Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Identity and Access Management
Gestion des identités et des accès AWS (IAM) est un service Web qui vous permet de contrôler en toute sécurité l'accès aux AWS ressources. Vous pouvez utiliser IAM pour contrôler les personnes qui s'authentifient (sont connectées) et sont autorisées (disposent d'autorisations) à utiliser des ressources. Lors de l'intégration d'AMS, vous êtes chargé de créer des rôles d'administrateur IAM entre comptes au sein de chacun de vos comptes gérés.
## Mesures de protection IAM pour les zones d'atterrissage multicomptes (MALZ)
La zone de landing zone multi-comptes (MALZ) d'AMS nécessite une confiance Active Directory (AD) comme objectif de conception principal de la gestion des accès AMS afin de permettre à chaque organisation (AMS et client) de gérer le cycle de vie de ses propres identités. Cela évite d'avoir des informations d'identification dans le répertoire de l'autre. La confiance unidirectionnelle est configurée de telle sorte que le répertoire Active Directory géré au sein du client Compte AWS approuve l'AD détenu ou géré par le client pour authentifier les utilisateurs. Comme la confiance n'est qu'à sens unique, cela ne signifie pas que le client Active Directory fait confiance à Managed AD.
Dans cette configuration, le répertoire des clients qui gère les identités des utilisateurs est appelé User Forest, et le Managed AD auquel les EC2 instances Amazon sont attachées est connu sous le nom de Resource Forest. Il s'agit d'un modèle de conception Microsoft couramment utilisé pour l'authentification Windows ; pour plus d'informations, [voir Modèles de conception forestière](https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/forest-design-models).
Ce modèle permet aux deux organisations d'automatiser leurs cycles de vie respectifs et permet à AMS et à vous-même de révoquer rapidement l'accès si un employé quitte l'organisation. Sans ce modèle, si les deux organisations utilisaient un répertoire commun (ou si elles étaient créées users/groups dans les annuaires de l'autre), elles devraient mettre en place des flux de travail supplémentaires, ainsi que des synchronisations d'utilisateurs, pour tenir compte du départ et du départ des employés. Cela présente un risque car ce processus présente une latence et peut être sujet aux erreurs.
### Conditions préalables à l'accès au MALZ
Intégration du fournisseur d'identité MALZ pour accéder à la console AWS/AMS, à la CLI et au SDK.
![\[Les relations entre le fournisseur d'identité et AWS IAM AWS Management Console, la gestion des modifications et AMS.\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/userguide/images/malz-access-prereqs-1.png)
Confiance unidirectionnelle pour les EC2 instances Amazon de votre compte AMS.
![\[Le sens de la confiance est unidirectionnel : de vos EC2 instances Amazon au domaine Active Directory de votre organisation.\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/userguide/images/malz-access-prereqs-2.png)
# Authentification par des identités
AMS utilise des rôles IAM, qui sont un type d'identité IAM. Un rôle IAM est très similaire à celui d'un utilisateur, dans la mesure où il s'agit d'une identité dotée de politiques d'autorisation qui déterminent ce que l'identité peut et ne peut pas faire. AWS Cependant, aucun identifiant n'est associé à un rôle et, au lieu d'être associé de manière unique à une seule personne, il est destiné à être assumé par tous ceux qui en ont besoin. Un utilisateur IAM peut endosser un rôle pour accepter différentes autorisations temporaires concernant un tâche spécifique.
Les rôles d'accès sont contrôlés par l'appartenance à un groupe interne, qui est administré et révisé périodiquement par la direction des opérations.
# Rôle d'utilisateur IAM dans AMS
Un rôle IAM est similaire à un utilisateur IAM, dans la mesure où il s'agit d'une AWS identité dotée de politiques d'autorisation qui déterminent ce que l'identité peut et ne peut pas faire. AWS En revanche, au lieu d’être associé de manière unique à une personne, un rôle est conçu pour être assumé par tout utilisateur qui en a besoin.
Il existe actuellement un rôle utilisateur AMS par défaut pour `Customer_ReadOnly_Role` les comptes AMS standard et un rôle supplémentaire `customer_managed_ad_user_role` pour les comptes AMS avec Managed Active Directory.
Les politiques de rôle définissent les autorisations CloudWatch et les actions de journalisation d'Amazon S3, l'accès à la console AMS, les restrictions en lecture seule pour la plupart Services AWS, l'accès restreint à la console S3 du compte et l'accès au type de changement de type AMS.
En outre, il `Customer_ReadOnly_Role` dispose d'autorisations mutatives sur les instances réservées qui vous permettent de réserver des instances. Cela permet de réaliser des économies. Par conséquent, si vous savez que vous aurez besoin d'un certain nombre d' EC2 instances Amazon pendant une longue période, vous pouvez les APIs appeler. Pour en savoir plus, consultez [Amazon EC2 Reserved Instances](https://aws.amazon.com/ec2/pricing/reserved-instances/).
**Note**
L'objectif de niveau de service (SLO) AMS pour créer des politiques IAM personnalisées pour les utilisateurs IAM est de quatre jours ouvrables, sauf si une politique existante doit être réutilisée. Si vous souhaitez modifier le rôle d'utilisateur IAM existant ou en ajouter un nouveau, soumettez une RFC [IAM : Update Entity](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-update-entity-or-policy-review-required.html) ou [IAM : Create Entity](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-identity-and-access-management-iam-create-entity-or-policy.html), respectivement.
Si les rôles Amazon IAM ne vous sont pas familiers, consultez la section Rôles [IAM pour obtenir des](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) informations importantes.
**Zone d'atterrissage multi-comptes (MALZ)** : pour voir les politiques de rôle utilisateur par défaut et non personnalisées de la zone d'atterrissage multi-comptes AMS, reportez-vous à la section suivante. [MALZ : Rôles utilisateur IAM par défaut](#json-default-role-malz)
## MALZ : Rôles utilisateur IAM par défaut
Déclarations de politique JSON pour les rôles utilisateur par défaut de la zone de landing zone multi-comptes AMS multi-comptes.
**Note**
Les rôles des utilisateurs sont personnalisables et peuvent varier d'un compte à l'autre. Des instructions pour trouver votre rôle sont fournies.
Voici des exemples des rôles utilisateur MALZ par défaut. Pour vous assurer que vous avez défini les politiques dont vous avez besoin, exécutez la commande AWS [https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html)ou connectez-vous à la [console AWS Management -> IAM](https://console.aws.amazon.com/iam/) et choisissez **Rôles** dans le volet de navigation.
### Rôles principaux du compte UO
Un compte principal est un compte d'infrastructure géré par Malz. Les comptes principaux de la zone de landing zone multi-comptes AMS incluent un compte de gestion et un compte réseau.
**Compte Core UO : rôles et politiques communs**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/userguide/defaults-user-role.html)
**Compte UO principal : rôles et politiques du compte de gestion**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/userguide/defaults-user-role.html)
**Compte UO principal : rôles et politiques du compte réseau**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/userguide/defaults-user-role.html)
### Rôles des comptes d'applications
Les rôles de compte d'application sont appliqués à vos comptes spécifiques à l'application.
**Compte d'application : rôles et politiques**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/userguide/defaults-user-role.html)
### Exemples de stratégies
Des exemples sont fournis pour la plupart des politiques utilisées. Pour consulter la ReadOnlyAccess politique (longue de plusieurs pages car elle fournit un accès en lecture seule à tous les AWS services), vous pouvez utiliser ce lien, si vous avez un compte AWS actif :. [ReadOnlyAccess](https://console.aws.amazon.com/iam/home?region=us-east-1#/policies/arn:aws:iam::aws:policy/ReadOnlyAccess$serviceLevelSummary) Une version condensée est également incluse ici.
#### AMSBillingPolitique
`AMSBillingPolicy`
Le nouveau rôle de facturation peut être utilisé par votre service de comptabilité pour consulter et modifier les informations de facturation ou les paramètres du compte dans le compte de gestion. Pour accéder à des informations telles que les contacts alternatifs, consulter l'utilisation des ressources du compte, suivre votre facturation ou même modifier vos méthodes de paiement, vous utilisez ce rôle. Ce nouveau rôle comprend toutes les autorisations répertoriées sur la [page Web des actions IAM d'AWS Billing](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-permissions-ref.html#example-billing-deny-modifyaccount).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"aws-portal:ViewBilling",
"aws-portal:ModifyBilling"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToBilling"
},
{
"Action": [
"aws-portal:ViewAccount",
"aws-portal:ModifyAccount"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToAccountSettings"
},
{
"Action": [
"budgets:ViewBudget",
"budgets:ModifyBudget"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToAccountBudget"
},
{
"Action": [
"aws-portal:ViewPaymentMethods",
"aws-portal:ModifyPaymentMethods"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToPaymentMethods"
},
{
"Action": [
"aws-portal:ViewUsage"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToUsage"
},
{
"Action": [
"cur:DescribeReportDefinitions",
"cur:PutReportDefinition",
"cur:DeleteReportDefinition",
"cur:ModifyReportDefinition"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToCostAndUsageReport"
},
{
"Action": [
"pricing:DescribeServices",
"pricing:GetAttributeValues",
"pricing:GetProducts"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToPricing"
},
{
"Action": [
"ce:*",
"compute-optimizer:*"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToCostExplorerComputeOptimizer"
},
{
"Action": [
"purchase-orders:ViewPurchaseOrders",
"purchase-orders:ModifyPurchaseOrders"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToPurchaseOrders"
},
{
"Action": [
"redshift:AcceptReservedNodeExchange",
"redshift:PurchaseReservedNodeOffering"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToRedshiftAction"
},
{
"Action": "savingsplans:*",
"Resource": "*",
"Effect": "Allow",
"Sid": "AWSSavingsPlansFullAccess"
}
]
}
```
------
#### AMSChangeManagementReadOnlyPolicy
`AMSChangeManagementReadOnlyPolicy`
Autorisations permettant de voir tous les types de modifications AMS et l'historique des types de modifications demandés.
#### AMSMasterAccountSpecificChangeManagementInfrastructurePolicy
`AMSMasterAccountSpecificChangeManagementInfrastructurePolicy`
Autorisations permettant de demander le type de changement de type Déploiement \$1 Zone d'atterrissage gérée \$1 Compte de gestion \$1 Créer un compte d'application (avec VPC).
#### AMSNetworkingAccountSpecificChangeManagementInfrastructurePolicy
`AMSNetworkingAccountSpecificChangeManagementInfrastructurePolicy `
Autorisations permettant de demander le type de changement de type Déploiement \$1 Zone d'atterrissage gérée \$1 Compte réseau \$1 Créer une table de routage de l'application.
#### AMSChangeManagementInfrastructurePolicy
`AMSChangeManagementInfrastructurePolicy`(pour la gestion \$1 Autre \$1 Autre CTs)
Autorisations permettant de demander les types de modification Gestion \$1 Autre \$1 Autre \$1 Création et gestion \$1 Autre \$1 Autre \$1 Mettre à jour.
#### AMSSecretsManagerSharedPolicy
`AMSSecretsManagerSharedPolicy`
Autorisations permettant de consulter le secret passwords/hashes partagé par AMS AWS Secrets Manager (par exemple, les mots de passe de l'infrastructure à des fins d'audit).
Autorisations permettant de créer un secret password/hashes à partager avec AMS. (par exemple, les clés de licence pour les produits qui doivent être déployés).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AllowAccessToSharedNameSpaces",
"Effect": "Allow",
"Action": "secretsmanager:*",
"Resource": [
"arn:aws:secretsmanager:*:*:secret:ams-shared/*",
"arn:aws:secretsmanager:*:*:secret:customer-shared/*"
]
},
{
"Sid": "DenyGetSecretOnCustomerNamespace",
"Effect": "Deny",
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:*:*:secret:customer-shared/*"
},
{
"Sid": "AllowReadAccessToAMSNameSpace",
"Effect": "Deny",
"NotAction": [
"secretsmanager:Describe*",
"secretsmanager:Get*",
"secretsmanager:List*"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:ams-shared/*"
}
]
}
```
------
#### AMSChangeManagementPolicy
`AMSChangeManagementPolicy`
Autorisations permettant de demander et de consulter tous les types de modifications AMS, ainsi que l'historique des types de modifications demandés.
#### AMSReservedInstancesPolicy
`AMSReservedInstancesPolicy`
Autorisations pour gérer les instances EC2 réservées Amazon ; pour plus d'informations sur les tarifs, consultez [Amazon EC2 Reserved Instances](https://aws.amazon.com/ec2/pricing/reserved-instances/).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AllowReservedInstancesManagement",
"Effect": "Allow",
"Action": [
"ec2:ModifyReservedInstances",
"ec2:PurchaseReservedInstancesOffering"
],
"Resource": [
"*"
]
}]
}
```
------
#### AMSS3Politique
`AMSS3Policy`
Autorisations permettant de créer et de supprimer des fichiers à partir de compartiments Amazon S3 existants.
**Note**
Ces autorisations ne permettent pas de créer des compartiments S3 ; cela doit être fait avec le type de modification Deployment \$1 Advanced stack components \$1 S3 storage \$1 Create change.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:DeleteObject",
"s3:PutObject"
],
"Resource": "*"
}
]
}
```
------
#### AWSSupportAccès
`AWSSupportAccess`
Accès complet à Support. Pour plus d'informations, consultez [Getting Started with Support](https://docs.aws.amazon.com/awssupport/latest/user/getting-started.html). Pour plus d'informations sur le Support Premium, consultez [Support](https://aws.amazon.com/premiumsupport/).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"support:*"
],
"Resource": "*"
}]
}
```
------
#### AWSMarketplaceManageSubscriptions
`AWSMarketplaceManageSubscriptions`(Politique AWS gérée par le public)
Autorisations de s'abonner, de se désabonner et de consulter AWS Marketplace les abonnements.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Action": [
"aws-marketplace:ViewSubscriptions",
"aws-marketplace:Subscribe",
"aws-marketplace:Unsubscribe"
],
"Effect": "Allow",
"Resource": "*"
}]
}
```
------
#### AWSCertificateManagerFullAccess
`AWSCertificateManagerFullAccess`
Accès complet à AWS Certificate Manager. Pour de plus amples informations, veuillez consulter [AWS Certificate Manager](https://aws.amazon.com/certificate-manager/).
[https://docs.aws.amazon.com/acm/latest/userguide/authen-awsmanagedpolicies.html#acm-full-access-managed-policy](https://docs.aws.amazon.com/acm/latest/userguide/authen-awsmanagedpolicies.html#acm-full-access-managed-policy)informations, (politique publique gérée par AWS).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"acm:*"
],
"Resource": "*"
}]
}
```
------
#### AWSWAFFullAccès
`AWSWAFFullAccess`
Accès complet à AWS WAF. Pour plus d'informations, voir [AWS WAF - Web Application Firewall](https://aws.amazon.com/waf/).
[https://docs.aws.amazon.com/waf/latest/developerguide/access-control-identity-based.html](https://docs.aws.amazon.com/waf/latest/developerguide/access-control-identity-based.html)information, (politique AWS gérée par le public). Cette politique accorde un accès complet aux AWS WAF ressources.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Action": [
"waf:*",
"waf-regional:*",
"elasticloadbalancing:SetWebACL"
],
"Effect": "Allow",
"Resource": "*"
}]
}
```
------
#### ReadOnlyAccess
`ReadOnlyAccess`
Accès en lecture seule à tous les AWS services et ressources de la AWS console. Lors du AWS lancement d'un nouveau service, AMS met à jour la ReadOnlyAccess politique afin d'ajouter des autorisations en lecture seule pour le nouveau service. Les autorisations mises à jour s'appliquent à toutes les entités du principal auxquelles la politique est attachée.
Cela ne permet pas de se connecter à des EC2 hôtes ou à des hôtes de base de données.
Si vous avez une politique active Compte AWS, vous pouvez utiliser ce lien [ReadOnlyAccess](https://console.aws.amazon.com/iam/home?region=us-east-1#/policies/arn:aws:iam::aws:policy/ReadOnlyAccess$serviceLevelSummary)pour consulter l'intégralité de la ReadOnlyAccess politique. L'ensemble ReadOnlyAccess de la politique est très long car il fournit un accès en lecture seule à tous. Services AWS Ce qui suit est un extrait partiel de la ReadOnlyAccess politique.
**Zone d'atterrissage à compte unique (SALZ)** : pour voir les politiques de rôle utilisateur par défaut et non personnalisées de la zone d'atterrissage à compte unique AMS, reportez-vous à la section suivante. [SALZ : rôle d'utilisateur IAM par défaut](#json-default-role)
## SALZ : rôle d'utilisateur IAM par défaut
Déclarations de politique JSON pour le rôle utilisateur par défaut de la zone de landing zone à compte unique AMS.
**Note**
Le rôle d'utilisateur par défaut de SALZ est personnalisable et peut varier d'un compte à l'autre. Des instructions pour trouver votre rôle sont fournies.
Voici un exemple du rôle utilisateur SALZ par défaut. Pour vous assurer que les politiques sont définies pour vous, exécutez la [https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html)commande. Vous pouvez également vous connecter à la Gestion des identités et des accès AWS console à l'[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)adresse, puis sélectionner **Rôles**.
Le rôle client en lecture seule est une combinaison de plusieurs politiques. Le détail du rôle (JSON) suit.
Politique d'audit des Managed Services :
Politique IAM ReadOnly de Managed Services
Politique relative aux utilisateurs de Managed Services
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowCustomerToListTheLogBucketLogs",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*"
],
"Condition": {
"StringLike": {
"s3:prefix": [
"aws/*",
"app/*",
"encrypted",
"encrypted/",
"encrypted/app/*"
]
}
}
},
{
"Sid": "BasicAccessRequiredByS3Console",
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::*"
]
},
{
"Sid": "AllowCustomerToGetLogs",
"Effect": "Allow",
"Action": [
"s3:GetObject*"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*/aws/*",
"arn:aws:s3:::mc-a*-logs-*/encrypted/app/*"
]
},
{
"Sid": "AllowAccessToOtherObjects",
"Effect": "Allow",
"Action": [
"s3:DeleteObject*",
"s3:Get*",
"s3:List*",
"s3:PutObject*"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowCustomerToListTheLogBucketRoot",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*"
],
"Condition": {
"StringEquals": {
"s3:prefix": [
"",
"/"
]
}
}
},
{
"Sid": "AllowCustomerCWLConsole",
"Effect": "Allow",
"Action": [
"logs:DescribeLogStreams",
"logs:DescribeLogGroups"
],
"Resource": [
"arn:aws:logs:*:*:log-group:*"
]
},
{
"Sid": "AllowCustomerCWLAccessLogs",
"Effect": "Allow",
"Action": [
"logs:FilterLogEvents",
"logs:GetLogEvents"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/aws/*",
"arn:aws:logs:*:*:log-group:/infra/*",
"arn:aws:logs:*:*:log-group:/app/*",
"arn:aws:logs:*:*:log-group:RDSOSMetrics:*:*"
]
},
{
"Sid": "AWSManagedServicesFullAccess",
"Effect": "Allow",
"Action": [
"amscm:*",
"amsskms:*"
],
"Resource": [
"*"
]
},
{
"Sid": "ModifyAWSBillingPortal",
"Effect": "Allow",
"Action": [
"aws-portal:Modify*"
],
"Resource": [
"*"
]
},
{
"Sid": "DenyDeleteCWL",
"Effect": "Deny",
"Action": [
"logs:DeleteLogGroup",
"logs:DeleteLogStream"
],
"Resource": [
"arn:aws:logs:*:*:log-group:*"
]
},
{
"Sid": "DenyMCCWL",
"Effect": "Deny",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:FilterLogEvents",
"logs:GetLogEvents",
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/mc/*"
]
},
{
"Sid": "DenyS3MCNamespace",
"Effect": "Deny",
"Action": [
"s3:*"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*/encrypted/mc/*",
"arn:aws:s3:::mc-a*-logs-*/mc/*",
"arn:aws:s3:::mc-a*-logs-*-audit/*",
"arn:aws:s3:::mc-a*-internal-*/*",
"arn:aws:s3:::mc-a*-internal-*"
]
},
{
"Sid": "ExplicitDenyS3CfnBucket",
"Effect": "Deny",
"Action": [
"s3:*"
],
"Resource": [
"arn:aws:s3:::cf-templates-*"
]
},
{
"Sid": "DenyListBucketS3LogsMC",
"Action": [
"s3:ListBucket"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::mc-a*-logs-*"
],
"Condition": {
"StringLike": {
"s3:prefix": [
"auditlog/*",
"encrypted/mc/*",
"mc/*"
]
}
}
},
{
"Sid": "DenyS3LogsDelete",
"Effect": "Deny",
"Action": [
"s3:Delete*",
"s3:Put*"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*/*"
]
},
{
"Sid": "DenyAccessToKmsKeysStartingWithMC",
"Effect": "Deny",
"Action": [
"kms:*"
],
"Resource": [
"arn:aws:kms::*:key/mc-*",
"arn:aws:kms::*:alias/mc-*"
]
},
{
"Sid": "DenyListingOfStacksStartingWithMC",
"Effect": "Deny",
"Action": [
"cloudformation:*"
],
"Resource": [
"arn:aws:cloudformation:*:*:stack/mc-*"
]
},
{
"Sid": "AllowCreateCWMetricsAndManageDashboards",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowCreateandDeleteCWDashboards",
"Effect": "Allow",
"Action": [
"cloudwatch:DeleteDashboards",
"cloudwatch:PutDashboard"
],
"Resource": [
"*"
]
}
]
}
```
Politique partagée du Customer Secrets Manager
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSecretsManagerListSecrets",
"Effect": "Allow",
"Action": "secretsmanager:listSecrets",
"Resource": "*"
},
{
"Sid": "AllowCustomerAdminAccessToSharedNameSpaces",
"Effect": "Allow",
"Action": "secretsmanager:*",
"Resource": [
"arn:aws:secretsmanager:*:*:secret:ams-shared/*",
"arn:aws:secretsmanager:*:*:secret:customer-shared/*"
]
},
{
"Sid": "DenyCustomerGetSecretCustomerNamespace",
"Effect": "Deny",
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:*:*:secret:customer-shared/*"
},
{
"Sid": "AllowCustomerReadOnlyAccessToAMSNameSpace",
"Effect": "Deny",
"NotAction": [
"secretsmanager:Describe*",
"secretsmanager:Get*",
"secretsmanager:List*"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:ams-shared/*"
}
]
}
```
------
Politique d'abonnement du Customer Marketplace
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowMarketPlaceSubscriptions",
"Effect": "Allow",
"Action": [
"aws-marketplace:ViewSubscriptions",
"aws-marketplace:Subscribe"
],
"Resource": [
"*"
]
}
]
}
```
------
# Enregistrement et surveillance des événements de sécurité
AMS surveille en permanence l'environnement géré pour détecter les menaces de sécurité. Des événements de sécurité peuvent être détectés par AMS ou par vous-même. AMS met régulièrement à jour son processus d'automatisation, basé sur le guide de gestion des incidents de sécurité informatique du National Institute of Standards and Technology (NIST), afin de mieux détecter les menaces de sécurité.
# Sécurité des terminaux (EPS)
Les ressources que vous fournissez dans votre environnement AMS Advanced incluent automatiquement l'installation d'un client de surveillance de la sécurité des terminaux (EPS). Ce processus garantit que les ressources gérées par AMS Advanced sont surveillées et prises en charge 24 heures sur 24, 7 jours sur 7. En outre, AMS Advanced surveille toutes les activités des agents et un incident est créé si un événement de sécurité est détecté.
**Note**
Les incidents de sécurité sont traités comme des incidents ; pour plus d'informations, consultez la section [Réponse aux incidents](https://docs.aws.amazon.com/managedservices/latest/userguide/sec-incident-response.html).
Endpoint Security fournit une protection contre les programmes malveillants. En particulier, les actions suivantes sont prises en charge :
+ EC2 les instances s'enregistrent avec EPS
+ EC2 les instances se désinscrivent d'EPS
+ EC2 protection anti-malware en temps réel des instances
+ Rythme cardiaque initié par l'agent EPS
+ EPS restaure le fichier mis en quarantaine
+ Notification d'événement EPS
+ Rapports EPS
AMS Advanced utilise Trend Micro pour la sécurité des terminaux (EPS). Il s'agit des paramètres EPS par défaut. Pour en savoir plus sur Trend Micro, consultez le [centre d'aide de Trend Micro Deep Security](https://help.deepsecurity.trendmicro.com/aws/welcome.html?redirected=true) ; notez que les liens n'appartenant pas à Amazon peuvent être modifiés sans préavis.
Les paramètres par défaut de la zone d'atterrissage multi-comptes AMS (MALZ) sont décrits dans les sections suivantes ; pour les paramètres EPS de zone d'atterrissage multi-comptes autres que ceux par défaut d'AMS, [voir Paramètres EPS non par défaut de la zone d'atterrissage multi-comptes AMS Advanced](https://docs.aws.amazon.com/managedservices/latest/userguide/security-mgmt.html#malz-eps-settings).
**Note**
Vous pouvez apporter votre propre EPS, voir [AMS apporter votre propre EPS](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-byoeps.html).
## Paramètres EPS généraux
Paramètres réseau généraux de sécurité des terminaux.
**Valeurs par défaut d'EPS**
| Paramètre | Par défaut |
| --- | --- |
| Ports de pare-feu (groupe de sécurité des instances) | Les agents EPS Deep Security Manager (DSMs) doivent avoir le port 4120 ouvert Agent/Relay pour les communications avec le gestionnaire et le port 4119 pour la console du gestionnaire. Le port 4122 des relais EPS doit être ouvert pour permettre la communication avec Manager/Agent le relais. Aucun port spécifique ne doit être ouvert pour les communications entrantes entre les instances du client, car les agents sont à l'origine de toutes les demandes. |
| Direction de la communication | Initié par l'agent/l'appliance |
| Intervalle entre les battements cardiaques | Dix minutes |
| Nombre de battements cardiaques manqués avant une alerte | Deux |
| Dérive maximale autorisée (différence) entre les heures des serveurs | Illimité |
| Génère des erreurs hors ligne pour les machines virtuelles inactives (enregistrées, mais pas en ligne) | Non |
| Politique par défaut | Politique de base (décrite ci-dessous) |
| Activation de plusieurs ordinateurs avec le même nom d'hôte | Est autorisé |
| Des alertes pour les mises à jour en attente sont émises | Après sept jours |
| Calendrier de mise à jour | AMS cible un cycle de publication mensuel pour les mises à jour logicielles de Trend Micro Deep Security Manager (DSM) /Deep Security Agent (DSA). Cependant, AMS ne maintient pas de contrat de niveau de service pour les mises à jour. Les mises à jour sont effectuées à l'échelle de la flotte par les équipes de développement d'AMS lors d'un déploiement. Les mises à jour DSA/DSA sont enregistrées dans les événements du système Trend Micro DSM qu'AMS conserve localement par défaut pendant 13 semaines. Pour la documentation des fournisseurs, consultez la section [Événements système](https://help.deepsecurity.trendmicro.com/12_0/aws/Events-Alerts/ref-events-system.html) dans le centre d'aide de Trend Micro Deep Security. Les journaux sont également exportés vers le groupe de journaux/aws/ams/eps/var/log/DSM.log sur Amazon CloudWatch. |
| Source de mise à jour | Serveur de mise à jour Trend Micro (https://ipv6-iaus.trendmicro.com/iau\$1server.dll/) |
| Suppression des données d'événements ou de journaux | Les événements et les journaux sont supprimés de la base de données DSM au bout de sept jours. |
| Les versions du logiciel de l'agent sont conservées | Jusqu'à cinq |
| Les dernières mises à jour des règles ont lieu | Jusqu'à dix |
| Stockage des journaux | Par défaut, les fichiers journaux sont stockés de manière sécurisée dans Amazon S3, mais vous pouvez également les archiver sur Amazon Glacier pour répondre aux exigences d'audit et de conformité. |
## Politique de base
Paramètres par défaut de la politique de base de sécurité des terminaux.
**Politique de base EPS**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/userguide/eps-defaults.html)
## Protection contre les programmes malveillants
Paramètres anti-malware de sécurité des terminaux.
**Paramètres par défaut de l'anti-malware EPS**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/userguide/eps-defaults.html)
# Processus d'atténuation des malwares
AMS utilise la plateforme Deep Security Platform (système anti-malware) de Trend Micro pour détecter les malwares sur vos instances gérées par AMS et y répondre. Par défaut, l'agent de détection Trend Micro s'exécute sur toutes les EC2 instances Amazon, y compris celles des services partagés et des sous-réseaux privés, pour les systèmes d'exploitation Windows et Linux. Le système anti-programme malveillant est connecté à la surveillance AMS afin qu'un événement soit généré chaque fois qu'un logiciel malveillant est détecté. S'il y a un impact sur le client, l'événement est transféré au processus de gestion des incidents (pour plus de détails, voir[Réponse aux incidents AMS](sec-incident-response.md)). Pendant qu'AMS évalue l'impact, vous êtes averti et des tentatives sont faites pour atténuer l'impact.
Les définitions anti-malware de Trend Micro sont mises à jour automatiquement lorsque Trend Micro publie des mises à jour.
Lors de l'intégration de l'application, vous indiquez l'action que vous souhaitez qu'AMS entreprenne lorsqu'un logiciel malveillant est détecté sur une instance :
+ Assurez-vous que le fichier mis en quarantaine figure dans la liste des fichiers autorisés, retirez-le de la quarantaine et réintégrez-le dans le système de fichiers.
+ Supprimez le fichier mis en quarantaine, en le retirant de l'instance.
+ Suspendez l'instance et remplacez-la. Vous pouvez ensuite monter l'instance suspendue à des fins de recherche médico-légale.
Après l'intégration de l'application :
+ Lorsque le système anti-programme malveillant découvre un logiciel malveillant sur une instance, AMS le met automatiquement en quarantaine. Cela déclenche un événement et une enquête de suivi.
+ AMS vous informe de l'événement par le biais d'une notification de service et commence à suivre l'action d'atténuation par défaut que vous avez sélectionnée.
+ Si vous n'avez pas choisi d'action par défaut, AMS vous demande quelle action effectuer. Après avoir reçu vos instructions, AMS exécute l'action sélectionnée et vous en informe. AMS vous avertit à nouveau une fois l'action terminée, y compris les informations nécessaires à l'analyse médico-légale, le cas échéant.
# Activez l'IDS et l'IPS dans Trend Micro Deep Security
Vous pouvez demander à AMS d'activer le système de détection d'intrusion (IDS) et les systèmes de protection contre les intrusions (IPS) de Trend Micro, des fonctionnalités autres que celles par défaut, pour votre compte.
Pour ce faire, soumettez une demande de mise à jour (Gestion \$1 Autre \$1 Autre \$1 Mise à jour) et incluez une liste d'adresses e-mail pour recevoir les notifications IDS et IPS. Ces adresses sont ajoutées à une rubrique SNS de votre compte, créée par AMS pour vous.
**Note**
AMS ne peut ajouter aucun service Trend Micro susceptible d'interférer avec notre capacité à fournir d'autres services AMS.
# Analyses complètes des programmes malveillants du système
La norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) exige des analyses complètes des logiciels malveillants du système, qui sont activées par défaut sur votre VPC géré par AMS. Les analyses complètes du système sont programmées pour être effectuées à 2 heures du matin (selon le fuseau horaire défini sur le serveur) car elles utilisent beaucoup de processeur. Les analyses complètes du système s'ajoutent aux analyses régulières des logiciels malveillants qui n'utilisent pas beaucoup de processeur.
Il existe un nouveau type de modification de gestion (CT), **Désactiver les analyses de programmes malveillants**, qui vous permet de désactiver les analyses complètes des programmes malveillants du système. Vous pouvez trouver le CT dans Gestion \$1 Sécurité de l'hôte \$1 Analyse complète du système \$1 Désactiver la classification, modifier l'ID ct-1pybwg08h8qsz. Pour réactiver les scans, utilisez le logiciel Management \$1 Other \$1 Other \$1 Update CT. La désactivation des analyses complètes du système ne désactive pas les analyses régulières des programmes malveillants.
## Sécurité d'Amazon Inspector
Le service Amazon Inspector surveille la sécurité de vos piles gérées par AMS. Amazon Inspector est un service d'évaluation automatique de la sécurité qui permet d'identifier les lacunes en matière de sécurité et de conformité de l'infrastructure déployée sur AWS. Les évaluations de sécurité d'Amazon Inspector vous permettent d'évaluer automatiquement les risques, les vulnérabilités et les écarts par rapport aux meilleures pratiques en vérifiant l'absence d'accessibilité involontaire au réseau et de vulnérabilités dans vos instances Amazon EC2 . Après avoir effectué une évaluation, Amazon Inspector produit une liste détaillée des résultats de sécurité classés par niveau de gravité. Les évaluations Amazon Inspector sont proposées sous forme de packages de règles prédéfinis correspondant aux meilleures pratiques et définitions de sécurité courantes. Ces règles sont régulièrement mises à jour par les chercheurs en AWS sécurité. Pour plus d'informations sur Amazon Inspector, rendez-vous sur [Amazon Inspector](https://aws.amazon.com/inspector).
**AMS Amazon Inspector FAQs**
+ Amazon Inspector est-il installé par défaut sur mes comptes AMS ?
Non Amazon Inspector ne fait pas partie de la génération d'AMI par défaut ni de l'ingestion de la charge de travail.
+ Comment accéder à Amazon Inspector et l'installer ?
Soumettez une RFC (Management \$1 Other \$1 Other \$1 Create) pour demander l'accès au compte et l'installation à Inspector. L'équipe des opérations AMS modifiera le ReadOnly rôle Customer\$1 \$1Role afin de fournir un accès à la console Amazon Inspector (sans accès SSM).
+ L'agent Amazon Inspector doit-il être installé sur toutes les EC2 instances Amazon que je souhaite évaluer ?
Non, les évaluations Amazon Inspector avec le package de règles d'accessibilité au réseau peuvent être exécutées sans agent pour aucune instance Amazon EC2 . L'agent est requis pour les packages de règles d'évaluation de l'hôte. Pour plus d'informations sur l'installation des agents, consultez la section [Installation des agents Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/userguide/inspector_installing-uninstalling-agents.html).
+ Y a-t-il un coût supplémentaire pour ce service ?
Oui. Les tarifs d'Amazon Inspector sont disponibles sur le site de [tarification d'Amazon Inspector](https://aws.amazon.com/inspector/pricing/).
+ Quelles sont les conclusions d'Amazon Inspector ?
Les résultats sont des problèmes de sécurité potentiels découverts lors de l'évaluation par Amazon Inspector de la cible d'évaluation sélectionnée. Les résultats sont affichés dans la console Amazon Inspector ou dans l'API et contiennent à la fois une description détaillée des problèmes de sécurité et des recommandations pour les résoudre.
+ Les rapports d'évaluation d'Amazon Inspector sont-ils disponibles ?
Oui. Un rapport d'évaluation est un document qui détaille les éléments testés lors de l'exécution d'évaluation, ainsi que les résultats de l'évaluation. Les résultats de votre évaluation se présentent sous la forme de rapports standard, qui sont générés afin que vous puissiez partager les résultats avec votre équipe et mettre en place les mesures correctives nécessaires, enrichir vos données d'audit de conformité, ou stocker ces informations pour référence ultérieure. Un rapport d'évaluation Amazon Inspector peut être généré pour une exécution d'évaluation une fois celle-ci terminée avec succès.
+ Puis-je utiliser des balises pour identifier les piles sur lesquelles je souhaite générer des rapports Amazon Inspector ?
Oui.
+ Les équipes d'AMS Operations auront-elles accès aux résultats de l'évaluation d'Amazon Inspector ?
Oui. Toute personne ayant accès à la console Amazon Inspector dans AWS peut consulter les résultats et les rapports d'évaluation.
+ Les équipes opérationnelles d'AMS recommanderont-elles ou prendront-elles des mesures en fonction des conclusions des rapports Amazon Inspector ?
Non Si vous souhaitez que des modifications soient apportées sur la base des conclusions du rapport Amazon Inspector, vous devez demander des modifications par le biais d'une RFC (Management \$1 Other \$1 Other \$1 Update).
+ AMS sera-t-il averti lorsque je publie un rapport Amazon Inspector ?
Lorsque vous demandez l'accès à Amazon Inspector, l'opérateur AMS exécutant la RFC informe votre CSDM de la demande.
Pour plus d'informations, consultez [Amazon Inspector FAQs](https://aws.amazon.com/inspector/faqs/).
# Réponse aux incidents AMS
AMS utilise les meilleures pratiques traditionnelles de gestion des incidents de gestion des services informatiques (ITSM) pour rétablir le service, en cas de besoin, le plus rapidement possible.
Nous fournissons une follow-the-sun assistance 24 heures sur 24, 7 jours sur 7 et 365 jours par an par le biais de plusieurs centres d'opérations dans le monde entier, avec des opérateurs dédiés qui surveillent activement les tableaux de bord et les files d'attente d'incidents.
Nos ingénieurs d'exploitation utilisent des outils internes de suivi des incidents pour identifier, enregistrer, classer, hiérarchiser, diagnostiquer, résoudre et clôturer les incidents et vous fournir des mises à jour sur toutes ces activités via la console AMS ou via l' Support API. Nos opérateurs, dont beaucoup ont travaillé pour AWS Premium Support dans différents profils technologiques et ont occupé différents rôles, tirent parti de divers Support outils internes pour les aider dans toutes ces activités. Ces opérateurs connaissent parfaitement les infrastructures prises en charge par AMS et possèdent des compétences techniques de niveau expert pour résoudre tous les problèmes de support identifiés. Dans les rares cas où nos opérateurs ont besoin d'assistance, les équipes de support et de AWS service Premium sont disponibles pour les aider en cas de besoin.
Dans les cas où des incidents hautement prioritaires ont un impact sur vos charges de travail critiques, AMS recommandera une restauration de l'infrastructure. Il faut souvent trouver un compromis entre le dépannage d'un problème ou la restauration à partir d'une sauvegarde dont le fonctionnement a été vérifié, les risques pour les clients et les impacts liés aux interruptions de service étant les facteurs décisifs. Si vous avez du temps à consacrer à la résolution des problèmes, AMS vous aidera, mais si l'urgence de la restauration est élevée, nous pouvons lancer une restauration immédiatement.
**Note**
Les données éphémères qui ne font pas partie du modèle de pile ou de la restauration des données sont perdues. AMS déploie des efforts raisonnables pour restaurer l'infrastructure lorsque les offres AWS de services ne sont pas disponibles. La restauration de l'infrastructure est terminée une fois que les offres de AWS services sont disponibles.
Si vous n'autorisez pas la restauration de l'infrastructure conformément aux recommandations d'AMS, vous ne serez pas éligible à un crédit de service correspondant à l'engagement de service AMS concernant le délai de résolution des incidents.
# Validation de conformité
AMS déploie et gère une bibliothèque de AWS Config règles et d'actions correctives afin de vous protéger contre les erreurs de configuration susceptibles de réduire la sécurité et l'intégrité opérationnelle de vos comptes.
Par exemple, lorsqu'un compartiment Amazon S3 est créé, AWS Config vous pouvez évaluer le compartiment Amazon S3 par rapport à une règle qui oblige les compartiments Amazon S3 à refuser l'accès public en lecture. Si la politique de compartiment ou la liste de contrôle d'accès aux compartiments (ACL) d'Amazon S3 autorise l'accès public en lecture, AWS Config signale à la fois le compartiment et la règle comme non conformes. Ils AWS Config Rules marquent les ressources comme conformes, non conformes ou non applicables, en fonction du résultat de leur évaluation. Pour plus d'informations sur le AWS Config service, consultez le [guide du AWS Config développeur](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html).
Vous pouvez utiliser la AWS Config console, la AWS CLI ou AWS Config l'API pour consulter les règles déployées dans votre compte et l'état de conformité de vos règles et ressources. Pour plus d'informations, consultez la AWS Config documentation : [Visualisation de la conformité des configurations](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_view-compliance.html).
**Note**
Des informations supplémentaires sur ce sujet sont disponibles en accédant aux rapports AWS Artifact. Pour de plus amples informations, veuillez consulter [Téléchargement des rapports dans AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html). Pour accéder à AWS Artifact, vous pouvez contacter votre CSDM pour obtenir des instructions ou consulter Getting [Started with AWS](https://aws.amazon.com/artifact/getting-started) Artifact. Ces informations ne sont pas incluses dans ce guide de l'utilisateur car il contient des informations de sécurité sensibles.
# Zone d'atterrissage multi-comptes affichant l'état de conformité de votre AWS Config Rules
La zone de landing zone multi-comptes AMS utilise le service d' AWS Config agrégation pour créer une vue centralisée de la conformité de tous vos comptes. Cela signifie que vous pouvez consulter l'état de conformité de l' AWS Config Rules ensemble de votre environnement de zone d'atterrissage multi-comptes AMS sous l' AWS Config agrégateur de votre compte de sécurité.
Voici un exemple de l' AWS Config agrégateur présentant l'état de conformité central de AWS Config Rules tous les comptes.
![\[AWS Config dashboard showing compliant rules across regions and accounts.\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/userguide/images/ams-malz-dd-agg-rules.png)
Pour plus d'informations, consultez la documentation AWS relative à [Config Aggregator.](https://docs.aws.amazon.com/config/latest/developerguide/aggregate-data.html)
+ Comment AMS utilise-t-il les règles AWS Config ?
AMS crée AWS Config Rules pour donner une visibilité sur la configuration de vos AWS ressources par rapport aux conditions spécifiées dans les règles. Si une règle n'est pas conforme, vous pouvez demander une modification et l'équipe AMS Ops travaillera avec vous pour prendre des mesures correctives.
+ Dans ce cas, les modifications suivantes apparaissent dans vos comptes AMS :
+ AWS Config Rules sous AWS Config > Règles
+ Des règles de configuration personnalisées avec leurs fonctions Lambda existent dans votre compte
+ Agrégateur de configuration dans le compte de sécurité et autorisation de configuration dans tous les comptes (zone d'accueil multi-comptes uniquement)
Voici un exemple AWS Config Rules et les résultats de leur évaluation de conformité sont présentés ci-dessous :
![\[AWS Config Rules dashboard showing compliant status for multiple security-related rules.\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/userguide/images/ams-malz-dd-rules-2.png)
Pour en savoir plus sur AWS Config, consultez :
+ AWS Config : [qu'est-ce que Config ?](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)
+ Règles AWS Config : [évaluation des ressources à l'aide de règles](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)
+ Règles de configuration AWS : [vérification dynamique de la conformité : règles de configuration AWS — Vérification dynamique de la conformité pour les ressources du cloud](https://aws.amazon.com/blogs/aws/aws-config-rules-dynamic-compliance-checking-for-cloud-resources/)
+ AWS Config Aggregator : agrégation de données [multicomptes et multirégions](https://docs.aws.amazon.com/config/latest/developerguide/aggregate-data.html)
# Restrictions relatives à la politique de contrôle du service de zone d'atterrissage multi-comptes AMS
Cette section a été supprimée car elle contient des informations sensibles relatives à la sécurité AMS. Ces informations sont disponibles dans la **documentation** de la console AMS. Pour accéder à AWS Artifact, vous pouvez contacter votre CSDM pour obtenir des instructions ou consulter Getting [Started with AWS](https://aws.amazon.com/artifact/getting-started) Artifact.
# Résilience
L'infrastructure AWS mondiale est construite autour Régions AWS de zones de disponibilité. Régions AWS fournissent plusieurs zones de disponibilité physiquement séparées et isolées, connectées par un réseau à faible latence, à haut débit et hautement redondant. Avec les zones de disponibilité, vous pouvez concevoir et exploiter des applications et des bases de données qui basculent automatiquement d’une zone à l’autre sans interruption. Les zones de disponibilité sont davantage disponibles, tolérantes aux pannes et ont une plus grande capacité de mise à l’échelle que les infrastructures traditionnelles à un ou plusieurs centres de données.
Pour plus d'informations sur AWS les régions et les zones de disponibilité, consultez la section [Infrastructure AWS globale](https://aws.amazon.com/about-aws/global-infrastructure).
# Sécurité de l'infrastructure
**Note**
Des informations supplémentaires sur ce sujet sont disponibles en accédant aux rapports AWS Artifact. Pour de plus amples informations, veuillez consulter [Téléchargement des rapports dans AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html). Pour accéder à AWS Artifact, vous pouvez contacter votre CSDM pour obtenir des instructions ou consulter Getting [Started with AWS](https://aws.amazon.com/artifact/getting-started) Artifact. Ces informations ne sont pas incluses dans ce guide de l'utilisateur car il contient des informations de sécurité sensibles.
# Contrôle de sécurité pour les systèmes end-of-support d'exploitation
Les systèmes d'exploitation qui sont en dehors de la période de support général du fabricant du système d'exploitation « end-of-support » ou d'EOS, et qui ne reçoivent pas de mises à jour de sécurité, présentent un risque de sécurité accru.
AWS propose certains services pour aider à gérer le système d'exploitation end-of-support. Pour plus d'informations sur Windows end-of-support, consultez [ End-of-Supportla section Programme de migration pour Windows Server](https://aws.amazon.com/emp-windows-server/).
**Note**
Des informations supplémentaires sur ce sujet sont disponibles en accédant aux rapports AWS Artifact. Pour de plus amples informations, veuillez consulter [Téléchargement des rapports dans AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html). Pour accéder à AWS Artifact, vous pouvez contacter votre CSDM pour obtenir des instructions ou consulter Getting [Started with AWS](https://aws.amazon.com/artifact/getting-started) Artifact. Ces informations ne sont pas incluses dans ce guide de l'utilisateur car il contient des informations de sécurité sensibles.
## Utilisation des groupes de sécurité
Un groupe de sécurité fonctionne comme un pare-feu virtuel contrôlant le trafic d'une ou de plusieurs instances. Les groupes de sécurité AMS vous permettent de définir des règles de trafic entrant et sortant au niveau de l'instance. Vous pouvez créer un groupe de sécurité et spécifier des ressources dans votre compte AMS, les EC2 instances Amazon, les instances de base de données Amazon RDS, les équilibreurs de charge, les instances de réplication Deep Security Manager (DSM), les cibles de montage EFS et les ElastiCache clusters, à associer au groupe de sécurité. Une fois associé, le trafic à destination ou en provenance de ces instances est limité par les règles définies dans le groupe de sécurité.
Pour mieux comprendre la sécurité générale d'AWS, consultez les [meilleures pratiques en matière de sécurité, d'identité et de conformité](https://aws.amazon.com/architecture/security-identity-compliance/) et les [groupes EC2 de sécurité Amazon pour les instances Linux](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html).
AMS dispose désormais d'un ensemble de types de modifications pour créer et gérer des groupes de sécurité :
+ Déploiement \$1 Composants de pile avancés \$1 Groupe de sécurité \$1 Créer (ct-1oxx2g2d7hc90)
+ Gestion \$1 Composants de pile avancés \$1 Groupe de sécurité \$1 Supprimer (ct-3cp96z7r065e4)
+ Gestion \$1 Composants de pile avancés \$1 Groupe de sécurité \$1 Mise à jour (ct-3memthlcmvc1b)
Pour des exemples, consultez [la section Groupes de sécurité](https://docs.aws.amazon.com/managedservices/latest/userguide/ex-sec-group-create-delete-update.html).
# Groupes de sécurité
Dans AWS VPCs, les groupes de sécurité AWS agissent comme des pare-feux virtuels, contrôlant le trafic pour une ou plusieurs piles (une instance ou un ensemble d'instances). Lorsqu'une pile est lancée, elle est associée à un ou plusieurs groupes de sécurité, qui déterminent le trafic autorisé à l'atteindre :
+ Pour les piles de vos sous-réseaux publics, les groupes de sécurité par défaut acceptent le trafic HTTP (80) et HTTPS (443) en provenance de tous les emplacements (Internet). Les piles acceptent également le trafic SSH et RDP interne en provenance de votre réseau d'entreprise et des bastions AWS. Ces piles peuvent ensuite sortir via n'importe quel port vers Internet. Ils peuvent également accéder à vos sous-réseaux privés et à d'autres piles de votre sous-réseau public.
+ Les piles de vos sous-réseaux privés peuvent être transférées vers n'importe quelle autre pile de votre sous-réseau privé, et les instances d'une pile peuvent communiquer pleinement entre elles via n'importe quel protocole.
**Important**
Le groupe de sécurité par défaut pour les piles sur les sous-réseaux privés permet à toutes les piles de votre sous-réseau privé de communiquer avec les autres piles de ce sous-réseau privé. Si vous souhaitez restreindre les communications entre les piles d'un sous-réseau privé, vous devez créer de nouveaux groupes de sécurité décrivant cette restriction. Par exemple, si vous souhaitez restreindre les communications avec un serveur de base de données afin que les piles de ce sous-réseau privé ne puissent communiquer qu'à partir d'un serveur d'applications spécifique via un port spécifique, demandez un groupe de sécurité spécial. La procédure à suivre est décrite dans cette section.
## Groupes de sécurité par défaut
------
#### [ MALZ ]
Le tableau suivant décrit les paramètres par défaut du groupe de sécurité entrant (SG) pour vos piles. Le SG est nommé « SentinelDefaultSecurityGroupPrivateOnly -VPC-ID ». Il s'agit *ID* d'un identifiant VPC dans votre compte de zone d'atterrissage multi-comptes AMS. Tout le trafic sortant vers « mc-initial-garden - SentinelDefaultSecurityGroupPrivateOnly » est autorisé via ce groupe de sécurité (tout le trafic local au sein des sous-réseaux de pile est autorisé).
Tout le trafic sortant vers 0.0.0.0/0 est autorisé par un deuxième groupe de sécurité « ». SentinelDefaultSecurityGroupPrivateOnly
**Astuce**
Si vous choisissez un groupe de sécurité pour un type de modification AMS, tel que EC2 create ou OpenSearch create domain, vous devez utiliser l'un des groupes de sécurité par défaut décrits ici, ou un groupe de sécurité que vous avez créé. Vous trouverez la liste des groupes de sécurité, par VPC, dans la EC2 console AWS ou dans la console VPC.
D'autres groupes de sécurité par défaut sont utilisés à des fins AMS internes.
**Groupes de sécurité AMS par défaut (trafic entrant)**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/userguide/about-security-groups.html)
------
#### [ SALZ ]
Le tableau suivant décrit les paramètres par défaut du groupe de sécurité entrant (SG) pour vos piles. Le SG est nommé « mc-initial-garden - SentinelDefaultSecurityGroupPrivateOnly - *ID* » où se *ID* trouve un identifiant unique. Tout le trafic sortant vers « mc-initial-garden - SentinelDefaultSecurityGroupPrivateOnly » est autorisé via ce groupe de sécurité (tout le trafic local au sein des sous-réseaux de pile est autorisé).
Tout le trafic sortant vers 0.0.0.0/0 est autorisé par un deuxième groupe de sécurité « - - »mc-initial-garden. SentinelDefaultSecurityGroupPrivateOnlyEgressAll *ID*
**Astuce**
Si vous choisissez un groupe de sécurité pour un type de modification AMS, tel que EC2 create ou OpenSearch create domain, vous devez utiliser l'un des groupes de sécurité par défaut décrits ici, ou un groupe de sécurité que vous avez créé. Vous trouverez la liste des groupes de sécurité, par VPC, dans la EC2 console AWS ou dans la console VPC.
D'autres groupes de sécurité par défaut sont utilisés à des fins AMS internes.
**Groupes de sécurité AMS par défaut (trafic entrant)**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/userguide/about-security-groups.html)
------
## Création, modification ou suppression de groupes de sécurité
Vous pouvez demander des groupes de sécurité personnalisés. Dans les cas où les groupes de sécurité par défaut ne répondent pas aux besoins de vos applications ou de votre organisation, vous pouvez modifier ou créer de nouveaux groupes de sécurité. Une telle demande serait considérée comme nécessitant une approbation et serait examinée par l'équipe des opérations de l'AMS.
Pour créer un groupe de sécurité en dehors des piles VPCs, soumettez une RFC en utilisant le type de `Deployment | Advanced stack components | Security group | Create (review required)` modification (ct-1oxx2g2d7hc90).
Pour les modifications du groupe de sécurité Active Directory (AD), utilisez les types de modifications suivants :
+ Pour ajouter un utilisateur : soumettez une RFC à l'aide de Management \$1 Directory Service \$1 Utilisateurs et groupes \$1 Ajouter un utilisateur au groupe [ct-24pi85mjtza8k]
+ Pour supprimer un utilisateur : soumettez une RFC à l'aide de Management \$1 Directory Service \$1 Utilisateurs et groupes \$1 Supprimer un utilisateur du groupe [ct-2019s9y3nfml4]
**Note**
Lorsque vous utilisez « révision requise » CTs, AMS vous recommande d'utiliser l'option ASAP **Scheduling** (choisissez **ASAP** dans la console, laissez les heures de début et de fin vides dans l'API/CLI) car elles CTs nécessitent qu'un opérateur AMS examine la RFC et communique éventuellement avec vous avant qu'elle ne puisse être approuvée et exécutée. Si vous les planifiez RFCs, veillez à prévoir au moins 24 heures. Si l'approbation n'intervient pas avant l'heure de début prévue, le RFC est automatiquement rejeté.
## Rechercher des groupes de sécurité
Pour rechercher les groupes de sécurité attachés à une pile ou à une instance, utilisez la EC2 console. Après avoir trouvé la pile ou l'instance, vous pouvez voir tous les groupes de sécurité qui y sont attachés.
Pour savoir comment rechercher des groupes de sécurité sur la ligne de commande et filtrer la sortie, consultez [https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-security-groups.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-security-groups.html).
# Bibliothèque de contrôles préventifs et de détection AMS
AWS Managed Services (AMS) vous fournit une sélection de politiques library/catalog de contrôle des services éprouvées (SCPs) ConfigRules qui peuvent être utilisées pour améliorer votre niveau de sécurité et atténuer les lacunes de conformité de vos comptes AMS.
**Topics**
+ [Règles de curated SCPs et de configuration](scp-library-compliance.md)
+ [Notification personnalisée pour les règles de configuration](scp-lib-custom-notice.md)
# Règles de curated SCPs et de configuration
Règles de configuration SCPs et de curation pour AMS Advanced.
+ **Politiques de contrôle des services (SCPs)** : SCPs Les politiques fournies s'ajoutent aux politiques AMS par défaut.
Vous pouvez utiliser ces contrôles de bibliothèque en tandem avec ceux par défaut pour répondre à des exigences de sécurité spécifiques.
+ **Règles de configuration** : comme mesure de base, AMS recommande d'appliquer des packs de conformité (voir [Packs de conformité](https://docs.aws.amazon.com/config/latest/developerguide/conformance-packs.html) dans le AWS Config guide) en plus des règles de configuration AMS par défaut (voir AMS Artifacts pour les règles par défaut). Les packs de conformité couvrent la majorité des exigences de conformité et AWS les met régulièrement à jour.
Les règles répertoriées ici peuvent être utilisées pour combler les lacunes spécifiques à des cas d'utilisation qui ne sont pas couvertes par les packs de conformité
**Note**
Au fur et à mesure que les règles par défaut et les packs de conformité d'AMS sont mis à jour au fil du temps, vous pouvez voir des doublons de ces règles.
AMS recommande de nettoyer régulièrement les règles de configuration dupliquées en général.
Pour AMS Advanced, les règles de configuration ne doivent pas utiliser de corrections automatiques (voir Corriger [les ressources AWS non conformes par les règles de configuration AWS](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html)) afin d'éviter les modifications. out-of-band
## SCP-AMS-001 : Restreindre la création d'EBS
Empêchez la création de volumes EBS si le chiffrement n'est pas activé.
```
{
"Condition": {
"Bool": {
"ec2:Encrypted": "false"
}
},
"Action": "ec2:CreateVolume",
"Resource": "*",
"Effect": "Deny"
}
```
## SCP-AMS-002 : Restreindre le lancement EC2
Empêchez le lancement d'une EC2 instance si le volume EBS n'est pas chiffré. Cela inclut le refus d'un EC2 lancement en mode non chiffré, AMIs car ce SCP s'applique également aux volumes racines.
```
{
"Condition": {
"Bool": {
"ec2:Encrypted": "false"
}
},
"Action": "ec2:RunInstances",
"Resource": "arn:aws:ec2:*:*:volume/*",
"Effect": "Deny"
}
```
## SCP-ADV-001 : Restreindre les soumissions de RFC
Empêchez les rôles AMS par défaut de soumettre des données automatisées spécifiques, RFCs telles que **Create VPC ou Delete **VPC****. Cela est utile si vous souhaitez appliquer des autorisations plus détaillées à vos rôles fédérés.
Par exemple, vous souhaiterez peut-être que la valeur par défaut `AWSManagedServicesChangeManagement Role` soit en mesure de soumettre la plupart des informations disponibles, à l' RFCs exception de celles qui autorisent la création et la suppression d'un VPC, la création de sous-réseaux supplémentaires, le transfert d'un compte d'application, la mise à jour ou la suppression de fournisseurs d'identité SAML :
## SCP-AMS-003 : Restreindre EC2 ou créer des RDS dans AMS
Empêchez la création d'instances Amazon EC2 et RDS qui ne possèdent pas de balises spécifiques, tout en autorisant le `AMS Backup IAM` rôle par défaut AMS à le faire. Cela est nécessaire pour la reprise après sinistre ou la DR.
```
{
"Sid": "DenyRunInstanceWithNoOrganizationTag",
"Effect": "Deny",
"Action": [
"ec2:RunInstances",
"rds:CreateDBInstance"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*",
"arn:aws:ec2:*:*:volume/*",
"arn:aws:rds:*:*:db:*"
],
"Condition": {
"Null": {
"aws:RequestTag/organization": "true"
},
"StringNotLike": {
"aws:PrincipalArn": [
"arn:aws:iam:::role/ams-backup-iam-role"
]
}
}
}
```
## SCP-AMS-004 : Restreindre les téléchargements de S3
Empêchez le téléchargement d'objets S3 non chiffrés.
```
{
"Sid": "DenyUnencryptedS3Uploads",
"Effect": "Deny",
"Action": "s3:PutObject",
"Resource": "*",
"Condition": {
"StringNotLike": {
"s3:x-amz-server-side-encryption": ["aws:kms", "AES256"]
},
"Null": {
"s3:x-amz-server-side-encryption": "false"
}
}
}
]
}
```
## SCP-AMS-005 : Restreindre l'accès à l'API et à la console
Empêchez l'accès à la console AWS et à l'API pour les demandes provenant d'adresses IP erronées connues en tant que client déterminé InfoSec.
## SCP-AMS-006 : Empêcher l'entité IAM de supprimer le compte membre de l'organisation
Empêcher une Gestion des identités et des accès AWS entité de supprimer des comptes de membres de l'organisation.
```
{
"Effect": "Deny",
"Action": ["organizations:LeaveOrganization"],
"Resource": ["*"]
}
```
## SCP-AMS-007 : Empêchez le partage de ressources avec des comptes extérieurs à votre organisation
Empêchez le partage de ressources avec des comptes externes extérieurs à votre AWS organisation
```
{
"Effect": "Deny",
"Action": [
"ram:*"
],
"Resource": [
"*"
],
"Condition": {
"Bool": {
"ram:AllowsExternalPrincipals": "true"
}
}
},
{
"Effect": "Deny",
"Action": [
"ram:CreateResourceShare",
"ram:UpdateResourceShare"
],
"Resource": "*",
"Condition": {
"Bool": {
"ram:RequestedAllowsExternalPrincipals": "true"
}
}
}
```
## SCP-AMS-008 : Empêcher le partage avec des organisations ou des unités organisationnelles () OUs
Empêchez le partage de ressources avec and/or une unité d'organisation associée à un compte.
```
{
"Effect": "Deny",
"Action": [
"ram:CreateResourceShare",
"ram:AssociateResourceShare"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringLike": {
"ram:Principal": [
"arn:aws:organizations::*:account/o-${OrganizationId}/${AccountId}",
"arn:aws:organizations::*:ou/o-${OrganizationId}/ou-${OrganizationalUnitId}"
]
}
}
}
```
## SCP-AMS-009 : Empêcher les utilisateurs d'accepter des invitations à partager des ressources
Empêchez les comptes membres d'accepter des invitations AWS RAM à rejoindre des partages de ressources. Cette API ne prend en charge aucune condition et empêche les partages uniquement à partir de comptes externes.
```
{
"Effect": "Deny",
"Action": ["ram:AcceptResourceShareInvitation"],
"Resource": ["*"]
}
```
## SCP-AMS-010 : Empêcher les actions d'activation et de désactivation de la région du compte
Empêchez d'activer ou de désactiver de nouvelles AWS régions pour vos AWS comptes.
```
{
"Effect": "Deny",
"Action": [
"account:EnableRegion",
"account:DisableRegion"
],
"Resource": "*"
}
```
## SCP-AMS-011 : Empêcher les actions de modification de facturation
Empêchez les modifications de la configuration de facturation et de paiement.
```
{
"Effect": "Deny",
"Action": [
"aws-portal:ModifyBilling",
"aws-portal:ModifyAccount",
"aws-portal:ModifyPaymentMethods"
],
"Resource": "*"
}
```
## SCP-AMS-012 : Empêcher la suppression ou la modification de données spécifiques CloudTrails
Empêchez les modifications apportées à des AWS CloudTrail sentiers spécifiques.
```
{
"Effect": "Deny",
"Action": [
"cloudtrail:DeleteEventDataStore",
"cloudtrail:DeleteTrail",
"cloudtrail:PutEventSelectors",
"cloudtrail:PutInsightSelectors",
"cloudtrail:UpdateEventDataStore",
"cloudtrail:UpdateTrail",
"cloudtrail:StopLogging"
],
"Resource": [
"arn:${Partition}:cloudtrail:${Region}:${Account}:trail/${TrailName}"
]
}
```
## SCP-AMS-013 : Empêcher la désactivation du chiffrement EBS par défaut
Empêchez la désactivation du chiffrement Amazon EBS par défaut.
```
{
"Effect": "Deny",
"Action": [
"ec2:DisableEbsEncryptionByDefault"
],
"Resource": "*"
}
```
## SCP-AMS-014 : Empêcher la création d'un VPC et d'un sous-réseau par défaut
Empêchez la création d'un Amazon VPC et de sous-réseaux par défaut.
```
{
"Effect": "Deny",
"Action": [
"ec2:CreateDefaultSubnet",
"ec2:CreateDefaultVpc"
],
"Resource": "*"
}
```
## SCP-AMS-015 : Empêcher la désactivation et la modification GuardDuty
Empêchez GuardDuty la modification ou la désactivation d'Amazon.
```
{
"Effect": "Deny",
"Action": [
"guardduty:AcceptInvitation",
"guardduty:ArchiveFindings",
"guardduty:CreateDetector",
"guardduty:CreateFilter",
"guardduty:CreateIPSet",
"guardduty:CreateMembers",
"guardduty:CreatePublishingDestination",
"guardduty:CreateSampleFindings",
"guardduty:CreateThreatIntelSet",
"guardduty:DeclineInvitations",
"guardduty:DeleteDetector",
"guardduty:DeleteFilter",
"guardduty:DeleteInvitations",
"guardduty:DeleteIPSet",
"guardduty:DeleteMembers",
"guardduty:DeletePublishingDestination",
"guardduty:DeleteThreatIntelSet",
"guardduty:DisableOrganizationAdminAccount",
"guardduty:DisassociateFromMasterAccount",
"guardduty:DisassociateMembers",
"guardduty:InviteMembers",
"guardduty:StartMonitoringMembers",
"guardduty:StopMonitoringMembers",
"guardduty:TagResource",
"guardduty:UnarchiveFindings",
"guardduty:UntagResource",
"guardduty:UpdateDetector",
"guardduty:UpdateFilter",
"guardduty:UpdateFindingsFeedback",
"guardduty:UpdateIPSet",
"guardduty:UpdateMalwareScanSettings",
"guardduty:UpdateMemberDetectors",
"guardduty:UpdateOrganizationConfiguration",
"guardduty:UpdatePublishingDestination",
"guardduty:UpdateThreatIntelSet"
],
"Resource": "*"
}
```
## SCP-AMS-016 : Empêche l'activité de l'utilisateur root
Empêchez l'utilisateur root d'effectuer une quelconque action.
```
{
"Action": "*",
"Resource": "*",
"Effect": "Deny",
"Condition": {
"StringLike": {
"aws:PrincipalArn": [
"arn:aws:iam::*:root"
]
}
}
}
```
## SCP-AMS-017 : Empêcher la création de clés d'accès pour l'utilisateur root
Empêchez la création de clés d'accès pour l'utilisateur root.
```
{
"Effect": "Deny",
"Action": "iam:CreateAccessKey",
"Resource": "arn:aws:iam::*:root"
}
```
## SCP-AMS-018 : Empêcher la désactivation du blocage de l'accès public au compte S3
Empêchez la désactivation du blocage de l'accès public d'un compte Amazon S3. Cela empêche tout compartiment du compte de devenir public.
```
{
"Effect": "Deny",
"Action": "s3:PutAccountPublicAccessBlock",
"Resource": "*"
}
```
## SCP-AMS-019 : Empêcher la désactivation d'AWS Config ou la modification des règles de configuration
Empêchez la désactivation ou la modification des AWS Config règles.
```
{
"Effect": "Deny",
"Action": [
"config:DeleteConfigRule",
"config:DeleteConfigurationRecorder",
"config:DeleteDeliveryChannel",
"config:DeleteEvaluationResults",
"config:StopConfigurationRecorder"
],
"Resource": "*"
}
```
## SCP-AMS-020 : Empêche toutes les actions de l'IAM
Empêchez toutes les actions IAM.
```
{
"Effect": "Deny",
"Action": [
"iam:*"
],
"Resource": "*"
}
```
## SCP-AMS-021 : Empêche la suppression de journaux, de groupes et de flux CloudWatch
Empêchez la suppression de groupes et de flux Amazon CloudWatch Logs.
```
{
"Effect": "Deny",
"Action": [
"logs:DeleteLogGroup",
"logs:DeleteLogStream"
],
"Resource": "*"
}
```
## SCP-AMS-022 : Empêcher la suppression de Glacier
Empêchez la suppression d'Amazon Glacier.
```
{
"Effect": "Deny",
"Action": [
"glacier:DeleteArchive",
"glacier:DeleteVault"
],
"Resource": "*"
}
```
## SCP-AMS-023 : Empêcher la suppression d'IAM Access Analyzer
Empêchez la suppression d'IAM Access Analyzer.
```
{
"Action": [
"access-analyzer:DeleteAnalyzer"
],
"Resource": "*",
"Effect": "Deny"
}
```
## SCP-AMS-024 : Empêcher les modifications apportées au Security Hub
Empêcher la suppression de AWS Security Hub CSPM.
```
{
"Action": [
"securityhub:DeleteInvitations",
"securityhub:DisableSecurityHub",
"securityhub:DisassociateFromMasterAccount",
"securityhub:DeleteMembers",
"securityhub:DisassociateMembers"
],
"Resource": "*",
"Effect": "Deny"
}
```
## SCP-AMS-025 : Empêcher la suppression sous Directory Service
Empêcher la suppression de ressources sous Directory Service.
```
{
"Action": [
"ds:DeleteDirectory",
"ds:DeleteLogSubscription",
"ds:DeleteSnapshot",
"ds:DeleteTrust",
"ds:DeregisterCertificate",
"ds:DeregisterEventTopic",
"ds:DisableLDAPS",
"ds:DisableRadius",
"ds:DisableSso",
"ds:UnshareDirectory"
],
"Resource": "*",
"Effect": "Deny"
}
```
## SCP-AMS-026 : Empêcher l'utilisation d'un service refusé
Empêchez l'utilisation de services refusés.
**Note**
Remplacez *service1* et *service2* par les noms de vos services. Exemple *access-analyzer* ou*IAM*.
```
{
"Effect": "Deny",
"Resource": "*",
"Action": ["service1:*", "service2:*"]
}
```
## SCP-AMS-027 : Empêchez l'utilisation de services refusés dans des régions spécifiques
Empêchez l'utilisation de services refusés dans des régions spécifiques AWS .
**Note**
Remplacez *service1* et *service2* par les noms de vos services. Exemple *access-analyzer* ou*IAM*.
Remplacez *region1* et *region2* par les noms de vos services. Exemple *us-west-2* ou*use-east-1*.
```
{
"Effect": "Deny",
"Resource": "*",
"Action": ["service1:*", "service2:*"],
"Condition": {
"StringEquals": {
"aws:RequestedRegion": [
"region1",
"region2"
]
}
}
}
```
## SCP-AMS-028 : Empêche la modification des tags sauf par des personnes autorisées
Empêchez les utilisateurs de modifier les balises, à l'exception des principaux autorisés. Utilisez des balises d'autorisation pour autoriser les principaux. Les balises d'autorisation doivent être associées aux ressources et aux principaux. A n' user/role est considéré comme autorisé que si les balises de la ressource et du principal correspondent. Pour plus d’informations, consultez les ressources suivantes :
+ [Sécurisation des balises de ressources utilisées pour l'autorisation à l'aide d'une politique de contrôle des services dans AWS Organizations](https://aws.amazon.com/blogs/security/securing-resource-tags-used-for-authorization-using-service-control-policy-in-aws-organizations/)
+ [Empêcher la modification des balises, sauf par des personnes autorisées](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin)
```
{
"Effect": "Deny",
"Action": [
"ec2:CreateTags",
"ec2:DeleteTags"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ec2:ResourceTag/access-project": "${aws:PrincipalTag/access-project}",
"aws:PrincipalArn": "arn:aws:iam::{ACCOUNT_ID}:{RESOURCE_TYPE}/{RESOURCE_NAME}"
},
"Null": {
"ec2:ResourceTag/access-project": false
}
}
},
{
"Effect": "Deny",
"Action": [
"ec2:CreateTags",
"ec2:DeleteTags"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/access-project": "${aws:PrincipalTag/access-project}",
"aws:PrincipalArn": "arn:aws:iam::{ACCOUNT_ID}:{RESOURCE_TYPE}/{RESOURCE_NAME}"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"access-project"
]
}
}
},
{
"Effect": "Deny",
"Action": [
"ec2:CreateTags",
"ec2:DeleteTags"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::{ACCOUNT_ID}:{RESOURCE_TYPE}/{RESOURCE_NAME}"
},
"Null": {
"aws:PrincipalTag/access-project": true
}
}
}
```
## SCP-AMS-029 : Empêcher les utilisateurs de supprimer les journaux de flux Amazon VPC
Empêchez la suppression des journaux de flux Amazon VPC.
```
{
"Action": [
"ec2:DeleteFlowLogs",
"logs:DeleteLogGroup",
"logs:DeleteLogStream",
"s3:DeleteBucket",
"s3:DeleteObject",
"s3:DeleteObjectVersion",
"s3:PutLifecycleConfiguration",
"firehose:DeleteDeliveryStream"
],
"Resource": "*",
"Effect": "Deny"
}
```
## SCP-AMS-030 : Empêcher le partage du sous-réseau VPC avec un compte autre qu'un compte réseau
Empêchez le partage de sous-réseaux Amazon VPC avec des comptes autres que le compte réseau.
**Note**
*NETWORK\$1ACCOUNT\$1ID*Remplacez-le par votre identifiant de compte réseau.
```
{
"Effect": "Deny",
"Action": [
"ram:AssociateResourceShare",
"ram:CreateResourceShare"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"ram:Principal": "NETWORK_ACCOUNT_ID"
},
"StringEquals": {
"ram:RequestedResourceType": "ec2:Subnet"
}
}
}
```
## SCP-AMS-031 : Empêcher le lancement d'instances avec des types d'instances interdits
Empêchez le lancement de types d' EC2 instances Amazon interdits.
**Note**
Remplacez *instance\$1type1* et *instance\$1type2* par les types d'instances que vous souhaitez restreindre, par exemple *t2.micro* ou par une chaîne générique telle que*\$1.nano*.
```
{
"Effect": "Deny",
"Action": "ec2:RunInstances",
"Resource": [
"arn:aws:ec2:*:*:instance/*"
],
"Condition": {
"ForAnyValue:StringLike": {
"ec2:InstanceType": [
"instance_type1",
"instance_type2"
]
}
}
}
```
## SCP-AMS-032 : Empêcher le lancement d'instances sans IMDSv2
Empêchez EC2 les instances Amazon sans IMDSv2.
```
[
{
"Effect": "Deny",
"Action": "ec2:RunInstances",
"Resource": "arn:aws:ec2:*:*:instance/*",
"Condition": {
"StringNotEquals": {
"ec2:MetadataHttpTokens": "required"
}
}
},
{
"Effect": "Deny",
"Action": "ec2:RunInstances",
"Resource": "arn:aws:ec2:*:*:instance/*",
"Condition": {
"NumericGreaterThan": {
"ec2:MetadataHttpPutResponseHopLimit": "3"
}
}
},
{
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"NumericLessThan": {
"ec2:RoleDelivery": "2.0"
}
}
},
{
"Effect": "Deny",
"Action": "ec2:ModifyInstanceMetadataOptions",
"Resource": "*"
}
]
```
## SCP-AMS-033 : Empêcher les modifications d'un rôle spécifique de l'IAM
Empêchez les modifications des rôles IAM spécifiés.
```
{
"Action": [
"iam:AttachRolePolicy",
"iam:DeleteRole",
"iam:DeleteRolePermissionsBoundary",
"iam:DeleteRolePolicy",
"iam:DetachRolePolicy",
"iam:PutRolePermissionsBoundary",
"iam:PutRolePolicy",
"iam:TagRole",
"iam:UntagRole",
"iam:UpdateAssumeRolePolicy",
"iam:UpdateRole",
"iam:UpdateRoleDescription"
],
"Resource": [
"arn:aws:iam::{ACCOUNT_ID}:role/{RESOURCE_NAME}"
],
"Effect": "Deny"
}
```
## SCP-AMS-034 : Empêcher AssumeRolePolicy la modification de rôles IAM spécifiques
Empêchez les modifications apportées AssumeRolePolicy aux rôles IAM spécifiés.
```
{
"Action": [
"iam:UpdateAssumeRolePolicy"
],
"Resource": [
"arn:aws:iam::{ACCOUNT_ID}:role/{RESOURCE_NAME}"
],
"Effect": "Deny"
}
```
## ConfigRule: Tags obligatoires
Vérifiez si EC2 les instances disposent des balises personnalisées dont vous avez besoin. En outre InfoSec, cela est également utile pour votre gestion des coûts
```
ConfigRuleName: required-tags
Description: >-
A Config rule that checks whether EC2 instances have the required tags.
Scope:
ComplianceResourceTypes:
- 'AWS::EC2::Instance'
InputParameters:
tag1Key: COST_CENTER
tag2Key: APP_ID
Source:
Owner: AWS
SourceIdentifier: REQUIRED_TAGS
```
## ConfigRule: touche d'accès pivotée
Vérifiez que les clés d'accès sont pivotées dans le délai spécifié. Ce délai est généralement fixé à 90 jours conformément aux exigences de conformité habituelles.
```
ConfigRuleName: access-keys-rotated
Description: >-
A config rule that checks whether the active access keys are rotated
within the number of days specified in maxAccessKeyAge. The rule is
NON_COMPLIANT if the access keys have not been rotated for more than
maxAccessKeyAge number of days.
InputParameters:
maxAccessKeyAge: '90'
Source:
Owner: AWS
SourceIdentifier: ACCESS_KEYS_ROTATED
MaximumExecutionFrequency: TwentyFour_Hours
```
## ConfigRule: clé d'accès root IAM dans AMS
Vérifiez qu'aucune clé d'accès root n'est présente sur un compte. Pour les comptes AMS Advanced, cela devrait être conforme out-of-the-box.
```
ConfigRuleName: iam-root-access-key-check
Description: >-
A config rule that checks whether the root user access key is available. The rule is COMPLIANT if the user access key does not exist.
Source:
Owner: AWS
SourceIdentifier: IAM_ROOT_ACCESS_KEY_CHECK
MaximumExecutionFrequency: TwentyFour_Hours
```
## ConfigRule: géré par SSM EC2
Vérifiez que vous EC2s êtes géré par SSM Systems Manager.
```
ConfigRuleName: ec2-instance-managed-by-systems-manager
Description: >-
A Config rule that checks whether the EC2 instances in the
account are managed by AWS Systems Manager.
Scope:
ComplianceResourceTypes:
- 'AWS::EC2::Instance'
- 'AWS::SSM::ManagedInstanceInventory'
Source:
Owner: AWS
SourceIdentifier: EC2_INSTANCE_MANAGED_BY_SSM
```
## ConfigRule: utilisateur IAM non utilisé dans AMS
Vérifiez les informations d'identification de l'utilisateur IAM qui n'ont pas été utilisées pendant une durée spécifiée. Tout comme le contrôle de rotation des clés, ce délai est généralement de 90 jours par défaut, conformément aux exigences de conformité habituelles.
```
ConfigRuleName: iam-user-unused-credentials-check
Description: >-
A config rule that checks whether IAM users have passwords
or active access keys that have not been used within the
specified number of days provided.
InputParameters:
maxCredentialUsageAge: '90'
Source:
Owner: AWS
SourceIdentifier: IAM_USER_UNUSED_CREDENTIALS_CHECK
MaximumExecutionFrequency: TwentyFour_Hours
```
## ConfigRule: journalisation du compartiment S3
Vérifiez que la journalisation a été activée pour les compartiments S3 du compte.
```
ConfigRuleName: s3-bucket-logging-enabled
Description: >-
A Config rule that checks whether logging is enabled for S3 buckets.
Scope:
ComplianceResourceTypes:
- 'AWS::S3::Bucket'
Source:
Owner: AWS
SourceIdentifier: S3_BUCKET_LOGGING_ENABLED
```
## ConfigRule: gestion des versions du compartiment S3
Vérifiez que le contrôle de version et la suppression MFA (facultatif) sont activés sur tous les compartiments S3
```
ConfigRuleName: s3-bucket-versioning-enabled
Description: >-
A Config rule that checks whether versioning is enabled for S3
buckets. Optionally, the rule checks if MFA delete is enabled for S3 buckets.
Scope:
ComplianceResourceTypes:
- 'AWS::S3::Bucket'
Source:
Owner: AWS
SourceIdentifier: S3_BUCKET_VERSIONING_ENABLED
```
## ConfigRule: accès public S3
Vérifiez que les paramètres d'accès public (Public ACL, Public Policy, Public Buckets) sont restreints sur l'ensemble du compte
```
ConfigRuleName: s3-account-level-public-access-blocks
Description: >-
A Config rule that checks whether the required public access block
settings are configured from account level. The rule is only
NON_COMPLIANT when the fields set below do not match the corresponding
fields in the configuration item.
Scope:
ComplianceResourceTypes:
- 'AWS::S3::AccountPublicAccessBlock'
InputParameters:
IgnorePublicAcls: 'True'
BlockPublicPolicy: 'True'
BlockPublicAcls: 'True'
RestrictPublicBuckets: 'True'
Source:
Owner: AWS
SourceIdentifier: S3_ACCOUNT_LEVEL_PUBLIC_ACCESS_BLOCKS
```
## ConfigRule: Résultats non archivés GuardDuty
Vérifiez si les GuardDuty résultats non archivés sont antérieurs à la durée spécifiée. La durée par défaut est de 30 jours pour les valeurs basses, 7 jours pour les valeurs moyennes et 1 jour pour les valeurs élevées.
```
ConfigRuleName: guardduty-non-archived-findings
Description: >-
A Config rule that checks whether the Amazon GuardDuty has findings that
are non archived. The rule is NON_COMPLIANT if GuardDuty has non
archived low/medium/high severity findings older than the specified number.
InputParameters:
daysLowSev: '30'
daysMediumSev: '7'
daysHighSev: '1'
Source:
Owner: AWS
SourceIdentifier: GUARDDUTY_NON_ARCHIVED_FINDINGS
MaximumExecutionFrequency: TwentyFour_Hours
```
## ConfigRule: suppression de la clé CMK
Vérifiez les clés principales AWS Key Management Service personnalisées (CMKs) dont la suppression est planifiée (c'est-à-dire en attente). Ceci est crucial car l'ignorance de la suppression des CMK peut rendre les données irrécupérables.
```
ConfigRuleName: kms-cmk-not-scheduled-for-deletion
Description: >-
A config rule that checks whether customer master keys (CMKs) are not
scheduled for deletion in AWS Key Management Service (AWS KMS). The rule is
NON_COMPLIANT if CMKs are scheduled for deletion.
Source:
Owner: AWS
SourceIdentifier: KMS_CMK_NOT_SCHEDULED_FOR_DELETION
MaximumExecutionFrequency: TwentyFour_Hours
```
## ConfigRule: rotation de la CMK
Vérifiez que la rotation automatique est activée pour chaque CMK du compte
```
ConfigRuleName: cmk-backing-key-rotation-enabled
Description: >-
A config rule that checks that key rotation is enabled for each customer
master key (CMK). The rule is COMPLIANT, if the key rotation is enabled
for specific key object. The rule is not applicable to CMKs that have
imported key material.
Source:
Owner: AWS
SourceIdentifier: CMK_BACKING_KEY_ROTATION_ENABLED
MaximumExecutionFrequency: TwentyFour_Hours
```
# Notification personnalisée pour les règles de configuration
Il peut arriver que des règles de configuration critiques non conformes nécessitent une sensibilisation accrue directement auprès de votre équipe InfoSec et de votre équipe de direction. Pour de tels scénarios, AMS vous recommande de configurer une notification personnalisée basée sur un événement de non-conformité.
Exemples :
```
ConfigRuleName: required-tags
Description: >-
A Config rule that checks whether EC2 instances have the mandated tags.
Scope:
ComplianceResourceTypes:
- 'AWS::EC2::Instance'
InputParameters:
tag1Key: COST_CENTER
tag2Key: APP_ID
Source:
Owner: AWS
SourceIdentifier: REQUIRED_TAGS
NotificationEventRule:
Type: 'AWS::Events::Rule'
Properties:
Name: CWEventForrequired-tags
Description: >-
SNS Notification for Non-Compliant Events of Config Rule:
required-tags
State: ENABLED
EventPattern:
detail-type:
- Config Rules Compliance Change
source:
- aws.config
detail:
newEvaluationResult:
complianceType:
- NON_COMPLIANT
configRuleARN:
- 'Fn::GetAtt':
- RequiredEC2Tags
- Arn
Targets:
- Id: RemediationNotification
Arn:
Ref: SnsTopic
InputTransformer:
InputTemplate: >-
"EC2 Instance is non-compliant. Please add required tags: COST_CENTER, APP_ID, Name, and Backup."
InputPathsMap:
instance_id: $.detail.resourceId
SnsTopic:
Type: 'AWS::SNS::Topic'
Properties:
Subscription:
- Endpoint: Cloud_Ops_Leaders@customer.com
Protocol: email
TopicName: noncompliant-instance-notification
SnsTopicPolicy:
Type: 'AWS::SNS::TopicPolicy'
Properties:
PolicyDocument:
Statement:
- Sid: __default_statement_ID
Effect: Allow
Principal:
AWS: '*'
Action:
- 'SNS:GetTopicAttributes'
- 'SNS:SetTopicAttributes'
- 'SNS:AddPermission'
- 'SNS:RemovePermission'
- 'SNS:DeleteTopic'
- 'SNS:Subscribe'
- 'SNS:ListSubscriptionsByTopic'
- 'SNS:Publish'
- 'SNS:Receive'
Resource:
Ref: SnsTopic
Condition:
StringEquals:
'AWS:SourceOwner':
Ref: 'AWS::AccountId'
- Sid: TrustCWEToPublishEventsToMyTopic
Effect: Allow
Principal:
Service: events.amazonaws.com
Action: 'sns:Publish'
Resource:
Ref: SnsTopic
Topics:
- Ref: SnsTopic
```
# Rôle lié au service Amazon EventBridge Rule pour AMS Advanced
AMS Advanced utilise le rôle lié au service (SLR) nommé **AWSServiceRoleForManagedServices\$1Events**— Ce rôle fait confiance à l'un des principaux responsables du service AWS Managed Services (events.managedservices.amazonaws.com) pour assumer le rôle à votre place. Le service utilise le rôle pour créer une règle EventBridge gérée. Cette règle est l'infrastructure requise dans votre AWS compte pour transmettre à AWS Managed Services les informations relatives au changement d'état des alarmes depuis votre compte.
## Autorisations pour EventBridge SLR pour AMS Advanced
Le rôle lié à un service **AWSServiceRoleForManagedServices\$1Events** approuve les services suivants pour endosser le rôle :
+ events.managedservices.amazonaws.com
La politique **AWSManagedServices\$1EventsServiceRolePolicy** AWS gérée est associée à ce rôle (voir [Politique gérée par AWS : AWSManagedServices\$1EventsServiceRolePolicy](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/security-iam-awsmanpol.html#EventsServiceRolePolicy)). Le service utilise ce rôle pour transmettre à AWS Managed Services les informations relatives au changement d'état des alarmes depuis votre compte. Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour plus d'informations, consultez la section [Autorisations relatives aux rôles liés aux services](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dans le guide de l'utilisateur *d'AWS Identity and Access Management*.
Vous pouvez télécharger le JSON **AWSManagedServices\$1EventsServiceRolePolicy**dans ce fichier ZIP : [EventsServiceRolePolicy.zip.](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/samples/EventsServiceRolePolicy.zip)
## Création d'un EventBridge reflex pour AMS Advanced
Vous n’avez pas besoin de créer manuellement un rôle lié à un service. Lorsque vous intégrez AMS via la console AWS de gestion AWS CLI, l'API ou l' AWS API, AMS Advanced crée le rôle lié au service pour vous.
**Important**
Ce rôle lié au service peut apparaître sur votre compte si vous utilisiez le service AMS Advanced avant le 7 février 2023, date à laquelle il a commencé à prendre en charge les rôles liés au service, puis AMS Accelerate a créé le AWSServiceRoleForManagedServices\$1Events rôle dans votre compte. Pour en savoir plus, consultez [Un nouveau rôle est apparu dans mon compte IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte. Lorsque vous vous inscrivez à AMS, AMS Advanced crée à nouveau le rôle lié au service pour vous.
## Modification d'un EventBridge reflex pour AMS Advanced
AMS Advanced ne vous permet pas de modifier le rôle AWSServiceRoleForManagedServices\$1Events lié au service. Une fois que vous avez créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence à ce rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d’informations, consultez [Modification d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le *IAM Guide de l’utilisateur*.
## Supprimer un appareil EventBridge photo reflex pour AMS Advanced
Vous n'avez pas besoin de supprimer manuellement le rôle AWSServiceRoleForManagedServices\$1Events . Lorsque vous quittez AMS via la console de AWS gestion, AWS CLI ou l' AWS API, AMS Advanced nettoie les ressources et supprime le rôle lié au service pour vous.
Vous pouvez également utiliser la console IAM AWS CLI ou l' AWS API pour supprimer manuellement le rôle lié à un service. Pour cela, vous devez commencer par nettoyer les ressources de votre rôle lié à un service. Vous pouvez ensuite supprimer ce rôle manuellement.
**Note**
Si le service AMS Advanced utilise le rôle lorsque vous essayez de supprimer les ressources, la suppression risque d'échouer. Si cela se produit, patientez quelques minutes et réessayez.
**Pour supprimer les ressources AMS Advanced **utilisées par le rôle lié au AWSServiceRoleForManagedServices\$1Events service****
**Pour supprimer manuellement le rôle lié à un service à l’aide d’IAM**
Utilisez la console IAM, le AWS CLI, ou l' AWS API pour supprimer le rôle lié au AWSServiceRoleForManagedServices\$1Events service.
Pour plus d’informations, consultez [Suppression d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dans le *Guide de l’utilisateur IAM*.
# Bonnes pratiques de sécurité
Cette section a été supprimée car elle contient des informations sensibles relatives à la sécurité AMS. Ces informations sont disponibles dans la **documentation** de la console AMS. Pour accéder à AWS Artifact, vous pouvez contacter votre CSDM pour obtenir des instructions ou consulter Getting [Started with AWS](https://aws.amazon.com/artifact/getting-started) Artifact.
## Zone d'atterrissage multi-comptes AMS (paramètres EPS autres que ceux par défaut)
Cette section a été supprimée car elle contient des informations sensibles relatives à la sécurité AMS. Ces informations sont disponibles dans la **documentation** de la console AMS. Pour accéder à AWS Artifact, vous pouvez contacter votre CSDM pour obtenir des instructions ou consulter Getting [Started with AWS](https://aws.amazon.com/artifact/getting-started) Artifact.
## Rambardes AMS
Un garde-fou est une règle de haut niveau qui fournit une gouvernance continue de l'ensemble de votre environnement AMS.
Cette section a été supprimée car elle contient des informations sensibles relatives à la sécurité AMS. Ces informations sont disponibles dans la **documentation** de la console AMS. Pour accéder à AWS Artifact, vous pouvez contacter votre CSDM pour obtenir des instructions ou consulter Getting [Started with AWS](https://aws.amazon.com/artifact/getting-started) Artifact.
## Politiques de contrôle des services MALZ
Cette section a été supprimée car elle contient des informations sensibles relatives à la sécurité AMS. Ces informations sont disponibles dans la **documentation** de la console AMS. Pour accéder à AWS Artifact, vous pouvez contacter votre CSDM pour obtenir des instructions ou consulter Getting [Started with AWS](https://aws.amazon.com/artifact/getting-started) Artifact.