Contrôles du périmètre de données Périmètre d’identité Périmètre de ressource Périmètre de réseau Ressources utiles sur les périmètres de données

Mettez en place des barrières de protection des autorisations à l’aide de périmètres de données

Les barrières de protection du périmètre des données sont conçues pour servir de limites permanentes afin de protéger vos données sur un large éventail de comptes et de AWS ressources. Les périmètres de données suivent les pratiques exemplaires de sécurité IAM pour établir des garde-fous d’autorisation sur plusieurs comptes. Ces garde-fous relatifs aux autorisations à l’échelle de l’organisation ne remplacent pas vos contrôles d’accès précis existants. Ils fonctionnent plutôt comme des contrôles d’accès grossiers qui aident à améliorer votre politique en matière de sécurité, en garantissant que les utilisateurs, les rôles et les ressources respectent un ensemble de normes de sécurité définies.

Un périmètre de données est un ensemble de barrières d'autorisation dans votre AWS environnement qui permettent de garantir que seules vos identités fiables accèdent aux ressources fiables des réseaux attendus.

Identités fiables : principaux (rôles ou utilisateurs IAM) de vos AWS comptes et AWS services agissant en votre nom.
Ressources fiables : ressources détenues par vos AWS comptes ou par AWS des services agissant en votre nom.
Réseaux attendus : vos centres de données sur site et vos clouds privés virtuels (VPCs), ou réseaux de AWS services agissant en votre nom.

Note

Dans certains cas, il se peut que vous ayez besoin d’étendre le périmètre de vos données afin d’inclure également l’accès par vos partenaires commerciaux de confiance. Vous devez prendre en compte tous les modèles d’accès aux données prévus lorsque vous créez une définition des identités de confiance, des ressources de confiance et des réseaux attendus propres à votre entreprise et à votre utilisation des Services AWS.

Les contrôles du périmètre des données doivent être traités comme tout autre contrôle de sécurité dans le cadre du programme de sécurité de l’information et de gestion des risques. Cela signifie que vous devez effectuer une analyse des menaces afin d’identifier les risques potentiels au sein de votre environnement cloud, puis, en fonction de vos propres critères d’acceptation des risques, sélectionner et mettre en œuvre des contrôles de périmètre de données appropriés. Pour mieux orienter l’approche itérative basée sur les risques en matière de mise en œuvre du périmètre des données, vous devez comprendre quels risques de sécurité et quels vecteurs de menace sont pris en compte par les contrôles du périmètre des données, ainsi que vos priorités en matière de sécurité.

Contrôles du périmètre de données

Les contrôles grossiers du périmètre des données vous aident à atteindre six objectifs de sécurité distincts sur trois périmètres de données grâce à la mise en œuvre de différentes combinaisons des Types de politique et des clés de condition.

Périmètre	Objectif de contrôle	Utilisation	Appliqué sur	Clé de contexte de condition globale
Identity	Seules les identités de confiance peuvent accéder à mes ressources	RCP	Ressources	lois : PrincipalOrg ID lois : PrincipalOrgPaths lois : PrincipalAccount lois : PrincipalIsAwsService lois : SourceOrg ID lois : SourceOrgPath lois : SourceAccount
Identity	Seules les identités de confiance sont autorisées à partir de mon réseau	Politique de point de terminaison d'un VPC	Réseau
Ressources	Vos identités ne peuvent accéder qu’à des ressources de confiance	SCP	Identités	lois : ResourceOrg ID lois : ResourceOrgPaths lois : ResourceAccount
Ressources	Seules les ressources de confiance sont accessibles à partir de votre réseau	Politique de point de terminaison d'un VPC	Réseau
Réseau	Vos identités ne peuvent accéder aux ressources qu’à partir des réseaux attendus	SCP	Identités	lois : SourceIp lois : SourceVpc lois : SourceVpce AWS : via AWSService lois : PrincipalIsAwsService
Réseau	Vos ressources ne sont accessibles qu’à partir des réseaux attendus	RCP	Ressources

Vous pouvez considérer les périmètres de données comme la création d’une frontière stricte autour de vos données afin d’empêcher les schémas d’accès involontaires. Bien que les périmètres de données puissent empêcher tout accès involontaire à grande échelle, vous devez tout de même prendre des décisions précises en matière de contrôle d’accès. L’établissement d’un périmètre de données ne diminue en rien la nécessité d’affiner en permanence les autorisations en utilisant des outils tels que l’analyseur d’accès IAM dans le cadre de votre parcours vers le principe du moindre privilège.

Pour appliquer des contrôles du périmètre des données aux ressources qui ne sont actuellement pas prises en charge par RCPs, vous pouvez utiliser des politiques basées sur les ressources qui sont directement associées aux ressources. Pour obtenir la liste des services qui prennent en charge RCPs les politiques basées sur les ressources, voir Politiques de contrôle des ressources (RCPs) et. AWS services qui fonctionnent avec IAM

Périmètre d’identité

Un périmètre d’identité est un ensemble de contrôles d’accès préventifs grossiers qui permettent de garantir que seules les identités de confiance peuvent accéder à vos ressources et que seules ces identités de confiance sont autorisées sur votre réseau. Les identités fiables incluent les principaux (rôles ou utilisateurs) de vos AWS comptes et les AWS services agissant en votre nom. Toutes les autres identités sont considérées comme non fiables et sont bloquées par le périmètre d’identité, à moins qu’une exception explicite ne soit accordée.

Les clés de condition globales suivantes permettent de renforcer les contrôles du périmètre d’identité. Utilisez ces clés dans les politiques de contrôle des ressources pour restreindre l’accès aux ressources, ou dans les politiques de point de terminaison de VPC pour restreindre l’accès à vos réseaux.

aws:PrincipalOrgID : vous pouvez utiliser cette clé de condition pour vous assurer que les principaux IAM à l’origine de la requête appartiennent à l’organisation spécifiée dans AWS Organizations.
aws:PrincipalOrgPaths— Vous pouvez utiliser cette clé de condition pour vous assurer que l'utilisateur IAM, le rôle IAM, l'utilisateur principal AWS STS fédéré, le principal fédéré SAML, le principal fédéré OIDC ou l'auteur de la demande appartiennent à l' Utilisateur racine d'un compte AWS unité organisationnelle (UO) spécifiée dans. AWS Organizations
aws:PrincipalAccount : vous pouvez utiliser cette clé de condition pour garantir que les ressources ne sont accessibles qu’au compte du principal que vous spécifiez dans la politique.
aws:PrincipalIsAWSService et aws:SourceOrgID (alternativement aws:SourceOrgPaths et aws:SourceAccount) : vous pouvez utiliser ces clés de condition pour vous assurer que lorsque les principaux d’Service AWS accèdent à vos ressources, ils ne le font que pour le compte d’une ressource de l’organisation, de l’unité d’organisation ou d’un compte spécifié dans AWS Organizations.

Pour plus d'informations, voir Établissement d'un périmètre de données sur AWS : Autoriser uniquement les identités fiables à accéder aux données de l'entreprise.

Périmètre de ressource

Un périmètre de ressource est un ensemble de contrôles d’accès préventifs grossiers qui permettent de garantir que vos identités ne peuvent accéder qu’aux ressources de confiance et que seules les ressources de confiance sont accessibles depuis votre réseau. Les ressources fiables incluent les ressources détenues par vos AWS comptes ou par AWS des services agissant en votre nom.

Les clés de condition globales suivantes permettent de renforcer les contrôles du périmètre de ressource. Utilisez ces clés dans les politiques de contrôle des services (SCPs) pour restreindre les ressources auxquelles vos identités peuvent accéder, ou dans les politiques de point de terminaison VPC pour restreindre les ressources accessibles depuis vos réseaux.

aws:ResourceOrgID : vous pouvez utiliser cette clé de condition pour vous assurer que la ressource à laquelle vous accédez appartient à l’organisation spécifiée dans AWS Organizations.
aws:ResourceOrgPaths : vous pouvez utiliser cette clé de condition pour vous assurer que la ressource à laquelle vous accédez appartient à l’unité d’organisation (UO) spécifiée dans AWS Organizations.
aws:ResourceAccount : vous pouvez utiliser cette clé de condition pour vous assurer que la ressource à laquelle vous accédez appartient au compte spécifié dans AWS Organizations.

Dans certains cas, vous devrez peut-être autoriser l'accès à des ressources AWS détenues, à des ressources qui n'appartiennent pas à votre organisation et auxquelles ont accès vos mandants ou des AWS services agissant en votre nom. Pour plus d'informations sur ces scénarios, voir Établissement d'un périmètre de données sur AWS : Autoriser uniquement les ressources fiables de mon organisation.

Périmètre de réseau

Un périmètre réseau est un ensemble de contrôles d’accès préventifs grossiers qui permettent de garantir que vos identités ne peuvent accéder aux ressources qu’à partir des réseaux attendus et que vos ressources ne sont accessibles qu’à partir des réseaux attendus. Les réseaux attendus incluent vos centres de données sur site, vos clouds privés virtuels (VPCs) et les réseaux de AWS services agissant en votre nom.

Les clés de condition globales suivantes permettent de renforcer les contrôles du périmètre de réseau. Utilisez ces clés dans les politiques de contrôle des services (SCPs) pour restreindre les réseaux à partir desquels vos identités peuvent communiquer, ou dans les politiques de contrôle des ressources (RCPs) pour restreindre l'accès aux ressources aux réseaux attendus.

aws:SourceIp : vous pouvez utiliser cette clé de condition pour vous assurer que l’adresse IP de l’émetteur de la requête se situe dans une plage d’adresses IP spécifiée.
aws:SourceVpc : vous pouvez utiliser cette clé de condition pour vous assurer que le point de terminaison du VPC par lequel transite la requête appartient au VPC spécifié.
aws:SourceVpce : vous pouvez utiliser cette clé de condition pour vous assurer que la requête passe par le point de terminaison de VPC spécifié.
aws:ViaAWSService— Vous pouvez utiliser cette clé de condition pour vous assurer que vous Services AWS pouvez faire des demandes au nom de votre principal utilisateur Transmission des sessions d'accès (FAS).
aws:PrincipalIsAWSService— Vous pouvez utiliser cette clé de condition pour vous assurer que vous Services AWS pouvez accéder à vos ressources en utilisantAWS principes de service.

Il existe d'autres scénarios dans lesquels vous devez autoriser l'accès Services AWS à ces ressources depuis l'extérieur de votre réseau. Pour plus d'informations, voir Établissement d'un périmètre de données sur AWS : Autoriser l'accès aux données de l'entreprise uniquement à partir des réseaux attendus.

Ressources utiles sur les périmètres de données

Les ressources suivantes peuvent vous aider à en savoir plus sur les périmètres de données au sein d’ AWS.

Périmètres de données activés AWS : découvrez les périmètres de données, leurs avantages et leurs cas d'utilisation.
Série d'articles de blog : Établissement d'un périmètre de données sur AWS — Ces articles de blog fournissent des conseils prescriptifs sur l'établissement de votre périmètre de données à grande échelle, y compris les principales considérations relatives à la sécurité et à la mise en œuvre.
Exemples de politiques de périmètre de données — Ce GitHub référentiel contient des exemples de politiques qui couvrent certains modèles courants pour vous aider à implémenter un périmètre de données sur AWS.
Data Perimeter Helper : cet outil vous aide à concevoir et à anticiper l’impact de vos contrôles de périmètre de données en analysant les activités d’accès dans vos journaux AWS CloudTrail.
Livre blanc : Building a Data Perimeter on AWS — Ce document décrit les meilleures pratiques et les services disponibles pour créer un périmètre autour de vos identités, de vos ressources et de vos réseaux dans. AWS
Webinaire : Création d'un périmètre de données dans AWS — Découvrez où et comment mettre en œuvre des contrôles du périmètre des données en fonction de différents scénarios de risque.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Politiques gérées déconseillées AWS

Limites d'autorisations