Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Sécurité dans la gestion des AWS OpsWorks configurations (CM)
La sécurité du cloud AWS est la priorité absolue. En tant que AWS client, vous bénéficiez d'un centre de données et d'une architecture réseau conçus pour répondre aux exigences des entreprises les plus sensibles en matière de sécurité.
La sécurité est une responsabilité partagée entre vous AWS et vous. Le [modèle de responsabilité partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) décrit cette notion par les termes sécurité *du* cloud et sécurité *dans* le cloud :
+ **Sécurité du cloud** : AWS est chargée de protéger l'infrastructure qui exécute les AWS services dans le AWS cloud. AWS vous fournit également des services que vous pouvez utiliser en toute sécurité. Des auditeurs tiers testent et vérifient régulièrement l’efficacité de notre sécurité dans le cadre des [programmes de conformitéAWS](https://aws.amazon.com/compliance/programs/). Pour en savoir plus sur les programmes de conformité qui s'appliquent à la gestion de configuration d' OpsWorks , veuillez consulter [Services AWS concernés par le programme de conformité](https://aws.amazon.com/compliance/services-in-scope/).
+ **Sécurité dans le cloud** — Votre responsabilité est déterminée par le AWS service que vous utilisez. Vous êtes également responsable d’autres facteurs, y compris de la sensibilité de vos données, des exigences de votre entreprise, ainsi que de la législation et de la réglementation applicables.
Cette documentation vous aide à comprendre comment appliquer le modèle de responsabilité partagée lors de l'utilisation de OpsWorks CM. Les rubriques suivantes expliquent comment configurer OpsWorks CM pour répondre à vos objectifs de sécurité et de conformité. Vous apprendrez également à utiliser d'autres services AWS qui vous aident à surveiller et à sécuriser vos ressources OpsWorks CM.
**Topics**
+ [Protection des données dans OpsWorks CM](data-protection.md)
+ [Chiffrement des données](#protection-encryption-opscm)
+ [Identity and Access Management pour OpsWorks CM](security-iam-opscm.md)
+ [Confidentialité du trafic inter-réseaux](#protection-privacy-opscm)
+ [Journalisation et surveillance dans OpsWorks CM](#sec-opsworks-log-mon-opscm)
+ [Validation de la conformité pour la gestion de configuration d' OpsWorks](opsworks-stacks-compliance-opscm.md)
+ [Résilience dans le OpsWorks CM](disaster-recovery-resiliency-opscm.md)
+ [Sécurité de l'infrastructure dans la gestion de configuration d' AWS OpsWorks](infrastructure-security-opscm.md)
+ [Analyse de configuration et de vulnérabilité dans OpsWorks CM](#sec-config-vulnerability-opscm)
+ [Bonnes pratiques en matière de sécurité pour OpsWorks CM](#sec-security-bestpractice-opscm)
# Protection des données dans OpsWorks CM
Le [modèle de responsabilité AWS partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) de s'applique à la protection des données dans AWS OpsWorks Configuration Management. Comme décrit dans ce modèle, AWS est chargé de protéger l'infrastructure mondiale qui gère tous les AWS Cloud. La gestion du contrôle de votre contenu hébergé sur cette infrastructure relève de votre responsabilité. Vous êtes également responsable des tâches de configuration et de gestion de la sécurité des Services AWS que vous utilisez. Pour plus d’informations sur la confidentialité des données, consultez [Questions fréquentes (FAQ) sur la confidentialité des données](https://aws.amazon.com/compliance/data-privacy-faq/). Pour en savoir plus sur la protection des données en Europe, consultez le billet de blog [Modèle de responsabilité partagée d’AWS et RGPD (Règlement général sur la protection des données)](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) sur le *Blog de sécuritéAWS *.
À des fins de protection des données, nous vous recommandons de protéger les Compte AWS informations d'identification et de configurer les utilisateurs individuels avec AWS IAM Identity Center ou Gestion des identités et des accès AWS (IAM). Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations nécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :
+ Utilisez l’authentification multifactorielle (MFA) avec chaque compte.
+ SSL/TLS À utiliser pour communiquer avec AWS les ressources. Nous exigeons TLS 1.2 et recommandons TLS 1.3.
+ Configurez l'API et la journalisation de l'activité des utilisateurs avec AWS CloudTrail. Pour plus d'informations sur l'utilisation des CloudTrail sentiers pour capturer AWS des activités, consultez la section [Utilisation des CloudTrail sentiers](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) dans le *guide de AWS CloudTrail l'utilisateur*.
+ Utilisez des solutions de AWS chiffrement, ainsi que tous les contrôles de sécurité par défaut qu'ils contiennent Services AWS.
+ Utilisez des services de sécurité gérés avancés tels qu’Amazon Macie, qui contribuent à la découverte et à la sécurisation des données sensibles stockées dans Amazon S3.
+ Si vous avez besoin de modules cryptographiques validés par la norme FIPS 140-3 pour accéder AWS via une interface de ligne de commande ou une API, utilisez un point de terminaison FIPS. Pour plus d’informations sur les points de terminaison FIPS disponibles, consultez [Norme FIPS (Federal Information Processing Standard) 140-3](https://aws.amazon.com/compliance/fips/).
Nous vous recommandons fortement de ne jamais placer d’informations confidentielles ou sensibles, telles que les adresses e-mail de vos clients, dans des balises ou des champs de texte libre tels que le champ **Nom**. Cela inclut lorsque vous travaillez avec OpsWorks CM ou autre à Services AWS l'aide de la console, de l'API ou AWS SDKs. AWS CLI Toutes les données que vous entrez dans des balises ou des champs de texte de forme libre utilisés pour les noms peuvent être utilisées à des fins de facturation ou dans les journaux de diagnostic. Si vous fournissez une adresse URL à un serveur externe, nous vous recommandons fortement de ne pas inclure d’informations d’identification dans l’adresse URL permettant de valider votre demande adressée à ce serveur.
Les noms des serveurs OpsWorks CM ne sont pas chiffrés.
OpsWorks CM collecte les données clients suivantes dans le cadre de la création et de la maintenance de vos AWS OpsWorks for Puppet Enterprise serveurs AWS OpsWorks for Chef Automate et serveurs.
+ OpsWorks Pour Puppet Enterprise, nous collectons les clés privées que Puppet Enterprise utilise pour permettre la communication entre votre Puppet Master et les nœuds gérés.
+ En AWS OpsWorks for Chef Automate effet, nous collectons des clés privées pour les certificats que vous associez au service si vous utilisez un domaine personnalisé. La clé privée que vous fournissez lorsque vous créez un serveur Chef Automate avec un domaine personnalisé est transmise à votre serveur.
OpsWorks Les serveurs CM stockent votre code de configuration, tel que les livres de recettes Chef ou les modules Puppet Enterprise. Bien que ce code soit stocké dans les sauvegardes du serveur, il AWS n'y a pas accès. Ce contenu est crypté et seuls les administrateurs de votre AWS compte peuvent y accéder. Nous vous recommandons de sécuriser votre code de configuration Chef ou Puppet en utilisant les protocoles recommandés pour vos référentiels sources. Par exemple, vous pouvez [limiter les autorisations aux référentiels situés](https://docs.aws.amazon.com/codecommit/latest/userguide/auth-and-access-control.html#auth-and-access-control-iam-access-control-identity-based) [sur le site Web ou suivre les directives du GitHub site Web pour sécuriser les GitHub référentiels](https://help.github.com/en/github/managing-security-vulnerabilities/adding-a-security-policy-to-your-repository). AWS CodeCommit
OpsWorks CM n'utilise pas le contenu fourni par le client pour maintenir le service ou conserver les journaux des clients. Les journaux relatifs à vos serveurs OpsWorks CM sont stockés dans votre compte, dans des compartiments Amazon S3. Les adresses IP des utilisateurs qui se connectent à vos serveurs OpsWorks CM sont enregistrées par AWS.
## Intégration avec AWS Secrets Manager
À compter du 3 mai 2021, lorsque vous créez un nouveau serveur dans OpsWorks CM, OpsWorks CM stocke les secrets du serveur dans AWS Secrets Manager. Pour les nouveaux serveurs, les attributs suivants sont stockés sous forme de secrets dans Secrets Manager.
+ **Serveur Chef Automate**
+ Clé privée HTTPS (uniquement les serveurs qui n'utilisent pas de domaine personnalisé)
+ Mot de passe administratif Chef Automate (CHEF\$1AUTOMATE\$1ADMIN\$1PASSWORD)
+ **Puppet Enterprise Master**
+ Clé privée HTTPS (uniquement les serveurs qui n'utilisent pas de domaine personnalisé)
+ Mot de passe administratif de Puppet (PUPPET\$1ADMIN\$1PASSWORD)
+ Télécommande Puppet r10k (PUPPET\$1R10K\$1REMOTE)
Pour les serveurs existants qui n'utilisent pas de domaine personnalisé, le seul secret stocké dans Secrets Manager, pour les serveurs Chef Automate et Puppet Enterprise, est la clé privée HTTPS, car elle est générée lors de la maintenance automatique hebdomadaire du système.
OpsWorks CM stocke automatiquement les secrets dans Secrets Manager, et ce comportement n'est pas configurable par l'utilisateur.
## Chiffrement des données
OpsWorks CM chiffre les sauvegardes des serveurs et les communications entre les AWS utilisateurs autorisés et leurs serveurs OpsWorks CM. Toutefois, les volumes Amazon EBS racine des serveurs OpsWorks CM ne sont pas chiffrés.
### Chiffrement au repos
OpsWorks Les sauvegardes du serveur CM sont cryptées. Toutefois, les volumes Amazon EBS racine des serveurs OpsWorks CM ne sont pas chiffrés. Ceci n'est pas configurable par l'utilisateur.
### Chiffrement en transit
OpsWorks CM utilise le protocole HTTP avec le cryptage TLS. OpsWorks CM utilise par défaut des certificats auto-signés pour approvisionner et gérer les serveurs, si aucun certificat signé n'est fourni par les utilisateurs. Nous vous recommandons d'utiliser un certificat signé par une autorité de certification.
### Gestion des clés
AWS Key Management Service les clés gérées par le client et les clés gérées par AWS ne sont actuellement pas prises en charge par OpsWorks CM.
# Identity and Access Management pour OpsWorks CM
Gestion des identités et des accès AWS (IAM) est un AWS service qui permet à un administrateur de contrôler en toute sécurité l'accès aux AWS ressources. Les administrateurs IAM contrôlent qui peut être *authentifié* (connecté) et *autorisé (autorisé*) à utiliser les ressources OpsWorks CM. IAM est un AWS service que vous pouvez utiliser sans frais supplémentaires.
**Topics**
+ [Public ciblé](#security_iam_audience_opscm)
+ [Authentification avec des identités](#security_iam_authentication_opscm)
+ [Gestion des accès à l’aide de politiques](#security_iam_access-manage-opscm)
+ [Comment fonctionne OpsWorks CM avec IAM](security_iam_service-with-iam.md)
+ [AWS OpsWorks Exemples de politiques basées sur l'identité CM](security_iam_id-based-policy-examples.md)
+ [Résolution des problèmes liés à AWS OpsWorks CM Identity and Access](security_iam_troubleshoot.md)
+ [AWS politiques gérées pour la gestion AWS OpsWorks de la configuration](security-iam-awsmanpol.md)
+ [Prévention interservices confuse des adjoints dans AWS OpsWorks CM](cross-service-confused-deputy-prevention.md)
## Public ciblé
La façon dont vous utilisez Gestion des identités et des accès AWS (IAM) varie en fonction de votre rôle :
+ **Utilisateur du service** : demandez des autorisations à votre administrateur si vous ne pouvez pas accéder aux fonctionnalités (voir [Résolution des problèmes liés à AWS OpsWorks CM Identity and Access](security_iam_troubleshoot.md))
+ **Administrateur du service** : déterminez l’accès des utilisateurs et soumettez les demandes d’autorisation (voir [Comment fonctionne OpsWorks CM avec IAM](security_iam_service-with-iam.md))
+ **Administrateur IAM** : rédigez des politiques pour gérer l’accès (voir [AWS OpsWorks Exemples de politiques basées sur l'identité CM](security_iam_id-based-policy-examples.md))
## Authentification avec des identités
L'authentification est la façon dont vous vous connectez à AWS l'aide de vos informations d'identification. Vous devez être authentifié en tant qu'utilisateur IAM ou en assumant un rôle IAM. Utilisateur racine d'un compte AWS
Vous pouvez vous connecter en tant qu'identité fédérée à l'aide d'informations d'identification provenant d'une source d'identité telle que AWS IAM Identity Center (IAM Identity Center), d'une authentification unique ou d'informations d'identification. Google/Facebook Pour plus d’informations sur la connexion, consultez [Connexion à votre Compte AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) dans le *Guide de l’utilisateur Connexion à AWS *.
Pour l'accès par programmation, AWS fournit un SDK et une CLI pour signer les demandes de manière cryptographique. Pour plus d’informations, consultez [Signature AWS Version 4 pour les demandes d’API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) dans le *Guide de l’utilisateur IAM*.
### Compte AWS utilisateur root
Lorsque vous créez un Compte AWS, vous commencez par une seule identité de connexion appelée *utilisateur Compte AWS root* qui dispose d'un accès complet à toutes Services AWS les ressources. Il est vivement déconseillé d’utiliser l’utilisateur racine pour vos tâches quotidiennes. Pour les tâches qui requièrent des informations d’identification de l’utilisateur racine, consultez [Tâches qui requièrent les informations d’identification de l’utilisateur racine](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) dans le *Guide de l’utilisateur IAM*.
### Utilisateurs et groupes IAM
Un *[utilisateur IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* est une identité qui dispose d’autorisations spécifiques pour une seule personne ou application. Nous vous recommandons d’utiliser ces informations d’identification temporaires au lieu des utilisateurs IAM avec des informations d’identification à long terme. Pour plus d'informations, voir [Exiger des utilisateurs humains qu'ils utilisent la fédération avec un fournisseur d'identité pour accéder à AWS l'aide d'informations d'identification temporaires](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) dans le *guide de l'utilisateur IAM*.
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spécifient une collection d’utilisateurs IAM et permettent de gérer plus facilement les autorisations pour de grands ensembles d’utilisateurs. Pour plus d’informations, consultez [Cas d’utilisation pour les utilisateurs IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) dans le *Guide de l’utilisateur IAM*.
**Avertissement**
Les utilisateurs IAM disposent d’informations d’identification à long terme, ce qui présente un risque de sécurité. Pour atténuer ce risque, nous vous recommandons de ne fournir à ces utilisateurs que les autorisations dont ils ont besoin pour effectuer la tâche et de supprimer ces autorisations lorsqu’elles ne sont plus nécessaires.
### Rôles IAM
Un *[rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* est une identité dotée d’autorisations spécifiques qui fournit des informations d’identification temporaires. Vous pouvez assumer un rôle en [passant d'un rôle d'utilisateur à un rôle IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) ou en appelant une opération d' AWS API AWS CLI ou d'API. Pour plus d’informations, consultez [Méthodes pour endosser un rôle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) dans le *Guide de l’utilisateur IAM*.
Les rôles IAM sont utiles pour l'accès des utilisateurs fédérés, les autorisations temporaires des utilisateurs IAM, les accès entre comptes, les accès entre services et pour les applications exécutées sur Amazon. EC2 Pour plus d’informations, consultez [Accès intercompte aux ressources dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dans le *Guide de l’utilisateur IAM*.
## Gestion des accès à l’aide de politiques
Vous contrôlez l'accès en AWS créant des politiques et en les associant à AWS des identités ou à des ressources. Une politique définit les autorisations lorsqu'elles sont associées à une identité ou à une ressource. AWS évalue ces politiques lorsqu'un directeur fait une demande. La plupart des politiques sont stockées AWS sous forme de documents JSON. Pour plus d’informations les documents de politique JSON, consultez [Vue d’ensemble des politiques JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) dans le *Guide de l’utilisateur IAM*.
À l’aide de politiques, les administrateurs précisent qui a accès à quoi en définissant quel **principal** peut effectuer des **actions** sur quelles **ressources** et dans quelles **conditions**.
Par défaut, les utilisateurs et les rôles ne disposent d’aucune autorisation. Un administrateur IAM crée des politiques IAM et les ajoute aux rôles, que les utilisateurs peuvent ensuite assumer. Les politiques IAM définissent les autorisations quelle que soit la méthode que vous utilisez pour exécuter l’opération.
### politiques basées sur l’identité
Les stratégies basées sur l’identité sont des documents de stratégie d’autorisations JSON que vous attachez à une identité (utilisateur, groupe ou rôle). Ces politiques contrôlent les actions que peuvent exécuter ces identités, sur quelles ressources et dans quelles conditions. Pour découvrir comment créer une politique basée sur l’identité, consultez [Définition d’autorisations IAM personnalisées avec des politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dans le *Guide de l’utilisateur IAM*.
Les politiques basées sur l’identité peuvent être des *politiques intégrées* (intégrées directement dans une seule identité) ou des *politiques gérées (politiques* autonomes associées à plusieurs identités). Pour découvrir comment choisir entre des politiques gérées et en ligne, consultez [Choix entre les politiques gérées et les politiques en ligne](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) dans le *Guide de l’utilisateur IAM*.
OpsWorks CM prend en charge les politiques personnalisées que vous créez dans IAM et que vous associez à des utilisateurs, à des rôles ou à des groupes.
### Politiques basées sur une ressource
Les politiques basées sur les ressources sont des documents de politique JSON que vous attachez à une ressource. Les exemples incluent *les politiques de confiance de rôle* IAM et les *stratégies de compartiment* Amazon S3. Dans les services qui sont compatibles avec les politiques basées sur les ressources, les administrateurs de service peuvent les utiliser pour contrôler l’accès à une ressource spécifique. Vous devez [spécifier un principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dans une politique basée sur les ressources.
Les politiques basées sur les ressources sont des politiques en ligne situées dans ce service. Vous ne pouvez pas utiliser les politiques AWS gérées par IAM dans une stratégie basée sur les ressources.
OpsWorks CM ne prend pas en charge les politiques basées sur les ressources.
### Listes de contrôle d'accès (ACLs)
Les listes de contrôle d'accès (ACLs) contrôlent les principaux (membres du compte, utilisateurs ou rôles) autorisés à accéder à une ressource. ACLs sont similaires aux politiques basées sur les ressources, bien qu'elles n'utilisent pas le format de document de politique JSON.
Amazon S3 et AWS WAF Amazon VPC sont des exemples de services compatibles. ACLs Pour en savoir plus ACLs, consultez la [présentation de la liste de contrôle d'accès (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) dans le *guide du développeur Amazon Simple Storage Service*.
OpsWorks CM n'en utilise pas ACLs.
### Autres types de politique
OpsWorks CM ne prend pas en charge les autres types de politiques suivants.
AWS prend en charge d'autres types de politiques moins courants. Ces types de politiques peuvent définir le nombre maximum d’autorisations qui vous sont accordées par des types de politiques plus courants.
+ **Limites** d'autorisations — Une limite d'autorisations est une fonctionnalité avancée dans laquelle vous définissez le maximum d'autorisations qu'une politique basée sur l'identité peut accorder à une entité IAM (utilisateur ou rôle). Vous pouvez définir une limite d’autorisations pour une entité. Les autorisations obtenues représentent la combinaison des politiques basées sur l'identité de l'entité et de ses limites d'autorisations. Les politiques basées sur les ressources qui spécifient l'utilisateur ou le rôle dans le champ `Principal` ne sont pas limitées par les limites d'autorisations. Un refus explicite dans l’une de ces politiques annule l’autorisation. Pour plus d’informations sur les limites d’autorisations, consultez [Limites d’autorisations pour des entités IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) dans le *Guide de l’utilisateur IAM*.
+ **Politiques de contrôle des services (SCPs)** : SCPs politiques JSON qui spécifient les autorisations maximales pour une organisation ou une unité organisationnelle (UO) dans AWS Organizations. AWS Organizations est un service permettant de regrouper et de gérer de manière centralisée plusieurs AWS comptes détenus par votre entreprise. Si vous activez toutes les fonctionnalités d'une organisation, vous pouvez appliquer des politiques de contrôle des services (SCPs) à l'un ou à l'ensemble de vos comptes. Le SCP limite les autorisations pour les entités figurant dans les comptes des membres, y compris chacune Utilisateur racine d'un compte AWS d'entre elles. Pour plus d'informations sur les Organizations SCPs, voir [How SCPs Work](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_about-scps.html) dans le *guide de AWS Organizations l'utilisateur*.
+ **Politiques de séance** : les politiques de séance sont des politiques avancées que vous utilisez en tant que paramètre lorsque vous créez par programmation une séance temporaire pour un rôle ou un utilisateur fédéré. Les autorisations de séance en résultant sont une combinaison des politiques basées sur l’identité de l’utilisateur ou du rôle et des politiques de séance. Les autorisations peuvent également provenir d’une politique basée sur les ressources. Un refus explicite dans l’une de ces politiques annule l’autorisation. Pour plus d’informations, consultez [Politiques de session](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) dans le *Guide de l’utilisateur IAM*.
### Types de politique multiple
Lorsque plusieurs types de politiques s’appliquent à la requête, les autorisations en résultant sont plus compliquées à comprendre. Pour savoir comment AWS déterminer s'il faut autoriser une demande lorsque plusieurs types de politiques sont impliqués, consultez la section [Logique d'évaluation des politiques](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) dans le *guide de l'utilisateur IAM*.
# Comment fonctionne OpsWorks CM avec IAM
Avant d'utiliser IAM pour gérer l'accès à OpsWorks CM, vous devez connaître les fonctionnalités IAM disponibles avec OpsWorks CM. Pour obtenir une vue d'ensemble de la manière dont OpsWorks CM et les autres AWS services fonctionnent avec IAM, consultez la section [AWS Services compatibles avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dans le Guide de l'utilisateur d'*IAM*.
**Topics**
+ [OpsWorks Politiques basées sur l'identité CM](#security_iam_service-with-iam-id-based-policies-opscm)
+ [OpsWorks Politiques basées sur le CM et les ressources](#security_iam_resource-based-policies)
+ [Autorisation basée sur les balises OpsWorks CM](#security_iam_tags)
+ [OpsWorks Rôles CM IAM](#security_iam_roles)
## OpsWorks Politiques basées sur l'identité CM
Avec les politiques basées sur l'identité IAM, vous pouvez spécifier les actions et les ressources autorisées ou refusées ainsi que les conditions dans lesquelles les actions sont autorisées ou refusées. OpsWorks CM prend en charge des actions, des ressources et des clés de condition spécifiques. Pour en savoir plus sur tous les éléments que vous utilisez dans une politique JSON, consultez [Références des éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dans le *Guide de l'utilisateur IAM*.
Dans OpsWorks CM, vous pouvez associer une déclaration de politique personnalisée à un utilisateur, à un rôle ou à un groupe.
### Actions
L'élément `Action` d'une stratégie basée sur une identité IAM décrit les actions spécifiques qui seront autorisées ou refusées par la stratégie. Les actions de stratégie portent généralement le même nom que l'opération AWS d'API associée. L'action est utilisée dans une politique pour permettre d'effectuer l'opération associée.
Les actions de politique dans OpsWorks CM utilisent le préfixe suivant avant l'action :`opsworks-cm:`. Par exemple, pour accorder à une personne l'autorisation de créer un serveur de gestion de configuration d' OpsWorks à l'aide d'une opération d'API, vous incluez l'action `opsworks-cm:CreateServer` dans sa stratégie. Les déclarations de politique doivent inclure un `NotAction` élément `Action` ou. OpsWorks CM définit son propre ensemble d'actions décrivant les tâches que vous pouvez effectuer avec ce service.
Pour spécifier plusieurs actions dans une seule déclaration, séparez-les par des virgules comme suit :
```
"Action": [
"opsworks-cm:action1",
"opsworks-cm:action2"
```
Vous pouvez aussi spécifier plusieurs actions à l’aide de caractères génériques (\$1). Par exemple, pour spécifier toutes les actions qui commencent par le mot `Describe`, incluez l’action suivante :
```
"Action": "opsworks-cm:Describe*"
```
Lorsque vous utilisez des caractères génériques pour autoriser plusieurs actions dans une déclaration de stratégie, veillez à autoriser ces actions uniquement pour les services ou les utilisateurs autorisés.
Pour consulter la liste des actions OpsWorks CM, consultez la section [Actions, ressources et clés de condition pour AWS OpsWorks](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsopsworks.html) dans le *guide de l'utilisateur IAM*.
### Ressources
L'élément `Resource` précise les objets auxquels l'action s'applique. Les instructions doivent inclure un élément `Resource` ou `NotResource`. Vous spécifiez une ressource à l'aide d'un ARN ou du caractère générique (\$1) pour indiquer que l'instruction s'applique à toutes les ressources.
Vous pouvez obtenir le numéro de ressource Amazon (ARN) d'un serveur OpsWorks CM ou d'une sauvegarde en exécutant les opérations d'[https://docs.aws.amazon.com/opsworks-cm/latest/APIReference/API_DescribeBackups.html](https://docs.aws.amazon.com/opsworks-cm/latest/APIReference/API_DescribeBackups.html)API [https://docs.aws.amazon.com/opsworks-cm/latest/APIReference/API_DescribeServers.html](https://docs.aws.amazon.com/opsworks-cm/latest/APIReference/API_DescribeServers.html)ou en basant les politiques au niveau des ressources sur ces ressources.
Une ressource de serveur OpsWorks CM possède un ARN au format suivant :
```
arn:aws:opsworks-cm:{Region}:${Account}:server/${ServerName}/${UniqueId}
```
Une ressource de sauvegarde OpsWorks CM possède un ARN au format suivant :
```
arn:aws:opsworks-cm:{Region}:${Account}:backup/${ServerName}-{Date-and-Time-Stamp-of-Backup}
```
Pour plus d'informations sur le format de ARNs, consultez [Amazon Resource Names (ARNs) et AWS Service Namespaces](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).
Par exemple, pour spécifier le serveur Chef Automate `test-chef-automate` dans votre déclaration, utilisez l'ARN suivant :
```
"Resource": "arn:aws:opsworks-cm:us-west-2:123456789012:server/test-chef-automate/EXAMPLE-d1a2bEXAMPLE"
```
Pour spécifier tous les serveurs OpsWorks CM appartenant à un compte spécifique, utilisez le caractère générique (\$1) :
```
"Resource": "arn:aws:opsworks-cm:us-west-2:123456789012:server/*"
```
L'exemple suivant indique une sauvegarde du serveur OpsWorks CM en tant que ressource :
```
"Resource": "arn:aws:opsworks-cm:us-west-2:123456789012:backup/test-chef-automate-server-2018-05-20T19:06:12.399Z"
```
Certaines actions OpsWorks CM, telles que celles relatives à la création de ressources, ne peuvent pas être effectuées sur une ressource spécifique. Dans ces cas-là, vous devez utiliser le caractère générique (\$1).
```
"Resource": "*"
```
De nombreuses actions d'API nécessitent plusieurs ressources. Pour spécifier plusieurs ressources dans une seule instruction, séparez-les ARNs par des virgules.
```
"Resource": [
"resource1",
"resource2"
```
Pour consulter la liste des types de ressources OpsWorks CM et leurs caractéristiques ARNs, consultez la section [Actions, ressources et clés de condition pour AWS OpsWorks CM](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsopsworksconfigurationmanagement.html) dans le *guide de l'utilisateur IAM*. Pour savoir avec quelles actions vous pouvez spécifier l'ARN de chaque ressource, consultez la section [Actions, ressources et clés de condition pour AWS OpsWorks CM](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsopsworksconfigurationmanagement.html) dans le *guide de l'utilisateur IAM*.
### Clés de condition
OpsWorks CM ne dispose pas de clés contextuelles spécifiques au service pouvant être utilisées dans l'`Condition`élément des déclarations de politique. Pour obtenir la liste des clés de contexte globales disponibles pour tous les services, consultez la section [Clés de contexte de condition AWS globale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#AvailableKeys) dans le manuel de *référence des politiques IAM*. Pour voir toutes les clés de condition AWS globales, voir les clés de [contexte de condition AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) dans le *guide de l'utilisateur IAM*.
L’élément `Condition` (ou le *bloc* `Condition`) vous permet de spécifier des conditions lorsqu’une instruction est appliquée. L’élément `Condition` est facultatif. Vous pouvez créer des expressions conditionnelles qui utilisent des [opérateurs de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), comme égal ou inférieur, pour faire correspondre la condition de la stratégie aux valeurs de la demande.
Si vous spécifiez plusieurs éléments `Condition` dans une instruction, ou plusieurs clés dans un seul élément `Condition`, AWS les évalue à l’aide d’une opération `AND` logique. Si vous spécifiez plusieurs valeurs pour une seule clé de condition, AWS évalue la condition à l'aide d'une `OR` opération logique. Toutes les conditions doivent être remplies avant que les autorisations associées à l’instruction ne soient accordées.
Vous pouvez aussi utiliser des variables d’espace réservé quand vous spécifiez des conditions. Par exemple, vous pouvez autoriser un utilisateur à accéder à une ressource uniquement si celle-ci porte le nom de l'utilisateur. Pour plus d’informations, consultez [Éléments des politiques IAM : variables et balises](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) dans le *Guide de l’utilisateur IAM*.
### Exemples
Pour consulter des exemples de politiques basées sur l'identité OpsWorks CM, consultez. [AWS OpsWorks Exemples de politiques basées sur l'identité CM](security_iam_id-based-policy-examples.md)
## OpsWorks Politiques basées sur le CM et les ressources
OpsWorks CM ne prend pas en charge les politiques basées sur les ressources.
Les stratégies basées sur les ressources sont des documents de stratégie JSON qui spécifient les actions qu'un mandataire spécifié peut effectuer sur une ressource et dans quelles conditions.
## Autorisation basée sur les balises OpsWorks CM
Vous pouvez associer des balises aux ressources OpsWorks CM ou transmettre des balises dans une demande adressée à OpsWorks CM. Pour contrôler l'accès basé sur des balises, vous devez fournir les informations des balises dans l'[élément de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) d'une stratégie utilisant les clés de condition `aws:RequestTag/key-name` ou `aws:TagKeys`. Pour plus d'informations sur le balisage des ressources OpsWorks CM, consultez [Utilisation des balises sur les AWS OpsWorks for Chef Automate ressources](opscm-tags.md) ou [Utilisation des balises sur les AWS OpsWorks for Puppet Enterprise ressources](opspup-tags.md) consultez ce guide.
## OpsWorks Rôles CM IAM
Un [rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) est une entité de votre AWS compte qui possède des autorisations spécifiques.
OpsWorks CM utilise deux rôles :
+ Rôle de service qui accorde au service OpsWorks CM les autorisations nécessaires pour travailler dans le AWS compte d'un utilisateur. Si vous utilisez le rôle de service par défaut fourni par OpsWorks CM, le nom de ce rôle est`aws-opsworks-cm-service-role`.
+ Rôle de profil d'instance qui permet au service OpsWorks CM d'appeler l'API OpsWorks CM. Ce rôle donne accès à Amazon S3 et permet CloudFormation de créer le serveur et le compartiment S3 pour les sauvegardes. Si vous utilisez le profil d'instance par défaut fourni par OpsWorks CM, le nom de ce rôle de profil d'instance est`aws-opsworks-cm-ec2-role`.
OpsWorks CM n'utilise pas de rôles liés à un service.
### Utilisation d'informations d'identification temporaires avec la gestion de configuration d' OpsWorks
OpsWorks CM prend en charge l'utilisation d'informations d'identification temporaires et hérite de cette fonctionnalité de AWS Security Token Service.
Vous pouvez utiliser des informations d’identification temporaires pour vous connecter à l’aide de la fédération, endosser un rôle IAM ou encore pour endosser un rôle intercompte. Vous obtenez des informations d'identification de sécurité temporaires en appelant des opérations d' AWS STS API telles que [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)ou [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html).
### Rôles liés à un service
OpsWorks CM n'utilise pas de rôles liés à un service.
Les [rôles liés aux](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) AWS services permettent aux services d'accéder aux ressources d'autres services pour effectuer une action en votre nom. Les rôles liés à un service s’affichent dans votre compte IAM et sont la propriété du service. Un administrateur IAM peut consulter, mais ne peut pas modifier, les autorisations concernant les rôles liés à un service.
### Rôles de service
Cette fonction permet à un service d’endosser une [fonction du service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) en votre nom. Ce rôle autorise le service à accéder à des ressources d’autres services pour effectuer une action en votre nom. Les rôles de service s’affichent dans votre compte IAM et sont la propriété du compte. Cela signifie qu’un administrateur IAM peut modifier les autorisations associées à ce rôle. Toutefois, une telle action peut perturber le bon fonctionnement du service.
OpsWorks CM utilise deux rôles :
+ Rôle de service qui accorde au service OpsWorks CM les autorisations nécessaires pour travailler dans le AWS compte d'un utilisateur. Si vous utilisez le rôle de service par défaut fourni par OpsWorks CM, le nom de ce rôle est`aws-opsworks-cm-service-role`.
+ Rôle de profil d'instance qui permet au service OpsWorks CM d'appeler l'API OpsWorks CM. Ce rôle donne accès à Amazon S3 et permet CloudFormation de créer le serveur et le compartiment S3 pour les sauvegardes. Si vous utilisez le profil d'instance par défaut fourni par OpsWorks CM, le nom de ce rôle de profil d'instance est`aws-opsworks-cm-ec2-role`.
### Choisir un rôle IAM dans CM OpsWorks
Lorsque vous créez un serveur dans OpsWorks CM, vous devez choisir un rôle pour permettre à OpsWorks CM d'accéder à Amazon EC2 en votre nom. Si vous avez déjà créé un rôle de service, OpsWorks CM vous propose une liste de rôles parmi lesquels choisir. OpsWorks CM peut créer le rôle pour vous, si vous ne le spécifiez pas. Il est important de choisir un rôle qui autorise l'accès au démarrage et à l'arrêt EC2 des instances Amazon. Pour plus d’informations, consultez [Création d'un serveur Chef Automate](gettingstarted-opscm-create.md) ou [Créer un serveur maître Puppet Enterprise](gettingstarted-opspup-create.md).
# AWS OpsWorks Exemples de politiques basées sur l'identité CM
Par défaut, les utilisateurs ou les rôles ne sont pas autorisés à créer ou à modifier des ressources OpsWorks CM. Ils ne peuvent pas non plus effectuer de tâches à l'aide de l' AWS API AWS Management Console AWS CLI, ou. Un administrateur IAM doit créer des politiques IAM qui accordent aux identités IAM l'autorisation d'effectuer des opérations d'API spécifiques sur les ressources spécifiées dont ils ont besoin. Il doit ensuite attacher ces stratégies aux utilisateurs ou aux groupes ayant besoin de ces autorisations.
Pour apprendre à créer une politique basée sur l'identité IAM à l'aide de ces exemples de documents de politique JSON, consultez [Création de politiques dans l'onglet JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) dans le *Guide de l'utilisateur IAM*.
Dans OpsWorks CM, vous pouvez attribuer la `AWSOpsWorksCMServiceRole` politique à un utilisateur pour lui permettre de créer et de gérer des serveurs Chef Automate ou Puppet Enterprise à l'aide du AWS Management Console ou AWS CLI.
**Topics**
+ [Bonnes pratiques en matière de politiques](#security_iam_policy-best-practices)
+ [Autoriser les utilisateurs à afficher leurs propres autorisations](#security_iam_policy-examples-own-permissions)
+ [Affichage des serveurs OpsWorks CM en fonction des balises](#security_iam_policy-examples-view-tags)
## Bonnes pratiques en matière de politiques
Les politiques basées sur l'identité déterminent si quelqu'un peut créer, accéder ou supprimer des ressources OpsWorks CM dans votre compte. Ces actions peuvent entraîner des frais pour votre Compte AWS. Lorsque vous créez ou modifiez des politiques basées sur l’identité, suivez ces instructions et recommandations :
+ **Commencez AWS par les politiques gérées et passez aux autorisations du moindre privilège : pour commencer à accorder des autorisations** à vos utilisateurs et à vos charges de travail, utilisez les *politiques AWS gérées* qui accordent des autorisations pour de nombreux cas d'utilisation courants. Ils sont disponibles dans votre Compte AWS. Nous vous recommandons de réduire davantage les autorisations en définissant des politiques gérées par les AWS clients spécifiques à vos cas d'utilisation. Pour plus d’informations, consultez [politiques gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [politiques gérées par AWS pour les activités professionnelles](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dans le *Guide de l’utilisateur IAM*.
+ **Accordez les autorisations de moindre privilège** : lorsque vous définissez des autorisations avec des politiques IAM, accordez uniquement les autorisations nécessaires à l’exécution d’une seule tâche. Pour ce faire, vous définissez les actions qui peuvent être entreprises sur des ressources spécifiques dans des conditions spécifiques, également appelées *autorisations de moindre privilège*. Pour plus d’informations sur l’utilisation d’IAM pour appliquer des autorisations, consultez [politiques et autorisations dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dans le *Guide de l’utilisateur IAM*.
+ **Utilisez des conditions dans les politiques IAM pour restreindre davantage l’accès** : vous pouvez ajouter une condition à vos politiques afin de limiter l’accès aux actions et aux ressources. Par exemple, vous pouvez écrire une condition de politique pour spécifier que toutes les demandes doivent être envoyées via SSL. Vous pouvez également utiliser des conditions pour accorder l'accès aux actions de service si elles sont utilisées par le biais d'un service spécifique Service AWS, tel que CloudFormation. Pour plus d’informations, consultez [Conditions pour éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dans le *Guide de l’utilisateur IAM*.
+ **Utilisez l’Analyseur d’accès IAM pour valider vos politiques IAM afin de garantir des autorisations sécurisées et fonctionnelles** : l’Analyseur d’accès IAM valide les politiques nouvelles et existantes de manière à ce que les politiques IAM respectent le langage de politique IAM (JSON) et les bonnes pratiques IAM. IAM Access Analyzer fournit plus de 100 vérifications de politiques et des recommandations exploitables pour vous aider à créer des politiques sécurisées et fonctionnelles. Pour plus d’informations, consultez [Validation de politiques avec IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) dans le *Guide de l’utilisateur IAM*.
+ **Exiger l'authentification multifactorielle (MFA**) : si vous avez un scénario qui nécessite des utilisateurs IAM ou un utilisateur root, activez l'authentification MFA pour une sécurité accrue. Compte AWS Pour exiger la MFA lorsque des opérations d’API sont appelées, ajoutez des conditions MFA à vos politiques. Pour plus d’informations, consultez [Sécurisation de l’accès aux API avec MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) dans le *Guide de l’utilisateur IAM*.
Pour plus d’informations sur les bonnes pratiques dans IAM, consultez [Bonnes pratiques de sécurité dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dans le *Guide de l’utilisateur IAM*.
## Autoriser les utilisateurs à afficher leurs propres autorisations
Cet exemple montre comment créer une stratégie qui permet aux utilisateurs d'afficher les stratégies en ligne et gérées attachées à leur identité d'utilisateur. Cette politique inclut les autorisations permettant d'effectuer cette action sur la console ou par programmation à l'aide de l'API AWS CLI or AWS .
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": [
"arn:aws:iam::*:user/${aws:username}"
]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
------
## Affichage des serveurs OpsWorks CM en fonction des balises
Vous pouvez utiliser les conditions de votre politique basée sur l'identité pour contrôler l'accès aux serveurs OpsWorks CM et aux sauvegardes en fonction de balises. Cet exemple montre comment vous pouvez créer une politique qui autorise l'affichage d'un serveur OpsWorks CM. Toutefois, l'autorisation n'est accordée que si la balise du serveur OpsWorks CM `Owner` a la valeur du nom d'utilisateur de cet utilisateur. Cette politique accorde également les autorisations nécessaires pour réaliser cette action sur la console.
Vous pouvez attacher cette stratégie aux utilisateurs de votre compte. Si un utilisateur nommé `richard-roe` tente de consulter un serveur OpsWorks CM, le serveur doit être étiqueté `Owner=richard-roe` ou`owner=richard-roe`. Dans le cas contraire, l'utilisateur se voit refuser l'accès. La clé de condition d'étiquette `Owner` correspond à la fois à `Owner` et à `owner`, car les noms de clé de condition ne sont pas sensibles à la casse. Pour plus d’informations, consultez [Conditions pour éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dans le *Guide de l’utilisateur IAM*.
# Résolution des problèmes liés à AWS OpsWorks CM Identity and Access
Utilisez les informations suivantes pour vous aider à diagnostiquer et à résoudre les problèmes courants que vous pouvez rencontrer lorsque vous travaillez avec IAM. Pour obtenir des informations de dépannage spécifiques à OpsWorks CM, reportez-vous aux [Résolution des problèmes AWS OpsWorks for Chef Automate](troubleshoot-opscm.md) sections et[Résolution des problèmes OpsWorks pour Puppet Enterprise](troubleshoot-opspup.md).
**Topics**
+ [Je ne suis pas autorisé à effectuer une action dans OpsWorks CM](#security_iam_troubleshoot-permissions-opscm)
+ [Je ne suis pas autorisé à effectuer iam : PassRole](#security_troubleshoot-passrole)
+ [Je souhaite autoriser des personnes extérieures à mon AWS compte à accéder à mes ressources OpsWorks CM](#security_troubleshoot-cross-account)
## Je ne suis pas autorisé à effectuer une action dans OpsWorks CM
S'il vous AWS Management Console indique que vous n'êtes pas autorisé à effectuer une action, vous devez contacter votre administrateur pour obtenir de l'aide. Votre administrateur est la personne qui vous a fourni vos informations de connexion.
L'exemple d'erreur suivant se produit lorsqu'un utilisateur `mateojackson` essaie d'utiliser la console pour afficher les détails d'un serveur OpsWorks CM, mais ne dispose pas des `opsworks-cm:DescribeServers` autorisations nécessaires.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: opsworks-cm:DescribeServers on resource: test-chef-automate-server
```
Dans ce cas, Mateo demande à son administrateur de mettre à jour ses stratégies pour lui permettre d'accéder à la ressource `test-chef-automate-server` à l'aide de l'action `opsworks-cm:DescribeServers`.
## Je ne suis pas autorisé à effectuer iam : PassRole
Si vous recevez un message d'erreur selon lequel vous n'êtes pas autorisé à exécuter l'action `iam:PassRole`, vous devez contacter votre administrateur pour obtenir de l'aide. Votre administrateur est la personne qui vous a fourni vos informations de connexion. Demandez à cette personne de mettre à jour vos politiques afin de vous permettre de transférer un rôle à OpsWorks CM.
Certains AWS services vous permettent de transmettre un rôle existant à ce service, au lieu de créer un nouveau rôle de service ou un rôle lié à un service. Pour ce faire, vous devez disposer des autorisations nécessaires pour transmettre le rôle au service.
L'exemple d'erreur suivant se produit lorsqu'un utilisateur nommé `marymajor` essaie d'utiliser la console pour effectuer une action dans OpsWorks CM. Toutefois, l'action nécessite que le service ait des autorisations accordées par une fonction du service. Mary ne dispose pas des autorisations nécessaires pour transférer le rôle au service.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Dans ce cas, Mary demande à son administrateur de mettre à jour ses politiques pour lui permettre d'exécuter l'action `iam:PassRole`.
## Je souhaite autoriser des personnes extérieures à mon AWS compte à accéder à mes ressources OpsWorks CM
Vous pouvez créer un rôle que les utilisateurs provenant d’autres comptes ou les personnes extérieures à votre organisation pourront utiliser pour accéder à vos ressources. Vous pouvez spécifier qui est autorisé à assumer le rôle. Pour les services qui prennent en charge les politiques basées sur les ressources ou les listes de contrôle d'accès (ACLs), vous pouvez utiliser ces politiques pour autoriser les utilisateurs à accéder à vos ressources.
Pour plus d’informations, consultez les éléments suivants :
+ OpsWorks CM permet d'accorder aux utilisateurs de plusieurs comptes l'accès à la gestion d'un serveur OpsWorks CM.
+ Pour savoir comment fournir un accès à vos ressources sur les AWS comptes que vous possédez, consultez la section [Fournir un accès à un utilisateur IAM sur un autre AWS compte que vous possédez](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) dans le Guide de l'*utilisateur IAM*.
+ Pour savoir comment fournir l'accès à vos ressources à des AWS comptes tiers, consultez la section [Fournir un accès aux AWS comptes détenus par des tiers](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) dans le *guide de l'utilisateur IAM*.
+ Pour savoir comment fournir un accès par le biais de la fédération d’identité, consultez [Fournir un accès à des utilisateurs authentifiés en externe (fédération d’identité)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) dans le *Guide de l’utilisateur IAM*.
+ Pour découvrir quelle est la différence entre l’utilisation des rôles et l’utilisation des politiques basées sur les ressources pour l’accès entre comptes, consultez [Différence entre les rôles IAM et les politiques basées sur les ressources](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_compare-resource-policies.html) dans le *Guide de l’utilisateur IAM*.
# AWS politiques gérées pour la gestion AWS OpsWorks de la configuration
Pour ajouter des autorisations aux utilisateurs, aux groupes et aux rôles, il est plus facile d'utiliser des politiques AWS gérées que de les rédiger vous-même. Il faut du temps et de l’expertise pour [créer des politiques gérées par le client IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) qui ne fournissent à votre équipe que les autorisations dont elle a besoin. Pour démarrer rapidement, vous pouvez utiliser nos politiques AWS gérées. Ces politiques couvrent les cas d'utilisation courants et sont disponibles dans votre AWS compte. Pour plus d'informations sur les politiques AWS gérées, voir les [politiques AWS gérées](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dans le *guide de l'utilisateur IAM*.
AWS les services maintiennent et mettent à jour les politiques AWS gérées. Vous ne pouvez pas modifier les autorisations dans les politiques AWS gérées. Les services ajoutent parfois des autorisations supplémentaires à une politique AWS gérée pour prendre en charge de nouvelles fonctionnalités. Ce type de mise à jour affecte toutes les identités (utilisateurs, groupes et rôles) auxquelles la politique est attachée. Les services sont plus susceptibles de mettre à jour une politique AWS gérée lorsqu'une nouvelle fonctionnalité est lancée ou lorsque de nouvelles opérations sont disponibles. Les services ne suppriment pas les autorisations d'une politique AWS gérée. Les mises à jour des politiques n'endommageront donc pas vos autorisations existantes.
En outre, AWS prend en charge les politiques gérées pour les fonctions professionnelles qui couvrent plusieurs services. Par exemple, la politique **ReadOnlyAccess** AWS gérée fournit un accès en lecture seule à tous les AWS services et ressources. Lorsqu'un service lance une nouvelle fonctionnalité, il AWS ajoute des autorisations en lecture seule pour les nouvelles opérations et ressources. Pour obtenir la liste des politiques de fonctions professionnelles et leurs descriptions, consultez la page [politiques gérées par AWS pour les fonctions de tâche](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dans le *Guide de l’utilisateur IAM*.
## Politique gérée par AWS : `AWSOpsWorksCMServiceRole` - Obsolète
Vous pouvez les associer `AWSOpsWorksCMServiceRole` à vos entités IAM. OpsWorks CM associe également cette politique à un rôle de service qui permet à OpsWorks CM d'effectuer des actions en votre nom.
Cette politique accorde des *administrative* autorisations qui permettent aux administrateurs OpsWorks CM de créer, de gérer et de supprimer des serveurs et des sauvegardes OpsWorks CM.
Pour plus d'informations, consultez la section [Politiques AWS gérées déconseillées](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html#deprecated-managed-policies) dans le Guide de *référence des politiques AWS gérées*.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `opsworks-cm`— Permet aux principaux de supprimer des serveurs existants et de démarrer des opérations de maintenance.
+ `acm`— Permet aux principaux de supprimer ou d'importer des certificats AWS Certificate Manager permettant aux utilisateurs de se connecter à un serveur OpsWorks CM.
+ `cloudformation`— Permet à OpsWorks CM de créer et de gérer des AWS CloudFormation piles lorsque les principaux créent, mettent à jour ou suppriment des serveurs OpsWorks CM.
+ `ec2`— Permet à OpsWorks CM de lancer, de provisionner, de mettre à jour et de résilier des instances Amazon Elastic Compute Cloud lorsque les principaux créent, mettent à jour ou suppriment des serveurs OpsWorks CM.
+ `iam`— Permet à OpsWorks CM de créer les rôles de service nécessaires à la création et à la gestion des serveurs OpsWorks CM.
+ `tag`— Permet aux principaux d'appliquer et de supprimer des balises sur les ressources OpsWorks CM, y compris les serveurs et les sauvegardes.
+ `s3`— Permet à OpsWorks CM de créer des compartiments Amazon S3 pour stocker les sauvegardes de serveurs, de gérer les objets dans des compartiments S3 sur demande principale (par exemple, supprimer une sauvegarde) et de supprimer des compartiments.
+ `secretsmanager`— Permet à OpsWorks CM de créer et de gérer les secrets de Secrets Manager, et d'appliquer ou de supprimer des balises dans les secrets.
+ `ssm`— Permet à OpsWorks CM d'utiliser la commande Run Command de Systems Manager sur les instances qui sont des serveurs OpsWorks CM.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket*"
],
"Action": [
"s3:CreateBucket",
"s3:DeleteObject",
"s3:DeleteBucket",
"s3:GetObject",
"s3:ListBucket",
"s3:PutBucketPolicy",
"s3:PutObject",
"s3:GetBucketTagging",
"s3:PutBucketTagging"
]
},
{
"Effect": "Allow",
"Resource": [
"*"
],
"Action": [
"tag:UntagResources",
"tag:TagResources"
]
},
{
"Effect": "Allow",
"Resource": [
"*"
],
"Action": [
"ssm:DescribeInstanceInformation",
"ssm:GetCommandInvocation",
"ssm:ListCommandInvocations",
"ssm:ListCommands"
]
},
{
"Effect": "Allow",
"Resource": [
"*"
],
"Condition": {
"StringLike": {
"ssm:resourceTag/aws:cloudformation:stack-name": "aws-opsworks-cm-*"
}
},
"Action": [
"ssm:SendCommand"
]
},
{
"Effect": "Allow",
"Resource": [
"arn:aws:ssm:*::document/*",
"arn:aws:s3:::amzn-s3-demo-bucket*"
],
"Action": [
"ssm:SendCommand"
]
},
{
"Effect": "Allow",
"Resource": [
"*"
],
"Action": [
"ec2:AllocateAddress",
"ec2:AssociateAddress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateImage",
"ec2:CreateSecurityGroup",
"ec2:CreateSnapshot",
"ec2:CreateTags",
"ec2:DeleteSecurityGroup",
"ec2:DeleteSnapshot",
"ec2:DeregisterImage",
"ec2:DescribeAccountAttributes",
"ec2:DescribeAddresses",
"ec2:DescribeImages",
"ec2:DescribeInstanceStatus",
"ec2:DescribeInstances",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSnapshots",
"ec2:DescribeSubnets",
"ec2:DisassociateAddress",
"ec2:ReleaseAddress",
"ec2:RunInstances",
"ec2:StopInstances"
]
},
{
"Effect": "Allow",
"Resource": [
"*"
],
"Condition": {
"StringLike": {
"ec2:ResourceTag/aws:cloudformation:stack-name": "aws-opsworks-cm-*"
}
},
"Action": [
"ec2:TerminateInstances",
"ec2:RebootInstances"
]
},
{
"Effect": "Allow",
"Resource": [
"arn:aws:opsworks-cm:*:*:server/*"
],
"Action": [
"opsworks-cm:DeleteServer",
"opsworks-cm:StartMaintenance"
]
},
{
"Effect": "Allow",
"Resource": [
"arn:aws:cloudformation:*:*:stack/aws-opsworks-cm-*"
],
"Action": [
"cloudformation:CreateStack",
"cloudformation:DeleteStack",
"cloudformation:DescribeStackEvents",
"cloudformation:DescribeStackResources",
"cloudformation:DescribeStacks",
"cloudformation:UpdateStack"
]
},
{
"Effect": "Allow",
"Resource": [
"arn:aws:iam::*:role/aws-opsworks-cm-*",
"arn:aws:iam::*:role/service-role/aws-opsworks-cm-*"
],
"Action": [
"iam:PassRole"
]
},
{
"Effect": "Allow",
"Resource": "*",
"Action": [
"acm:DeleteCertificate",
"acm:ImportCertificate"
]
},
{
"Effect": "Allow",
"Resource": "arn:aws:secretsmanager:*:*:opsworks-cm!aws-opsworks-cm-secrets-*",
"Action": [
"secretsmanager:CreateSecret",
"secretsmanager:GetSecretValue",
"secretsmanager:UpdateSecret",
"secretsmanager:DeleteSecret",
"secretsmanager:TagResource",
"secretsmanager:UntagResource"
]
},
{
"Effect": "Allow",
"Action": "ec2:DeleteTags",
"Resource": [
"arn:aws:ec2:*:*:instance/*",
"arn:aws:ec2:*:*:elastic-ip/*",
"arn:aws:ec2:*:*:security-group/*"
]
}
]
}
```
------
## Politique gérée par AWS : `AWSOpsWorksCMInstanceProfileRole` - Obsolète
Vous pouvez attacher `AWSOpsWorksCMInstanceProfileRole` à vos entités IAM. OpsWorks CM associe également cette politique à un rôle de service qui permet à OpsWorks CM d'effectuer des actions en votre nom.
Cette politique accorde *administrative* des autorisations qui permettent aux EC2 instances Amazon utilisées comme serveurs OpsWorks CM d'obtenir des informations depuis AWS CloudFormation et AWS Secrets Manager de stocker des sauvegardes de serveurs dans des compartiments Amazon S3.
Pour plus d'informations, consultez la section [Politiques AWS gérées déconseillées](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html#deprecated-managed-policies) dans le Guide de *référence des politiques AWS gérées*.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `acm`— Permet aux EC2 instances du serveur OpsWorks CM d'obtenir des certificats AWS Certificate Manager permettant aux utilisateurs de se connecter à un serveur OpsWorks CM.
+ `cloudformation`— Permet aux EC2 instances du serveur OpsWorks CM d'obtenir des informations sur les CloudFormation piles lors du processus de création ou de mise à jour des instances, et d'envoyer des signaux CloudFormation concernant leur état.
+ `s3`— Permet aux EC2 instances du serveur OpsWorks CM de télécharger et de stocker les sauvegardes du serveur dans des compartiments S3, d'arrêter ou d'annuler les téléchargements si nécessaire et de supprimer les sauvegardes des compartiments S3.
+ `secretsmanager`— Permet aux EC2 instances du serveur OpsWorks CM d'obtenir les valeurs des secrets de Secrets Manager liés à OpsWorks CM.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"cloudformation:DescribeStackResource",
"cloudformation:SignalResource"
],
"Effect": "Allow",
"Resource": [
"*"
]
},
{
"Action": [
"s3:AbortMultipartUpload",
"s3:DeleteObject",
"s3:GetObject",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:ListMultipartUploadParts",
"s3:PutObject"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket*",
"Effect": "Allow"
},
{
"Action": "acm:GetCertificate",
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:*:*:opsworks-cm!aws-opsworks-cm-secrets-*",
"Effect": "Allow"
}
]
}
```
------
## OpsWorks Mises à jour des politiques AWS gérées par CM
Consultez les détails des mises à jour apportées aux politiques AWS gérées pour OpsWorks CM depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS sur la page d'[historique du document OpsWorks CM](history.md).
| Modifier | Description | Date |
| --- | --- | --- |
| [AWSOpsWorks CMInstance ProfileRole](#security-iam-awsmanpol-AWSOpsWorksCMInstanceProfileRole) - Obsolète | Cette politique est obsolète car le service est obsolète. | 26 mai 2025 |
| [AWSOpsCMServiceRôle de travail](#security-iam-awsmanpol-AWSOpsWorksCMServiceRole) - Obsolète | Cette politique est obsolète car le service est obsolète. | 26 mai 2025 |
| [AWSOpsWorks CMService Role](#security-iam-awsmanpol-AWSOpsWorksCMServiceRole) - Politique gérée mise à jour | OpsWorks CM a mis à jour la politique gérée qui permet aux administrateurs OpsWorks CM de créer, de gérer et de supprimer des serveurs OpsWorks CM et des sauvegardes. La modification ajoute `opsworks-cm!` au nom de la ressource pour les secrets de Secrets Manager, de sorte que OpsWorks CM est autorisé à détenir les secrets. | 23 avril 2021 |
| OpsWorks CM a commencé à suivre les modifications | OpsWorks CM a commencé à suivre les modifications apportées AWS à ses politiques gérées. | 23 avril 2021 |
# Prévention interservices confuse des adjoints dans AWS OpsWorks CM
Le problème de député confus est un problème de sécurité dans lequel une entité qui n’est pas autorisée à effectuer une action peut contraindre une entité plus privilégiée à le faire. En AWS, l'usurpation d'identité interservices peut entraîner la confusion des adjoints. L’usurpation d’identité entre services peut se produire lorsqu’un service (le *service appelant*) appelle un autre service (le *service appelé*). Le service appelant peut être manipulé et ses autorisations utilisées pour agir sur les ressources d’un autre client auxquelles on ne serait pas autorisé à accéder autrement. Pour éviter cela, AWS fournit des outils qui vous aident à protéger vos données pour tous les services avec des principaux de service qui ont eu accès aux ressources de votre compte.
Nous recommandons d'utiliser les clés de contexte de condition [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)globale [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)et les clés contextuelles dans les politiques de ressources afin de limiter les autorisations qui AWS OpsWorks CM accordent un autre service à la ressource. Si la valeur `aws:SourceArn` ne contient pas l'ID du compte, tel qu'un ARN de compartiment Amazon S3, vous devez utiliser les deux clés de contexte de condition globale pour limiter les autorisations. Si vous utilisez les deux clés de contexte de condition globale et que la valeur `aws:SourceArn` contient l'ID de compte, la valeur `aws:SourceAccount` et le compte dans la valeur `aws:SourceArn` doivent utiliser le même ID de compte lorsqu'ils sont utilisés dans la même instruction de politique. Utilisez `aws:SourceArn` si vous souhaitez qu'une seule ressource soit associée à l'accès entre services. Utilisez `aws:SourceAccount` si vous souhaitez autoriser l’association d’une ressource de ce compte à l’utilisation interservices.
La valeur de `aws:SourceArn` doit être l'ARN d'un serveur OpsWorks CM Chef ou Puppet.
Le moyen le plus efficace de se protéger contre le problème de confusion des adjoints consiste à utiliser la clé de contexte de condition `aws:SourceArn` globale avec l'ARN complet du AWS OpsWorks CM serveur. Si vous ne connaissez pas l'ARN complet ou si vous spécifiez plusieurs serveurs ARNs, utilisez la clé de condition de contexte `aws:SourceArn` globale avec des caractères génériques (`*`) pour les parties inconnues de l'ARN. Par exemple, `arn:aws:servicename:*:123456789012:*`.
La section suivante montre comment utiliser les touches de contexte de condition `aws:SourceAccount` globale `aws:SourceArn` et globale AWS OpsWorks CM pour éviter le problème de confusion des adjoints.
## Empêchez les exploits d'adjoints confus dans AWS OpsWorks CM
Cette section décrit comment vous pouvez empêcher les exploits secondaires confus et inclut des exemples de politiques d'autorisation que vous pouvez associer au rôle IAM auquel vous accédez AWS OpsWorks CM. AWS OpsWorks CM Pour des raisons de sécurité, nous vous recommandons d'ajouter les clés de `aws:SourceAccount` condition `aws:SourceArn` et aux relations de confiance que votre rôle IAM entretient avec d'autres services. Les relations de confiance permettent AWS OpsWorks CM d'assumer un rôle pour effectuer des actions dans d'autres services nécessaires à la création ou à la gestion de vos AWS OpsWorks CM serveurs.
**Pour modifier les relations de confiance afin d'ajouter `aws:SourceArn` et de `aws:SourceAccount` conditionner des clés**
1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Dans le volet de navigation de gauche, choisissez **Rôles**.
1. **Dans la zone de recherche, recherchez le rôle auquel vous souhaitez accéder AWS OpsWorks CM.** Le rôle AWS géré est`aws-opsworks-cm-service-role`.
1. Sur la page **Résumé** du rôle, choisissez l'onglet **Relations de confiance**.
1. Dans l'onglet **Trust relationships** (Relations d'approbation), choisissez **Edit trust relationship** (Modifier la relation d'approbation).
1. Dans le **document de stratégie**, ajoutez au moins l'une des clés de `aws:SourceAccount` condition `aws:SourceArn` ou à la politique. `aws:SourceArn`À utiliser pour restreindre la relation de confiance entre les services interconnectés (tels que AWS Certificate Manager Amazon EC2) et avec AWS OpsWorks CM des AWS OpsWorks CM serveurs spécifiques, ce qui est plus restrictif. Ajoutez `aws:SourceAccount` pour restreindre la relation de confiance entre les services interservices et AWS OpsWorks CM les serveurs d'un compte spécifique, ce qui est moins restrictif. Voici un exemple. Notez que si vous utilisez les deux clés de condition, le compte IDs doit être le même.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "opsworks-cm.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:opsworks-cm:us-east-2:123456789012:server/my-opsworks-server/EXAMPLEabcd-1234-efghEXAMPLE-ID"
}
}
}
]
}
```
------
1. Lorsque vous avez terminé d'ajouter des clés de condition, choisissez **Mettre à jour la politique de confiance**.
Vous trouverez ci-dessous d'autres exemples de rôles qui limitent l'accès aux AWS OpsWorks CM serveurs en utilisant `aws:SourceArn` et`aws:SourceAccount`.
**Topics**
+ [Exemple : accès aux AWS OpsWorks CM serveurs d'une région spécifique](#confused-deputy-opsworks-cm-example-1)
+ [Exemple : ajout de plusieurs ARN de serveur à `aws:SourceArn`](#confused-deputy-opsworks-cm-example-2)
### Exemple : accès aux AWS OpsWorks CM serveurs d'une région spécifique
La déclaration de relation de confiance suivante permet d'accéder à tous AWS OpsWorks CM les serveurs de la région USA Est (Ohio) (`us-east-2`). Notez que la région est spécifiée dans la valeur ARN de`aws:SourceArn`, mais que la valeur de l'ID du serveur est un caractère générique (\$1).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "opsworks-cm.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:opsworks-cm:us-east-2:123456789012:server/*"
}
}
}
]
}
```
------
### Exemple : ajout de plusieurs ARN de serveur à `aws:SourceArn`
L'exemple suivant limite l'accès à un ensemble de deux AWS OpsWorks CM serveurs sous l'ID de compte 123456789012.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "opsworks-cm.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnEquals": {
"aws:SourceArn": [
"arn:aws:opsworks-cm:us-east-2:123456789012:server/my-chef-server/unique_ID",
"arn:aws:opsworks-cm:us-east-2:123456789012:server/my-puppet-server/unique_ID"
]
}
}
}
]
}
```
------
## Confidentialité du trafic inter-réseaux
OpsWorks CM utilise les mêmes protocoles de sécurité de transmission généralement utilisés par AWS : HTTPS ou HTTP avec cryptage TLS.
## Journalisation et surveillance dans OpsWorks CM
OpsWorks CM enregistre toutes les actions de l'API dans CloudTrail. Pour plus d’informations, consultez les rubriques suivantes :
+ [Journalisation OpsWorks des appels d'API Puppet Enterprise avec AWS CloudTrail](logging-opspup-using-cloudtrail.md)
+ [Journalisation des appels d' AWS OpsWorks for Chef Automate API avec AWS CloudTrail](logging-opsca-using-cloudtrail.md)
# Validation de la conformité pour la gestion de configuration d' OpsWorks
OpsWorks CM soutient les programmes et réglementations de conformité suivants :
+ Payment Card Industry (PCI)
+ Loi américaine Health Insurance Portability and Accountability Act (HIPAA) de 1996
+ AWS Contrôles du système et de l'organisation (SOC) 1, 2 et 3
+ Règlement général sur la protection des données (RGPD)
Des auditeurs tiers évaluent la sécurité et la conformité du OpsWorks CM dans le cadre de multiples programmes de AWS conformité. Il s’agit notamment des certifications SOC, PCI, FedRAMP, HIPAA et d’autres.
Pour obtenir la liste des AWS services concernés par des programmes de conformité spécifiques, consultez la section [Services AWS concernés par programme de conformité](https://aws.amazon.com/compliance/services-in-scope/). Pour obtenir des informations générales, consultez [Programmes de conformitéAWS](https://aws.amazon.com/compliance/programs/).
Vous pouvez télécharger des rapports d'audit tiers à l'aide de AWS Artifact. Pour plus d’informations, consultez [Téléchargement des rapports dans AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).
Lorsque vous utilisez OpsWorks CM, votre responsabilité en matière de conformité dépend de la sensibilité de vos données, des objectifs de conformité de votre entreprise et des lois et réglementations applicables. AWS fournit les ressources suivantes pour faciliter la mise en conformité :
+ [Guides Quick Start de la sécurité et de la conformité](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance) : ces guides de déploiement traitent de considérations architecturales et indiquent les étapes à suivre pour déployer des environnements de référence centrés sur la sécurité et la conformité dans AWS.
+ Livre blanc [sur l'architecture pour la sécurité et la conformité HIPAA — Ce livre blanc](https://docs.aws.amazon.com/whitepapers/latest/architecting-hipaa-security-and-compliance-on-aws/architecting-hipaa-security-and-compliance-on-aws.html) décrit comment les entreprises peuvent créer des applications conformes à la loi HIPAA. AWS
+ [AWS Ressources relatives à la conformité](https://aws.amazon.com/compliance/resources/) — Cette collection de classeurs et de guides peut s'appliquer à votre secteur d'activité et à votre région.
+ [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)— Ce AWS service évalue dans quelle mesure les configurations de vos ressources sont conformes aux pratiques internes, aux directives du secteur et aux réglementations.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)— Ce AWS service fournit une vue complète de l'état de votre sécurité interne, AWS ce qui vous permet de vérifier votre conformité aux normes et aux meilleures pratiques du secteur de la sécurité.
# Résilience dans le OpsWorks CM
OpsWorks CM permet des sauvegardes quotidiennes des serveurs par défaut lorsque vous créez un serveur. Les sauvegardes sont chiffrées et stockées dans un compartiment Amazon S3. Par défaut, ce compartiment n'est accessible qu'au compte qui a créé le serveur. Vous pouvez ajouter un accès au bucket pour d'autres utilisateurs ou configurer des sauvegardes entre régions dans Amazon S3 à votre guise. Chef et Puppet prennent en charge le chiffrement inter-régions, car les deux produits chiffrent le trafic entre votre serveur de gestion de configuration d' OpsWorks et les nœuds gérés.
OpsWorks CM ne prend pas en charge les configurations de haute disponibilité (HA).
L'infrastructure AWS mondiale est construite autour des AWS régions et des zones de disponibilité. AWS Les régions fournissent plusieurs zones de disponibilité physiquement séparées et isolées, connectées par un réseau à faible latence, à haut débit et hautement redondant. Avec les zones de disponibilité, vous pouvez concevoir et exploiter des applications et des bases de données qui basculent automatiquement d’une zone de disponibilité à l’autre sans interruption. Les zones de disponibilité sont plus hautement disponibles, tolérantes aux pannes et évolutives que les infrastructures traditionnelles à un ou plusieurs centres de données.
Pour plus d'informations sur la sauvegarde et la restauration de serveurs dans OpsWorks CM, consultez les rubriques suivantes :
+ [Sauvegardez et restaurez un serveur OpsWorks pour Puppet Enterprise](opspup-backup-restore.md)
+ [Sauvegarder et restaurer un AWS OpsWorks for Chef Automate serveur](opscm-backup-restore.md)
Pour plus d'informations sur AWS les régions et les zones de disponibilité, consultez la section [Infrastructure AWS mondiale](https://aws.amazon.com/about-aws/global-infrastructure/).
# Sécurité de l'infrastructure dans la gestion de configuration d' AWS OpsWorks
En tant que service géré, AWS OpsWorks Configuration Management est protégé par la sécurité du réseau AWS mondial. Pour plus d'informations sur les services AWS de sécurité et sur la manière dont AWS l'infrastructure est protégée, consultez la section [Sécurité du AWS cloud](https://aws.amazon.com/security/). Pour concevoir votre AWS environnement en utilisant les meilleures pratiques en matière de sécurité de l'infrastructure, consultez la section [Protection de l'infrastructure](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) dans le cadre * AWS bien architecturé du pilier de sécurité*.
Vous utilisez des appels d'API AWS publiés pour accéder à OpsWorks CM via le réseau. Les clients doivent prendre en charge les éléments suivants :
+ Protocole TLS (Transport Layer Security). Nous exigeons TLS 1.2 et recommandons TLS 1.3.
+ Ses suites de chiffrement PFS (Perfect Forward Secrecy) comme DHE (Ephemeral Diffie-Hellman) ou ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La plupart des systèmes modernes tels que Java 7 et les versions ultérieures prennent en charge ces modes.
OpsWorks CM ne prend pas en charge les liens privés ni les points de terminaison privés VPC.
OpsWorks CM ne prend pas en charge les politiques basées sur les ressources. Pour plus d'informations, consultez la section [AWS Services compatibles avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html#management_svcs) dans le *Guide de l'Gestion des identités et des accès AWS utilisateur*.
## Analyse de configuration et de vulnérabilité dans OpsWorks CM
OpsWorks CM effectue des mises à jour périodiques du noyau et des mises à jour de sécurité du système d'exploitation exécuté sur votre serveur OpsWorks CM. Les utilisateurs peuvent définir une période pendant laquelle les mises à jour automatiques seront effectuées pendant une période maximale de deux semaines à compter de la date actuelle. OpsWorks CM propose des mises à jour automatiques des versions mineures de Chef et Puppet Enterprise. Pour plus d'informations sur la configuration des mises à jour pour AWS OpsWorks for Chef Automate, consultez la section [Maintenance du système (Chef)](opscm-maintenance.md) dans ce guide. Pour plus d'informations sur la configuration des mises à jour OpsWorks pour Puppet Enterprise, consultez la section [Maintenance du système (Puppet)](opspup-maintenance.md) dans ce guide.
## Bonnes pratiques en matière de sécurité pour OpsWorks CM
OpsWorks CM, comme tous les AWS services, propose des fonctionnalités de sécurité à prendre en compte lors de l'élaboration et de la mise en œuvre de vos propres politiques de sécurité. Les bonnes pratiques suivantes doivent être considérées comme des instructions générales et ne représentent pas une solution de sécurité complète. Étant donné que ces bonnes pratiques peuvent ne pas être appropriées ou suffisantes pour votre environnement, considérez-les comme des remarques utiles plutôt que comme des recommandations.
+ **Sécurisez votre kit de démarrage et vos identifiants de connexion téléchargés.** Lorsque vous créez un nouveau serveur OpsWorks CM ou que vous téléchargez un nouveau kit de démarrage et des informations d'identification depuis la console OpsWorks CM, stockez ces éléments dans un emplacement sécurisé qui nécessite au moins un facteur d'authentification. Les informations d'identification fournissent un accès de niveau administrateur à votre serveur.
+ **Sécurisez votre code de configuration.** Sécurisez votre code de configuration Chef ou Puppet (livres de recettes et modules) à l'aide des protocoles recommandés pour vos référentiels sources. Par exemple, vous pouvez [limiter les autorisations aux référentiels situés](https://docs.aws.amazon.com/codecommit/latest/userguide/auth-and-access-control.html#auth-and-access-control-iam-access-control-identity-based) [sur le site Web ou suivre les directives du GitHub site Web pour sécuriser les GitHub référentiels](https://help.github.com/en/github/managing-security-vulnerabilities/adding-a-security-policy-to-your-repository). AWS CodeCommit
+ **Utilisez des certificats signés par une autorité de certification pour vous connecter aux nœuds.** Bien que vous puissiez utiliser des certificats auto-signés lorsque vous enregistrez ou démarrez des nœuds sur votre serveur OpsWorks CM, il est recommandé d'utiliser des certificats signés par une autorité de certification. Nous vous recommandons d'utiliser un certificat signé par une autorité de certification.
+ **Ne partagez pas les informations d'identification permettant de se connecter à la console de gestion Chef ou Puppet** avec d'autres utilisateurs. Un administrateur doit créer des utilisateurs distincts pour chaque utilisateur des sites Web de la console Chef ou Puppet.
+ [Gérer les utilisateurs dans Chef Automate](https://automate.chef.io/docs/users/)
+ [Gérer les utilisateurs dans Puppet Enterprise](https://puppet.com/docs/pe/2017.3/rbac_user_roles_intro.html)
+ **Configurez les sauvegardes et les mises à jour automatiques de maintenance du système.** La configuration des mises à jour automatiques de maintenance sur votre serveur de gestion de configuration d' OpsWorks permet de s'assurer que votre serveur exécute les mises à jour de sécurité les plus récentes du système d'exploitation. La configuration des sauvegardes automatiques facilite la reprise après sinistre et accélère la restauration en cas d'incident ou de panne. Limitez l'accès au compartiment Amazon S3 qui stocke les sauvegardes de votre serveur OpsWorks CM ; n'accordez pas l'accès à **tout le monde**. Accordez un accès en lecture ou en écriture à d'autres utilisateurs individuellement selon les besoins, ou créez un groupe de sécurité dans IAM pour ces utilisateurs et attribuez l'accès au groupe de sécurité.
+ [Maintenance du système (Chef)](opscm-maintenance.md)
+ [Maintenance du système (Puppet)](opspup-maintenance.md)
+ [Sauvegarder et restaurer un AWS OpsWorks for Chef Automate serveur](opscm-backup-restore.md)
+ [Sauvegardez et restaurez un serveur OpsWorks pour Puppet Enterprise](opspup-backup-restore.md)
+ [Création de votre premier groupe et utilisateur délégué IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-delegated-user.html) dans le *Guide de l'utilisateur Gestion des identités et des accès AWS *
+ [Bonnes pratiques de sécurité pour Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/security-best-practices.html) dans le *guide du développeur Amazon Simple Storage Service*