Renforcer la sécurité en IAM Roles Anywhere utilisant des contrôles d'accès basés sur des certificats - AWS Conseils prescriptifs
Public viséObjectifs

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Renforcer la sécurité en IAM Roles Anywhere utilisant des contrôles d'accès basés sur des certificats

Alberto Sagrado Amador, Amazon Web Services

Juillet 2025 (historique du document)

À mesure que les entreprises étendent leur présence dans le cloud et adoptent l'automatisation, il est de plus en plus essentiel de gérer l'accès sécurisé pour les identités non humaines, telles que les applications, les serveurs et les conteneurs. Les approches traditionnelles utilisent des informations d'identification à long terme ou des secrets codés en dur, mais ces approches peuvent créer des risques de sécurité et des frais opérationnels. AWS Identity and Access Management Roles Anywhererépond à ces défis en permettant aux charges de travail extérieures d'accéder AWS Cloud aux AWS ressources en toute sécurité par le biais de certificats X.509 (Wikipedia) au lieu d'informations d'identification à long terme.

Organisations sont souvent confrontées à la prolifération des clés d'accès, à la rotation complexe des identifiants et à la capacité limitée à appliquer des contrôles d'accès précis. Les cadres de sécurité modernes mettent l'accent sur les principes Zero Trust, l' just-in-timeaccès et le principe du moindre privilège, qui peuvent tous être atteints grâce à la mise en œuvre appropriée de l'authentification basée sur des certificats.

Ce guide explique comment améliorer la sécurité en IAM Roles Anywhere gérant efficacement les attributs des certificats et les relations de confiance entre les rôles Gestion des identités et des accès AWS (IAM). Il utilise un exemple d'architecture pratique pour montrer comment mettre en œuvre des contrôles d'accès précis et appliquer le principe du moindre privilège dans IAM Roles Anywhere les sessions.

L'architecture utilise IAM Roles Anywhere et AWS Autorité de certification privée (AWS CA privée). AWS CA privée agit comme un point d'ancrage de confiance et AWS Certificate Manager (ACM) gère les certificats. Cette base reflète les configurations de sécurité réelles et leurs implications.

Sans configurations de politiques appropriées pour les rôles IAM, tout certificat émis par AWS CA privée pourrait potentiellement être utilisé pour assumer des rôles. Cela peut créer des vulnérabilités de sécurité importantes, notamment une attribution de rôle non autorisée, des violations de données et la compromission des informations d'identification. Ce guide explique comment atténuer ces risques en configurant correctement les politiques et en gérant les attributs des certificats.

Le schéma suivant montre le flux de travail selon lequel une application peut demander un accès via la cible IAM Roles Anywhere puis exécuter les actions autorisées dans celle-ci Compte AWS.

Utilisation de l'authentification basée sur des certificats pour obtenir des informations d'accès temporaires aux AWS ressources.

Le schéma suivant illustre le flux de travail suivant :

  1. L'application demande des informations d'identification de sécurité temporaires IAM Roles Anywhere et fournit son certificat d'authentification.

  2. IAM Roles Anywhere utilise une relation de confiance pour authentifier l'application. AWS CA privée

  3. IAM Roles Anywhere génère un fichier JSON contenant les informations d'identification de sécurité temporaires et le renvoie à l'application.

  4. À l'aide des informations d'identification de sécurité temporaires, l'application assume un rôle IAM dans le Compte AWS.

L'application exécute les actions autorisées par les politiques associées au rôle IAM et au compte. Par exemple, il peut accéder à un bucket Amazon Simple Storage Service (Amazon S3).

Public visé

Ce guide est destiné aux architectes cloud, aux ingénieurs en sécurité et aux DevOps ingénieurs qui mettent en œuvre des contrôles d'accès pour les environnements cloud hybrides ou automatisent la gestion des autorisations pour les identités non humaines. Ce guide peut également vous aider à vous conformer aux réglementations ou aux meilleures pratiques en matière de sécurité. Pour comprendre les concepts et les recommandations de ce guide, vous devez connaître les éléments suivants :

  • Principes fondamentaux de l'IAM

  • Infrastructure à clé publique (PKI) et gestion des certificats X.509

  • Principes de sécurité Zero Trust et d'accès basé sur le principe du moindre privilège

  • Services AWS pour l'authentification basée sur des certificats, telle que et IAM Roles Anywhere AWS CA privée

Objectifs

L'utilisation IAM Roles Anywhere de certificats X.509 à des fins d'authentification peut apporter les principaux résultats commerciaux suivants :

  • Sécurité renforcée — Élimine les risques associés à l'utilisation d'informations d'identification à long terme

  • Réduction des frais d'exploitation : automatise la gestion et la rotation des informations d'identification

  • Conformité améliorée : fournit des pistes d'audit détaillées et impose l'accès au moindre privilège

  • Gestion évolutive : centralise le contrôle d'accès dans les environnements hybrides

  • Rentabilité : réduit les coûts associés aux efforts de réponse aux incidents de sécurité et à la complexité de la gestion