• Le AWS Systems Manager CloudWatch tableau de bord ne sera plus disponible après le 30 avril 2026. Les clients peuvent continuer à utiliser CloudWatch la console Amazon pour consulter, créer et gérer leurs CloudWatch tableaux de bord Amazon, comme ils le font aujourd'hui. Pour plus d'informations, consultez la [documentation Amazon CloudWatch Dashboard](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html).
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Bonnes pratiques de sécurité pour Systems Manager
AWS Systems Manager fournit un certain nombre de fonctionnalités de sécurité à prendre en compte lors de l'élaboration et de la mise en œuvre de vos propres politiques de sécurité. Les bonnes pratiques suivantes doivent être considérées comme des instructions générales et ne représentent pas une solution de sécurité complète. Étant donné que ces bonnes pratiques peuvent ne pas être appropriées ou suffisantes pour votre environnement, considérez-les comme des remarques utiles plutôt que comme des recommandations.
**Topics**
+ [Bonnes pratiques de sécurité préventive pour Systems Manager](#security-best-practices-prevent)
+ [Bonnes pratiques d’installation de SSM Agent](#security-best-practices-ssm-agent)
+ [Bonnes pratiques de surveillance et d'audit pour Systems Manager](#security-best-practices-detect)
## Bonnes pratiques de sécurité préventive pour Systems Manager
Les bonnes pratiques suivantes pour Systems Manager peuvent aider à éviter les incidents de sécurité.
**Implémentation d'un accès sur la base du moindre privilège**
Lorsque vous accordez des autorisations, vous sélectionnez qui obtient les autorisations pour telles ou telles ressources Systems Manager. Vous autorisez des actions spécifiques que vous souhaitez autoriser sur ces ressources. Par conséquent, vous devez accorder uniquement les autorisations qui sont requises pour exécuter une tâche. L'implémentation d'un accès sur la base du moindre privilège est fondamentale pour réduire les risques en matière de sécurité et l'impact que pourraient avoir des d'erreurs ou des actes de malveillance.
Les outils suivants sont disponibles pour l'implémentation d'un accès sur la base du moindre privilège :
+ [Politiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html) et [Limites d'autorisations pour des entités IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)
+ [Politiques de contrôle des services](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)
**Utiliser les paramètres recommandés pour SSM Agent lorsque vous êtes configuré pour utiliser un proxy**
Si vous configurez SSM Agent pour utiliser un proxy, utilisez la variable `no_proxy` avec l’adresse IP du service de métadonnées de l’instance de Systems Manager pour vous assurer que les appels à Systems Manager ne prennent pas l’identité du service proxy.
Pour plus d’informations, consultez [Configuration de SSM Agent pour l’utilisation d’un proxy sur les nœuds Linux](configure-proxy-ssm-agent.md) et [Configurer l'SSM Agent pour utiliser un proxy pour les instances Windows Server](configure-proxy-ssm-agent-windows.md).
**Utiliser SecureString des paramètres pour chiffrer et protéger les données secrètes**
Dans Parameter Store, un des outils d’ AWS Systems Manager, un paramètre `SecureString` correspond à des données sensibles qui doivent être stockées et référencées de manière sécurisée. Si vous ne souhaitez pas que les utilisateurs modifient ou référencent en texte brut, telles que des mots de passe ou des clés de licence, créez ces paramètres à l'aide du type de `SecureString` données. Parameter Storeutilise un AWS KMS key in AWS Key Management Service (AWS KMS) pour chiffrer la valeur du paramètre. AWS KMS utilise soit une clé gérée par le client, soit une clé Clé gérée par AWS lors du chiffrement de la valeur du paramètre. Pour une sécurité maximale, nous vous recommandons d'utiliser votre propre clé KMS. Si vous utilisez le Clé gérée par AWS, tout utilisateur autorisé à exécuter les [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameters.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameters.html)actions [https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameter.html](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_GetParameter.html)et dans votre compte peut consulter ou récupérer le contenu de tous les `SecureString` paramètres. Si vous utilisez des clés gérées par le client pour chiffrer vos valeurs `SecureString` sécurisées, vous pouvez utiliser des politiques IAM et des politiques de clé pour gérer les autorisations de chiffrement et de déchiffrement des paramètres.
Il est plus difficile d’établir des politiques de contrôle d’accès pour ces opérations lorsque vous utilisez une Clé gérée par AWS. Par exemple, si vous utilisez un Clé gérée par AWS pour chiffrer des `SecureString` paramètres et que vous ne souhaitez pas que les utilisateurs utilisent des `SecureString` paramètres, les politiques IAM de l'utilisateur doivent explicitement refuser l'accès à la clé par défaut.
Pour de plus amples informations, consultez [Restriction de l'accès aux paramètres Parameter Store à l'aide des stratégies IAM](sysman-paramstore-access.md) et [Comment AWS Systems ManagerParameter Store utilise la AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/services-parameter-store.html) dans le *Manuel du développeur AWS Key Management Service *.
**Définir des allowedValues et un allowedPattern pour les paramètres de document**
Vous pouvez valider les entrées utilisateur pour les paramètres de documents Systems Manager (SSM) en définissant `allowedValues` et `allowedPattern`. Pour `allowedValues`, vous définissez un tableau de valeurs autorisées pour le paramètre. Si un utilisateur saisit une valeur non autorisée, l'exécution échoue. Pour `allowedPattern`, vous définissez une expression régulière qui valide si l'entrée utilisateur correspond au modèle défini pour le paramètre. Si l'entrée utilisateur ne correspond pas au modèle autorisé, l'exécution échoue.
Pour plus d'informations sur `allowedValues` et `allowedPattern`, consultez [Éléments de données et paramètres](documents-syntax-data-elements-parameters.md).
**Bloquer le partage public de documents**
À moins que votre cas d'utilisation exige que le partage public soit autorisé, nous vous recommandons d'activer le paramètre de partage public de bloc pour vos documents SSM dans la section **Preferences (Préférences)** de la console Systems Manager Documents.
**Utilisation d'un Amazon Virtual Private Cloud (Amazon VPC) et de points de terminaison de VPC**
Vous pouvez utiliser Amazon VPC pour lancer AWS des ressources dans un réseau virtuel que vous avez défini. Ce réseau virtuel ressemble beaucoup à un réseau traditionnel que vous pourriez exécuter dans votre propre data center, et présente l'avantage d'utiliser l'infrastructure évolutive d' AWS.
En implémentant un point de terminaison VPC, vous pouvez connecter de manière privée votre VPC aux services de point de terminaison VPC pris en charge et Services AWS alimentés par celui-ci AWS PrivateLink sans avoir besoin d'une passerelle Internet, d'un périphérique NAT, d'une connexion VPN ou d'une connexion. AWS Direct Connect Les instances de votre VPC ne requièrent pas d'adresses IP publiques pour communiquer avec les ressources du service. Le trafic entre votre VPC et les autres services ne quitte pas le réseau Amazon.
Pour plus d’informations sur la sécurité d’Amazon VPC, consultez [Renforcement de la sécurité des instances EC2 à l’aide des points de terminaison de VPC pour Systems Manager](setup-create-vpc.md) et [Confidentialité du trafic inter-réseau dans Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html) dans le *Guide de l’utilisateur Amazon VPC*.
**Limiter les utilisateurs Session Manager aux sessions utilisant des commandes interactives et des documents de session SSM spécifiques**
Session Manager, un des outils d’AWS Systems Manager, fournit [plusieurs méthodes pour démarrer des sessions](session-manager-working-with-sessions-start.md) sur vos nœuds gérés. Pour les connexions les plus sécurisées, vous pouvez exiger que les utilisateurs se connectent à l'aide de la méthode des *commandes interactives* afin de limiter l'interaction de l'utilisateur à une commande ou une séquence de commandes spécifique. Cela vous permet de gérer les actions interactives qu'un utilisateur peut effectuer. Pour de plus amples informations, veuillez consulter [Démarrage d'une session (commandes interactives et non interactives)](session-manager-working-with-sessions-start.md#sessions-start-interactive-commands).
Pour plus de sécurité, vous pouvez limiter l'accès à Session Manager à des instances Amazon EC2 spécifiques et à des documents de session Session Manager spécifiques. Vous accordez ou révoquez Session Manager l'accès de cette manière en utilisant des politiques Gestion des identités et des accès AWS (IAM). Pour de plus amples informations, veuillez consulter [Étape 3 : Contrôler les accès de session aux nœuds gérés](session-manager-getting-started-restrict-access.md).
**Mise à disposition d'autorisations de nœud temporaires aux flux de travail Automation**
Lors d’un flux de travail dans Automation, un des outils d’AWS Systems Manager, vos nœuds peuvent avoir besoin d’autorisations nécessaires pour cette exécution uniquement, mais pas pour d’autres opérations Systems Manager. Par exemple, un flux de travail d'automatisation peut nécessiter qu'un nœud appelle une opération d'API particulière ou accède à une AWS ressource spécifiquement pendant le flux de travail. Si ces appels ou ressources sont ceux auxquels vous souhaitez limiter l'accès, vous pouvez fournir des autorisations supplémentaires temporaires pour vos nœuds dans le runbook Automation lui-même au lieu d'ajouter les autorisations à votre profil d'instance IAM. À la fin du flux de travail Automation, les autorisations temporaires sont supprimées. Pour plus d'informations, consultez l'article relatif à l'[affectation d'autorisations d'instance temporaires avec AWS Systems Manager Automations](https://aws.amazon.com/blogs/mt/providing-temporary-instance-permissions-with-aws-systems-manager-automations/) sur l'*AWS Management and Governance Blog*.
**Maintien à jour AWS et mise à jour des Systems Manager outils**
AWS publie régulièrement des versions mises à jour d'outils et de plugins que vous pouvez utiliser dans le Systems Manager cadre AWS de vos opérations. La mise à jour de ces ressources garantit que les utilisateurs et les nœuds de votre compte ont accès aux fonctionnalités et aux fonctions de sécurité les plus récentes de ces outils.
+ SSM Agent – AWS Systems Manager Agent (SSM Agent) est un logiciel Amazon qui peut être installé et configuré sur une instance Amazon Elastic Compute Cloud (Amazon EC2), un serveur sur site ou une machine virtuelle (VM). SSM Agent permet à Systems Manager de mettre à jour, de gérer et de configurer ces ressources. Nous vous recommandons de rechercher les nouvelles versions, ou d'automatiser les mises à jour de l'agent, au moins toutes les deux semaines. Pour plus d'informations, consultez [Automatisation des mises à jour de l'SSM Agent](ssm-agent-automatic-updates.md). Nous vous recommandons également de vérifier la signature de SSM Agent dans le cadre de votre processus de mise à jour. Pour plus d'informations, consultez [Vérification de la signature de SSM Agent](verify-agent-signature.md).
+ AWS CLI — The AWS Command Line Interface (AWS CLI) est un outil open source qui vous permet d'interagir à Services AWS l'aide de commandes dans votre interface de ligne de commande. Pour mettre à jour le AWS CLI, vous devez exécuter la même commande que celle utilisée pour installer le AWS CLI. Nous vous recommandons de créer une tâche planifiée sur votre ordinateur local pour exécuter la commande appropriée pour votre système d'exploitation au moins une fois toutes les deux semaines. Pour plus d'informations sur les commandes d'installation, consultez la section [Installation de la AWS CLI version 2](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) dans le *guide de AWS Command Line Interface l'utilisateur*.
+ AWS Tools for Windows PowerShell — Les outils pour Windows PowerShell sont un ensemble de PowerShell modules basés sur les fonctionnalités proposées par le AWS SDK pour .NET. Ils vous AWS Tools for Windows PowerShell permettent de scripter des opérations sur vos AWS ressources à partir de la ligne de PowerShell commande. Régulièrement, à mesure que des versions mises à jour des Outils pour Windows PowerShell sont publiées, vous devez mettre à jour la version que vous exécutez localement. Pour plus d'informations, consultez [la section Mise à AWS Tools for Windows PowerShell jour du sous Windows](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-getting-set-up-windows.html#pstools-updating) ou [Mise à AWS Tools for Windows PowerShell jour du sous Linux ou macOS](https://docs.aws.amazon.com/powershell/latest/userguide/pstools-getting-set-up-linux-mac.html#pstools-updating-linux) dans le *guide de l'utilisateur d'IAM Policy Simulator*.
+ Plugin Session Manager – si les utilisateurs de votre organisation disposant des autorisations nécessaires pour utiliser Session Manager veulent se connecter à un nœud à l'aide de l' AWS CLI, ils doivent d'abord installer le plugin Session Manager sur leurs ordinateurs locaux. Pour mettre à jour le plug-in, vous exécutez la même commande que pour l'installer. Nous vous recommandons de créer une tâche planifiée sur votre ordinateur local pour exécuter la commande appropriée pour votre système d'exploitation au moins une fois toutes les deux semaines. Pour plus d'informations, consultez [Installez le Session Manager plugin pour AWS CLI](session-manager-working-with-install-plugin.md).
+ CloudWatch agent : vous pouvez configurer et utiliser l' CloudWatch agent pour collecter des métriques et des journaux à partir de vos instances EC2, de vos instances sur site et de vos machines virtuelles (VM). Ces journaux peuvent être envoyés à Amazon CloudWatch Logs à des fins de surveillance et d'analyse. Nous vous recommandons de rechercher les nouvelles versions, ou d'automatiser les mises à jour de l'agent, au moins toutes les deux semaines. Pour les mises à jour les plus simples, utilisez la configuration rapide AWS Systems Manager. Pour plus d'informations, consultez [AWS Systems Manager Quick Setup](systems-manager-quick-setup.md).
## Bonnes pratiques d’installation de SSM Agent
Lors de l’installation de SSM Agent, utilisez la méthode d’installation adaptée à votre type de machine. Utilisez notamment l’outil `ssm-setup-cli` pour toutes les installations non EC2 dans un environnement [hybride et multicloud](operating-systems-and-machine-types.md#supported-machine-types). Cet outil fournit des protections de sécurité supplémentaires pour les machines non EC2.
Pour installer l’agent sur des serveurs et des machines virtuelles sur site, utilisez l’outil `ssm-setup-cli` comme décrit dans les rubriques suivantes :
+ [Installer SSM Agent sur les nœuds Linux hybrides](hybrid-multicloud-ssm-agent-install-linux.md)
+ [Installer SSM Agent sur les nœuds hybrides Windows Server](hybrid-multicloud-ssm-agent-install-windows.md)
Pour installer l’agent sur des instances EC2, suivez la procédure d’installation correspondant à votre type de système d’exploitation :
+ [Installation et désinstallation manuelles de SSM Agent sur les instances EC2 pour Linux](manually-install-ssm-agent-linux.md)
+ [Installation et désinstallation manuelles de SSM Agent sur les instances EC2 pour macOS](manually-install-ssm-agent-macos.md)
+ [Installation et désinstallation manuelles de SSM Agent sur les instances EC2 pour Windows Server](manually-install-ssm-agent-windows.md)
## Bonnes pratiques de surveillance et d'audit pour Systems Manager
Les bonnes pratiques suivantes pour Systems Manager peuvent aider à détecter les vulnérabilités et les incidents de sécurité potentiels.
**Identifier et auditer l'intégralité de vos resources Systems Manager**
L'identification de vos ressources informatiques est un aspect crucial de la gouvernance et de la sécurité. Vous devez identifier toutes vos ressources Systems Manager pour évaluer leur niveau de sécurité et agir sur les zones de vulnérabilité potentielles.
Utilisez Tag Editor pour identifier les ressources sensibles en termes de sécurité ou d'audit, puis utilisez les balises générées lorsque vous devez rechercher ces ressources. Pour plus d'informations, consultez [Recherche de ressources à baliser](https://docs.aws.amazon.com/ARG/latest/userguide/find-resources-to-tag.html) dans le *Guide de l'utilisateur Groupes de ressources AWS *.
Créez des groupes de ressources pour vos ressourcesSystems Manager. Pour plus d'informations, consultez [Présentation des groupes de ressources](https://docs.aws.amazon.com/ARG/latest/userguide/resource-groups.html).
**Mettre en œuvre la surveillance à l'aide CloudWatch des outils de surveillance Amazon**
La surveillance est un enjeu important pour assurer la fiabilité, la sécurité, la disponibilité et les performances d’Systems Manager et de vos solutions AWS . Amazon CloudWatch fournit plusieurs outils et services pour vous aider à surveiller Systems Manager et à surveiller vos autres Services AWS. Pour plus d’informations, consultez [Envoi des journaux des nœuds vers CloudWatch des journaux unifiés (CloudWatch agent)](monitoring-cloudwatch-agent.md) et [Surveillance des événements de Systems Manager avec Amazon EventBridge](monitoring-eventbridge-events.md).
**Utiliser CloudTrail**
AWS CloudTrail fournit un enregistrement des actions entreprises par un utilisateur, un rôle ou un Service AWS utilisateurSystems Manager. À l'aide des informations collectées par CloudTrail, vous pouvez déterminer la demande qui a été faiteSystems Manager, l'adresse IP à partir de laquelle la demande a été faite, qui a fait la demande, quand elle a été faite et des détails supplémentaires. Pour de plus amples informations, veuillez consulter [Journalisation des appels d' AWS Systems Manager API avec AWS CloudTrail](monitoring-cloudtrail-logs.md).
**Allumez AWS Config**
AWS Config vous permet d'évaluer, d'auditer et d'évaluer les configurations de vos AWS ressources. AWS Config surveille les configurations des ressources, ce qui vous permet d'évaluer les configurations enregistrées par rapport aux configurations sécurisées requises. Vous pouvez ainsi examiner les modifications apportées aux configurations et les relations entre les AWS ressources, étudier les historiques détaillés de configuration des ressources et déterminer votre conformité globale par rapport aux configurations spécifiées dans vos directives internes. AWS Config Cela peut vous aider à simplifier le contrôle de la conformité, l'analyse de la sécurité, la gestion des modifications et le diagnostic de défaillances opérationnelles. Pour plus d'informations, consultez [Configuration de AWS Config à l'aide de la console](https://docs.aws.amazon.com/config/latest/developerguide/gs-console.html) dans le *Manuel du développeur AWS Config *. Lors de la spécification des types de ressource à enregistrer, assurez-vous d'inclure les ressources Systems Manager.
**Surveillez les avis AWS de sécurité**
Vous devriez consulter régulièrement les avis de sécurité publiés Trusted Advisor pour votre Compte AWS. Vous pouvez le faire par programmation en utilisant [describe-trusted-advisor-checks](https://docs.aws.amazon.com/cli/latest/reference/support/describe-trusted-advisor-checks.html).
De plus, surveillez activement l'adresse e-mail principale enregistrée pour chacun de vos Comptes AWS. AWS vous contactera, à l'aide de cette adresse e-mail, au sujet des problèmes de sécurité émergents susceptibles de vous affecter.
AWS les problèmes opérationnels ayant un impact important sont publiés sur le [AWS Service Health Dashboard](https://status.aws.amazon.com/). Les problèmes opérationnels sont également publiés dans les différents comptes via le tableau de bord d'état personnel. Pour de plus amples d'informations, consultez [la documentation AWS Health](https://docs.aws.amazon.com/health/).
**Plus d'informations**
+ [Bonnes pratiques en matière de sécurité, d'identité et de conformité](https://aws.amazon.com/architecture/security-identity-compliance/)
+ [Mise en route : suivez les meilleures pratiques de sécurité lors de la configuration de vos AWS ressources](https://aws.amazon.com/blogs/security/getting-started-follow-security-best-practices-as-you-configure-your-aws-resources/) (blog sur AWS la sécurité)
+ [Bonnes pratiques de sécurité dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [Bonnes pratiques en matière de sécurité dans AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/best-practices-security.html)
+ [Bonnes pratiques de sécurité pour Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/security-best-practices.html)
+ [Bonnes pratiques de sécurité pour AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/best-practices.html)