Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# AWS directives relatives aux audits de sécurité
<a name="security-audit-guide"></a>

Effectuez régulièrement un audit de votre configuration de sécurité pour vérifier qu'elle répond aux besoins actuels de votre entreprise. Un audit vous donne la possibilité de supprimer les utilisateurs, les rôles, les groupes et les politiques IAM inutiles, et de vérifier que vos utilisateurs et vos logiciels ne disposent pas d'autorisations excessives. 

Vous trouverez ci-dessous des directives pour examiner et surveiller systématiquement vos AWS ressources afin de respecter les meilleures pratiques en matière de sécurité.

**Astuce**  
Vous pouvez surveillez votre utilisation d'IAM, conformément aux bonnes pratiques de sécurité, à l'aide d'[AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html). Security Hub CSPM utilise des contrôles de sécurité pour évaluer les configurations des ressources et les normes de sécurité afin de vous aider à vous conformer aux différents cadres de conformité. Pour plus d'informations sur l'utilisation de Security Hub CSPM pour évaluer les ressources IAM, consultez la section [Contrôles AWS Identity and Access Management](https://docs.aws.amazon.com/securityhub/latest/userguide/iam-controls.html) dans le guide de l' AWS Security Hub CSPM utilisateur.

**Topics**
+ [Quand effectuer un audit de sécurité ?](#security-audit-guide-when-to-audit)
+ [Consignes pour l'audit](#security-audit-general-guidelines)
+ [Vérifiez les informations d'identification AWS de votre compte](#security-audit-review-account)
+ [Examen de vos utilisateurs IAM](#security-audit-review-users)
+ [Examen de vos groupes IAM](#security-audit-groups)
+ [Examen de vos rôles IAM](#security-audit-review-roles)
+ [Examen de vos fournisseurs IAM pour SAML et OpenID Connect (OIDC)](#security-audit-review-saml-providers)
+ [Examen de vos applications mobiles](#security-audit-review-mobile-apps)
+ [Conseils pour l'examen des politiques IAM](#security-audit-review-policy-tips)

## Quand effectuer un audit de sécurité ?
<a name="security-audit-guide-when-to-audit"></a>

Effectuez un audit de votre configuration de sécurité dans les cas suivants :
+ De manière régulière. Exécutez les étapes décrites dans ce document à intervalles réguliers, à titre de bonne pratique de sécurité.
+ Si des changements se produisent dans votre organisation, par exemple lorsque des personnes quittent l'organisation.
+ Si vous avez cessé d'utiliser un ou plusieurs AWS services individuels pour vérifier que vous avez supprimé les autorisations dont les utilisateurs de votre compte n'ont plus besoin.
+ Si vous avez ajouté ou supprimé des logiciels dans vos comptes, tels que des applications sur des instances Amazon EC2, des OpsWorks piles, des CloudFormation modèles, etc.
+ Si vous pensez qu'une personne non autorisée a pu avoir accès à votre compte.

## Consignes pour l'audit
<a name="security-audit-general-guidelines"></a>

Lorsque vous examinez la configuration de sécurité de votre compte, suivez ces consignes :
+ **Soyez minutieux**. Regardez tous les aspects de votre configuration de sécurité, y compris ceux qui sont rarement utilisés.
+ **Ne faites pas de suppositions**. Si vous ne connaissez pas vraiment certains aspects de votre configuration de sécurité (par exemple, le raisonnement qui justifie une stratégie particulière ou l'existence d'un rôle), étudiez les besoins de l'entreprise jusqu'à ce que vous compreniez le risque potentiel.
+ **Simplifiez les choses**. Pour faciliter l'audit (et la gestion), utilisez les groupes et les rôles IAM, les schémas d'affectation de nom cohérents et les stratégies simples.

## Vérifiez les informations d'identification AWS de votre compte
<a name="security-audit-review-account"></a>

Procédez comme suit lorsque vous auditez les informations d'identification de votre AWS compte :

1. Si vous avez des clés d'accès pour votre utilisateur root que vous n'utilisez pas, vous pouvez les supprimer. Nous vous [recommandons vivement](https://docs.aws.amazon.com/general/latest/gr/aws-access-keys-best-practices.html#root-password) de ne pas utiliser les clés d'accès root dans le cadre de votre travail quotidien AWS, mais plutôt d'utiliser des utilisateurs dotés d'informations d'identification temporaires, telles que utilisateurs dans AWS IAM Identity Center.

1. Si vous avez besoin de clés d'accès de votre compte, assurez-vous de [les mettre à jour en cas de besoin](https://docs.aws.amazon.com/IAM/latest/UserGuide/ManagingCredentials.html#id-credentials-access-keys-update).

## Examen de vos utilisateurs IAM
<a name="security-audit-review-users"></a>

Exécutez les étapes suivantes lorsque vous effectuez un audit de vos utilisateurs IAM existants :

1. [Répertoriez vos utilisateurs](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_manage.html#id_users_manage_list), puis [supprimez les utilisateurs](https://docs.aws.amazon.com/IAM/latest/UserGuide/Using_DeletingUserFromAccount.html) qui ne sont pas nécessaires.

1.  [Supprimez les utilisateurs des groupes](https://docs.aws.amazon.com/IAM/latest/UserGuide/Using_AddOrRemoveUsersFromGroup.html) auxquels ils n'ont pas besoin d'accéder.

1. Examinez les stratégies associées aux groupes dans lesquels se trouve l'utilisateur. Consultez [Conseils pour l'examen des politiques IAM](#security-audit-review-policy-tips).

1. Supprimez les informations d'identification de sécurité inutiles pour l'utilisateur ou susceptibles d'avoir été exposées. Par exemple, un utilisateur IAM utilisé pour une application n'a pas besoin de mot de passe (nécessaire uniquement pour se connecter à des AWS sites Web). De même, si un utilisateur n'utilise pas de clés d'accès, il n'y a aucune raison qu'il en ait une. Pour plus d'informations, consultez [Gestion des mots de passe des utilisateurs IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/credentials-add-pwd-for-user.html) et [Gestion des clés d'accès pour les utilisateurs IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/ManagingCredentials.html).

   Vous pouvez générer et télécharger un rapport sur les informations d'identification qui répertorie tous les utilisateurs IAM de votre compte et le statut de leurs diverses informations d'identification, notamment leurs mots de passe, clés d'accès et dispositifs MFA. Pour les mots de passe et les clés d'accès, le rapport d'informations d'identification indique la date et l'heure auxquelles le mot de passe ou la clé d'accès a été utilisé(e) pour la dernière fois. Envisagez de supprimer de votre compte les informations d'identification qui n'ont pas été utilisées récemment. (Ne supprimez pas votre utilisateur d'accès d'urgence.) Pour plus d'informations, consultez la section [Obtenir des rapports d'identification pour votre AWS compte](https://docs.aws.amazon.com/IAM/latest/UserGuide/credential-reports.html).

1. Mettez à jour les mots de passe et les clés d'accès lorsque cela est nécessaire pour les cas d'utilisation nécessitant des informations d'identification à long terme. Pour plus d'informations, consultez [Gestion des mots de passe des utilisateurs IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/credentials-add-pwd-for-user.html) et [Gestion des clés d'accès pour les utilisateurs IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/ManagingCredentials.html).

1. Il est recommandé d'obliger les utilisateurs humains à utiliser la fédération avec un fournisseur d'identité pour accéder à AWS l'aide d'informations d'identification temporaires. Si possible, passez du statut d’utilisateurs IAM à celui de principaux fédérés, tels que les utilisateurs d’IAM Identity Center. Conservez le nombre minimum d'utilisateurs IAM requis pour vos applications.

## Examen de vos groupes IAM
<a name="security-audit-groups"></a>

Exécutez les étapes suivantes lorsque vous effectuez un audit de vos groupes IAM :

1. [Répertoriez vos groupes](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_list.html), puis [supprimez les groupes](https://docs.aws.amazon.com/IAM/latest/UserGuide/Using_DeleteGroup.html) que vous n'utilisez pas.

1. [Examinez les utilisateurs](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_manage.html#id_users_manage_list) de chaque groupe et [supprimez les utilisateurs](https://docs.aws.amazon.com/IAM/latest/UserGuide/Using_AddOrRemoveUsersFromGroup.html) qui n’y appartiennent pas.

1. Examinez les stratégies associées au groupe. Consultez [Conseils pour l'examen des politiques IAM](#security-audit-review-policy-tips). 

## Examen de vos rôles IAM
<a name="security-audit-review-roles"></a>

Exécutez les étapes suivantes lorsque vous effectuez un audit de vos rôles IAM :

1. [Répertoriez vos rôles](https://docs.aws.amazon.com/cli/latest/reference/iam/list-roles.html), puis [supprimez les rôles](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-deleting.html) que vous n'utilisez pas.

1. [Examinez](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing.html) la stratégie d'approbation du rôle. Assurez-vous de connaître le principal et de comprendre pourquoi ce compte ou cet utilisateur doit être capable d'assumer le rôle. 

1. [Examinez](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing.html) la stratégie d'accès du rôle pour vous assurer qu'elle accorde les autorisations appropriées à la personne qui assume le rôle (voir [Conseils pour l'examen des politiques IAM](#security-audit-review-policy-tips)). 

## Examen de vos fournisseurs IAM pour SAML et OpenID Connect (OIDC)
<a name="security-audit-review-saml-providers"></a>

Si vous avez créé une entité IAM pour établir une relation de confiance avec un [fournisseur d'identité (IdP) SAML ou OIDC](https://docs.aws.amazon.com/IAM/latest/UserGuide/identity-providers.html), procédez comme suit :

1. Supprimez les fournisseurs inutilisés. 

1. Téléchargez et consultez les documents de AWS métadonnées pour chaque IdP SAML et assurez-vous qu'ils reflètent les besoins actuels de votre entreprise. 

1. Obtenez les derniers documents de métadonnées auprès du SAML IdPs et [mettez à jour le fournisseur dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/identity-providers-saml.html). 

## Examen de vos applications mobiles
<a name="security-audit-review-mobile-apps"></a>

Si vous avez créé une application mobile qui envoie des demandes à AWS, procédez comme suit :

1. Vérifiez que l'application mobile ne contient pas de clés d'accès incorporées, même si elles se trouvent dans le stockage chiffré. 

1. Obtenez des informations d'identification temporaires pour l'application en utilisant un APIs outil conçu à cet effet.

**Note**  
Nous vous recommandons d'utiliser [Amazon Cognito](https://aws.amazon.com/cognito/) pour gérer l'identité de l'utilisateur dans votre application. Ce service vous permet d'authentifier les utilisateurs à l'aide de Login with Amazon, Facebook, Google ou tout autre fournisseur d'identité compatible avec OpenID Connect (OIDC). Pour plus d'informations sur les [pools d’identité Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-identity.html), consultez le *Manuel du développeur Amazon Cognito*

## Conseils pour l'examen des politiques IAM
<a name="security-audit-review-policy-tips"></a>

Les politiques sont puissantes et subtiles, il est donc important d'étudier et de comprendre les autorisations octroyées par chaque politique. Utilisez les consignes suivantes lors de l'examen des stratégies : 
+ Attachez des politiques à des groupes ou à des rôles plutôt qu'à des utilisateurs individuels. Si un utilisateur individuel dispose d'une stratégie, assurez-vous de comprendre pourquoi cet utilisateur a besoin d'une stratégie.
+ Assurez-vous que les utilisateurs, les groupes d'utilisateurs et les rôles IAM disposent des autorisations dont ils ont besoin et n'ont aucune autorisation supplémentaire.
+ Utilisez le [simulateur de politiques IAM](https://docs.aws.amazon.com/IAM/latest/UsingPolicySimulatorGuide/) pour tester les politiques associées à des utilisateurs ou des groupes.
+ N'oubliez pas que les autorisations d'un utilisateur sont le résultat de toutes les politiques applicables, à la fois des politiques basées sur l'identité (sur les utilisateurs, les groupes ou les rôles) et des politiques basées sur les ressources (sur des ressources telles que les compartiments Amazon S3, les files d'attente Amazon SQS, les rubriques Amazon SNS et les clés). AWS KMS Il est important d'examiner toutes les stratégies qui s'appliquent à un utilisateur et de comprendre l'ensemble complet des autorisations octroyées à un utilisateur individuel.
+ Sachez qu'en autorisant un utilisateur à créer un utilisateur, un groupe, un rôle ou une politique IAM et à associer une politique à l'entité principale, toutes les autorisations à toutes les ressources de votre compte lui sont en fait octroyées. Les utilisateurs qui peuvent créer des politiques et les associer à un utilisateur, un groupe ou un rôle peuvent octroyer eux-mêmes n'importe quelle autorisation. En général, n'octroyez pas d'autorisations IAM à des utilisateurs ou des rôles auxquels vous n'approuvez pas l'accès complet aux ressources de votre compte. Lorsque vous effectuez votre audit de sécurité, confirmez que les autorisations IAM suivantes sont octroyées à des identités de confiance : 
  + `iam:PutGroupPolicy`
  + `iam:PutRolePolicy`
  + `iam:PutUserPolicy`
  + `iam:CreatePolicy`
  + `iam:CreatePolicyVersion`
  + `iam:AttachGroupPolicy`
  + `iam:AttachRolePolicy`
  + `iam:AttachUserPolicy`
+ Assurez-vous que les stratégies n'octroient pas d'autorisations aux services que vous n'utilisez pas. Par exemple, si vous utilisez des [politiques AWS gérées](https://docs.aws.amazon.com/IAM/latest/UserGuide/policies-managed-vs-inline.html#aws-managed-policies), assurez-vous que les politiques AWS gérées utilisées dans votre compte concernent les services que vous utilisez réellement. Pour savoir quelles politiques AWS gérées sont utilisées dans votre compte, utilisez l'[https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccountAuthorizationDetails.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccountAuthorizationDetails.html)API IAM (AWS CLI commande : [https://docs.aws.amazon.com/cli/latest/reference/iam/get-account-authorization-details.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-account-authorization-details.html)).
+ Si la politique octroie à un utilisateur l'autorisation de lancer une instance Amazon EC2, elle peut également autoriser l'action `iam:PassRole`, mais si c'est le cas, elle doit [explicitement répertorier les rôles](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-usingrole-ec2instance.html#roles-usingrole-ec2instance-passrole) que l'utilisateur peut transmettre à l'instance Amazon EC2. 
+ Examinez toutes les valeurs de l'élément `Action` ou `Resource` qui incluent les `*`. Dans la mesure du possible, octroyez l'accès `Allow` aux actions et aux ressources individuelles dont les utilisateurs ont besoin. Toutefois, voici les raisons pour lesquelles il peut être approprié d'utiliser `*` dans une stratégie :
  + La politique est conçue pour octroyer des autorisations au niveau administratif.
  + Le caractère générique est utilisé pour un ensemble d'actions similaires (par exemple, `Describe*`) pour vous faciliter les choses, et vous vous sentez à l'aise avec la liste complète des actions qui sont référencées de cette façon.
  + Le caractère générique est utilisé pour indiquer une classe de ressources ou un chemin d'accès aux ressources (par exemple, `arn:aws:iam::account-id:users/division_abc/*`), et vous vous sentez à l'aise pour octroyer l'accès à toutes les ressources dans cette classe ou ce chemin d'accès.
  + Une action de service ne prend pas en charge les autorisations au niveau des ressources, et le seul choix pour une ressource est `*`.
+ Examinez les noms de stratégie pour vérifier qu'ils reflètent la fonction de la stratégie. Par exemple, même si une stratégie peut avoir un nom qui inclut « lecture seule », la stratégie peut en fait octroyer des autorisations de lecture ou de modification.

Pour de plus amples informations sur la planification de votre audit de sécurité, consultez [Meilleures pratiques de sécurité, d’identité et de conformité](https://aws.amazon.com/architecture/security-identity-compliance/) dans le *Centre d’architecture AWS *.