Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Thème 4 : Gérer les identités
**Huit stratégies essentielles abordées**
Restreindre les privilèges administratifs, authentification multifactorielle
La gestion robuste de l'identité et des autorisations est un aspect essentiel de la gestion de la sécurité dans le cloud. De solides pratiques en matière d'identité équilibrent l'accès nécessaire et le moindre privilège. Cela permet aux équipes de développement d'agir rapidement sans compromettre la sécurité.
Utilisez la fédération des identités pour centraliser la gestion des identités. Cela facilite la gestion de l'accès à plusieurs applications et services, car vous gérez l'accès à partir d'un seul emplacement. Cela vous permet également de mettre en œuvre des autorisations temporaires et une authentification multifactorielle (MFA).
Accordez aux utilisateurs uniquement les autorisations dont ils ont besoin pour effectuer leurs tâches. AWS Identity and Access Management Access Analyzer peut valider les politiques et vérifier l'accès public et entre comptes. Des fonctionnalités telles que les politiques de contrôle des AWS Organizations services (SCPs), les conditions de politique IAM, les limites des autorisations IAM et les ensembles d' AWS IAM Identity Center autorisations peuvent vous aider à configurer un [contrôle d'accès détaillé (FGAC](apg-gloss.md#glossary-fgac)).
Quel que soit le type d'authentification, il est préférable d'utiliser des informations d'identification temporaires afin de réduire ou d'éliminer les risques, tels que la divulgation, le partage ou le vol d'informations d'identification par inadvertance. Utilisez des rôles IAM plutôt que des utilisateurs IAM.
Utilisez des mécanismes de connexion puissants, tels que le MFA, pour atténuer le risque que les informations de connexion soient divulguées par inadvertance ou soient facilement devinées. Exigez le MFA pour l'utilisateur root, et vous pouvez également l'exiger au niveau de la fédération. Si l'utilisation d'utilisateurs IAM est inévitable, appliquez le MFA.
Pour surveiller la conformité et établir des rapports à ce sujet, vous devez travailler en permanence à la réduction des autorisations, au suivi des résultats d'IAM Access Analyzer et à la suppression des ressources IAM inutilisées. Utilisez AWS Config des règles pour vous assurer que des mécanismes de connexion robustes sont appliqués, que les informations d'identification sont de courte durée et que les ressources IAM sont utilisées.
## Bonnes pratiques associées au AWS Well-Architected Framework
+ [SEC02- BP01 Utilisez des mécanismes de connexion robustes](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_enforce_mechanisms.html)
+ [SEC02- BP02 Utilisez des informations d'identification temporaires](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_unique.html)
+ [SEC02- BP03 Stockez et utilisez les secrets en toute sécurité](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_secrets.html)
+ [SEC02- BP04 Appuyez-vous sur un fournisseur d'identité centralisé](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_identity_provider.html)
+ [SEC02- BP05 Auditez et alternez régulièrement les informations d'identification](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_audit.html)
+ [SEC02- BP06 Utiliser des groupes d'utilisateurs et des attributs](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_groups_attributes.html)
+ [SEC03- BP01 Définir les exigences d'accès](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_define.html)
+ [SEC03- BP02 Accordez l'accès avec le moindre privilège](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_least_privileges.html)
+ [SEC03- BP03 Établir un processus d'accès d'urgence](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_emergency_process.html)
+ [SEC03- BP04 Réduisez les autorisations en permanence](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_continuous_reduction.html)
+ [SEC03- BP05 Définissez des barrières d'autorisation pour votre organisation](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_define_guardrails.html)
+ [SEC03- BP06 Gérez l'accès en fonction du cycle de vie](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_lifecycle.html)
+ [SEC03- BP07 Analyser l'accès public et entre comptes](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_analyze_cross_account.html)
+ [SEC03- BP08 Partagez les ressources en toute sécurité au sein de votre organisation](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_share_securely.html)
## Implémentation de ce thème
### Mettre en œuvre la fédération des identités
+ [Obliger les utilisateurs humains à se fédérer avec un fournisseur d'identité pour accéder à l'aide AWS d'informations d'identification temporaires](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source.html)
+ [Mettez en place un accès surélevé temporaire à vos AWS environnements](https://aws.amazon.com/blogs/security/managing-temporary-elevated-access-to-your-aws-environment/)
### Appliquer les autorisations du moindre privilège
+ [Protégez vos informations d'identification d'utilisateur root et ne les utilisez pas pour les tâches quotidiennes](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html)
+ [Utilisez IAM Access Analyzer pour générer des politiques de moindre privilège en fonction de l'activité d'accès](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/dynamically-generate-an-iam-policy-with-iam-access-analyzer-by-using-step-functions.html)
+ [Vérifiez l'accès public et multicompte aux ressources avec IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-getting-started.html)
+ [Utilisez IAM Access Analyzer pour valider vos politiques IAM pour des autorisations sécurisées et fonctionnelles](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)
+ [Établissez des barrières en matière d'autorisations sur plusieurs comptes](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/organizations.html)
+ [Utilisez les limites d'autorisations pour définir le maximum d'autorisations qu'une politique basée sur l'identité peut accorder](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)
+ [Utiliser les conditions des politiques IAM pour restreindre davantage l'accès](https://aws.amazon.com/blogs/apn/top-recommendations-for-working-with-iam-from-our-aws-heroes-part-3-permissions-boundaries-and-conditions/)
+ [Vérifiez et supprimez régulièrement les utilisateurs, les rôles, les autorisations, les politiques et les informations d'identification non utilisés](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_last-accessed.html)
+ [Commencez avec les politiques AWS gérées et passez aux autorisations du moindre privilège](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)
+ [Utiliser la fonctionnalité des ensembles d'autorisations dans IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html)
### Rotation des identifiants
+ [Exiger que les charges de travail utilisent des rôles IAM pour accéder AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)
+ [Suppression automatique des rôles IAM non utilisés](https://aws.amazon.com/blogs/security/how-to-centralize-findings-and-automate-deletion-for-unused-iam-roles/)
+ [Faites régulièrement pivoter les clés d'accès pour les cas d'utilisation nécessitant des informations d'identification à long terme](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/automatically-rotate-iam-user-access-keys-at-scale-with-aws-organizations-and-aws-secrets-manager.html)
### Appliquer la MFA
+ [Exiger le MFA pour l'utilisateur root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)
+ [Exiger le MFA via IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/how-to-configure-mfa-device-enforcement.html)
+ [Envisagez d'exiger le MFA pour les actions d'API spécifiques au service](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_general.html#example-scp-mfa)
## Surveillance de ce thème
### Surveiller l'accès au moindre privilège
+ [Envoyez les résultats d'IAM Access Analyzer à AWS Security Hub CSPM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-securityhub-integration.html)
+ [Envisagez de configurer des notifications pour les conclusions critiques de l'IAM Identity Center](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-eventbridge.html)
+ [Consultez régulièrement les rapports d'identification de votre Comptes AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html)
### Implémentez les AWS Config règles suivantes
+ `ACCESS_KEYS_ROTATED`
+ `IAM_ROOT_ACCESS_KEY_CHECK`
+ `IAM_USER_MFA_ENABLED`
+ `IAM_USER_UNUSED_CREDENTIALS_CHECK`
+ `IAM_PASSWORD_POLICY`
+ `ROOT_ACCOUNT_HARDWARE_MFA_ENABLED`