Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Contrôle de l'accès à la console à l'aide de politiques basées sur les ressources et de politiques de contrôle des ressources
Important
L'accès à la connexion à la console est activé par défaut. AWS Sign-In autorise initialement un accès illimité à la console. Pour ajouter des restrictions, activez la configuration des autorisations de console pour votre compte ou votre organisation. Les déclarations d'autorisation des ressources que vous créez n'ont aucun effet tant que vous n'activez pas l'autorisation de la console. Consultez Commencer à contrôler l'accès à la console à l'aide de politiques de ressources.
AWS Sign-In prend en charge les politiques basées sur les ressources et les politiques de contrôle des ressources (RCP) pour contrôler l'accès à. AWS Sign-In Utilisez ces politiques pour vérifier l'identité de l'utilisateur et l'emplacement du réseau tout au long de l' AWS Management Console accès, avant, pendant et après l'authentification. Pour les utilisateurs root, ces politiques valident l'emplacement du réseau et l'identité de l'utilisateur avant le début de la collecte des informations d'identification. Les informations d'identification ne peuvent être saisies que lorsque l'accès provient des réseaux attendus.
AWS Sign-In politiques basées sur les ressources :
-
S'applique à des AWS comptes individuels.
-
Permettez aux administrateurs de compte de restreindre l'accès à la console en fonction des paramètres réseau et des principales identités.
Politiques de contrôle des ressources (RCP) :
-
Appliquez à l'échelle de l'organisation via AWS Organizations.
-
Fournissez une gouvernance centralisée pour tous les comptes des membres.
Les deux types de politique vérifient l'accès avant l'authentification. Cela empêche les principaux d'accéder à la page de connexion depuis des réseaux inattendus.
Ces politiques ne remplacent pas les politiques basées sur l'identité IAM, qui continuent de s'appliquer.
Note
Pour une documentation complète sur les politiques de contrôle des ressources, y compris la configuration et la gestion au niveau de l'organisation, consultez les politiques de contrôle des ressources dans le guide de l'utilisateur d'AWS Organizations. Cette section se concentre principalement sur les politiques AWS Sign-In basées sur les ressources.
AWS Sign-In les politiques basées sur les ressources et les RCP s'appliquent aux méthodes d'authentification suivantes :
-
AWS Management Console— Connexion directe à l'aide de la page de connexion de la console.
-
AWS IAM Identity Center : connexion à la console à l'aide d'IAM Identity Center.
-
Fournisseurs d'identité fédérés : Sign-in via la fédération SAML ou OIDC.
-
Applications intégrées à AWS Sign-In : Amazon Connect, Amazon QuickSight, AWS Health Dashboard, Amazon AppStream, Amazon Lightsail, AWS IQ.
Ces contrôles ne s'appliquent pas à l'accès programmatique à l'aide de clés d'accès (AWS SDK ou appels d'API signés avec SigV4).
Comment ? AWS Sign-In évalue les politiques basées sur les ressources
AWS Sign-In évalue les politiques basées sur les ressources ou les politiques de contrôle des ressources (RCP) applicables à deux moments lors de l'accès à la console : avant l'authentification (phase de pré-authentification) et après authentification réussie (phase de post-authentification). Chaque évaluation vérifie les clés de condition définies dans votre politique. Les touches disponibles dépendent de la phase et de l'action. Pour en savoir plus, consultez Clés de condition prises en charge.
Note
Pour la connexion de l'utilisateur root, toute tentative d'accès à partir de réseaux inattendus est bloquée avant que l'invite de mot de passe ne s'affiche. Cela empêche la soumission d'informations d'identification provenant de réseaux inattendus.
Après l'authentification, l'évaluation prend également en compte les politiques basées sur l'identité du principal. Une politique IAM qui refuse l'action de connexion appropriée peut empêcher l'octroi de la session de console, même lorsque les conditions du réseau sont remplies.
Actions prises en charge
AWS Sign-In les politiques relatives aux ressources (politiques basées sur les ressources et RCP) soutiennent les actions suivantes :
signin:Authenticate-
Il s'agit d'une action d'évaluation uniquement (non appelable) qui est évaluée lorsqu'une demande de connexion est reçue. Il s'agit d'une vérification préalable à l'authentification qui se produit lorsque le principal saisit les informations d'identification sur la page de connexion (utilisateur root, utilisateur IAM) ou initie la connexion à la console à l'aide des informations d'identification d'un fournisseur d'identité ou d'AWS STS (utilisateur fédéré, rôle).
Clés de condition prises en charge :
aws:SourceIpaws:SourceVpc,aws:SourceVpce,aws:VpcSourceIp,aws:RequestedRegion,,signin:PrincipalArn.Principal-based les clés de condition globales (
aws:PrincipalArn,aws:PrincipalAccount) ne sont pas disponibles pour cette action car l'identité de l'utilisateur n'a pas encore été confirmée. signin:AuthorizeOAuth2Access-
Utilisé pour la génération de code d'autorisation OAuth. Une fois l'authentification réussie, cette action est déclenchée lorsque le système génère un code d'autorisation OAuth. À ce stade, l'utilisateur est authentifié et les clés de condition basées sur le principal sont disponibles.
Clés de condition prises en charge :
aws:SourceIpaws:SourceVpc,aws:SourceVpce,aws:VpcSourceIp,aws:RequestedRegion,aws:PrincipalArn,,aws:PrincipalAccount. signin:CreateOAuth2Token-
Cette action de post-authentification est utilisée pour la création et l'échange de jetons OAuth. Cette action est déclenchée lors de l'échange de codes d'autorisation contre des jetons d'accès, de l'actualisation des jetons ou de l'exécution d'opérations d'échange de jetons. Principal-based les clés de condition sont disponibles pendant cette phase.
Clés de condition prises en charge :
aws:SourceIpaws:SourceVpc,aws:SourceVpce,aws:VpcSourceIp,aws:RequestedRegion,aws:PrincipalArn,,aws:PrincipalAccount.
Important
Lorsque vous créez des AWS Sign-In politiques (politiques basées sur les ressources ou RCP), couvrez les trois actions de votre politique : signin:Authenticate dans une déclaration de pré-authentification signin:AuthorizeOAuth2Access et signin:CreateOAuth2Token dans une déclaration de post-authentification. La connexion à la console utilise OAuth 2.0, qui exécute les trois actions de manière séquentielle. Si votre politique omet une action, la phase correspondante n'est pas protégée. Pour les actions de politique relatives aux points de terminaison VPCsignin:CreateAccount, notamment, consultez AWS Management Console Private Access.
Clés de condition prises en charge
AWS Sign-In prend en charge les clés de condition suivantes dans les politiques basées sur les ressources et les politiques de contrôle des ressources (RCP). Utilisez ces touches pour contrôler l'accès à la console en fonction de l'emplacement du réseau et de l'identité principale :
-
Network-based (toutes les actions) :
aws:SourceIp,aws:SourceVpc,aws:SourceVpce,aws:VpcSourceIp,aws:RequestedRegion. -
Identity-based (actions post-authentification) :
aws:PrincipalArn,aws:PrincipalAccount. -
Service-specific (pré-authentification uniquement) :
signin:PrincipalArn.
Pour les règles d'utilisation détaillées, la compatibilité des opérateurs, les restrictions de combinaison et la matrice de disponibilité par action, voirAWS Sign-In référence des clés de condition.
Commencer à contrôler l'accès à la console à l'aide de politiques de ressources
Conditions préalables
-
AWS CLI installée et configurée.
-
Autorisations IAM appropriées (voirAWS politique gérée : AWSSignInResourcePolicyManagement).
-
Périmètres réseau identifiés (plages d'adresses IP, VPC ou points de terminaison VPC).
-
Principaux exclus désignés pour conserver l'accès (recommandé mais facultatif).
-
Si votre réseau utilise le filtrage des sorties, autorisez le point de terminaison du plan de AWS Sign-In contrôle sur la liste (voirAWS Sign-In domaines d'administration à autoriser).
Important
Avant d'activer l'autorisation de console en production, il est AWS recommandé de configurer au moins un principal exclu afin de conserver l'accès de restauration d'urgence. Tous les principaux, y compris l'utilisateur root, sont soumis à cette politique, sauf s'ils sont explicitement exclus. Les principaux exclus sont facultatifs, mais leur omission augmente le risque de verrouillage du compte en cas de modification inattendue des conditions du réseau.
Spécifiez toutes --region us-east-1 les opérations d'écriture sur AWS Sign-In les politiques. AWS reproduit les politiques de cette région dans le monde entier. Les opérations de lecture peuvent cibler n'importe quelle région.
Étape 1 : créer des déclarations d'autorisation relatives aux ressources
Créez des déclarations d'autorisation qui définissent vos contrôles d'accès. Toutes les opérations d'écriture sont requises --region us-east-1 (le AWS Sign-In service accepte les modifications de politique uniquement dans cette région). Les autres paramètres (--source-vpc,--source-ip,--requested-region,--excluded-principal) définissent les conditions de votre politique. Par exemple, --requested-region us-west-2 ajoute une condition limitant la connexion au point de terminaison de connexion régional us-west-2.
Exemple — Restreindre l'accès au VPC d'entreprise :
aws signin put-resource-permission-statement \ --source-vpc vpc-0abc123def456789 \ --requested-region us-west-2 \ --excluded-principal "arn:aws:iam::123456789012:user/EmergencyAdmin" \ --client-token unique-request-id-12345 \ --region us-east-1
Exemple — Restreindre l'accès à une plage d'adresses IP spécifique :
aws signin put-resource-permission-statement \ --source-ip "IP_ADDRESS" \ --excluded-principal "arn:aws:iam::123456789012:role/BreakGlassRole" \ --region us-east-1
Note
Le --excluded-principal paramètre désigne un principal exclu qui contourne les restrictions du réseau, préservant ainsi l'accès d'urgence si les conditions du réseau changent.
Étape 2 : activer la configuration des autorisations de console
L'étape suivante active l'application des politiques pour le processus de connexion à la console sur votre compte ou votre organisation. Les déclarations d'autorisation des ressources peuvent être créées à tout moment, mais elles ne sont pas évaluées tant que l'autorisation de la console n'est pas activée.
Avertissement
L'activation de l'autorisation de console peut bloquer les principaux si les conditions de votre réseau sont mal configurées ou si une politique de contrôle des services (SCP) ou une politique de contrôle des ressources (RCP) existante refuse les actions. AWS Sign-In Avant d'activer l'autorisation de console, vérifiez que vos déclarations d'autorisation sont correctes et supprimez ou ajustez tout SCP ou RCP qui refuse signin:Authenticatesignin:AuthorizeOAuth2Access, ou. signin:CreateOAuth2Token
Pour les comptes autonomes :
aws signin put-console-authorization-configuration \ --target-id <your-aws-account-id> \ --region us-east-1
Pour les organisations AWS :
aws signin put-console-authorization-configuration \ --target-id <your-aws-organization-id> \ --region us-east-1
Vérifiez la configuration :
aws signin get-console-authorization-configuration \ --target-id <your-target-id> \ --region <your-region>
Supprimez la configuration d'autorisation de la console :
aws signin delete-console-authorization-configuration \ --target-id <your-target-id> \ --region us-east-1
Étape 3 : Vérifiez votre politique
Répertoriez toutes les déclarations d'autorisation :
aws signin list-resource-permission-statements \ --max-results 50 \ --region <your-region>
Récupérez la politique consolidée complète :
aws signin get-resource-policy \ --region <your-region>
La get-resource-policy commande renvoie la politique complète basée sur les ressources composée de toutes vos déclarations d'autorisation. Passez en revue cette politique pour vous assurer qu'elle reflète les contrôles d'accès prévus avant de tester l'accès à la console.
Disponibilité par région
Les API d'autorisation de console sont disponibles dans toutes les régions AWS commerciales. Vous pouvez appeler ces API depuis n'importe quelle région dans laquelle vous opérez.
Important
Les opérations d'écriture (put-console-authorization-configurationput-resource-permission-statement,delete-console-authorization-configuration,,delete-resource-permission-statement) doivent être effectuées dans la us-east-1 région. Les politiques créées dans us-east-1 se répliquent automatiquement à l'échelle mondiale. Les opérations de lecture (get-console-authorization-configuration,list-resource-permission-statements,get-resource-policy) peuvent être effectuées depuis n'importe quelle région.
Comprendre la structure des politiques
AWS Sign-In les politiques contiennent deux instructions qui protègent les différentes phases du flux de connexion à la console :
-
Pre-authentication déclaration (Action :
signin:Authenticate) : évaluée lors de la réception de la demande de connexion, avant la fin de l'authentification. La clé globale n'aws:PrincipalArnest pas disponible à ce stade car l'identité du principal n'est pas confirmée. Au cours de cette phase,signin:PrincipalArnil est possible d'exempter des principaux spécifiques des restrictions du réseau. Network-based les clés de condition sont disponibles pour évaluation au cours de cette phase. -
Post-authentication statement (Action :
signin:AuthorizeOAuth2Access,signin:CreateOAuth2Token) : évaluée après authentification, lors de l'échange de jetons OAuth. Utilisationsaws:PrincipalArnpour exempter des principes spécifiques. Toutes les clés de condition basées sur le réseau et basées sur l'identité sont disponibles pour évaluation au cours de cette phase.
Les deux instructions sont obligatoires car la connexion à la console utilise OAuth 2.0, qui exécute les trois actions de manière séquentielle. Une politique comportant une seule déclaration laisse l'autre phase sans protection. signin:PrincipalArnprend en charge les types d'utilisateur root, d'utilisateur IAM et de rôle principal. aws:PrincipalArnprend en charge tous les principaux types (utilisateur root, utilisateur IAM, utilisateur fédéré, rôle).
Exemples de politiques
Exemple 1 : RCP avec périmètre réseau et principaux exclus
La politique de contrôle des ressources (RCP) suivante interdit la AWS Management Console connexion depuis l'extérieur de votre réseau d'entreprise pour tous les comptes de votre organisation. Les principaux exclus désignés sont exemptés en cas d'accès d'urgence. Étant donné que les identifiants VPC ne sont uniques qu'au sein d'une région, la politique inclut une troisième instruction qui identifie l' VPC-based accès à la région attendue.
La EnforceNetworkPerimeterPreAuth déclaration est utilisée signin:PrincipalArn pour exempter les principaux exclus pendant la phase de pré-authentification. La EnforceNetworkPerimeterPostAuth déclaration est utilisée aws:PrincipalArn pour exempter les principaux exclus après authentification. L'EnforceSourceVPCRegioninstruction garantit que la région de demande correspond à la région VPC, en limitant l'accès à la région attendue pour le VPC spécifié.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "EnforceNetworkPerimeterPreAuth", "Effect": "Deny", "Principal": "*", "Action": ["signin:Authenticate"], "Resource": "*", "Condition": { "ArnNotEquals": { "signin:PrincipalArn": [ "arn:aws:iam::111122223333:root", "arn:aws:iam::444455556666:root", "arn:aws:iam::777788889999:user/EmergencyUser", "arn:aws:iam::777788889999:role/OrgBreakGlassRole" ] }, "NotIpAddressIfExists": { "aws:SourceIp": "<my-corporate-cidr>" }, "StringNotEquals": { "aws:SourceVpc": "<my-vpc>" } } }, { "Sid": "EnforceNetworkPerimeterPostAuth", "Effect": "Deny", "Principal": "*", "Action": ["signin:CreateOAuth2Token", "signin:AuthorizeOAuth2Access"], "Resource": "*", "Condition": { "ArnNotEquals": { "aws:PrincipalArn": [ "arn:aws:iam::111122223333:root", "arn:aws:iam::444455556666:root", "arn:aws:iam::777788889999:user/EmergencyUser", "arn:aws:iam::777788889999:role/OrgBreakGlassRole" ] }, "NotIpAddressIfExists": { "aws:SourceIp": "<my-corporate-cidr>" }, "StringNotEquals": { "aws:SourceVpc": "<my-vpc>" } } }, { "Sid": "EnforceSourceVPCRegion", "Effect": "Deny", "Principal": "*", "Action": [ "signin:Authenticate", "signin:CreateOAuth2Token", "signin:AuthorizeOAuth2Access" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceVpc": "<my-vpc>" }, "StringNotEqualsIfExists": { "aws:RequestedRegion": "<my-vpc-region>" } } } ] }
Cette politique :
-
Refuse l'accès à la page de connexion sauf si la demande provient de la plage d'adresses IP de l'entreprise ou du VPC de l'entreprise. Les comptes root et les utilisateurs IAM exclus sont exemptés via
signin:PrincipalArn(pré-authentification). -
Refuse l'échange de jetons OAuth sauf s'il s'agit de la plage d'adresses IP de l'entreprise ou du VPC. Les comptes root, les utilisateurs IAM et les rôles exclus sont exemptés via
aws:PrincipalArn(clé globale post-authentification). -
Si une demande provient du VPC spécifié mais que la région ne correspond pas, l'accès est refusé. AWS Les identifiants de VPC sont uniques au sein d'une région, et le même identifiant de VPC peut exister dans différentes régions.
-
S'applique à l'ensemble de votre organisation AWS lorsqu'elle est configurée en tant que RCP.
Exemple 2 : Resource-based politique d' IP-based accès avec principal exclu
La politique basée sur les ressources suivante refuse l'accès à la console à tous les principaux effectuant des demandes en dehors de la plage d'adresses IP spécifiée, les principaux exclus étant exemptés. La politique contient deux instructions : une instruction de pré-authentification qui utilise la signin:PrincipalArn clé spécifique au service et une instruction de post-authentification qui utilise la clé globale. aws:PrincipalArn
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "*" }, "Action": ["signin:Authenticate"], "Resource": "*", "Condition": { "ArnNotEquals": { "signin:PrincipalArn": "<excluded-principal-arn>" }, "NotIpAddress": { "aws:SourceIp": "<my-corporate-cidr>" }, "StringEquals": { "aws:ResourceAccount": "<my-aws-account-id>" } } }, { "Effect": "Deny", "Principal": { "AWS": "*" }, "Action": ["signin:CreateOAuth2Token", "signin:AuthorizeOAuth2Access"], "Resource": "*", "Condition": { "ArnNotEquals": { "aws:PrincipalArn": "<excluded-principal-arn>" }, "NotIpAddress": { "aws:SourceIp": "<my-corporate-cidr>" }, "StringEquals": { "aws:ResourceAccount": "<my-aws-account-id>" } } } ] }
Cette politique :
-
Refuse l'accès à tous les principaux sauf s'ils se connectent depuis la plage
<my-corporate-cidr>d'adresses IP. -
Exempte le principal exclu des restrictions du réseau en utilisant
signin:PrincipalArn(pré-authentification) etaws:PrincipalArn(post-authentification). -
S'applique uniquement au compte spécifique sur lequel la politique basée sur les ressources est configurée (identifié par
<my-aws-account-id>).
Bonnes pratiques
Configurer les principaux exclus pour un accès de restauration d'urgence
AWS recommande de configurer au moins un utilisateur exclu avant d'appliquer les politiques d'autorisation de console en production. Au stade de la pré-authentification, la clé de signin:PrincipalArn condition exempte l'utilisateur root, l'utilisateur IAM et les principaux de rôle. Au stade de la post-authentification, la clé de aws:PrincipalArn condition exempte tous les types principaux (utilisateur root, utilisateur IAM, utilisateur fédéré, rôle).
Les principaux exclus sont facultatifs, mais leur omission augmente le risque de verrouillage du compte si les conditions du réseau changent de façon inattendue ou si les politiques sont mal configurées.
Étapes de configuration principales exclues recommandées :
-
Créez un rôle IAM exclu (par exemple,
BreakGlassRole). -
Pour les rôles exclus, exigez le MFA dans la politique de confiance des rôles.
-
Accordez à l'identité exclue uniquement les autorisations minimales nécessaires pour une restauration d'urgence.
-
Incluez l'ARN principal exclu dans les déclarations de politique de pré-authentification (
signin:PrincipalArn) et de post-authentification (aws:PrincipalArn). -
Documentez la procédure de récupération et stockez-la en toute sécurité à l'extérieur AWS.
-
Testez régulièrement l'accès principal exclu pour confirmer qu'il fonctionne en cas de besoin.
Gérez les chemins d'accès à la restauration
Outre le principal exclu décrit ci-dessus, assurez-vous que d'autres méthodes d'accès sont disponibles au cas où les politiques d'autorisation de la console bloqueraient la connexion de manière inattendue :
-
Role-based accès par programmation : les politiques d'autorisation de la console s'appliquent uniquement à la connexion à la console interactive. Ils ne s'appliquent pas aux demandes d'API signées avec SigV4. Si vous disposez d'un accès programmatique (par exemple, des clés d'accès existantes, un rôle multicompte), utilisez-le pour appeler
signin:DeleteConsoleAuthorizationConfigurationet supprimer la politique de restriction. Les informations d'identification doivent incluresignin:DeleteConsoleAuthorizationConfigurationl'autorisation (incluse dans la politiqueAWSSignInResourcePolicyManagementgérée). AWS recommande des informations d'identification temporaires plutôt que des clés d'accès utilisateur IAM à long terme. Pour les comptes membres, les administrateurs des comptes de gestion peuventOrganizationAccountAccessRoleutiliser le compte membre (aws sts assume-role) pour obtenir ces informations d'identification temporaires. -
AWS rétablissement de l'assistance : maintenez à jour l'adresse e-mail et le numéro de téléphone de votre compte utilisateur root. Si l'accès principal exclu et l'accès programmatique ne sont pas disponibles, le AWS Support peut fournir un lien vers le portail de récupération après vérification de l'identité. Consultez L'accès à mon compte est bloqué après avoir activé l'autorisation de la console le processus de restauration complet.
Test avant le déploiement en production
AWS recommande de ne pas associer de RCP restrictifs à la racine de votre organisation sans avoir testé de manière approfondie l'impact de la politique sur les comptes. Créez plutôt une unité d'organisation dans laquelle vous pouvez déplacer vos comptes un par un, ou du moins en petit nombre, afin de ne pas empêcher les utilisateurs d'accéder à des comptes clés par inadvertance.
Flux de travail de test :
-
Créez une déclaration d'autorisation unique avec les restrictions de votre réseau principal.
-
Activez l'autorisation de console dans un compte hors production.
-
Testez l'accès à la console depuis les réseaux autorisés et refusés.
-
Consultez CloudTrail les journaux Amazon pour confirmer le comportement d'évaluation des politiques.
-
Testez l'accès à l'aide de votre principal exclu.
-
Étendez-vous progressivement à d'autres réseaux et comptes.
-
Surveillez avant de l'appliquer dans les comptes de production.
Conception avec défense en profondeur
Utilisez les politiques AWS Sign-In basées sur les ressources et les politiques de contrôle des ressources comme couche dans le cadre d'une stratégie de sécurité plus large. AWS Sign-In les politiques limitent l'accès à la console en fonction de l'emplacement du réseau et de l'identité principale. Combinez-les avec d'autres types de politiques pour créer des contrôles d'accès complets :
-
AWS Sign-In politiques (politiques basées sur les ressources et RCP) : limitez l'accès à la console en fonction de l'emplacement du réseau et de l'identité principale avant, pendant et après l'authentification.
-
Politiques IAM : contrôlez les actions que les utilisateurs peuvent effectuer après s'être connectés.
-
Politiques de contrôle des services (SCP) : appliquez des garanties d'autorisation à l'échelle de l'organisation à tous les principaux.
-
Politiques relatives aux points de terminaison VPC : contrôlez les services et les comptes accessibles via les points de terminaison VPC.
Surveiller et auditer en permanence
AWS CloudTrail enregistre automatiquement toutes les évaluations des AWS Sign-In politiques et les modifications de configuration. Consultez ces CloudTrail événements dans l'historique des événements pendant 90 jours maximum. Pour une rétention plus longue, transmettez les événements à Amazon S3 en créant un suivi (voir Création d'un suivi). Pour des alertes en temps réel, créez des EventBridge règles Amazon adaptées aux AWS Sign-In événements, configurez votre journal pour qu'il soit envoyé à un groupe de CloudWatch journaux pour les alarmes basées sur des filtres métriques, ou transférez les événements vers votre solution SIEM existante.
Cas d’utilisation
- Application du périmètre du réseau
-
Limitez l'accès à la console aux VPC d'entreprise ou aux plages d'adresses IP approuvées. Utilisez des politiques basées sur les ressources pour les comptes individuels ou des politiques de contrôle des ressources (RCP) pour les appliquer à l'échelle de l'organisation afin de garantir que les utilisateurs ne peuvent se connecter qu'à partir d'emplacements réseau fiables, empêchant ainsi tout accès non autorisé depuis des réseaux publics ou non fiables.
Exemple de scénario : une entreprise a besoin que tous les accès à la console proviennent de son réseau d'entreprise ou de ses AWS VPC approuvés. Ils configurent une politique basée sur les ressources pour un compte unique, ou un RCP au sein de leur organisation, qui refuse l'accès à tous les autres réseaux tout en maintenant un accès de restauration d'urgence pour les administrateurs d'urgence.
- Exigences de conformité
-
Respectez les exigences réglementaires en matière de contrôles d'accès basés sur le réseau. De nombreux cadres de conformité obligent les entreprises à restreindre l'accès aux systèmes sensibles en fonction de l'emplacement du réseau. AWS Sign-In les politiques fournissent des contrôles vérifiables et exécutoires qui démontrent la conformité à ces exigences.
Exemple de scénario : une société de services financiers doit se conformer aux réglementations exigeant l'accès à la console uniquement à partir de réseaux approuvés. Ils utilisent les RCP pour appliquer les restrictions du réseau à l'échelle de l'organisation et tenir des AWS CloudTrail journaux comme preuve de conformité.
- Multi-account gouvernance
-
Mettez en œuvre des politiques d'accès à la console cohérentes dans l'ensemble des organisations AWS. Utilisez les RCP pour appliquer les restrictions réseau standard à tous les comptes membres, garantissant ainsi une posture de sécurité cohérente sans nécessiter de configuration individuelle au niveau du compte.
Exemple de scénario : une entreprise possédant plus de 100 AWS comptes utilise les RCP pour appliquer une politique exigeant que tous les accès à la console proviennent des points de terminaison VPC au sein de son organisation, confirmant ainsi la cohérence des contrôles réseau sur tous les comptes.
- Third-party contrôle d'accès
-
Accordez un accès temporaire à la console aux partenaires ou sous-traitants de réseaux spécifiques. Organisations peuvent créer un accès à la console limité dans le temps et limité au réseau pour les parties externes sans compromettre le niveau de sécurité global.
Exemple de scénario : une entreprise doit accorder à un cabinet de conseil un accès temporaire à la console. Ils créent une politique basée sur les ressources qui autorise l'accès uniquement à partir des plages d'adresses IP connues du cabinet de conseil et uniquement pour les rôles IAM attribués aux consultants.
- Restreindre l'accès à la console à des utilisateurs spécifiques
-
Autorisez uniquement un ensemble défini de principes à se connecter au AWS Management Console, et refusez tous les autres, quel que soit l'emplacement du réseau. Cela est utile pour les clients qui n'utilisent pas de points de terminaison VPC et qui souhaitent des restrictions de console basées sur l'identité. Les principaux auxquels la connexion à la console est refusée conservent leur accès programmatique ; AWS Sign-In les politiques limitent uniquement la connexion à la console, et seuls les principaux que vous exemptez peuvent se connecter.
Exemple de scénario : une entreprise souhaite que seuls ses administrateurs utilisent la console. Ils configurent un RCP qui refuse la connexion à la console pour tous les principaux, à l'exception des ARN principaux de l'administrateur. Un rôle d'instance Amazon EC2 doté d'informations d'identification valides ne peut pas se connecter à la console, car il ne s'agit pas d'un rôle principal exempté, même s'il conserve ses autorisations de programmation. Cela résout le cas courant d'utilisation des informations d'identification du rôle d'instance pour la connexion à la console.
Résolution des problèmes liés au contrôle d'accès à
Je ne peux pas me connecter en raison de l'état du réseau dans les politiques basées sur les Sign-in ressources
L'un des messages d'erreur suivants peut s'afficher lorsque l'accès est refusé par une AWS Sign-In politique :
-
« Vos informations d'authentification sont incorrectes. Veuillez réessayer. » (refus de pré-authentification par une politique basée sur les ressources)
-
« Échec de l'authentification Demande non valide » (refus de pré-authentification par le RCP)
-
« Échec de l'authentification : pour accéder à ce compte, connectez-vous depuis un autre réseau ou contactez votre administrateur pour plus d'informations » (refus après l'authentification)
Si vous constatez l'une de ces erreurs et pensez que votre accès devrait être autorisé, contactez votre AWS administrateur. Ils peuvent consulter CloudTrail les journaux pour détecter les ConsoleLogin événements portant la mention errorMessage « Autorisation refusée en raison d'une politique basée sur les ressources » ou « Autorisation refusée en raison d'une politique de contrôle des ressources » afin d'identifier la déclaration de politique refusant l'accès.
Causes possibles :
-
Votre adresse IP source ne se trouve pas dans la plage CIDR autorisée.
-
Vous n'êtes pas connecté au VPC ou au point de terminaison VPC requis.
-
Vous accédez à un point de connexion régional qui ne correspond pas à la région prévue dans la politique.
-
Votre ARN principal n'est pas correctement répertorié dans les principaux exclus de la politique.
-
La politique a été récemment mise à jour et le changement n'a pas encore été répliqué à l'échelle mondiale.
Résolution :
-
Vérifiez que vous êtes connecté à votre réseau d'entreprise ou à votre VPN.
-
Vérifiez que vous accédez via le point de terminaison VPC approprié si des restrictions basées sur les points de terminaison VPC sont configurées.
-
Contactez votre AWS administrateur pour vérifier la configuration des politiques et vérifier quels réseaux sont autorisés.
-
Si vous êtes configuré en tant que principal exclu, vérifiez que votre ARN principal est correctement configuré dans la liste des principaux exclus.
-
Si des modifications de politique ont été récemment apportées, attendez quelques minutes que la réplication globale soit terminée.
Pour les administrateurs diagnostiquant ce problème :
-
Consultez AWS CloudTrail les journaux pour détecter les événements d'évaluation des politiques afin d'identifier la déclaration de politique qui a refusé l'accès.
-
aws signin get-resource-policyÀ utiliser pour revoir la configuration de la politique actuelle. -
Vérifiez que l'emplacement réseau de l'utilisateur correspond aux conditions de la politique.
-
Vérifiez que les principaux exclus sont correctement configurés si l'utilisateur doit être exempté des restrictions réseau.
L'accès à mon compte est bloqué après avoir activé l'autorisation de la console
Si vous avez configuré l'autorisation de console et que vous ne pouvez plus accéder à votre compte, il se peut que vous n'ayez pas configuré les principaux exclus avant d'appliquer la politique.
Il existe plusieurs moyens de récupérer l'accès, en fonction du type de compte et des informations d'identification disponibles.
Option 1 : Utiliser l'accès par programmation (AWS CLI ou SDK)
Les politiques d'autorisation de console s'appliquent uniquement à la connexion à la console interactive. Ils ne s'appliquent pas aux demandes d'API signées avec SigV4. Si vous disposez d'un accès programmatique (par exemple, des clés d'accès existantes, un rôle multicompte), utilisez-le pour appeler signin:DeleteConsoleAuthorizationConfiguration et supprimer la politique de restriction. Les informations d'identification que vous utilisez doivent être autorisées à appelersignin:DeleteConsoleAuthorizationConfiguration. La politique AWSSignInResourcePolicyManagement gérée inclut cette autorisation. AWS recommande des informations d'identification temporaires plutôt que des clés d'accès utilisateur IAM à long terme. Pour les comptes membres, les administrateurs des comptes de gestion peuvent OrganizationAccountAccessRole accéder au compte membre pour obtenir des informations d'identification temporaires. Ce rôle n'est pas créé automatiquement dans les comptes invités à rejoindre l'organisation.
aws signin delete-console-authorization-configuration \ --target-id <your-aws-account-id> \ --region us-east-1
Ou supprimez des déclarations d'autorisation spécifiques :
# First, list statements to get the statement ID aws signin list-resource-permission-statements \ --region us-east-1 # Then delete the problematic statement aws signin delete-resource-permission-statement \ --statement-id <statement-id> \ --region us-east-1
Option 2 : Contacter le AWS Support
Si vous ne disposez pas d'un accès programmatique et que vous ne pouvez pas utiliser le OrganizationAccountAccessRole pour accéder au compte, contactez le AWS Support pour lancer le processus de rétablissement du verrouillage.
Le processus de restauration fonctionne comme suit :
-
Si vous ne parvenez pas à résoudre le problème à l'aide des options ci-dessus, ouvrez un dossier d'assistance auprès du AWS Support Center. AWS Support vérifiera votre identité avant d'examiner votre compte. Les méthodes de vérification peuvent inclure la confirmation de l'adresse e-mail du compte utilisateur root, la réponse à un appel de vérification téléphonique ou les réponses aux questions de sécurité du compte.
-
AWS Support confirme que le problème d'accès à la console est dû à un verrouillage politique basé sur les ressources.
-
AWS Support partage un lien vers le portail de reprise. Utilisez ce lien pour vous connecter avec un responsable IAM du compte
signin:DeleteConsoleAuthorizationConfigurationautorisé. Cette autorisation permet au principal de supprimer la configuration d'autorisation de console à l'origine du verrouillage.
Important
Le portail de restauration supprime l'intégralité de la configuration d'autorisation de console pour le compte, y compris toutes les déclarations d'autorisation des ressources. Le portail de restauration n'autorise pas la reconfiguration des politiques basées sur les AWS Sign-In ressources.
Le lien du portail de restauration expire 72 heures après son partage par le AWS Support. Si vous n'effectuez pas la restauration dans cette fenêtre, contactez le AWS Support pour relancer le processus.
Une fois l'accès rétabli :
-
Passez en revue et mettez à jour vos déclarations d'autorisation des ressources afin d'inclure les principaux exclus correctement configurés.
-
Testez l'accès à la console depuis les réseaux attendus avant de réactiver l'autorisation de la console.
-
Documentez vos procédures de recouvrement pour référence future.
Les modifications que j'apporte ne sont pas toujours visibles immédiatement
Les modifications de politique sont répliquées à l'échelle mondiale, mais la réplication peut prendre quelques minutes.
Résolution :
-
Attendez quelques minutes après avoir modifié les règles pour que la réplication globale soit terminée.
-
Vérifiez vos modifications à l'aide de la
get-resource-policycommande :
aws signin get-resource-policy --region <your-region>
-
Consultez les AWS CloudTrail journaux pour détecter les événements d'évaluation des politiques afin de confirmer que la nouvelle politique est en cours d'évaluation.
-
Vérifiez que vous utilisez la bonne région pour vos opérations (les opérations d'écriture doivent utiliser
us-east-1). -
Si vous utilisez des conditions basées sur les points de terminaison VPC, vérifiez que les politiques des points de terminaison VPC sont également correctement configurées.
Problèmes courants liés à la réplication des politiques :
-
Page de connexion mise en cache : les navigateurs peuvent mettre en cache la page de connexion. Videz le cache de votre navigateur ou utilisez une fenêtre de navigation privée pour tester les modifications apportées aux règles.
-
Déclarations contradictoires : si vous avez plusieurs déclarations d'autorisation, vérifiez qu'elles ne sont pas en conflit les unes avec les autres.
get-resource-policyÀ utiliser pour revoir la politique consolidée. -
Politiques de point de terminaison VPC : les AWS Sign-In politiques fonctionnent conjointement avec les politiques de point de terminaison VPC. Les deux doivent autoriser l'accès souhaité.