Contrôles du périmètre de données Périmètre d’identité Périmètre de ressource Périmètre de réseau Ressources utiles sur les périmètres de données

Mettez en place des barrières de protection des autorisations à l’aide de périmètres de données

Les garde-fous du périmètre des données sont conçus pour servir de limites permanentes afin de protéger vos données sur un large éventail de comptes et de ressources AWS. Les périmètres de données suivent les pratiques exemplaires de sécurité IAM pour établir des garde-fous d’autorisation sur plusieurs comptes. Ces garde-fous relatifs aux autorisations à l’échelle de l’organisation ne remplacent pas vos contrôles d’accès précis existants. Ils fonctionnent plutôt comme des contrôles d’accès grossiers qui aident à améliorer votre politique en matière de sécurité, en garantissant que les utilisateurs, les rôles et les ressources respectent un ensemble de normes de sécurité définies.

Un périmètre de données est un ensemble de garde-fous en matière d’autorisations dans votre environnement AWS qui vous permettent de vous assurer que seules les identités de confiance accèdent aux ressources de confiance à partir des réseaux attendus.

Identités de confiance : principaux (rôles ou utilisateurs IAM) de vos comptes AWS et des services AWS agissant en votre nom.
Ressources de confiance : ressources détenues par vos comptes AWS ou par des services AWS agissant en votre nom.
Réseaux attendus : vos centres de données sur site et vos clouds privés virtuels (VPC), ou réseaux de services AWS agissant en votre nom.

Note

Dans certains cas, il se peut que vous ayez besoin d’étendre le périmètre de vos données afin d’inclure également l’accès par vos partenaires commerciaux de confiance. Vous devez prendre en compte tous les modèles d’accès aux données prévus lorsque vous créez une définition des identités de confiance, des ressources de confiance et des réseaux attendus propres à votre entreprise et à votre utilisation des Services AWS.

Les contrôles du périmètre des données doivent être traités comme tout autre contrôle de sécurité dans le cadre du programme de sécurité de l’information et de gestion des risques. Cela signifie que vous devez effectuer une analyse des menaces afin d’identifier les risques potentiels au sein de votre environnement cloud, puis, en fonction de vos propres critères d’acceptation des risques, sélectionner et mettre en œuvre des contrôles de périmètre de données appropriés. Pour mieux orienter l’approche itérative basée sur les risques en matière de mise en œuvre du périmètre des données, vous devez comprendre quels risques de sécurité et quels vecteurs de menace sont pris en compte par les contrôles du périmètre des données, ainsi que vos priorités en matière de sécurité.

Contrôles du périmètre de données

Les contrôles grossiers du périmètre des données vous aident à atteindre six objectifs de sécurité distincts sur trois périmètres de données grâce à la mise en œuvre de différentes combinaisons des Types de politique et des clés de condition.

Périmètre	Objectif de contrôle	Utilisation	Appliqué sur	Clé de contexte de condition globale
Identity	Seules les identités de confiance peuvent accéder à mes ressources	RCP	Ressources	aws:PrincipalOrgID aws:PrincipalOrgPaths aws:PrincipalAccount aws:PrincipalIsAwsService aws:SourceOrgID aws:SourceOrgPath aws:SourceAccount
Identity	Seules les identités de confiance sont autorisées à partir de mon réseau	Politique de point de terminaison d'un VPC	Réseau
Ressources	Vos identités ne peuvent accéder qu’à des ressources de confiance	SCP	Identités	aws:ResourceOrgID aws:ResourceOrgPaths aws:ResourceAccount
Ressources	Seules les ressources de confiance sont accessibles à partir de votre réseau	Politique de point de terminaison d'un VPC	Réseau
Réseau	Vos identités ne peuvent accéder aux ressources qu’à partir des réseaux attendus	SCP	Identités	aws:SourceIp aws:SourceVpc aws:SourceVpce aws:VpceAccount aws:VpceOrgPaths aws:VpceOrgID aws:ViaAWSService aws:PrincipalIsAwsService
Réseau	Vos ressources ne sont accessibles qu’à partir des réseaux attendus	RCP	Ressources

Vous pouvez considérer les périmètres de données comme la création d’une frontière stricte autour de vos données afin d’empêcher les schémas d’accès involontaires. Bien que les périmètres de données puissent empêcher tout accès involontaire à grande échelle, vous devez tout de même prendre des décisions précises en matière de contrôle d’accès. L’établissement d’un périmètre de données ne diminue en rien la nécessité d’affiner en permanence les autorisations en utilisant des outils tels que l’analyseur d’accès IAM dans le cadre de votre parcours vers le principe du moindre privilège.

Pour appliquer des contrôles du périmètre des données aux ressources qui ne sont actuellement pas prises en charge par les RCP, vous pouvez utiliser des politiques basées sur les ressources étant directement associées aux ressources. Pour obtenir la liste des services compatibles RCP et les politiques basées sur les ressources, consultez Politiques de contrôle des ressources (RCP) et AWSServices qui fonctionnent avec IAM.

Pour appliquer les contrôles périmétriques du réseau, nous vous recommandons d’utiliser aws:VpceOrgID, aws:VpceOrgPaths et aws:VpceAccount uniquement si tous les services auxquels vous souhaitez restreindre l’accès sont actuellement pris en charge. L’utilisation de ces clés de condition avec des services non pris en charge peut entraîner des résultats d’autorisation imprévus. Pour connaître la liste des services prenant en charge les clés, consultez Clé de contexte de condition globale AWS. Si vous devez appliquer les contrôles à un plus large éventail de services, envisagez d’utiliser aws:SourceVpc et aws:SourceVpce à la place.

Périmètre d’identité

Un périmètre d’identité est un ensemble de contrôles d’accès préventifs grossiers qui permettent de garantir que seules les identités de confiance peuvent accéder à vos ressources et que seules ces identités de confiance sont autorisées sur votre réseau. Les identités de confiance comprennent généralement les principaux (rôles ou utilisateurs) de vos comptes AWS et des services AWS agissant en votre nom. Toutes les autres identités sont considérées comme non fiables et sont bloquées par le périmètre d’identité, à moins qu’une exception explicite ne soit accordée.

Les clés de condition globales suivantes permettent de renforcer les contrôles du périmètre d’identité basés sur votre définition des identités de confiance. Utilisez ces clés dans les politiques de contrôle des ressources pour restreindre l’accès aux ressources, ou dans les politiques de point de terminaison d’un VPC pour restreindre l’accès à vos réseaux.

Identités que vous détenez

Vous pouvez utiliser les clés de condition suivantes pour définir les principaux IAM que vous créez et gérez dans votre Comptes AWS.

aws:PrincipalOrgID : vous pouvez utiliser cette clé de condition pour vous assurer que les principaux IAM à l’origine de la requête appartiennent à l’organisation spécifiée dans AWS Organizations.
aws:PrincipalOrgPaths : vous pouvez utiliser cette clé de condition pour vous assurer que l’utilisateur IAM, le rôle IAM, le principal utilisateur fédéré AWS STS, le principal fédéré SAML, le principal fédéré OIDC ou Utilisateur racine d'un compte AWS qui effectue la demande appartient à l’unité organisationnelle (UO) spécifiée dans AWS Organizations.
aws:PrincipalAccount : vous pouvez utiliser cette clé de condition pour garantir que les ressources ne sont accessibles qu’au compte du principal que vous spécifiez dans la politique.

Identités des services AWS agissant en votre nom

Vous pouvez utiliser les clés de condition suivantes pour permettre aux services AWS d’utiliser leurs propres identités pour accéder à vos ressources lorsqu’ils agissent en votre nom.

aws:PrincipalIsAWSService et aws:SourceOrgID (ou aws:SourceOrgPaths et aws:SourceAccount) : vous pouvez utiliser ces clés de condition pour vous assurer que lorsque les principaux d’Service AWS accèdent à vos ressources, ils ne le font que pour le compte d’une ressource de l’organisation, de l’unité d’organisation ou d’un compte spécifié dans AWS Organizations.

Pour plus d’informations, consultez Établissement d’un périmètre de données sur AWS : n’autoriser que les identités de confiance à accéder aux données de l’entreprise.

Périmètre de ressource

Un périmètre de ressource est un ensemble de contrôles d’accès préventifs grossiers qui permettent de garantir que vos identités ne peuvent accéder qu’aux ressources de confiance et que seules les ressources de confiance sont accessibles depuis votre réseau. Les ressources de confiance incluent généralement les ressources détenues par vos comptes AWS ou par des services AWS agissant en votre nom.

Les clés de condition globales suivantes permettent de renforcer les contrôles du périmètre des ressources en fonction de votre définition des ressources de confiance. Utilisez ces clés dans les politiques de contrôle des services (SCP) pour restreindre les ressources auxquelles vos identités peuvent accéder, ou dans les politiques point de terminaison d’un VPC pour restreindre les ressources accessibles depuis vos réseaux.

Ressources qui vous appartiennent

Vous pouvez utiliser les clés de condition suivantes pour définir les ressources AWS que vous créez et gérez dans votre Comptes AWS.

aws:ResourceOrgID : vous pouvez utiliser cette clé de condition pour vous assurer que la ressource à laquelle vous accédez appartient à l’organisation spécifiée dans AWS Organizations.
aws:ResourceOrgPaths : vous pouvez utiliser cette clé de condition pour vous assurer que la ressource à laquelle vous accédez appartient à l’unité d’organisation (UO) spécifiée dans AWS Organizations.
aws:ResourceAccount : vous pouvez utiliser cette clé de condition pour vous assurer que la ressource à laquelle vous accédez appartient au compte spécifié dans Compte AWS.

Ressources des services AWS agissant en votre nom

Dans certains cas, vous devrez peut-être autoriser l’accès à des ressources détenues par AWS, à des ressources qui n’appartiennent pas à votre organisation et auxquelles ont accès vos principaux ou des services AWS agissant en votre nom. Pour plus d’informations sur ces scénarios, voir Établissement d’un périmètre de données sur AWS : n’autoriser que les ressources de confiance de mon organisation.

Périmètre de réseau

Un périmètre réseau est un ensemble de contrôles d’accès préventifs grossiers qui permettent de garantir que vos identités ne peuvent accéder aux ressources qu’à partir des réseaux attendus et que vos ressources ne sont accessibles qu’à partir des réseaux attendus. Les réseaux attendus comprennent généralement vos centres de données sur site et vos clouds privés virtuels (VPC), ainsi que les réseaux de services AWS agissant en votre nom.

Les clés de condition globales suivantes permettent de renforcer les contrôles du périmètre de réseau en fonction de votre définition des réseaux attendus. Utilisez ces clés dans les politiques de contrôle des services (SCP) pour restreindre les réseaux à partir desquels vos identités peuvent communiquer, ou dans les politiques de contrôle des ressources (RCP) pour restreindre l’accès aux ressources aux réseaux attendus.

Les réseaux que vous détenez

Vous pouvez utiliser les clés de condition suivantes pour définir les réseaux que vos employés et applications sont censés utiliser pour accéder à vos ressources, telles que la plage CIDR IP de votre entreprise et vos VPC.

aws:SourceIp : vous pouvez utiliser cette clé de condition pour vous assurer que l’adresse IP de l’émetteur de la requête se situe dans une plage d’adresses IP spécifiée.
aws:SourceVpc : vous pouvez utiliser cette clé de condition pour vous assurer que le point de terminaison du VPC par lequel transite la requête appartient au VPC spécifié.
aws:SourceVpce : vous pouvez utiliser cette clé de condition pour vous assurer que la requête passe par le point de terminaison de VPC spécifié.
aws:VpceAccount : vous pouvez utiliser cette clé de condition pour vous assurer que les demandes transitent par les points de terminaison d’un VPC appartenant au compte AWS spécifié.
aws:VpceOrgPaths : vous pouvez utiliser cette clé de condition pour vous assurer que les principaux IAM à l’origine de la demande appartiennent à l’unité organisationnelle (UO) spécifiée dans AWS Organizations.
aws:VpceOrgID : vous pouvez utiliser cette clé de condition pour vous assurer que les demandes transitent par les points de terminaison d’un VPC appartenant aux comptes de l’organisation spécifiée dans AWS Organizations.

aws:VpceAccount, aws:VpceOrgPaths et aws:VpceOrgID sont particulièrement utiles pour mettre en œuvre des contrôles périmétriques réseau qui se mettent automatiquement à l’échelle en fonction de l’utilisation de vos points de terminaison d’un VPC, sans nécessiter de mise à jour des politiques lorsque vous créez de nouveaux points de terminaison. Pour connaître la liste des Services AWS qui prennent en charge ces clés, consultez Clé de contexte de condition globale AWS.

Réseaux des services AWS agissant en votre nom

Vous pouvez utiliser les clés de condition suivantes pour permettre aux services AWS d’accéder à vos ressources depuis leurs réseaux lorsqu’ils agissent en votre nom.

aws:ViaAWSService : vous pouvez utiliser cette clé de condition pour vous assurer que les Services AWS peuvent effecteur des requêtes au nom de votre principal en utilisant Transmission des sessions d'accès (FAS).
aws:PrincipalIsAWSService : vous pouvez utiliser cette clé de condition pour vous assurer que les Services AWS peuvent accéder à vos ressources en utilisant AWStitulaires de service.

Il existe d’autres scénarios dans lesquels vous devez autoriser l’accès aux Services AWS qui accèdent à vos ressources depuis l’extérieur de votre réseau. Pour plus d’informations, consultez Établissement d’un périmètre de données sur AWS : n’autoriser l’accès aux données de l’entreprise qu’à partir des réseaux attendus.

Ressources utiles sur les périmètres de données

Les ressources suivantes peuvent vous aider à en savoir plus sur les périmètres de données au sein d’AWS.

Périmètres de données sur AWS : découvrez les périmètres de données, leurs avantages et leurs cas d’utilisation.
Série d’articles de blog : Établissement d’un périmètre de données sur AWS : ces articles de blog fournissent des conseils prescriptifs sur l’établissement de votre périmètre de données à grande échelle, y compris les principales considérations en matière de sécurité et de mise en œuvre.
Exemples de politique de périmètre de données : ce référentiel GitHub contient des exemples de politiques qui couvrent certains modèles courants pour vous aider à implémenter un périmètre de données sur AWS.
Data Perimeter Helper : cet outil vous aide à concevoir et à anticiper l’impact de vos contrôles de périmètre de données en analysant les activités d’accès dans vos journaux AWS CloudTrail.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Politiques gérées par AWS obsolètes

Limites d'autorisations