Contrôles du périmètre de données Périmètre d’identité Périmètre de ressource Périmètre de réseau Ressources utiles sur les périmètres de données

Mettez en place des barrières de protection des autorisations à l’aide de périmètres de données

Les barrières de protection du périmètre des données sont conçues pour servir de limites permanentes afin de protéger vos données sur un large éventail de comptes et de AWS ressources. Les périmètres de données suivent les pratiques exemplaires de sécurité IAM pour établir des garde-fous d’autorisation sur plusieurs comptes. Ces garde-fous relatifs aux autorisations à l’échelle de l’organisation ne remplacent pas vos contrôles d’accès précis existants. Ils fonctionnent plutôt comme des contrôles d’accès grossiers qui aident à améliorer votre politique en matière de sécurité, en garantissant que les utilisateurs, les rôles et les ressources respectent un ensemble de normes de sécurité définies.

Un périmètre de données est un ensemble de barrières d'autorisation dans votre AWS environnement qui permettent de garantir que seules vos identités fiables accèdent aux ressources fiables des réseaux attendus.

Identités fiables : principaux (rôles ou utilisateurs IAM) de vos AWS comptes et AWS services agissant en votre nom.
Ressources fiables : ressources détenues par vos AWS comptes ou par AWS des services agissant en votre nom.
Réseaux attendus : vos centres de données sur site et vos clouds privés virtuels (VPCs), ou réseaux de AWS services agissant en votre nom.

Note

Dans certains cas, il se peut que vous ayez besoin d’étendre le périmètre de vos données afin d’inclure également l’accès par vos partenaires commerciaux de confiance. Vous devez prendre en compte tous les modèles d’accès aux données prévus lorsque vous créez une définition des identités de confiance, des ressources de confiance et des réseaux attendus propres à votre entreprise et à votre utilisation des Services AWS.

Les contrôles du périmètre des données doivent être traités comme tout autre contrôle de sécurité dans le cadre du programme de sécurité de l’information et de gestion des risques. Cela signifie que vous devez effectuer une analyse des menaces afin d’identifier les risques potentiels au sein de votre environnement cloud, puis, en fonction de vos propres critères d’acceptation des risques, sélectionner et mettre en œuvre des contrôles de périmètre de données appropriés. Pour mieux orienter l’approche itérative basée sur les risques en matière de mise en œuvre du périmètre des données, vous devez comprendre quels risques de sécurité et quels vecteurs de menace sont pris en compte par les contrôles du périmètre des données, ainsi que vos priorités en matière de sécurité.

Contrôles du périmètre de données

Les contrôles grossiers du périmètre des données vous aident à atteindre six objectifs de sécurité distincts sur trois périmètres de données grâce à la mise en œuvre de différentes combinaisons des Types de politique et des clés de condition.

Périmètre	Objectif de contrôle	Utilisation	Appliqué sur	Clé de contexte de condition globale
Identity	Seules les identités de confiance peuvent accéder à mes ressources	RCP	Ressources	lois : PrincipalOrg ID lois : PrincipalOrgPaths lois : PrincipalAccount lois : PrincipalIsAwsService lois : SourceOrg ID lois : SourceOrgPath lois : SourceAccount
Identity	Seules les identités de confiance sont autorisées à partir de mon réseau	Politique de point de terminaison d'un VPC	Réseau
Ressources	Vos identités ne peuvent accéder qu’à des ressources de confiance	SCP	Identités	lois : ResourceOrg ID lois : ResourceOrgPaths lois : ResourceAccount
Ressources	Seules les ressources de confiance sont accessibles à partir de votre réseau	Politique de point de terminaison d'un VPC	Réseau
Réseau	Vos identités ne peuvent accéder aux ressources qu’à partir des réseaux attendus	SCP	Identités	lois : SourceIp lois : SourceVpc lois : SourceVpce lois : VpceAccount lois : VpceOrgPaths lois : VpceOrg ID AWS : via AWSService lois : PrincipalIsAwsService
Réseau	Vos ressources ne sont accessibles qu’à partir des réseaux attendus	RCP	Ressources

Vous pouvez considérer les périmètres de données comme la création d’une frontière stricte autour de vos données afin d’empêcher les schémas d’accès involontaires. Bien que les périmètres de données puissent empêcher tout accès involontaire à grande échelle, vous devez tout de même prendre des décisions précises en matière de contrôle d’accès. L’établissement d’un périmètre de données ne diminue en rien la nécessité d’affiner en permanence les autorisations en utilisant des outils tels que l’analyseur d’accès IAM dans le cadre de votre parcours vers le principe du moindre privilège.

Pour appliquer des contrôles du périmètre des données aux ressources qui ne sont actuellement pas prises en charge par RCPs, vous pouvez utiliser des politiques basées sur les ressources qui sont directement associées aux ressources. Pour obtenir la liste des services qui prennent en charge RCPs les politiques basées sur les ressources, voir Politiques de contrôle des ressources (RCPs) et. AWS services qui fonctionnent avec IAM

Pour renforcer les contrôles du périmètre du réseau, nous vous recommandons d'utiliser aws:VpceOrgIDaws:VpceOrgPaths, et aws:VpceAccount uniquement si tous les services auxquels vous souhaitez restreindre l'accès sont actuellement pris en charge. L'utilisation de ces clés de condition avec des services non pris en charge peut entraîner des résultats d'autorisation imprévus. Pour obtenir la liste des services qui prennent en charge les clés, consultez leAWS clés contextuelles de condition globale. Si vous devez appliquer les contrôles à un plus large éventail de services, pensez à utiliser aws:SourceVpc et à la aws:SourceVpce place.

Périmètre d’identité

Un périmètre d’identité est un ensemble de contrôles d’accès préventifs grossiers qui permettent de garantir que seules les identités de confiance peuvent accéder à vos ressources et que seules ces identités de confiance sont autorisées sur votre réseau. Les identités fiables incluent généralement les principaux (rôles ou utilisateurs) de vos AWS comptes et les AWS services agissant en votre nom. Toutes les autres identités sont considérées comme non fiables et sont bloquées par le périmètre d’identité, à moins qu’une exception explicite ne soit accordée.

Les clés de condition globales suivantes permettent de renforcer les contrôles du périmètre d'identité en fonction de votre définition des identités fiables. Utilisez ces clés dans les politiques de contrôle des ressources pour restreindre l'accès aux ressources, ou dans les politiques de point de terminaison VPC pour restreindre l'accès à vos réseaux.

Identités que vous détenez

Vous pouvez utiliser les clés de condition suivantes pour définir les principes IAM que vous créez et gérez dans votre. Comptes AWS

aws:PrincipalOrgID : vous pouvez utiliser cette clé de condition pour vous assurer que les principaux IAM à l’origine de la requête appartiennent à l’organisation spécifiée dans AWS Organizations.
aws:PrincipalOrgPaths— Vous pouvez utiliser cette clé de condition pour vous assurer que l'utilisateur IAM, le rôle IAM, l'utilisateur principal AWS STS fédéré, le principal fédéré SAML, le principal fédéré OIDC ou l'auteur de la demande appartiennent à l' Utilisateur racine d'un compte AWS unité organisationnelle (UO) spécifiée dans. AWS Organizations
aws:PrincipalAccount : vous pouvez utiliser cette clé de condition pour garantir que les ressources ne sont accessibles qu’au compte du principal que vous spécifiez dans la politique.

Identités des AWS services agissant en votre nom

Vous pouvez utiliser les clés de condition suivantes pour permettre aux AWS services d'utiliser leur propre identité pour accéder à vos ressources lorsqu'ils agissent en votre nom.

aws:PrincipalIsAWSServiceet aws:SourceOrgID (ou aws:SourceOrgPaths etaws:SourceAccount) — Vous pouvez utiliser ces clés de condition pour vous assurer que lorsque Service AWS les principaux accèdent à vos ressources, ils le font uniquement pour le compte d'une ressource de l'organisation, de l'unité organisationnelle ou d'un compte dans AWS Organizations lequel vous vous trouvez.

Pour plus d'informations, voir Établissement d'un périmètre de données sur AWS : Autoriser uniquement les identités fiables à accéder aux données de l'entreprise.

Périmètre de ressource

Un périmètre de ressource est un ensemble de contrôles d’accès préventifs grossiers qui permettent de garantir que vos identités ne peuvent accéder qu’aux ressources de confiance et que seules les ressources de confiance sont accessibles depuis votre réseau. Les ressources fiables incluent généralement les ressources détenues par vos AWS comptes ou par AWS des services agissant en votre nom.

Les clés de condition globales suivantes permettent de renforcer les contrôles du périmètre des ressources en fonction de votre définition des ressources fiables. Utilisez ces clés dans les politiques de contrôle des services (SCPs) pour restreindre les ressources accessibles par vos identités, ou dans les politiques de point de terminaison VPC pour restreindre les ressources accessibles depuis vos réseaux.

Ressources que vous détenez

Vous pouvez utiliser les clés de condition suivantes pour définir les AWS ressources que vous créez et gérez dans votre Comptes AWS.

aws:ResourceOrgID : vous pouvez utiliser cette clé de condition pour vous assurer que la ressource à laquelle vous accédez appartient à l’organisation spécifiée dans AWS Organizations.
aws:ResourceOrgPaths : vous pouvez utiliser cette clé de condition pour vous assurer que la ressource à laquelle vous accédez appartient à l’unité d’organisation (UO) spécifiée dans AWS Organizations.
aws:ResourceAccount— Vous pouvez utiliser cette clé de condition pour vous assurer que la ressource à laquelle vous accédez appartient à la ressource spécifiée Compte AWS.

Ressources des AWS services agissant en votre nom

Dans certains cas, vous devrez peut-être autoriser l'accès à des ressources AWS détenues, à des ressources qui n'appartiennent pas à votre organisation et auxquelles ont accès vos mandants ou des AWS services agissant en votre nom. Pour plus d'informations sur ces scénarios, voir Établissement d'un périmètre de données sur AWS : Autoriser uniquement les ressources fiables de mon organisation.

Périmètre de réseau

Un périmètre réseau est un ensemble de contrôles d’accès préventifs grossiers qui permettent de garantir que vos identités ne peuvent accéder aux ressources qu’à partir des réseaux attendus et que vos ressources ne sont accessibles qu’à partir des réseaux attendus. Les réseaux attendus incluent généralement vos centres de données sur site, vos clouds privés virtuels (VPCs) et les réseaux de AWS services agissant en votre nom.

Les clés de condition globales suivantes permettent de renforcer les contrôles du périmètre du réseau en fonction de votre définition des réseaux attendus. Utilisez ces clés dans les politiques de contrôle des services (SCPs) pour restreindre les réseaux à partir desquels vos identités peuvent communiquer, ou dans les politiques de contrôle des ressources (RCPs) pour restreindre l'accès aux ressources aux réseaux attendus.

Les réseaux que vous détenez

Vous pouvez utiliser les clés de condition suivantes pour définir les réseaux que vos employés et applications sont censés utiliser pour accéder à vos ressources, telles que la plage d'adresses IP CIDR de votre entreprise et votre VPCs.

aws:SourceIp : vous pouvez utiliser cette clé de condition pour vous assurer que l’adresse IP de l’émetteur de la requête se situe dans une plage d’adresses IP spécifiée.
aws:SourceVpc : vous pouvez utiliser cette clé de condition pour vous assurer que le point de terminaison du VPC par lequel transite la requête appartient au VPC spécifié.
aws:SourceVpce : vous pouvez utiliser cette clé de condition pour vous assurer que la requête passe par le point de terminaison de VPC spécifié.
aws:VpceAccount— Vous pouvez utiliser cette clé de condition pour vous assurer que les demandes passent par les points de terminaison VPC appartenant au compte spécifié. AWS
aws:VpceOrgPaths— Vous pouvez utiliser cette clé de condition pour vous assurer que les principaux IAM à l'origine de la demande appartiennent à l'unité organisationnelle (UO) spécifiée dans. AWS Organizations
aws:VpceOrgID— Vous pouvez utiliser cette clé de condition pour vous assurer que les demandes passent par les points de terminaison VPC détenus par des comptes de l'organisation spécifiée dans. AWS Organizations

aws:VpceAccountaws:VpceOrgPaths, et aws:VpceOrgID sont particulièrement utiles pour mettre en œuvre des contrôles de périmètre réseau qui s'adaptent automatiquement à l'utilisation de vos points de terminaison VPC, sans qu'il soit nécessaire de mettre à jour les politiques lorsque vous créez de nouveaux points de terminaison. Consultez la liste AWS clés contextuelles de condition globale des clés Services AWS compatibles avec ces clés.

Réseaux de AWS services agissant en votre nom

Vous pouvez utiliser les clés de condition suivantes pour autoriser les AWS services à accéder à vos ressources depuis leurs réseaux lorsqu'ils agissent en votre nom.

aws:ViaAWSService— Vous pouvez utiliser cette clé de condition pour vous assurer que vous Services AWS pouvez faire des demandes au nom de votre principal utilisateur Transmission des sessions d'accès (FAS).
aws:PrincipalIsAWSService— Vous pouvez utiliser cette clé de condition pour vous assurer que vous Services AWS pouvez accéder à vos ressources en utilisantAWS principes de service.

Il existe d’autres scénarios dans lesquels vous devez autoriser l’accès aux Services AWS qui accèdent à vos ressources depuis l’extérieur de votre réseau. Pour plus d'informations, voir Établissement d'un périmètre de données sur AWS : Autoriser l'accès aux données de l'entreprise uniquement à partir des réseaux attendus.

Ressources utiles sur les périmètres de données

Les ressources suivantes peuvent vous aider à en savoir plus sur les périmètres de données au sein d’ AWS.

Périmètres de données activés AWS : découvrez les périmètres de données, leurs avantages et leurs cas d'utilisation.
Série d'articles de blog : Établissement d'un périmètre de données sur AWS — Ces articles de blog fournissent des conseils prescriptifs sur l'établissement de votre périmètre de données à grande échelle, y compris les principales considérations relatives à la sécurité et à la mise en œuvre.
Exemples de politiques de périmètre de données — Ce GitHub référentiel contient des exemples de politiques qui couvrent certains modèles courants pour vous aider à implémenter un périmètre de données sur AWS.
Data Perimeter Helper : cet outil vous aide à concevoir et à anticiper l’impact de vos contrôles de périmètre de données en analysant les activités d’accès dans vos journaux AWS CloudTrail.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Politiques gérées déconseillées AWS

Limites d'autorisations