SEC03-BP07 Analyser l'accès public et entre les comptes

Surveillez en continu les résultats qui mettent en évidence l'accès public et intercompte. Limitez l'accès public et l'accès intercompte uniquement aux ressources qui requièrent ce type d'accès.

Anti-modèles courants :

Ne pas suivre un processus pour régir l'accès intercompte et public aux ressources.

Niveau d'exposition au risque si cette bonne pratique n'est pas respectée : Faible

Directives d'implémentation

Dans AWS, vous pouvez accorder l'accès aux ressources d'un autre compte. Vous accordez un accès intercompte direct en utilisant les politiques attachées aux ressources (par exemple, les politiques de compartiment Amazon Simple Storage Service (Amazon S3))ou en permettant à une identité d'assumer un rôle IAM dans un autre compte. Lorsque vous utilisez des politiques de ressources, vérifiez que l'accès est accordé aux identités de votre organisation et que vous avez bien l'intention de rendre les ressources publiques. Définir un processus d'approbation de toutes les ressources qui doivent être accessibles au public.

IAM Access Analyzer utilise une sécurité prouvable pour identifier tous les chemins d'accès à une ressource en dehors de son compte. Il passe en revue les stratégies de ressources en continu et présente les résultats d'accès public et entre comptes pour vous permettre d'analyser facilement un accès potentiellement étendu. Envisagez de configurer IAM Access Analyzer avec AWS Organizations afin de vérifier que vous avez une visibilité sur tous vos comptes. IAM Access Analyzer vous permet également de visualiser les résultats de l'Analyseur d'accèsavant de déployer les autorisations d'accès aux ressources. Vous pouvez ainsi vérifier que vos modifications de politique n'accordent que l'accès public et intercompte prévu à vos ressources. Lors de la conception pour un accès multicompte, vous pouvez utiliser des politiques d'approbation afin de contrôler dans quels cas un rôle peut être assumé. Par exemple, vous pouvez limiter l'hypothèse de rôle à une plage d'IP source spécifique.

Vous pouvez également utiliser AWS Config pour signaler et corriger les ressources pour toute configuration accidentelle d'accès public, via les vérifications de politiques d'AWS Config. Des services comme AWS Control Tower et AWS Security Hub simplifient le déploiement des contrôles et des barrières de protection sur une AWS Organizations afin d'identifier et de corriger les ressources publiquement exposées. Par exemple, AWS Control Tower dispose d'une barrière de protection gérée qui peut détecter si des instantanés Amazon EBS sont restaurables par tous les comptes AWS.

Ressources

Documents connexes :

Vidéos connexes :

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

SEC03-BP06 Gérer l'accès en fonction du cycle de vie

SEC03-BP08 Partager des ressources en toute sécurité