Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Sécurité et conformité en mode développeur
La sécurité et la conformité sont une responsabilité partagée entre AMS Advanced et vous en tant que client. Le mode développeur avancé d'AMS vous transfère la responsabilité partagée pour les ressources mises à disposition en dehors du processus de gestion des modifications ou fournies par le biais de la gestion des modifications, mais mises à jour avec les autorisations du mode développeur. Pour plus d'informations sur le partage des responsabilités, consultez AWS Managed Services
Précautions :
DevMode vous permet, à vous et à votre équipe autorisée, de contourner les deny-by-default principes fondamentaux de la sécurité AMS. Les avantages, le libre-service et la réduction du temps d'attente pour l'AMS doivent être mis en balance avec les inconvénients. Tout le monde peut effectuer des actions inattendues et destructrices à l'insu de son équipe de sécurité. Les types de modifications automatisés permettant d'activer le mode Dev et le mode Direct Change sont exposés, et toute personne autorisée de votre organisation peut les exécuter CTs et activer ces modes.
Vous êtes responsable de la gestion des autorisations d'exécution du CT à partir de votre base d'utilisateurs.
AMS ne gère pas les autorisations d'exécution du CT
Recommandations :
Protéger
Les clients peuvent empêcher l'accès à ce CT par le biais d'autorisations, voir Restreindre les autorisations avec les déclarations de politique relatives aux rôles IAM
Empêchez l'accès à ce CT en implémentant un proxy tel qu'un système ITSM
Utilisez des politiques de contrôle des services (SCPs) qui empêchent les politiques et les comportements selon les besoins, voir AMS Preventative and Detective Controls Library
Détecter
Surveillez l'exécution de vos RFC CTs (Activer le mode développeur ct-1opjmhuddw194 et le mode de changement direct, activation ct-3rd4781c2nnhp) et répondez en conséquence
Vérifiez vos and/or comptes pour détecter la présence des ressources IAM afin d'identifier les comptes sur lesquels le mode développeur ou le mode changement direct ont été déployés
Répondez
Supprimez des comptes en mode développeur si nécessaire
Sécurité en mode développeur
AMS Advanced offre une valeur ajoutée avec une zone d'atterrissage prescriptive, un système de gestion du changement et une gestion des accès. Lorsque vous utilisez le mode développeur, la valeur de sécurité d'AMS Advanced est conservée en utilisant la même configuration de compte que les comptes AMS Advanced standard qui établit le réseau renforcé de sécurité AMS Advanced de base. Le réseau est protégé par la limite d'autorisations appliquée dans le rôle (AWSManagedServicesDevelopmentRolepour MALZ, customer_developer_role pour SALZ), ce qui empêche l'utilisateur de décomposer les protections des paramètres établies lors de la configuration du compte.
Par exemple, les utilisateurs dotés du rôle peuvent accéder à Amazon Route 53, mais la zone hébergée interne AMS Advanced est restreinte. Les mêmes limites d'autorisations sont appliquées à un rôle IAM créé par leAWSManagedServicesDevelopmentRole, ce AWSManagedServicesDevelopmentRole qui empêche l'utilisateur de décomposer les protections des paramètres établies lors de l'intégration du compte à AMS Advanced.
Conformité en mode développeur
Le mode développeur est compatible avec les charges de travail en production et hors production. Il est de votre responsabilité de garantir le respect de toutes les normes de conformité (par exemple, PHI, HIPAA, PCI) et de vous assurer que l'utilisation du mode développeur est conforme à vos cadres et normes de contrôle internes.
