aux audits et de vous permettre d'étendre vos capacités d'audit dans le cloud à mesure que votre entreprise se développe. Avec Audit Manager, il est facile d'évaluer si vos politiques, procédures et activités (également appelées contrôles) fonctionnent efficacement. Quand vient le moment d'effectuer un audit, AWS Audit Manager vous aide à gérer les révisions de vos contrôles par les parties prenantes et vous permet de créer des rapports prêts pour l'audit avec beaucoup moins d'efforts manuels.

Le AWS Audit Manager les frameworks prédéfinis aident à traduire les preuves issues des services cloud en rapports conviviaux pour les auditeurs en cartographiant votre AWS ressources répondant aux exigences des normes ou réglementations du secteur, telles que CIS AWS Foundations Benchmark, le règlement général sur la protection des données (GDPR) et la norme de sécurité des données du secteur des cartes de paiement (PCIDSS). Vous pouvez également personnaliser entièrement un framework et ses contrôles en fonction des besoins spécifiques de votre entreprise. Sur la base du cadre que vous sélectionnez, Audit Manager lance une évaluation qui collecte et organise en permanence les preuves pertinentes provenant de votre AWS comptes et ressources, tels que les instantanés de configuration des ressources, l'activité des utilisateurs et les résultats des contrôles de conformité.

Vous pouvez démarrer rapidement dans AWS Management Console. Il vous suffit de sélectionner un cadre prédéfini pour lancer une évaluation et de commencer à collecter et à organiser automatiquement les preuves.

AWS Certificate Manager

AWS Certificate Managerest un service qui vous permet de fournir, de gérer et de déployer facilement des certiﬁcats Secure Sockets Layer/Transport Layer Security (SSL/TLS) à utiliser avec AWS vos services et vos ressources internes connectées. SSL/les TLS certiﬁcats sont utilisés pour sécuriser les communications réseau et établir l'identité des sites Web sur Internet ainsi que des ressources sur les réseaux privés. AWS Certificate Manager élimine le processus manuel fastidieux d'achat, de téléchargement et de SSL renouvellement/des certiﬁcats. TLS

Avec AWS Certificate Manager, vous pouvez rapidement demander un certificat, le déployer sur ACM -integrated AWS des ressources, telles que Elastic Load Balancing, CloudFront les distributions Amazon et APIs on API Gateway, et let AWS Certificate Manager gérer les renouvellements de certificats. Il vous permet également de créer des certificats privés pour vos ressources internes et de gérer le cycle de vie des certificats de manière centralisée. Certificats publics et privés fournis via AWS Certificate Manager à utiliser avec ACM -les services intégrés sont gratuits. Vous ne payez que pour AWS les ressources que vous créez pour exécuter votre application.

Avec AWS Private Certificate Authority, vous payez mensuellement pour le fonctionnement de l'autorité de certification privée (CA) et pour les certificats privés que vous émettez. Vous bénéficiez d'un service d'autorité de certification privée hautement disponible, sans l'investissement initial et les coûts de maintenance permanents liés à l'exploitation de votre propre autorité de certification privée.

AWS CloudHSM

L'interface AWS CloudHSMest un module de sécurité matérielle basé sur le cloud (HSM) qui vous permet de générer et d'utiliser facilement vos propres clés de chiffrement sur le AWS Cloud. Avec AWS CloudHSM, vous pouvez gérer vos propres clés de chiffrement à l'aide de clés FIPS 140-2 dédiées validées au niveau 3. HSMs AWS CloudHSM vous offre la flexibilité nécessaire pour intégrer vos applications à l'aide des bibliothèques standardAPIs, telles que PKCS #11, Java Cryptography Extensions (JCE) et Microsoft CryptoNG (CNG).

AWS CloudHSM est conforme aux normes et vous permet d'exporter toutes vos clés vers la plupart des autres produits disponibles dans le commerceHSMs, en fonction de vos configurations. Il s'agit d'un service entièrement géré qui automatise pour vous les tâches administratives fastidieuses, telles que le provisionnement du matériel, l'application de correctifs logiciels, la haute disponibilité et les sauvegardes. AWS CloudHSM vous permet également d'évoluer rapidement en ajoutant et en supprimant de la HSM capacité à la demande, sans frais initiaux.

AWS Directory Service

AWS Directory Servicepour Microsoft Active Directory, également connu sous le nom de AWS Managed Microsoft AD, permet à vos charges de travail et à vos AWS ressources sensibles aux annuaires d'utiliser Active Directory géré dans AWS Cloud. AWS Managed Microsoft AD est basé sur Microsoft Active Directory et ne vous oblige pas à synchroniser ou à répliquer les données de votre Active Directory existant vers le cloud. Vous pouvez utiliser les outils d'administration Active Directory standard et tirer parti des fonctionnalités intégrées d'Active Directory telles que la stratégie de groupe et l'authentification unique (SSO). Avec AWS Managed Microsoft AD, vous pouvez facilement associer des instances Amazon EC2 et Amazon RDS for SQL Server à un domaine et utiliser des applications informatiques AWS d'entreprise telles qu'Amazon WorkSpaces avec des utilisateurs et des groupes Active Directory.

AWS Firewall Manager

AWS Firewall Managerest un service de gestion de la sécurité qui vous permet de configurer et de gérer de manière centralisée les règles de pare-feu pour vos comptes et applications dans AWS Organizations. À mesure que de nouvelles applications sont créées, Firewall Manager facilite la mise en conformité des nouvelles applications et ressources en appliquant un ensemble commun de règles de sécurité. Vous disposez désormais d'un service unique pour créer des règles de pare-feu, créer des politiques de sécurité et les appliquer de manière cohérente et hiérarchique sur l'ensemble de votre infrastructure, à partir d'un compte d'administrateur central.

AWS Identity and Access Management

AWS Identity and Access Management(IAM) vous permet de contrôler en toute sécurité l'accès à AWS services et ressources pour votre AWS utilisateurs, groupes et rôles. Vous pouvez ainsi créer et gérer des contrôles d'accès précis avec des autorisations, spécifier qui peut accéder à quels services et ressources, et dans quelles conditions. IAM IAMvous permet d'effectuer les opérations suivantes :

Vous gérez AWS autorisations pour votre personnel, vos utilisateurs et vos charges de travail dans AWS IAM Identity Center(Centre IAM d'identité). IAMIdentity Center vous permet de gérer l'accès des utilisateurs sur plusieurs AWS comptes. En quelques clics, vous pouvez activer un service hautement disponible, gérer facilement l'accès à plusieurs comptes et les autorisations d'accès à tous vos comptes dans AWS Organizationscentralement. IAMIdentity Center inclut SAML des intégrations intégrées à de nombreuses applications professionnelles, telles que Salesforce, Box et Microsoft Office 365. En outre, vous pouvez créer des intégrations au Security Assertion Markup Language (SAML) 2.0 et étendre l'accès par authentification unique à toutes vos SAML applications compatibles. Vos utilisateurs se connectent simplement à un portail utilisateur à l'aide des informations d'identification qu'ils configurent ou en utilisant leurs informations d'identification d'entreprise existantes pour accéder à tous les comptes et applications qui leur sont attribués à partir d'un seul endroit.
Gérer les IAM autorisations d'un seul compte : vous pouvez spécifier l'accès à AWS ressources utilisant des autorisations. Vos IAM entités (utilisateurs, groupes et rôles) démarrent par défaut sans aucune autorisation. Ces identités peuvent se voir accorder des autorisations en joignant une IAM politique qui spécifie le type d'accès, les actions qui peuvent être effectuées et les ressources sur lesquelles les actions peuvent être effectuées. Vous pouvez également spécifier les conditions qui doivent être définies pour que l'accès soit autorisé ou refusé.
Gérez les IAM rôles à compte unique : IAM les rôles vous permettent de déléguer l'accès à des utilisateurs ou à des services qui n'ont normalement pas accès aux AWS ressources. IAMutilisateurs ou AWS les services peuvent assumer un rôle pour obtenir un identifiant de sécurité temporaire qui sera utilisé pour AWS APIappels. Vous n'êtes pas obligé de partager des informations d'identification à long terme ou de définir des autorisations pour chaque identité.

AWS Key Management Service

AWS Key Management Service (AWS KMS) vous permet de créer et de gérer facilement des clés cryptographiques et de contrôler leur utilisation dans un large éventail de AWS services et dans vos applications. AWS KMS utilise des modules de sécurité matériels (HSM) pour protéger et valider votre AWS KMS clés dans le cadre du programme de FIPSvalidation du module cryptographique 140-2. AWS KMS est intégré à AWS CloudTrail pour vous fournir des journaux de toutes les utilisations clés afin de répondre à vos besoins en matière de réglementation et de conformité.

AWS Network Firewall

AWS Network Firewallest un service géré qui facilite le déploiement des protections réseau essentielles pour tous vos Amazon Virtual Private Clouds (VPCs). Le service peut être configuré en quelques clics et s'adapte automatiquement à votre trafic réseau. Vous n'avez donc pas à vous soucier du déploiement et de la gestion de toute infrastructure. Le moteur de règles flexibles de AWS Network Firewall vous permet de définir des règles de pare-feu qui vous permettent de contrôler avec précision le trafic réseau, par exemple en bloquant les demandes sortantes de Server Message Block (SMB) pour empêcher la propagation d'activités malveillantes. Vous pouvez également importer des règles que vous avez déjà écrites dans des formats de règles open source courants et permettre des intégrations avec des flux de renseignements gérés provenant de AWS Les partenaires. AWS Network Firewall travaille en collaboration avec AWS Firewall Manager afin que vous puissiez élaborer des politiques basées sur AWS Network Firewall puis appliquez ces politiques de manière centralisée à l'ensemble VPCs de vos comptes.

AWS Network Firewall inclut des fonctionnalités qui fournissent une protection contre les menaces réseau courantes. Le AWS Network Firewall Un pare-feu dynamique peut intégrer le contexte des flux de trafic, tel que le suivi des connexions et l'identification des protocoles, pour appliquer des politiques telles que l'interdiction d'accéder à VPCs des domaines à l'aide d'un protocole non autorisé. Le AWS Network Firewall le système de prévention des intrusions (IPS) fournit une inspection active du flux de trafic afin que vous puissiez identifier et bloquer les vulnérabilités à l'aide d'une détection basée sur les signatures. AWS Network Firewall propose également un filtrage Web qui peut arrêter le trafic vers des noms de domaine connus URLs et surveiller les noms de domaine entièrement qualifiés.

Il est facile de démarrer avec AWS Network Firewall en accédant à la VPCconsole Amazon pour créer ou importer vos règles de pare-feu, les regrouper en politiques et les appliquer à ce que VPCs vous souhaitez protéger. AWS Network Firewall la tarification est basée sur le nombre de pare-feux déployés et le volume de trafic inspecté. Il n'y a aucun engagement initial et vous ne payez que pour ce que vous utilisez.

AWS Resource Access Manager

AWS Resource Access Manager (AWS RAM) vous permet de partager en toute sécurité vos ressources entre AWS comptes, au sein de votre organisation ou de vos unités organisationnelles (OUs) dans AWS Organizations, ainsi qu'avec les IAM rôles et IAM les utilisateurs pour les types de ressources pris en charge. Vous pouvez utiliser … AWS RAM pour partager des passerelles de transit, des sous-réseaux, AWS License Manager configurations de licence, règles Amazon Route 53 Resolver et autres types de ressources.

De nombreuses entreprises utilisent plusieurs comptes pour isoler l'administration ou la facturation et pour limiter l'impact des erreurs. Avec AWS RAM, vous n'avez pas besoin de créer des ressources dupliquées dans plusieurs AWS comptes. Cela réduit les frais opérationnels liés à la gestion des ressources de chaque compte que vous possédez. Au lieu de cela, dans votre environnement multi-comptes, vous pouvez créer une ressource une seule fois et utiliser AWS RAM pour partager cette ressource entre comptes en créant un partage de ressources. Lorsque vous créez un partage de ressources, vous sélectionnez les ressources à partager, vous choisissez un AWS RAM autorisation gérée par type de ressource, et spécifiez à qui vous souhaitez avoir accès aux ressources. AWS RAM est mis à votre disposition sans frais supplémentaires.

AWS Secrets Manager

AWS Secrets Managervous aide à protéger les secrets nécessaires pour accéder à vos applications, services et ressources informatiques. Le service vous permet de faire pivoter, de gérer et de récupérer facilement les informations d'identification, API les clés et autres secrets des bases de données tout au long de leur cycle de vie. Les utilisateurs et les applications récupèrent les secrets à l'aide d'un toSecrets gestionnaire d'appelsAPIs, éliminant ainsi le besoin de coder en dur les informations sensibles en texte brut. Secrets Manager propose une rotation secrète avec intégration intégrée pour AmazonRDS, Amazon Redshift et Amazon DocumentDB. Le service est également extensible à d'autres types de secrets, notamment API les clés et les OAuth jetons. En outre, Secrets Manager vous permet de contrôler l'accès aux secrets à l'aide d'autorisations précises et d'auditer la rotation des secrets de manière centralisée pour les ressources du AWS Cloud, des services tiers et sur site.

AWS Security Hub

AWS Security Hubest un service de gestion de la posture de sécurité dans le cloud qui effectue des vérifications automatisées et continues des meilleures pratiques de sécurité par rapport à votre AWS ressources. Security Hub regroupe vos alertes de sécurité (c'est-à-dire les résultats) provenant de différentes AWS services et produits partenaires dans un format standardisé afin que vous puissiez agir plus facilement sur eux. Pour conserver une vue complète de votre niveau de sécurité dans AWS, vous devez intégrer plusieurs outils et services, notamment les détections de menaces provenant d'Amazon GuardDuty, les vulnérabilités d'Amazon Inspector, les classifications de données sensibles d'Amazon Macie, les problèmes de configuration des ressources de AWS Config, et AWS Partner Network produits. Security Hub simplifie la compréhension et l'amélioration de votre niveau de sécurité grâce à des contrôles automatisés des meilleures pratiques de sécurité optimisés par AWS Config règles et intégrations automatisées avec des dizaines de AWS services et produits partenaires.

Security Hub vous permet de comprendre votre niveau de sécurité global grâce à un score de sécurité consolidé pour l'ensemble de vos AWS comptes, évalue automatiquement la sécurité de vos AWS les ressources des comptes via le AWS Norme relative aux meilleures pratiques de sécurité fondamentales (FSBP) et autres cadres de conformité. Il regroupe également tous vos résultats de sécurité provenant de dizaines de AWS services et APN produits de sécurité réunis en un seul endroit et dans un format uniques via AWS Format de recherche de sécurité (ASFF), et réduit votre délai moyen de correction (MTTR) grâce à une réponse automatisée et à une assistance en matière de correction. Security Hub out-of-the-box intègre les outils de billetterie, de chat, de gestion des informations et des événements de sécurité (SIEM), d'automatisation et de réponse à l'orchestration de la sécurité (SOAR), d'investigation des menaces, de gouvernance, de gestion des risques et de conformité (GRC) et de gestion des incidents afin de fournir à vos utilisateurs un flux de travail complet pour les opérations de sécurité.

Pour démarrer avec Security Hub, il suffit de quelques clics depuis AWS Management Console pour commencer à agréger les résultats et à effectuer des contrôles de sécurité grâce à notre essai gratuit de 30 jours. Vous pouvez intégrer Security Hub à AWS Organizations pour activer automatiquement le service dans tous les comptes de votre organisation.

AWS Shield

AWS Shieldest un service de protection par déni de service distribué (DDoS) géré qui protège les applications Web exécutées sur AWS. AWS Shield vous fournit une détection permanente et des mesures d'atténuation automatiques en ligne qui minimisent les temps d'arrêt et la latence des applications, de sorte qu'il n'est pas nécessaire de s'engager AWS Support pour bénéficier d'DDoSune protection. Il existe deux niveaux de AWS Shield: Standard et avancé.

Tous AWS les clients bénéficient de la protection automatique de AWS Shield Standard, sans frais supplémentaires. AWS Shield Standard protège contre les DDoS attaques les plus courantes et fréquentes sur le réseau et la couche de transport qui ciblent votre site Web ou vos applications. Lorsque vous utilisez AWS Shield Standard avec Amazon CloudFront et Amazon Route 53, vous bénéficiez d'une protection complète de la disponibilité contre toutes les attaques d'infrastructure connues (couches 3 et 4).

Pour bénéficier de niveaux de protection supérieurs contre les attaques ciblant vos applications exécutées sur les ressources Amazon Elastic Compute Cloud (AmazonEC2), Elastic Load Balancing (ELB) CloudFront, Amazon et Amazon Route 53, vous pouvez vous abonner à AWS Shield Advanced. Outre les protections du réseau et de la couche de transport fournies avec la norme, AWS Shield Advanced fournit une détection et une atténuation supplémentaires contre les DDoS attaques sophistiquées et de grande envergure, une visibilité en temps quasi réel sur les attaques et une intégration avec AWS WAF, un pare-feu pour applications Web. AWS Shield Advanced vous donne également accès à l'équipe d'AWSDDoSintervention 24 heures sur 24, 7 jours sur 7 (DRT) et vous protège contre les pics DDoS associés à vos frais Amazon Elastic Compute Cloud (AmazonEC2), Elastic Load Balancing ()ELB, Amazon CloudFront et Amazon Route 53.

AWS Shield Advanced est disponible dans le monde entier sur tous les sites périphériques Amazon CloudFront et Amazon Route 53. Vous pouvez protéger vos applications Web hébergées partout dans le monde CloudFront en déployant Amazon devant votre application. Vos serveurs d'origine peuvent être Amazon S3, Amazon Elastic Compute Cloud (AmazonEC2), Elastic Load Balancing (ELB) ou un serveur personnalisé en dehors de AWS. Vous pouvez également activer AWS Shield Avancée directement sur une adresse IP Elastic ou Elastic Load Balancing (ELB) dans les versions suivantes Régions AWS: Virginie du Nord, Ohio, Oregon, Californie du Nord, Montréal, São Paulo, Irlande, Francfort, Londres, Paris, Stockholm, Singapour, Tokyo, Sydney, Séoul, Mumbai, Milan et Le Cap.

AWS IAM Identity Center

AWS IAM Identity Center(SSO) est un SSO service cloud qui facilite la gestion centralisée de SSO l'accès à plusieurs AWS comptes et applications professionnelles. En quelques clics, vous pouvez activer un SSO service hautement disponible sans les investissements initiaux et les coûts de maintenance permanents liés à l'exploitation de votre propre infrastructure. SSO Avec IAM Identity Center, vous pouvez facilement gérer l'SSOaccès et les autorisations des utilisateurs à tous vos comptes dans AWS Organizationscentralement. IAMIdentity Center inclut également SAML des intégrations intégrées à de nombreuses applications professionnelles, telles que Salesforce, Box et Microsoft Office 365. En outre, à l'aide de l'assistant de configuration de l'application IAM Identity Center, vous pouvez créer des intégrations avec le Security Assertion Markup Language (SAML) 2.0 et étendre l'SSOaccès à n'importe laquelle de vos applications SAML compatibles. Vos utilisateurs se connectent simplement à un portail utilisateur à l'aide des informations d'identification qu'ils configurent dans IAM Identity Center ou en utilisant leurs informations d'identification d'entreprise existantes pour accéder à tous les comptes et applications qui leur sont attribués depuis un seul endroit.

AWS WAF

AWS WAFest un pare-feu d'applications Web qui aide à protéger vos applications Web APIs contre les exploits Web courants et les robots susceptibles d'affecter la disponibilité, de compromettre la sécurité ou de consommer des ressources excessives. AWS WAF vous permet de contrôler la manière dont le trafic atteint vos applications en vous permettant de créer des règles de sécurité qui contrôlent le trafic des robots et bloquent les modèles d'attaque courants, tels que l'SQLinjection ou les scripts intersites. Vous pouvez également personnaliser les règles qui filtrent des modèles de trafic spécifiques. Vous pouvez démarrer rapidement en utilisant les règles gérées pour AWS WAF, un ensemble de règles préconfiguré géré par AWS or AWS Marketplace vendeurs chargés de résoudre des problèmes tels que les 10 OWASP principaux risques de sécurité et les robots automatisés qui consomment des ressources excessives, faussent les indicateurs ou peuvent provoquer des temps d'arrêt. Ces règles sont régulièrement mises à jour à mesure que de nouveaux problèmes apparaissent. AWS WAF inclut une fonctionnalité complète API que vous pouvez utiliser pour automatiser la création, le déploiement et la maintenance des règles de sécurité.

AWS WAF Captcha

AWSWAFLe captcha aide à bloquer le trafic indésirable des bots en obligeant les utilisateurs à relever avec succès les défis avant que leur demande Web ne soit autorisée à atteindre AWS WAF ressources protégées. Vous pouvez configurer AWS WAF règles exigeant que les défis liés aux WAF captcha soient résolus pour des ressources spécifiques fréquemment ciblées par des robots, telles que la connexion, la recherche et les soumissions de formulaires. Vous pouvez également exiger des défis WAF Captcha pour les demandes suspectes en fonction du taux, des attributs ou des étiquettes générés à partir de AWS Managed Rules, comme AWS WAF Bot Control ou la liste Amazon IP Reputation. WAFLes défis liés aux captchas sont simples pour les humains tout en restant efficaces contre les bots. WAFLe captcha inclut une version audio et est conçu pour répondre aux exigences d'accessibilité des directives d'accessibilité du contenu Web (WCAG).