Visualisez les rapports d'identification IAM pour tous les comptes AWS à l'aide d'Amazon Quick Sight - Recommandations AWS
RésuméConditions préalables et limitationsArchitectureOutilsÉpopéesInformations supplémentaires

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Visualisez les rapports d'identification IAM pour tous les comptes AWS à l'aide d'Amazon Quick Sight

Parag Nagwekar et Arun Chanapillai, Amazon Web Services

Résumé

Avertissement : les utilisateurs IAM disposent d'informations d'identification à long terme, ce qui présente un risque de sécurité. Pour atténuer ce risque, nous vous recommandons de ne fournir à ces utilisateurs que les autorisations dont ils ont besoin pour effectuer la tâche et de supprimer ces autorisations lorsqu’elles ne sont plus nécessaires.

Vous pouvez utiliser les rapports d'identification d'AWS Identity and Access Management (IAM) pour vous aider à répondre aux exigences de sécurité, d'audit et de conformité de votre organisation. Les rapports d'identification fournissent une liste de tous les utilisateurs de vos comptes AWS et indiquent l'état de leurs informations d'identification, telles que les mots de passe, les clés d'accès et les dispositifs d'authentification multifactorielle (MFA). Vous pouvez utiliser les rapports d'identification pour plusieurs comptes AWS gérés par AWS Organizations.

Ce modèle inclut des étapes et du code pour vous aider à créer et à partager des rapports d'identification IAM pour tous les comptes AWS de votre organisation à l'aide des tableaux de bord Amazon Quick Sight. Vous pouvez partager les tableaux de bord avec les parties prenantes de votre organisation. Les rapports peuvent aider votre organisation à atteindre les résultats commerciaux ciblés suivants :

  • Identifier les incidents de sécurité liés aux utilisateurs IAM

  • Suivez la migration en temps réel des utilisateurs IAM vers l'authentification unique (SSO)

  • Suivez les régions AWS auxquelles les utilisateurs IAM ont accédé

  • Restez en conformité

  • Partage d'informations avec d'autres parties prenantes

Conditions préalables et limitations

Conditions préalables

Architecture

Pile technologique

  • Amazon Athena

  • Amazon EventBridge

  • Amazon Quick Sight

  • Amazon Simple Storage Service (Amazon S3)

  • AWS Glue

  • AWS Identity and Access Management (IAM)

  • AWS Lambda

  • AWS Organizations

Architecture cible

Le schéma suivant montre une architecture permettant de configurer un flux de travail qui capture les données des rapports d'identification IAM provenant de plusieurs comptes AWS.

La capture d'écran suivante illustre le schéma d'architecture

  1. EventBridge invoque une fonction Lambda tous les jours.

  2. La fonction Lambda assume un rôle IAM dans chaque compte AWS de l'organisation. La fonction crée ensuite le rapport d'informations d'identification IAM et stocke les données du rapport dans un compartiment S3 centralisé. Vous devez activer le chiffrement et désactiver l'accès public sur le compartiment S3.

  3. Un robot d'exploration AWS Glue explore le compartiment S3 quotidiennement et met à jour la table Athena en conséquence.

  4. Quick Sight importe et analyse les données du rapport d'identification et crée un tableau de bord qui peut être visualisé et partagé avec les parties prenantes.

Outils

Services AWS

  • Amazon Athena est un service de requête interactif qui facilite l'analyse des données dans Amazon S3 à l'aide du langage SQL standard.

  • Amazon EventBridge est un service de bus d'événements sans serveur qui vous permet de connecter vos applications à des données en temps réel provenant de diverses sources. Par exemple, les fonctions Lambda, les points de terminaison d'appel HTTP utilisant des destinations d'API ou les bus d'événements dans d'autres comptes AWS.

  • Amazon Quick Sight est un service de business intelligence (BI) à l'échelle du cloud qui vous permet de visualiser, d'analyser et de rapporter vos données dans un tableau de bord unique. Quick Sight est un composant essentiel d'Amazon Quick Suite, fournissant une visualisation interactive des données, des analyses SPICE en mémoire, des analyses intégrées et le partage de tableaux de bord.

  • AWS Identity and Access Management (IAM) vous aide à gérer en toute sécurité l'accès à vos ressources AWS en contrôlant qui est authentifié et autorisé à les utiliser.

  • AWS Lambda est un service de calcul qui vous permet d'exécuter du code sans avoir à approvisionner ou à gérer des serveurs. Il exécute votre code uniquement lorsque cela est nécessaire et évolue automatiquement, de sorte que vous ne payez que pour le temps de calcul que vous utilisez.

Code

Le code de ce modèle est disponible dans le GitHub getiamcredsreport-allaccounts-orgréférentiel. Vous pouvez utiliser le code de ce référentiel pour créer des rapports d'identification IAM sur les comptes AWS dans Organizations et les stocker dans un emplacement central.

Épopées

Sous-tâcheDescriptionCompétences requises

Configurez l'édition Amazon Quick Suite Enterprise.

  1. Activez l'édition Amazon Quick Suite Enterprise dans votre compte AWS. Pour plus d'informations, consultez la section Gestion de l'accès des utilisateurs dans Amazon Quick Suite dans la documentation de Quick Suite.

  2. Pour accorder des autorisations au tableau de bord, obtenez le nom de ressource Amazon (ARN) des utilisateurs de Quick Sight.

Administrateur AWS, AWS DevOps, administrateur du cloud, architecte du cloud

Intégrez Amazon Quick Sight à Amazon S3 et Athena.

Vous devez autoriser Quick Sight à utiliser Amazon S3 et Athena avant de déployer la pile AWS CloudFormation .

Administrateur AWS, AWS DevOps, administrateur du cloud, architecte du cloud
Sous-tâcheDescriptionCompétences requises

Clonez le GitHub dépôt.

  1. Clonez le GitHub getiamcredsreport-allaccounts-orgdépôt sur votre machine locale en exécutant la commande suivante : git clone https://github.com/aws-samples/getiamcredsreport-allaccounts-org

Administrateur AWS

Déployez l'infrastructure.

  1. Connectez-vous à AWS Management Console et ouvrez la console CloudFormation .

  2. Dans le volet de navigation, choisissez Create stack, puis sélectionnez With new resources (standard).

  3. Sur la page Identifier les ressources, choisissez Next.

  4. Sur la page Spécifier le modèle, pour Source du modèle, sélectionnez Télécharger un fichier modèle.

  5. Choisissez Choisir un fichier, sélectionnez le Cloudformation-createcredrepo.yaml fichier dans votre GitHub référentiel cloné, puis cliquez sur Suivant.

  6. Dans Paramètres, effectuez la mise à jour IAMRoleName avec votre rôle IAM. Il doit s'agir du rôle IAM que vous souhaitez que Lambda assume dans tous les comptes de l'organisation. Ce rôle crée le rapport d'identification. Remarque : Il n'est pas nécessaire que le rôle soit présent dans tous les comptes à cette étape de la création de la pile.

  7. Dans Paramètres, mettez à jour S3BucketName avec le nom du compartiment S3 dans lequel Lambda peut stocker les informations d'identification de tous les comptes.

  8. Dans le champ Nom de la pile, entrez le nom de la pile.

  9. Sélectionnez Soumettre.

  10. Notez le nom du rôle de la fonction Lambda.

Administrateur AWS

Créez une politique d'autorisation IAM.

Créez une politique IAM pour chaque compte AWS de votre organisation avec les autorisations suivantes :

{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "iam:GenerateCredentialReport",
        "iam:GetCredentialReport"
        ],
      "Resource": "*"
    }
  ]
}
AWS DevOps, administrateur de cloud, architecte de cloud, ingénieur de données

Créez un rôle IAM avec une politique de confiance.

  1. Créez un rôle IAM pour les comptes AWS et joignez la politique d'autorisation que vous avez créée à l'étape précédente.

  2. Associez la politique de confiance suivante au rôle IAM :

{
   "Version": "2012-10-17",		 	 	 
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "AWS":[
               "arn:aws:iam::<MasterAccountID>:role/<LambdaRole>"
            ]
         },
         "Action":"sts:AssumeRole"
      }
   ]
}
Important

arn:aws:iam::<MasterAccountID>:role/<LambdaRole>Remplacez-le par l'ARN du rôle Lambda que vous avez noté précédemment.

Note

Organisations ont généralement recours à l'automatisation pour créer des rôles IAM pour leurs comptes AWS. Nous vous recommandons d'utiliser cette automatisation, si elle est disponible. Vous pouvez également utiliser le CreateRoleforOrg.py script depuis le référentiel de code. Le script nécessite un rôle administratif existant ou tout autre rôle IAM autorisé à créer une politique et un rôle IAM dans chaque compte AWS.

Administrateur cloud, architecte cloud, administrateur AWS

Configurez Amazon Quick Sight pour visualiser les données.

  1. Connectez-vous à Quick Suite à l'aide de vos informations d'identification.

  2. Créez un jeu de données à l'aide d'Athena (à l'aide de la iamcredreportdb base de données et de la "cfn_iamcredreport" table), puis actualisez automatiquement le jeu de données.

  3. Créez une analyse dans Quick Sight.

  4. Créez un tableau de bord Quick Sight.

AWS DevOps, administrateur de cloud, architecte de cloud, ingénieur de données

Informations supplémentaires

Considérations supplémentaires

Éléments à prendre en compte :

  • Après CloudFormation avoir déployé l'infrastructure, vous pouvez attendre que les rapports soient créés dans Amazon S3 et analysés par Athena jusqu'à ce que Lambda et AWS Glue soient exécutés conformément à leurs plannings. Vous pouvez également exécuter Lambda manuellement pour obtenir les rapports dans Amazon S3, puis exécuter le robot d'exploration AWS Glue pour obtenir la table Athena créée à partir des données.

  • Quick Suite est un puissant outil d'analyse et de visualisation des données en fonction des besoins de votre entreprise. Vous pouvez utiliser les paramètres de Quick Suite pour contrôler les données du widget en fonction des champs de données que vous choisissez. Vous pouvez également utiliser une analyse Quick Suite pour créer des paramètres (par exemple, les champs Compte, Date et Utilisateur tels que partition_0partition_1, et user respectivement) à partir de votre ensemble de données afin d'ajouter des contrôles pour les paramètres Compte, Date et Utilisateur.

  • Pour créer vos propres tableaux de bord Quick Sight, consultez les ateliers Quick Suite sur le site Web d'AWS Workshop Studio.

  • Pour voir des exemples de tableaux de bord Quick Sight, consultez le référentiel de GitHub getiamcredsreport-allaccounts-orgcode.

Résultats commerciaux ciblés

Vous pouvez utiliser ce modèle pour obtenir les résultats commerciaux ciblés suivants :

  • Identifiez les incidents de sécurité liés aux utilisateurs IAM : examinez chaque utilisateur de chaque compte AWS de votre organisation à l'aide d'un seul écran. Vous pouvez suivre la tendance des dernières régions AWS consultées par un utilisateur IAM et des services qu'il a utilisés.

  • Suivez la migration en temps réel des utilisateurs IAM vers l'authentification SSO : grâce à l'authentification unique, les utilisateurs peuvent se connecter une seule fois avec un seul identifiant et accéder à plusieurs comptes et applications AWS. Si vous envisagez de migrer vos utilisateurs IAM vers le SSO, ce modèle peut vous aider à passer au SSO et à suivre l'utilisation de toutes les informations d'identification des utilisateurs IAM (telles que l'accès à la console de gestion AWS ou l'utilisation des clés d'accès) sur tous les comptes AWS.

  • Suivez les régions AWS auxquelles les utilisateurs IAM accèdent : vous pouvez contrôler l'accès des utilisateurs IAM aux régions à diverses fins, telles que la souveraineté des données et le contrôle des coûts. Vous pouvez également suivre l'utilisation des régions par n'importe quel utilisateur IAM.

  • Restez en conformité : en suivant le principe du moindre privilège, vous ne pouvez accorder que les autorisations IAM spécifiques requises pour effectuer une tâche spécifique. Vous pouvez également suivre l'accès aux services AWS, à l'AWS Management Console et l'utilisation des informations d'identification à long terme.

  • Partagez des informations avec d'autres parties prenantes : vous pouvez partager des tableaux de bord personnalisés avec d'autres parties prenantes, sans leur accorder l'accès aux rapports d'identification IAM ou aux comptes AWS.