Compte de gestion de l'organisation - AWS Directives prescriptives
Politiques de contrôle des servicesPolitiques de contrôle des ressourcesPolitiques déclarativesAccès root centraliséIAM Identity CenterConseiller d'accès IAMAWS Systems ManagerAWS Control TowerAWS ArtifactGarde-corps de service de sécurité distribués et centralisés

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Compte de gestion de l'organisation

Influencez le futur de l'architecture de référence de AWS sécurité (AWS SRA) en répondant à une courte enquête.

Le schéma suivant illustre les services de sécurité AWS configurés dans le compte Org Management.

Services de sécurité pour le compte Org Management

Les sections Utiliser AWS Organizations pour la sécurité et Le compte de gestion, l'accès sécurisé et les administrateurs délégués plus haut dans ce guide ont décrit en détail le but et les objectifs de sécurité du compte Org Management. Suivez les meilleures pratiques de sécurité pour votre compte de gestion d'organisation. Il s'agit notamment d'utiliser une adresse e-mail gérée par votre entreprise, de conserver les informations de contact administratives et de sécurité correctes (par exemple, joindre un numéro de téléphone au compte au cas où AWS aurait besoin de contacter le propriétaire du compte), d'activer l'authentification multifactorielle (MFA) pour tous les utilisateurs et de vérifier régulièrement qui a accès au compte de gestion de l'organisation. Les services déployés dans le compte de gestion de l'organisation doivent être configurés avec des rôles, des politiques de confiance et d'autres autorisations appropriés afin que les administrateurs de ces services (qui doivent y accéder dans le compte de gestion de l'organisation) ne puissent pas également accéder de manière inappropriée à d'autres services.

Politiques de contrôle des services

Avec AWS Organizations, vous pouvez gérer de manière centralisée les politiques de plusieurs comptes AWS. Par exemple, vous pouvez appliquer des politiques de contrôle des services (SCPs) à plusieurs comptes AWS membres d'une organisation. SCPs vous permettent de définir quel service AWS peut ou ne APIs peut pas être exécuté par les entités AWS Identity and Access Management (IAM) (telles que les utilisateurs et les rôles IAM) dans les comptes AWS membres de votre organisation. SCPs sont créés et appliqués à partir du compte de gestion de l'organisation, qui est le compte AWS que vous avez utilisé lors de la création de votre organisation. Pour SCPs en savoir plus, consultez la section Utiliser AWS Organizations pour la sécurité plus haut dans cette référence. 

Si vous utilisez AWS Control Tower pour gérer votre organisation AWS, celle-ci déploiera un ensemble de SCPs garde-fous préventifs (classés comme obligatoires, fortement recommandés ou facultatifs). Ces garde-fous vous aident à gérer vos ressources en appliquant des contrôles de sécurité à l'échelle de l'organisation. Ils utilisent SCPs automatiquement une aws-control-tower balise dont la valeur est de managed-by-control-tower. 

Considération relative à la conception

  • SCPs concernent uniquement les comptes des membres de l'organisation AWS. Bien qu'elles soient appliquées depuis le compte Org Management, elles n'ont aucun effet sur les utilisateurs ou les rôles de ce compte. Pour en savoir plus sur le fonctionnement de la logique d'évaluation du SCP et pour consulter des exemples de structures recommandées, consultez le billet de blog AWS How to Use Service Control Policies in AWS Organizations.

Politiques de contrôle des ressources

Les politiques de contrôle des ressources (RCPs) offrent un contrôle centralisé des autorisations maximales disponibles pour les ressources de votre organisation. Un RCP définit un garde-fou en matière d'autorisations ou fixe des limites aux actions que les identités peuvent effectuer sur les ressources de votre organisation. Vous pouvez l'utiliser RCPs pour restreindre les personnes autorisées à accéder à vos ressources et appliquer des exigences relatives à la manière dont vous pouvez accéder à vos ressources dans les comptes AWS membres de votre organisation. Vous pouvez les joindre RCPs directement à des comptes individuels ou à la racine de l'organisation. OUs Pour une explication détaillée du RCPs fonctionnement, consultez l'évaluation du RCP dans la documentation d'AWS Organizations. Pour RCPs en savoir plus, consultez la section Utiliser AWS Organizations pour la sécurité plus haut dans cette référence.

Si vous utilisez AWS Control Tower pour gérer votre organisation AWS, celle-ci déploiera un ensemble de RCPs garde-fous préventifs (classés comme obligatoires, fortement recommandés ou facultatifs). Ces garde-fous vous aident à gérer vos ressources en appliquant des contrôles de sécurité à l'échelle de l'organisation. Ils utilisent SCPs automatiquement une aws-control-tower balise dont la valeur est demanaged-by-control-tower.

Considérations relatives à la conception

  • RCPs affectent uniquement les ressources des comptes des membres de l'organisation. Ils n'ont aucun effet sur les ressources du compte de gestion. Cela signifie également que cela RCPs s'applique aux comptes de membres désignés comme administrateurs délégués.

  • RCPs s'appliquent aux ressources d'un sous-ensemble de services AWS. Pour plus d'informations, consultez la liste des services AWS pris RCPs en charge dans la documentation AWS Organizations. Vous pouvez utiliser les règles AWS Config et les fonctions AWS Lambda pour surveiller et automatiser l'application des contrôles de sécurité sur les ressources qui ne sont pas actuellement prises en charge par. RCPs

Politiques déclaratives

Une politique déclarative est un type de politique de gestion d'AWS Organizations qui vous permet de déclarer et d'appliquer de manière centralisée la configuration souhaitée pour un service AWS donné à grande échelle au sein d'une organisation. Les politiques déclaratives prennent actuellement en charge les services Amazon Elastic Compute Cloud (Amazon EC2), Amazon Virtual Private Cloud (Amazon VPC) et Amazon Elastic Block Store (Amazon EBS). Les attributs de service disponibles incluent l'application de la version 2 du service de métadonnées d'instance (IMDSv2), la possibilité de résoudre les problèmes via la console EC2 série, l'autorisation des paramètres Amazon Machine Image (AMI) et le blocage de l'accès public aux instantanés Amazon EBS, Amazon EC2 AMIs et Amazon VPC. Pour connaître les derniers services et attributs pris en charge, consultez les politiques déclaratives dans la documentation d'AWS Organizations.

Vous pouvez appliquer la configuration de base d'un service AWS en effectuant quelques sélections sur les consoles AWS Organizations et AWS Control Tower ou en utilisant quelques commandes AWS Command Line Interface (AWS CLI) et AWS SDK. Les politiques déclaratives sont appliquées dans le plan de contrôle du service, ce qui signifie que la configuration de base d'un service AWS est toujours maintenue, même lorsque le service introduit de nouvelles fonctionnalités ou APIs lorsque de nouveaux comptes sont ajoutés à une organisation, ou lorsque de nouveaux principes et ressources sont créés. Les politiques déclaratives peuvent être appliquées à l'ensemble d'une organisation ou à des comptes spécifiques OUs . La stratégie efficace est l'ensemble des règles héritées de la racine de l'organisation OUs ainsi que les politiques directement associées au compte. Si une politique déclarative est détachée, l'état de l'attribut reviendra à son état antérieur à l'attachement de la politique déclarative.

Vous pouvez utiliser des politiques déclaratives pour créer des messages d'erreur personnalisés. Par exemple, si une opération d'API échoue en raison d'une politique déclarative, vous pouvez définir le message d'erreur ou fournir une URL personnalisée, telle qu'un lien vers un wiki interne ou un lien vers un message décrivant l'échec. Cela permet de fournir aux utilisateurs plus d'informations afin qu'ils puissent résoudre eux-mêmes le problème. Vous pouvez également auditer le processus de création de politiques déclaratives, de mise à jour des politiques déclaratives et de suppression de politiques déclaratives à l'aide d'AWS. CloudTrail

Les politiques déclaratives fournissent des rapports sur l'état des comptes, qui vous permettent de consulter l'état actuel de tous les attributs pris en charge par les politiques déclaratives des comptes concernés. Vous pouvez choisir les comptes OUs à inclure dans le champ d'application du rapport ou choisir une organisation entière en sélectionnant la racine. Ce rapport vous aide à évaluer le niveau de préparation en fournissant une ventilation par région AWS et en spécifiant si l'état actuel d'un attribut est uniforme sur tous les comptes (par la numberOfMatchedAccounts valeur) ou incohérent entre les comptes (par la numberOfUnmatchedAccounts valeur).

Considération relative à la conception

  • Lorsque vous configurez un attribut de service à l'aide d'une politique déclarative, celle-ci peut avoir un impact sur plusieurs APIs. Toute action non conforme échouera. Les administrateurs de compte ne seront pas en mesure de modifier la valeur de l'attribut de service au niveau du compte individuel.

Accès root centralisé

Tous les comptes membres d'AWS Organizations ont leur propre utilisateur root, qui est une identité qui dispose d'un accès complet à tous les services et ressources AWS de ce compte membre. IAM fournit une gestion centralisée de l'accès root pour gérer l'accès root sur tous les comptes membres. Cela permet d'empêcher l'utilisation des utilisateurs root par les membres et de permettre une restauration à grande échelle. La fonctionnalité d'accès root centralisé possède deux fonctionnalités essentielles : la gestion des informations d'identification root et les sessions root.

  • La fonctionnalité de gestion des informations d'identification root permet une gestion centralisée et permet de sécuriser l'utilisateur root sur tous les comptes de gestion. Cette fonctionnalité inclut la suppression des informations d'identification root à long terme, la prévention de la récupération des informations d'identification root par les comptes membres et le provisionnement de nouveaux comptes membres sans informations d'identification root par défaut. Il constitue également un moyen facile de démontrer la conformité. Lorsque la gestion des utilisateurs root est centralisée, vous pouvez supprimer les mots de passe, les clés d'accès et les certificats de signature des utilisateurs root, et désactiver l'authentification multifactorielle (MFA) de tous les comptes membres.

  • La fonctionnalité des sessions root vous permet d'effectuer des actions d'utilisateur root privilégiés en utilisant des informations d'identification à court terme sur les comptes des membres depuis le compte de gestion de l'organisation ou depuis des comptes d'administrateur délégué. Cette fonctionnalité vous permet d'activer un accès root à court terme limité à des actions spécifiques, conformément au principe du moindre privilège.

Pour une gestion centralisée des informations d'identification root, vous devez activer les fonctionnalités de gestion des informations d'identification root et de sessions root au niveau de l'organisation à partir du compte de gestion de l'organisation ou d'un compte d'administrateur délégué. Conformément aux meilleures pratiques d'AWS SRA, nous déléguons cette fonctionnalité au compte Security Tooling. Pour plus d'informations sur la configuration et l'utilisation de l'accès utilisateur root centralisé, consultez le billet de blog consacré à la sécurité AWS, intitulé Gestion centralisée de l'accès root pour les clients utilisant AWS Organizations.

IAM Identity Center

AWS IAM Identity Center (successeur d'AWS Single Sign-On) est un service de fédération d'identité qui vous aide à gérer de manière centralisée l'accès SSO à tous vos comptes, principaux et charges de travail dans le cloud AWS. IAM Identity Center vous aide également à gérer l'accès et les autorisations aux applications logicielles en tant que service (SaaS) tierces couramment utilisées. Les fournisseurs d'identité s'intègrent à IAM Identity Center à l'aide de SAML 2.0. Le just-in-time provisionnement en masse et le provisionnement peuvent être effectués à l'aide du système de gestion des identités interdomaines (SCIM). IAM Identity Center peut également s'intégrer à des domaines Microsoft Active Directory (AD) sur site ou gérés par AWS en tant que fournisseur d'identité grâce à l'utilisation d'AWS Directory Service. IAM Identity Center inclut un portail utilisateur sur lequel vos utilisateurs finaux peuvent trouver et accéder aux comptes AWS, aux rôles, aux applications cloud et aux applications personnalisées qui leur sont attribués en un seul endroit.

IAM Identity Center s'intègre nativement à AWS Organizations et s'exécute par défaut dans le compte Org Management. Toutefois, pour exercer le moindre privilège et contrôler étroitement l'accès au compte de gestion, l'administration d'IAM Identity Center peut être déléguée à un compte de membre spécifique. Dans l'AWS SRA, le compte Shared Services est le compte d'administrateur délégué pour IAM Identity Center. Avant d'activer l'administration déléguée pour IAM Identity Center, prenez en compte ces considérations. Vous trouverez plus d'informations sur la délégation dans la section relative au compte Shared Services. Même après avoir activé la délégation, IAM Identity Center doit toujours s'exécuter dans le compte de gestion de l'organisation pour effectuer certaines tâches liées à IAM Identity Center, notamment la gestion des ensembles d'autorisations fournis dans le compte de gestion de l'organisation. 

Dans la console IAM Identity Center, les comptes sont affichés par leur unité d'organisation encapsulée. Cela vous permet de découvrir rapidement vos comptes AWS, d'appliquer des ensembles d'autorisations courants et de gérer l'accès depuis un emplacement central. 

IAM Identity Center inclut un magasin d'identité dans lequel les informations spécifiques des utilisateurs doivent être stockées. Cependant, IAM Identity Center ne doit pas nécessairement être la source officielle d'informations sur le personnel. Dans les cas où votre entreprise dispose déjà d'une source faisant autorité, IAM Identity Center prend en charge les types de fournisseurs d'identité suivants ()IdPs.

  • IAM Identity Center Identity Store : choisissez cette option si les deux options suivantes ne sont pas disponibles. Des utilisateurs sont créés, des attributions de groupes sont effectuées et des autorisations sont attribuées dans le magasin d'identités. Même si votre source officielle est externe à IAM Identity Center, une copie des principaux attributs sera stockée dans le magasin d'identités.

  • Microsoft Active Directory (AD) : choisissez cette option si vous souhaitez continuer à gérer les utilisateurs dans votre annuaire dans AWS Directory Service pour Microsoft Active Directory ou dans votre annuaire autogéré dans Active Directory.

  • Fournisseur d'identité externe : choisissez cette option si vous préférez gérer les utilisateurs dans un IdP externe basé sur SAML.

Vous pouvez compter sur un IdP existant déjà en place au sein de votre entreprise. Cela facilite la gestion de l'accès à plusieurs applications et services, car vous créez, gérez et révoquez l'accès à partir d'un seul emplacement. Par exemple, si quelqu'un quitte votre équipe, vous pouvez révoquer son accès à toutes les applications et à tous les services (y compris les comptes AWS) à partir d'un seul endroit. Cela réduit le besoin d'identifiants multiples et vous offre la possibilité de vous intégrer à vos processus de ressources humaines (RH).

Considération relative à la conception

  • Utilisez un IdP externe si cette option est disponible pour votre entreprise. Si votre IdP prend en charge le système de gestion des identités interdomaines (SCIM), profitez de la fonctionnalité SCIM d'IAM Identity Center pour automatiser le provisionnement des utilisateurs, des groupes et des autorisations (synchronisation). Cela permet à AWS Access de rester synchronisé avec le flux de travail de votre entreprise pour les nouvelles recrues, les employés qui passent à une autre équipe et les employés qui quittent l'entreprise. À tout moment, vous ne pouvez avoir qu'un seul annuaire ou un seul fournisseur d'identité SAML 2.0 connecté à IAM Identity Center. Vous pouvez toutefois passer à un autre fournisseur d'identité.

Conseiller d'accès IAM

Le conseiller d'accès IAM fournit des données de traçabilité sous la forme d'informations de dernier accès au service pour vos comptes AWS et OUs. Utilisez ce contrôle de détective pour contribuer à la stratégie du moindre privilège. Pour les entités IAM, vous pouvez consulter deux types d'informations auxquelles vous avez accédé pour la dernière fois : les informations de service AWS autorisées et les informations d'action autorisées. Les informations comprennent la date et l'heure de la tentative. 

L'accès IAM au sein du compte de gestion de l'organisation vous permet de consulter les données du dernier accès au service pour le compte de gestion de l'organisation, l'unité d'organisation, le compte membre ou la politique IAM de votre organisation AWS. Ces informations sont disponibles dans la console IAM du compte de gestion et peuvent également être obtenues par programmation à l'aide du conseiller d'accès IAM dans APIs AWS Command Line Interface (AWS CLI) ou d'un client de programmation. Les informations indiquent quels principaux d'une organisation ou d'un compte ont tenté pour la dernière fois d'accéder au service et quand. Les dernières informations consultées fournissent des informations sur l'utilisation réelle des services (voir des exemples de scénarios), ce qui vous permet de limiter les autorisations IAM aux seuls services réellement utilisés.

AWS Systems Manager

Quick Setup et Explorer, qui sont des fonctionnalités d'AWS Systems Manager, sont tous deux compatibles avec AWS Organizations et fonctionnent à partir du compte Org Management. 

Quick Setup est une fonctionnalité d'automatisation de Systems Manager. Il permet au compte Org Management de définir facilement des configurations permettant à Systems Manager de s'engager en votre nom sur tous les comptes de votre organisation AWS. Vous pouvez activer la configuration rapide dans l'ensemble de votre organisation AWS ou choisir une option spécifique OUs. Quick Setup peut programmer l'agent AWS Systems Manager (agent SSM) pour exécuter des mises à jour bihebdomadaires sur vos EC2 instances et peut configurer une analyse quotidienne de ces instances afin d'identifier les correctifs manquants. 

Explorer est un tableau de bord des opérations personnalisable qui fournit des informations sur vos ressources AWS. Explorer affiche une vue agrégée des données d'exploitation pour vos comptes AWS et pour l'ensemble des régions AWS. Cela inclut les données relatives à vos EC2 instances et les détails de conformité des correctifs. Après avoir terminé la configuration intégrée (qui inclut également Systems Manager OpsCenter) dans AWS Organizations, vous pouvez agréger les données dans Explorer par unité d'organisation ou pour l'ensemble d'une organisation AWS. Systems Manager agrège les données dans le compte AWS Org Management avant de les afficher dans Explorer.

La section Workloads OU située plus loin dans ce guide décrit l'utilisation de l'agent Systems Manager (agent SSM) sur les EC2 instances du compte d'application.

AWS Control Tower

AWS Control Tower fournit un moyen simple de configurer et de gérer un environnement AWS multi-comptes sécurisé, appelé zone de landing zone. AWS Control Tower crée votre zone de landing zone à l'aide d'AWS Organizations et fournit une gestion et une gouvernance continues des comptes ainsi que les meilleures pratiques de mise en œuvre. Vous pouvez utiliser AWS Control Tower pour configurer de nouveaux comptes en quelques étapes, tout en vous assurant qu'ils sont conformes aux politiques de votre organisation. Vous pouvez même ajouter des comptes existants à un nouvel environnement AWS Control Tower. 

AWS Control Tower propose un ensemble de fonctionnalités large et flexible. L'une de ses fonctionnalités clés est sa capacité à orchestrer les capacités de plusieurs autres services AWS, notamment AWS Organizations, AWS Service Catalog et IAM Identity Center, afin de créer une zone de landing zone. Par exemple, AWS Control Tower utilise par défaut AWS CloudFormation pour établir une base de référence, les politiques de contrôle des services AWS Organizations (SCPs) pour empêcher les modifications de configuration et les règles AWS Config pour détecter en permanence les non-conformités. AWS Control Tower utilise des plans qui vous aident à aligner rapidement votre environnement AWS multi-comptes sur les principes de conception de base de sécurité d'AWS Well Architected. Parmi les fonctionnalités de gouvernance, AWS Control Tower propose des garde-fous qui empêchent le déploiement de ressources non conformes aux politiques sélectionnées. 

Vous pouvez commencer à mettre en œuvre les directives AWS SRA avec AWS Control Tower. Par exemple, AWS Control Tower met en place une organisation AWS avec l'architecture multi-comptes recommandée. Il fournit des plans pour assurer la gestion des identités, fournir un accès fédéré aux comptes, centraliser la journalisation, établir des audits de sécurité entre comptes, définir un flux de travail pour le provisionnement de nouveaux comptes et implémenter des lignes de base de comptes avec des configurations réseau. 

Dans l'AWS SRA, AWS Control Tower fait partie du compte Org Management, car AWS Control Tower utilise ce compte pour configurer automatiquement une organisation AWS et désigne ce compte comme compte de gestion. Ce compte est utilisé pour la facturation au sein de votre organisation AWS. Il est également utilisé pour le provisionnement des comptes par Account Factory, pour gérer OUs et pour gérer les garde-fous. Si vous lancez AWS Control Tower dans une organisation AWS existante, vous pouvez utiliser le compte de gestion existant. AWS Control Tower utilisera ce compte comme compte de gestion désigné.

Considération relative à la conception

  • Si vous souhaitez établir une base de référence supplémentaire pour les contrôles et les configurations de vos comptes, vous pouvez utiliser Customizations for AWS Control Tower (CfCT). Avec CfCT, vous pouvez personnaliser la zone d'atterrissage de votre AWS Control Tower en utilisant un CloudFormation modèle AWS et des politiques de contrôle des services (SCPs). Vous pouvez déployer le modèle et les politiques personnalisés sur des comptes individuels et OUs au sein de votre organisation. CfCT s'intègre aux événements du cycle de vie d'AWS Control Tower pour garantir que les déploiements de ressources restent synchronisés avec votre zone de landing zone. 

AWS Artifact

AWS Artifact fournit un accès à la demande aux rapports de sécurité et de conformité d'AWS et à certains accords en ligne. Les rapports disponibles dans AWS Artifact incluent des rapports sur les contrôles du système et de l'organisation (SOC), des rapports sur le secteur des cartes de paiement (PCI) et des certifications d'organismes d'accréditation de différentes zones géographiques et secteurs de conformité qui valident la mise en œuvre et l'efficacité opérationnelle des contrôles de sécurité AWS. AWS Artifact vous aide à effectuer votre due diligence sur AWS avec une transparence accrue dans notre environnement de contrôle de sécurité. Il vous permet également de surveiller en permanence la sécurité et la conformité d'AWS avec un accès immédiat aux nouveaux rapports. 

Les accords AWS Artifact vous permettent de consulter, d'accepter et de suivre le statut des accords AWS tels que le Business Associate Addendum (BAA) pour un compte individuel et pour les comptes faisant partie de votre organisation dans AWS Organizations. 

Vous pouvez fournir les artefacts d'audit AWS à vos auditeurs ou régulateurs comme preuve des contrôles de sécurité d'AWS. Vous pouvez également utiliser les conseils de responsabilité fournis par certains artefacts d'audit AWS pour concevoir votre architecture cloud. Ce guide permet de déterminer les contrôles de sécurité supplémentaires que vous pouvez mettre en place pour répondre aux cas d'utilisation spécifiques de votre système. 

AWS Artifacts est hébergé dans le compte Org Management afin de fournir un emplacement central où vous pouvez consulter, accepter et gérer les accords avec AWS. Cela est dû au fait que les accords acceptés sur le compte de gestion sont transférés vers les comptes des membres. 

Considération relative à la conception

  • Les utilisateurs du compte Org Management doivent être autorisés à utiliser uniquement la fonctionnalité Accords d'AWS Artifact et rien d'autre. Pour mettre en œuvre la séparation des tâches, AWS Artifact est également hébergé dans le compte Security Tooling, où vous pouvez déléguer des autorisations à vos parties prenantes chargées de la conformité et à des auditeurs externes pour accéder aux artefacts d'audit. Vous pouvez implémenter cette séparation en définissant des politiques d'autorisation IAM précises. Pour des exemples, consultez la section Exemples de politiques IAM dans la documentation AWS.

Garde-corps de service de sécurité distribués et centralisés

Dans l'AWS SRA, AWS Security Hub CSPM, Amazon, AWS GuardDuty Config, IAM Access Analyzer, AWS CloudTrail organization trails et souvent Amazon Macie sont déployés avec une administration déléguée ou une agrégation appropriée sur le compte Security Tooling. Cela permet un ensemble cohérent de garde-fous entre les comptes et fournit également une surveillance, une gestion et une gouvernance centralisées au sein de votre organisation AWS. Vous trouverez ce groupe de services dans tous les types de comptes représentés dans l'AWS SRA. Ils doivent faire partie des services AWS qui doivent être fournis dans le cadre du processus d'intégration et de définition des bases de référence de votre compte. Le référentiel de GitHub code fournit un exemple d'implémentation des services AWS axés sur la sécurité sur vos comptes, y compris le compte AWS Org Management. 

Outre ces services, AWS SRA inclut deux services axés sur la sécurité, Amazon Detective et AWS Audit Manager, qui prennent en charge l'intégration et les fonctionnalités d'administration déléguée dans AWS Organizations. Toutefois, ils ne sont pas inclus dans les services recommandés pour l'établissement des bases de référence des comptes. Nous avons constaté que ces services sont mieux utilisés dans les scénarios suivants :

  • Vous disposez d'une équipe ou d'un groupe de ressources dédié qui exécute ces fonctions de criminalistique numérique et d'audit informatique. Amazon Detective est mieux utilisé par les équipes d'analystes de sécurité, et AWS Audit Manager est utile à vos équipes d'audit interne ou de conformité.

  • Vous souhaitez vous concentrer sur un ensemble d'outils de base tels que GuardDuty Security Hub CSPM au début de votre projet, puis vous appuyer sur ceux-ci en utilisant des services offrant des fonctionnalités supplémentaires.