Ressources IAM

Influencez le futur de l'architecture de référence de AWS sécurité (AWS SRA) en répondant à une courte enquête

Bien que AWS Identity and Access Management (IAM) ne soit pas un service inclus dans un schéma d'architecture traditionnel, il touche tous les aspects de l' AWS organisation Comptes AWS, et Services AWS. Vous ne pouvez pas en déployer Services AWS sans créer d'entités IAM et accorder d'abord des autorisations. Une explication complète de l'IAM dépasse le cadre de ce document, mais cette section fournit des résumés importants des recommandations relatives aux meilleures pratiques et des indications vers des ressources supplémentaires.

Pour connaître les meilleures pratiques en matière d'IAM, consultez les meilleures pratiques de sécurité en matière d'IAM dans la AWS documentation, les articles IAM du blog sur la AWS sécurité et AWS les présentations de re:Invent.
Le pilier de sécurité AWS Well-Architected décrit les étapes clés du processus de gestion des autorisations : définir des barrières en matière d'autorisations, accorder le moindre privilège d'accès, analyser les accès publics et intercomptes, partager les ressources en toute sécurité, réduire les autorisations en permanence et établir un processus d'accès d'urgence.
Le tableau suivant et les notes qui l'accompagnent fournissent un aperçu général des conseils recommandés sur les types de politiques d'autorisation IAM disponibles et sur la manière de les utiliser dans votre architecture de sécurité. Pour en savoir plus, visionnez la vidéo AWS re:Invent 2020 sur le choix de la bonne combinaison de politiques IAM.

Cas d'utilisation ou politique	Effet	Géré par	Objectif	Se rapporte à	Affecte	Déployé dans
Politiques de contrôle des services (SCPs)	Restrict	Équipe centrale, telle que l'équipe chargée de la plateforme ou de la sécurité [1]	Garde-corps, gouvernance	Organisation, unité d'organisation, compte	Tous les principes de l'organisation, de l'unité d'organisation et des comptes	Compte de gestion de l'organisation [2]
Politiques de contrôle des ressources (RCPs)	Restrict	Équipe centrale, telle que l'équipe chargée de la plateforme ou de la sécurité [1]	Garde-corps, gouvernance	Organisation, unité d'organisation, compte	Ressources figurant dans les comptes des membres [12]	Compte de gestion de l'organisation [2]
Politiques d'automatisation des comptes de base (les rôles IAM utilisés par la plateforme pour gérer un compte)	Accorder et restreindre	Équipe centrale, telle que l'équipe chargée de la plateforme, de la sécurité ou de l'IAM [1]	Autorisations pour les rôles d'automatisation (de base) autres que la charge de travail [3]	Compte unique [4]	Principes utilisés par l'automatisation au sein d'un compte membre	Comptes de membres
Politiques humaines de base (les rôles IAM qui accordent aux utilisateurs les autorisations nécessaires pour effectuer leur travail)	Accorder et restreindre	Équipe centrale, telle que l'équipe chargée de la plateforme, de la sécurité ou de l'IAM [1]	Autorisations pour les rôles humains [5]	Compte unique [4]	Principaux fédérés [5] et utilisateurs IAM [6]	Comptes de membres
Limites d'autorisations (autorisations maximales qu'un développeur habilité peut attribuer à un autre directeur)	Restrict	Équipe centrale, telle que l'équipe chargée de la plateforme, de la sécurité ou de l'IAM [1]	Garde-fous pour les rôles d'application (doivent être appliqués)	Compte unique [4]	Rôles individuels pour une application ou une charge de travail dans ce compte [7]	Comptes de membres
Politiques relatives aux rôles des machines pour les applications (rôle attaché à l'infrastructure déployée par les développeurs)	Accorder et restreindre	Délégué aux développeurs [8]	Autorisation pour l'application ou la charge de travail [9]	Compte unique	Un principal sur ce compte	Comptes de membres
Politiques basées sur une ressource	Accorder et restreindre	Délégué aux développeurs [8,10]	Autorisations d'accès aux ressources	Compte unique	Un principal dans un compte [11]	Comptes de membres
Gestion centralisée des utilisateurs root	Accorder et restreindre	Équipe centrale, telle que l'équipe chargée de la plateforme, de la sécurité ou de l'IAM [1]	Gérez de manière centralisée les utilisateurs root du compte membre à grande échelle	Organisation	Tous les utilisateurs root des comptes membres	Compte de gestion de l'organisation, compte administrateur délégué

Remarques tirées du tableau :

Les entreprises disposent de nombreuses équipes centralisées (telles que les équipes chargées des plateformes cloud, des opérations de sécurité ou des équipes de gestion des identités et des accès) qui se répartissent les responsabilités liées à ces contrôles indépendants et évaluent les politiques des uns et des autres. Les exemples présentés dans le tableau sont des espaces réservés. Vous devrez déterminer la séparation des tâches la plus efficace pour votre entreprise.
Pour l'utiliser SCPs, vous devez activer toutes les fonctionnalités qu'il contient AWS Organizations.
Des rôles et des politiques de base communs sont généralement nécessaires pour permettre l'automatisation, tels que les autorisations pour le pipeline, les outils de déploiement, les outils de surveillance (par exemple, AWS Lambda et AWS Config Rules) et d'autres autorisations. Cette configuration est généralement fournie lors du provisionnement du compte.
Bien qu'elles concernent une ressource (telle qu'un rôle ou une politique) dans un seul compte, elles peuvent être répliquées ou déployées sur plusieurs comptes à l'aide de. AWS CloudFormation StackSets
Définissez un ensemble de règles et de rôles humains de base qui sont déployés sur tous les comptes des membres par une équipe centrale (souvent lors de la mise en service des comptes). Les développeurs de l'équipe de la plateforme, de l'équipe IAM et des équipes d'audit de sécurité en sont des exemples.
Utilisez la fédération d'identité (au lieu des utilisateurs IAM locaux) dans la mesure du possible.
Les limites des autorisations sont utilisées par les administrateurs délégués. Cette politique IAM définit les autorisations maximales et remplace les autres politiques (y compris les "*:*" politiques qui autorisent toutes les actions sur les ressources). Les limites d'autorisations devraient être requises dans les politiques humaines de base comme condition pour créer des rôles (tels que les rôles de performance de la charge de travail) et pour associer des politiques. Des configurations supplémentaires, telles que SCPs l'imposition de la limite des autorisations, sont obligatoires.
Cela suppose que des barrières de sécurité suffisantes (par exemple, SCPs et des limites d'autorisations) ont été déployées.
Ces politiques facultatives peuvent être mises en œuvre lors de la création du compte ou dans le cadre du processus de développement de l'application. L'autorisation de créer et d'associer ces politiques sera régie par les autorisations du développeur de l'application.
Outre les autorisations des comptes locaux, une équipe centralisée (telle que l'équipe de la plateforme cloud ou l'équipe des opérations de sécurité) gère souvent certaines politiques basées sur les ressources afin de permettre l'accès entre comptes pour gérer les comptes (par exemple, pour fournir un accès aux compartiments S3 à des fins de journalisation).
Une politique IAM basée sur les ressources peut faire référence à n'importe quel principal de n'importe quel compte pour autoriser ou refuser l'accès à ses ressources. Il peut même faire référence à des principes anonymes pour permettre l'accès public.
RCPs s'appliquent aux ressources d'un sous-ensemble de. Services AWS Pour plus d'informations, consultez la liste de Services AWS ce support RCPs dans la AWS Organizations documentation.

Il est essentiel de s'assurer que les identités IAM disposent uniquement des autorisations nécessaires pour un ensemble bien défini de tâches afin de réduire le risque d'abus d'autorisations malveillant ou involontaire. L'établissement et le maintien d'un modèle de moindre privilège nécessitent un plan délibéré pour continuellement mettre à jour, évaluer et atténuer les privilèges excessifs. Voici quelques recommandations supplémentaires pour ce plan :

Utilisez le modèle de gouvernance de votre organisation et sa propension au risque établie pour établir des garde-fous et des limites d'autorisations spécifiques.
Mettez en œuvre le principe du moindre privilège par le biais d'un processus itératif continu. Il ne s'agit pas d'un exercice ponctuel.
SCPs À utiliser pour réduire les risques exploitables. Il s'agit de barrières de sécurité larges, et non de contrôles étroitement ciblés.
Utilisez les limites d'autorisations pour déléguer l'administration IAM de manière plus sûre.
- Assurez-vous que les administrateurs délégués attachent la politique de limite IAM appropriée aux rôles et aux utilisateurs qu'ils créent.
En tant qu' defense-in-depthapproche (en conjonction avec des politiques basées sur l'identité), utilisez des politiques IAM basées sur les ressources pour refuser un accès étendu aux ressources.
Utilisez le conseiller d'accès IAM AWS CloudTrail, l'analyseur d'accès IAM et les outils associés pour analyser régulièrement l'historique de l'utilisation et les autorisations accordées. Corrigez immédiatement les autorisations excessives évidentes.
Délimitez les actions générales à des ressources spécifiques, le cas échéant, au lieu d'utiliser un astérisque comme caractère générique pour indiquer toutes les ressources.
Mettez en œuvre un mécanisme permettant d'identifier, d'examiner et d'approuver rapidement les exceptions à la politique IAM en fonction des demandes.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

AWS Liste de contrôle des meilleures pratiques de la SRA

Référentiel de code pour les AWS exemples de SRA