Exemples de politiques basées sur l'identité pour le directeur de la AWS Shield sécurité réseau - AWS WAF, AWS Firewall ManagerAWS Shield Advanced, et directeur de la sécurité AWS Shield réseau
Bonnes pratiques en matière de politiquesMises à jour des politiques basées sur l'identitéPolitique basée sur l'identité d'accès administratifPolitique basée sur l'identité d'accès en lecture seule

Présentation d'une nouvelle expérience de console pour AWS WAF

Vous pouvez désormais utiliser l'expérience mise à jour pour accéder aux AWS WAF fonctionnalités n'importe où dans la console. Pour en savoir plus, consultez Utilisation de l'expérience de console mise à jour.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Exemples de politiques basées sur l'identité pour le directeur de la AWS Shield sécurité réseau

Note

Lorsque vous commencez à utiliser le directeur de sécurité AWS Shield réseau, nous créons automatiquement un rôle lié à un service qui répond à toutes les exigences d'autorisation minimales. La création et la gestion de vos propres politiques basées sur l'identité sont facultatives.

Pour fournir un accès approprié au directeur de la sécurité réseau, vous pouvez créer des politiques basées sur l'identité qui accordent les autorisations nécessaires pour l'accès administratif et en lecture seule.

Pour plus d'informations sur la création et la gestion des politiques IAM, consultez la section Politiques gérées et politiques intégrées dans le guide de l'utilisateur IAM.

Ces autorisations permettent au directeur de la sécurité AWS Shield réseau d'effectuer une analyse de sécurité complète et de fournir des recommandations précises en matière de sécurité du réseau. Les exemples de politiques fournis dans ce guide sont conçus pour les cas d'utilisation courants. Vous pouvez utiliser ces politiques comme point de départ et les modifier en fonction de vos besoins spécifiques.

Exemples de politiques présentés dans ce guide

Bonnes pratiques en matière de politiques

Les politiques basées sur l'identité déterminent si quelqu'un peut créer, accéder ou supprimer les ressources du directeur de la sécurité réseau de votre compte. Ces actions peuvent entraîner des frais pour votre Compte AWS. Lorsque vous créez ou modifiez des politiques basées sur l’identité, suivez ces instructions et recommandations :

  • Commencez AWS par les politiques gérées et passez aux autorisations du moindre privilège : pour commencer à accorder des autorisations à vos utilisateurs et à vos charges de travail, utilisez les politiques AWS gérées qui accordent des autorisations pour de nombreux cas d'utilisation courants. Ils sont disponibles dans votre Compte AWS. Nous vous recommandons de réduire davantage les autorisations en définissant des politiques gérées par les AWS clients spécifiques à vos cas d'utilisation. Pour plus d’informations, consultez politiques gérées par AWS ou politiques gérées par AWS pour les activités professionnelles dans le Guide de l’utilisateur IAM.

  • Accordez les autorisations de moindre privilège : lorsque vous définissez des autorisations avec des politiques IAM, accordez uniquement les autorisations nécessaires à l’exécution d’une seule tâche. Pour ce faire, vous définissez les actions qui peuvent être entreprises sur des ressources spécifiques dans des conditions spécifiques, également appelées autorisations de moindre privilège. Pour plus d’informations sur l’utilisation d’IAM pour appliquer des autorisations, consultez politiques et autorisations dans IAM dans le Guide de l’utilisateur IAM.

  • Utilisez des conditions dans les politiques IAM pour restreindre davantage l’accès : vous pouvez ajouter une condition à vos politiques afin de limiter l’accès aux actions et aux ressources. Par exemple, vous pouvez écrire une condition de politique pour spécifier que toutes les demandes doivent être envoyées via SSL. Vous pouvez également utiliser des conditions pour accorder l'accès aux actions de service si elles sont utilisées par le biais d'un service spécifique Service AWS, tel que AWS CloudFormation. Pour plus d’informations, consultez Conditions pour éléments de politique JSON IAM dans le Guide de l’utilisateur IAM.

  • Utilisez l’Analyseur d’accès IAM pour valider vos politiques IAM afin de garantir des autorisations sécurisées et fonctionnelles : l’Analyseur d’accès IAM valide les politiques nouvelles et existantes de manière à ce que les politiques IAM respectent le langage de politique IAM (JSON) et les bonnes pratiques IAM. IAM Access Analyzer fournit plus de 100 vérifications de politiques et des recommandations exploitables pour vous aider à créer des politiques sécurisées et fonctionnelles. Pour plus d’informations, consultez Validation de politiques avec IAM Access Analyzer dans le Guide de l’utilisateur IAM.

  • Exiger l'authentification multifactorielle (MFA) : si vous avez un scénario qui nécessite des utilisateurs IAM ou un utilisateur root, activez l'authentification MFA pour une sécurité accrue. Compte AWS Pour exiger la MFA lorsque des opérations d’API sont appelées, ajoutez des conditions MFA à vos politiques. Pour plus d’informations, consultez Sécurisation de l’accès aux API avec MFA dans le Guide de l’utilisateur IAM.

Pour plus d’informations sur les bonnes pratiques dans IAM, consultez Bonnes pratiques de sécurité dans IAM dans le Guide de l’utilisateur IAM.

Mises à jour des politiques basées sur l'identité

Au fur et à mesure que des mises à jour et des fonctionnalités sont ajoutées au directeur de sécurité réseau, vous devrez peut-être mettre à jour vos politiques basées sur l'identité pour inclure des autorisations supplémentaires. Consultez ce guide pour obtenir des informations sur les nouvelles autorisations qui peuvent être requises.

Contrairement aux politiques AWS gérées, les politiques gérées par le client ne sont pas automatiquement mises à jour. Vous êtes responsable du maintien et de la mise à jour de ces politiques selon les besoins.

Pour plus d’informations, consultez Ajout d’autorisations à un utilisateur dans le Guide de l’utilisateur IAM.

Politique basée sur l'identité d'accès administratif

Créez une politique basée sur l'identité à l'aide de l'exemple suivant pour fournir un accès administratif complet aux opérations du directeur de la sécurité réseau et la possibilité de créer le rôle lié au service requis.

Nom de la politique : NetworkSecurityDirectorAdminPolicy

Description de la politique : Permet un accès administratif complet aux opérations du directeur de la sécurité AWS Shield réseau et permet également de créer ou de supprimer le rôle lié au service pour le directeur de la sécurité réseau.


 {
   "Version": "2012-10-17",
   "Statement": [
     {
       "Effect": "Allow",
       "Action": [
         "network-secusrity-director:*"
       ],
       "Resource": "*"
     },
     {
       "Effect": "Allow",
       "Action": [
         "iam:CreateServiceLinkedRole"
       ],
       "Resource": "arn:aws:iam::*:role/aws-service-role/network-security-director.amazonaws.com/AWSServiceRoleForNetworkSecurityDirector"
     }
   ]
 }

Politique basée sur l'identité d'accès en lecture seule

Créez une politique basée sur l'identité à l'aide de l'exemple de stratégie suivant pour fournir un accès en lecture seule aux opérations du directeur de la sécurité réseau.

Nom de la politique : NetworkSecurityDirectorReadOnlyPolicy

Description de la politique : autorise l'accès en lecture seule au directeur de sécurité AWS Shield réseau.


 {
   "Version": "2012-10-17",
   "Statement": [
     {
       "Effect": "Allow",
       "Action": [
         "network-security-director:Get*",
         "network-security-director:List*"
       ],
       "Resource": "*"
     }
   ]
 }