Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Thème 5 : Établir un périmètre de données
<a name="theme-5"></a>

**Huit stratégies essentielles abordées**  
Restreindre les privilèges administratifs

Un *périmètre de données* est un ensemble de barrières préventives dans votre AWS environnement qui permettent de garantir que seules les identités fiables accèdent aux ressources fiables des réseaux attendus. Ces barrières de sécurité constituent des limites permanentes qui aident à protéger vos données sur un large éventail de ressources. Comptes AWS Ces garde-corps à l'échelle de l'entreprise ne remplacent pas vos contrôles d'accès précis existants. Ils contribuent plutôt à améliorer votre stratégie de sécurité en s'assurant que tous les utilisateurs, rôles et ressources Gestion des identités et des accès AWS (IAM) respectent un ensemble de normes de sécurité définies.

Vous pouvez établir un périmètre de données en utilisant des politiques qui empêchent l'accès depuis l'extérieur des limites de l'organisation, généralement créées dans AWS Organizations. Les trois principales conditions d'autorisation périmétrique utilisées pour établir un périmètre de données sont les suivantes :
+ **Identités fiables** — Principaux (rôles ou utilisateurs IAM) qui vous Comptes AWS appartiennent ou qui Services AWS agissent en votre nom.
+ **Ressources fiables** : ressources qui vous appartiennent Comptes AWS ou qui sont Services AWS gérées en votre nom.
+ **Réseaux attendus :** vos centres de données sur site et vos clouds privés virtuels (VPCs), ou les réseaux qui Services AWS agissent en votre nom.

Envisagez de mettre en œuvre des périmètres de données entre des environnements présentant différentes classifications de données, telles que `OFFICIAL:SENSITIVE` ou`PROTECTED`, ou des niveaux de risque différents, tels que le développement, les tests ou la production. Pour plus d'informations, voir [Création d'un périmètre de données sur AWS](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/building-a-data-perimeter-on-aws.html) (AWS livre blanc) et [Établissement d'un périmètre de données sur AWS : Présentation](https://aws.amazon.com/blogs/security/establishing-a-data-perimeter-on-aws/) (article de AWS blog).

## Bonnes pratiques associées au AWS Well-Architected Framework
<a name="theme-5-best-practices"></a>
+ [SEC03- BP05 Définissez des barrières d'autorisation pour votre organisation](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_define_guardrails.html)
+ [SEC07- BP02 Appliquer des contrôles de protection des données en fonction de la sensibilité des données](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_data_classification_define_protection.html)

## Implémentation de ce thème
<a name="theme-5-implementation"></a>

### Mettre en œuvre des contrôles d'identité
<a name="t5-identity-controls"></a>
+ **Autorisez uniquement les identités fiables à accéder à vos ressources** : utilisez des [politiques basées sur les ressources avec les](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_resource-based) clés `aws:PrincipalOrgID` de condition et. `aws:PrincipalIsAWSService` Cela permet uniquement aux directeurs de votre AWS organisation et d'accéder AWS à vos ressources.
+ **Autorisez les identités fiables uniquement à partir de votre réseau :** utilisez les [politiques de point de terminaison VPC avec les](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) clés `aws:PrincipalOrgID` de condition et. `aws:PrincipalIsAWSService` Cela permet uniquement aux principaux de votre AWS organisation et à partir d'accéder AWS aux services via des points de terminaison VPC.

### Mettre en œuvre des contrôles des ressources
<a name="t5-resource-controls"></a>
+ **Autorisez vos identités à accéder uniquement aux ressources fiables :** utilisez [les politiques de contrôle des services (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) avec la clé de condition`aws:ResourceOrgID`. Cela permet à vos identités d'accéder uniquement aux ressources de votre AWS organisation.
+ **Autorisez l'accès aux ressources fiables uniquement depuis votre réseau** : utilisez les politiques de point de terminaison VPC avec la clé de condition. `aws:ResourceOrgID` Cela permet à vos identités d'accéder aux services uniquement via les points de terminaison VPC qui font partie de votre organisation. AWS 

### Mettre en œuvre des contrôles réseau
<a name="t5-network-controls"></a>
+ **Autoriser les identités à accéder aux ressources uniquement à partir des réseaux attendus** : SCPs à utiliser avec les clés de condition `aws:SourceIp` `aws:SourceVpc``aws:SourceVpce`,, et`aws:ViaAWSService`. Cela permet à vos identités d'accéder aux ressources uniquement à partir des adresses IP attendues VPCs, des points de terminaison VPC, etc. Services AWS
+ **Autorisez l'accès à vos ressources uniquement à partir des réseaux attendus** : utilisez des politiques basées sur les ressources avec les clés de condition`aws:SourceIp`,`aws:SourceVpc`, `aws:SourceVpce``aws:ViaAWSService`, et. `aws:PrincipalIsAWSService` Cela permet d'accéder à vos ressources uniquement à partir des points de terminaison VPC attendus VPCs, à partir des points de terminaison VPC attendus Services AWS, via ou lorsque l'identité de l'appelant est une. IPs Service AWS

## Surveillance de ce thème
<a name="theme-5-monitoring"></a>

### Politiques de surveillance
<a name="t5-monitor-policies"></a>
+ Mettre en œuvre des mécanismes de révision SCPs, des politiques IAM et des politiques de point de terminaison VPC

### Implémentez les AWS Config règles suivantes
<a name="t5-cc-rules"></a>
+ `SERVICE_VPC_ENDPOINT_ENABLED`