# Identity and Access Management
<a name="a-identity-and-access-management"></a>

**Topics**
+ [SEC 2 Comment gérer l'authentification pour les personnes et les machines ?](w2aac19b7b7b5.md)
+ [SEC 3  Comment gérer les autorisations des personnes et des machines ?](w2aac19b7b7b7.md)

# SEC 2 Comment gérer l'authentification pour les personnes et les machines ?
<a name="w2aac19b7b7b5"></a>

 Il existe deux types d'identités à gérer dans le cadre de l'exploitation de charges de travail AWS sécurisées. Comprendre le type d'identité à gérer et dont vous devez autoriser l'accès vous permet de garantir l'accès aux ressources adéquates, dans les bonnes conditions. 

Identités humaines : vos administrateurs, développeurs, opérateurs et utilisateurs finaux ont besoin d'une identité pour accéder à vos environnements et applications AWS. Il s'agit des membres de votre organisation ou des utilisateurs externes avec lesquels vous collaborez et qui interagissent avec vos ressources AWS via un navigateur Web, une application cliente ou des outils de ligne de commande interactifs. 

Identités de machines : vos applications de service, outils opérationnels et charges de travail nécessitent une identité pour envoyer des demandes aux services AWS, par exemple pour lire des données. Ces identités comprennent des machines s'exécutant dans votre environnement AWS, telles que des instances Amazon EC2 ou des fonctions AWS Lambda. Vous pouvez également gérer les identités de machines pour les tiers qui ont besoin d'un accès. De plus, certaines machines en dehors d'AWS peuvent avoir besoin d'accéder à votre environnement AWS. 

**Topics**
+ [SEC02-BP01 Utiliser de solides mécanismes d'authentification](sec_identities_enforce_mechanisms.md)
+ [SEC02-BP02 Utiliser des informations d'identification temporaires](sec_identities_unique.md)
+ [SEC02-BP03 Stocker et utiliser des secrets en toute sécurité](sec_identities_secrets.md)
+ [SEC02-BP04 S'appuyer sur un fournisseur d'identité centralisé](sec_identities_identity_provider.md)
+ [SEC02-BP05 Contrôler et effectuer régulièrement une rotation des informations d'identification](sec_identities_audit.md)
+ [SEC02-BP06 Tirer parti des groupes d'utilisateurs et des attributs](sec_identities_groups_attributes.md)

# SEC02-BP01 Utiliser de solides mécanismes d'authentification
<a name="sec_identities_enforce_mechanisms"></a>

 Appliquez une longueur minimale pour les mots de passe et formez vos utilisateurs à éviter les mots de passe courants ou réutilisés. Appliquez la MFA (Multi-Factor Authentication) avec des mécanismes logiciels ou matériels pour fournir une couche supplémentaire de vérification. Par exemple, lorsque vous utilisez IAM Identity Center comme source d'identité, configurez le paramètre « contextuel » ou « toujours activé » pour MFA et autorisez les utilisateurs à inscrire leurs propres appareils MFA pour accélérer l'adoption. Lorsque vous utilisez un fournisseur d'identité (IdP) externe, configurez votre IdP pour MFA. 

 **Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit 

## Directives d'implémentation
<a name="implementation-guidance"></a>
+  Créer une politique Identity and Access Management (IAM) pour appliquer l'authentification MFA : créez une politique IAM gérée par le client qui interdit toutes les actions IAM, à l'exception de celles qui permettent à un utilisateur d'endosser des rôles, de modifier ses propres informations d'identification et de gérer ses périphériques MFA sur la [page « Mes informations d'identification de sécurité ».](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_users-self-manage-mfa-and-creds.html#tutorial_mfa_step1). 
+  Activer l'authentification MFA dans votre fournisseur d'identité : activez [MFA](https:/aws.amazon.com/iam/details/mfa) dans le fournisseur d'identité ou le service d'authentification unique, comme [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/step1.html), que vous utilisez. 
+  Configurer une stratégie de mot de passe fort : configurez une stratégie de [mot de passe fort](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html?ref=wellarchitected) dans IAM et un système d'identités fédérées pour assurer une meilleure protection contre les attaques par force brute. 
+  [Effectuer une rotation régulière des informations d'identification](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#rotate-credentials) : assurez-vous que les administrateurs de votre charge de travail modifient régulièrement leurs mots de passe et clés d'accès (le cas échéant). 

## Ressources
<a name="resources"></a>

 **Documents connexes :** 
+  [Démarrer avec AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html) 
+  [Bonnes pratiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) 
+  [Fournisseurs d'identité et fédération](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html) 
+  [Utilisateur racine d'un compte AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html?ref=wellarchitected) 
+  [Démarrer avec AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html?ref=wellarchitected) 
+   [Informations d'identification de sécurité temporaires](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html?ref=wellarchitected) 
+  [Solutions partenaires de sécurité : accès et contrôle d'accès](https://aws.amazon.com/security/partner-solutions/#access-control) 
+  [Informations d'identification de sécurité temporaires](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) 
+  [Utilisateur racine d'un compte AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html) 

 **Vidéos connexes :** 
+  [Bonnes pratiques de gestion, d'extraction et de renouvellement des secrets à grande échelle](https://youtu.be/qoxxRlwJKZ4) 
+  [Gestion des autorisations utilisateur à grande échelle avec IAM Identity Center](https://youtu.be/aEIqeFCcK7E) 
+  [Maîtrise des identités dans chaque couche](https://www.youtube.com/watch?v=vbjFjMNVEpc) 

# SEC02-BP02 Utiliser des informations d'identification temporaires
<a name="sec_identities_unique"></a>

 demandez aux identités d'acquérir des [informations d'identification temporaires de façon dynamique](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_request.html). Pour les identités humaines, utilisez AWS IAM Identity Center ou la fédération avec les rôles Gestion des identités et des accès AWS (IAM) pour accéder aux Comptes AWS. Les identités machine, telles que les instances Amazon Elastic Compute Cloud(Amazon EC2) ou les fonctions AWS Lambda, nécessitent l'utilisation de rôles IAM au lieu d'utilisateurs IAM avec des clés d'accès à long terme. 

Pour les identités humaines utilisant AWS Management Console, vous devez obliger les utilisateurs à acquérir des informations d'identification temporaires et à se fédérer dans AWS. Pour ce faire, utilisez le portail utilisateur AWS IAM Identity Center. Pour les utilisateurs nécessitant un accès à l'interface de ligne de commande, assurez-vous qu'ils utilisent [AWS CLI v2](http://aws.amazon.com/blogs/developer/aws-cli-v2-is-now-generally-available/), qui prend en charge l'intégration directe avec IAM Identity Center. Les utilisateurs peuvent créer des profils d'interface de ligne de commande qui sont liés à des comptes et des rôles IAM Identity Center. L'interface de ligne de commande récupère automatiquement les informations d'identification AWS auprès d'IAM Identity Center et les actualise en votre nom. Vous n'avez ainsi plus besoin de copier et coller des informations d'identification AWS temporaires à partir de la console IAM Identity Center. Pour le kit SDK, les utilisateurs doivent s'appuyer sur AWS Security Token Service (AWS STS) pour endosser des rôles et recevoir des informations d'identification temporaires. Dans certains cas, les informations d'identification temporaires peuvent ne pas être pratiques. Vous devez être conscient des risques liés au stockage des clés d'accès, effectuez-en régulièrement une rotation et exigez l'authentification multifacteur (MFA) comme condition dans la mesure du possible. Utilisez les dernières informations consultées pour déterminer quand changer ou supprimer les clés d'accès.

Dans les cas où vous devez accorder aux consommateurs l'accès à vos ressources AWS, utilisez les groupes d'identités [Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/role-based-access-control.html) et attribuez-leur un ensemble d'informations d'identification temporaires à privilèges limités pour accéder à vos ressources AWS. Les autorisations pour chaque utilisateur sont contrôlées par le biais [de rôles IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) que vous créez. Vous pouvez définir des règles pour choisir le rôle pour chaque utilisateur en fonction des demandes du jeton d'identification de l'utilisateur. Vous pouvez définir un rôle par défaut pour les utilisateurs authentifiés. Vous pouvez également définir un rôle IAM distinct avec des autorisations limitées pour les utilisateurs invités qui ne sont pas authentifiés.

Pour les identités machine, vous devez utiliser les rôles IAM pour accorder l'accès à AWS. Pour les instances Amazon Elastic Compute Cloud(Amazon EC2), vous pouvez utiliser [des rôles pour Amazon EC2](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html). Vous pouvez attacher un rôle IAM à votre instance Amazon EC2 pour permettre à vos applications s'exécutant sur Amazon EC2 d'utiliser des informations d'identification de sécurité temporaires qu'AWS crée, distribue et alterne automatiquement via le service IMDS (Instance Metadata Service). La [dernière version](https://aws.amazon.com/blogs/security/defense-in-depth-open-firewalls-reverse-proxies-ssrf-vulnerabilities-ec2-instance-metadata-service/) d'IMDS contribue à protéger contre les vulnérabilités qui exposent les informations d'identification temporaires, et doit être implémentée. Pour accéder aux instances Amazon EC2 à l'aide de clés ou de mots de passe, [AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html) est un moyen plus sécurisé d'accéder à vos instances et de les gérer à l'aide d'un agent préinstallé sans le secret stocké. En outre, d'autres services AWS, tels qu'AWS Lambda, vous permettent de configurer un rôle de service IAM pour accorder au service les autorisations nécessaires pour exécuter des actions AWS à l'aide d'informations d'identification temporaires. Dans les situations où vous ne pouvez pas utiliser d'informations d'identification temporaires, optez pour des outils de programmation, comme [AWS Secrets Manager](https://aws.amazon.com/secrets-manager/), pour automatiser la rotation et la gestion des informations d'identification.

**Contrôler et effectuer régulièrement une rotation des informations d'identification : **La validation régulière, de préférence via un outil automatisé, est nécessaire pour vérifier que les contrôles corrects sont appliqués. Pour les identités humaines, vous devez obliger les utilisateurs à modifier leurs mots de passe régulièrement et à abandonner les clés d'accès au profit d'informations d'identification temporaires. Lorsque vous passez d'utilisateurs IAM à des identités centralisées, vous pouvez [générer un rapport d'informations d'identification ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html)pour auditer vos utilisateurs IAM. Nous vous recommandons également d'appliquer les paramètres MFA dans votre fournisseur d'identité. Vous pouvez configurer des règles [AWS Config Rules](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) pour surveiller ces paramètres. Pour les identités machine, vous devez vous appuyer sur des informations d'identification temporaires à l'aide des rôles IAM. Pour les situations où cela n'est pas possible, un audit fréquent et une rotation des clés d'accès sont nécessaires.

**Stocker et utiliser des secrets en toute sécurité :** Pour les informations d'identification qui ne sont pas liées à IAM et qui ne peuvent pas être temporaires, telles que les connexions de base de données, utilisez un service conçu pour gérer les secrets, comme [Secrets Manager](https://aws.amazon.com/secrets-manager/). Secrets Manager facilite la gestion, la rotation et le stockage en toute sécurité des secrets chiffrés à l'aide des [services supportés](https://docs.aws.amazon.com/secretsmanager/latest/userguide/integrating.html). Les appels pour accéder aux secrets sont consignés dans AWS CloudTrail à des fins d'audit, et les autorisations IAM peuvent leur accorder un accès selon le principe du moindre privilège.

 **Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit 

## Directives d'implémentation
<a name="implementation-guidance"></a>
+  Implémenter des politiques du moindre privilège : attribuez des politiques d'accès avec le moins de privilèges possibles aux groupes et rôles IAM pour rester cohérent avec le rôle ou la fonction de l'utilisateur que vous avez défini. 
  +  [Accorder le privilège le plus faible](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) 
+  Supprimer les autorisations inutiles : implémentez la politique du moindre privilège en supprimant les autorisations superflues. 
  +  [Réduction de la portée de la politique en affichant l'activité des utilisateurs](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html) 
  +  [Afficher l'accès du rôle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#roles-delete_prerequisites) 
+  Envisager des limites d'autorisations : une limite des autorisations est une fonction avancée permettant d'utiliser une stratégie gérée qui définit les autorisations maximales qu'une entité IAM peut recevoir d'une politique basée sur une identité. La limite des autorisations d'une entité lui permet d'exécuter uniquement les actions autorisées par ses stratégies basées sur l'identité et ses limites d'autorisations. 
  +  [Atelier : Limites d'autorisations IAM et délégation de la création de rôles](https://wellarchitectedlabs.com/Security/300_IAM_Permission_Boundaries_Delegating_Role_Creation/README.html) 
+  Prendre en compte les balises de ressource pour les autorisations : vous pouvez utiliser des balises pour contrôler l'accès aux ressources AWS qui prennent en charge le balisage. Vous pouvez également baliser des utilisateurs et des rôles IAM pour contrôler les éléments auxquels ils peuvent accéder. 
  +  [Atelier : Contrôle d'accès basé sur les balises IAM pour EC2](https://wellarchitectedlabs.com/Security/300_IAM_Tag_Based_Access_Control_for_EC2/README.html) 
  +  [Contrôle d'accès basé sur les attributs (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) 

## Ressources
<a name="resources"></a>

 **Documents connexes :** 
+  [Démarrer avec AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html) 
+  [Bonnes pratiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) 
+  [Fournisseurs d'identité et fédération](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html) 
+  [Solutions partenaires de sécurité : accès et contrôle d'accès](https://aws.amazon.com/security/partner-solutions/#access-control) 
+  [Informations d'identification de sécurité temporaires](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) 
+  [Utilisateur racine d'un compte AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html) 

 **Vidéos connexes :** 
+  [Bonnes pratiques de gestion, d'extraction et de renouvellement des secrets à grande échelle](https://youtu.be/qoxxRlwJKZ4) 
+  [Gestion des autorisations utilisateur à grande échelle avec AWS IAM Identity Center](https://youtu.be/aEIqeFCcK7E) 
+  [Maîtrise des identités dans chaque couche](https://www.youtube.com/watch?v=vbjFjMNVEpc) 

# SEC02-BP03 Stocker et utiliser des secrets en toute sécurité
<a name="sec_identities_secrets"></a>

 Pour les identités d'employés et les identités machine qui nécessitent des secrets, tels que les mots de passe d'applications tierces, stockez-les avec une rotation automatique en utilisant les dernières normes du secteur dans un service spécialisé, tout comme les informations d'identification qui ne sont pas liées à IAM et qui ne peuvent pas être temporaires, telles que les connexions de base de données, utilisent un service conçu pour gérer la gestion des secrets, comme AWS Secrets Manager. Secrets Manager facilite la gestion, la rotation et le stockage sécurisé des secrets chiffrés à l'aide des services pris en charge. Les appels pour accéder aux secrets sont consignés dans AWS CloudTrail à des fins d'audit, et les autorisations IAM peuvent leur accorder un accès selon le principe du moindre privilège. 

 **Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit 

## Directives d'implémentation
<a name="implementation-guidance"></a>
+  Utiliser AWS Secrets Manager : [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) est un service AWS qui facilite la gestion des secrets. Il peut s'agir d'informations d'identification pour une base de données, de mots de passe, de clés d'API tierces, voire de texte arbitraire. 

## Ressources
<a name="resources"></a>

 **Documents connexes :** 
+  [Démarrer avec AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html)
+  [Fournisseurs d'identité et fédération](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html) 

 **Vidéos connexes :** 
+  [Bonnes pratiques de gestion, d'extraction et de renouvellement des secrets à grande échelle](https://youtu.be/qoxxRlwJKZ4) 

# SEC02-BP04 S'appuyer sur un fournisseur d'identité centralisé
<a name="sec_identities_identity_provider"></a>

 Pour les identités humaines, appuyez-vous sur un fournisseur d'identité vous permettant de gérer les identités dans un emplacement centralisé. Cela facilite la gestion de l'accès entre plusieurs applications et services, car vous créez, gérez et révoquez l'accès depuis un seul emplacement. Par exemple, si quelqu'un quitte votre organisation, vous pouvez révoquer l'accès à toutes les applications et services (y compris AWS) depuis un seul emplacement. Cela réduit le nombre d'informations d'identification nécessaires et permet l'intégration aux processus de ressources humaines (RH) existants. 

Pour la fédération avec des comptes AWS individuels, vous pouvez utiliser des identités centralisées pour AWS ayant un fournisseur SAML 2.0 avec Gestion des identités et des accès AWS. Vous pouvez utiliser n'importe quel fournisseur, qu'il soit hébergé par vous sur AWS, externe à AWS ou fourni par le réseau de partenaires AWS Partner, compatible avec le protocole [SAML 2.0](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml.html) . Vous pouvez utiliser la fédération entre votre compte AWS et le fournisseur choisi pour accorder à un utilisateur ou à une application l'accès pour appeler les opérations d'API AWS à l'aide d'une assertion SAML afin d'obtenir des informations d'identification de sécurité temporaires. L'authentification unique basée sur le web est également prise en charge, ce qui permet aux utilisateurs de se connecter à AWS Management Console à partir de votre site web de connexion.

Pour la fédération sur plusieurs comptes de votre AWS Organizations, vous pouvez configurer votre source d'identité dans [AWS IAM Identity Center (IAM Identity Center)](http://aws.amazon.com/single-sign-on/), et spécifier où vos utilisateurs et groupes sont stockés. Une fois configuré, votre fournisseur d'identité est votre source de vérité et les informations peuvent être [synchronisées](https://docs.aws.amazon.com/singlesignon/latest/userguide/provision-automatically.html) à l'aide du protocole SCIM (System for Cross-domain Identity Management) v2.0. Vous pouvez ensuite rechercher des utilisateurs ou des groupes et leur accorder un accès IAM Identity Center aux comptes AWS, aux applications cloud ou aux deux.

IAM Identity Center s'intègre à AWS Organizations, ce qui vous permet de configurer votre fournisseur d'identité une fois, puis [d'accorder l'accès aux comptes existants et aux nouveaux comptes](https://docs.aws.amazon.com/singlesignon/latest/userguide/useraccess.html) gérés dans votre organisation. IAM Identity Center vous fournit un stockage par défaut, que vous pouvez utiliser pour gérer vos utilisateurs et groupes. Si vous choisissez d'utiliser le stockage IAM Identity Center, créez vos utilisateurs et groupes et attribuez leur niveau d'accès à vos comptes et applications AWS, en gardant à l'esprit la bonne pratique du moindre privilège. Sinon, vous pouvez choisir de vous [connecter à votre fournisseur d'identité externe ](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html)à l'aide de SAML 2.0 ou [de vous connecter à votre annuaire Microsoft AD](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-ad.html) à l'aide d’AWS Directory Service. Une fois configuré, vous pouvez vous connecter à AWS Management Console ou à l'application mobile AWS en vous authentifiant via votre fournisseur d'identité central.

Pour gérer les utilisateurs finaux ou les consommateurs de vos charges de travail, comme une application mobile, vous pouvez utiliser [Amazon Cognito](http://aws.amazon.com/cognito/). Il fournit les fonctions d'authentification, d'autorisation et de gestion des utilisateurs pour vos applications Web et mobiles. Vos utilisateurs peuvent se connecter directement avec un nom d'utilisateur et un mot de passe, ou via un tiers tel que Amazon, Apple, Facebook ou Google.

 **Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit 

## Directives d'implémentation
<a name="implementation-guidance"></a>
+  Centraliser l'accès administratif : créez une entité de fournisseur d'identité de gestion des identités et des accès (IAM) pour établir une relation de confiance entre votre Compte AWS et votre fournisseur d'identité (IdP). IAM prend en charge les IdP compatibles avec OpenID Connect (OIDC) ou SAML 2.0 (Security Assertion Markup Language 2.0). 
  +  [Fournisseurs d'identité et fédération](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html) 
+  Centraliser l'accès aux applications : envisagez Amazon Cognito pour centraliser l'accès aux applications. Cognito vous permet d'ajouter rapidement et facilement une inscription et une connexion utilisateur ainsi qu'un contrôle d'accès à vos applications Web et mobiles. [Amazon Cognito](https://aws.amazon.com/cognito/) s'adapte à des millions d'utilisateurs et prend en charge la connexion avec les fournisseurs d'identité sociale comme Facebook, Google et Amazon, ainsi qu'avec les fournisseurs d'identité entreprise via SAML 2.0. 
+  Supprimez les utilisateurs et les groupes IAM obsolètes : une fois que vous commencez à utiliser un fournisseur d'identité (IdP), supprimez les utilisateurs et groupes IAM qui ne sont plus nécessaires. 
  +  [Identification des informations d'identification non utilisées](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_finding-unused.html) 
  +  [Suppression d'un groupe IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_delete.html) 

## Ressources
<a name="resources"></a>

 **Documents connexes :** 
+  [Bonnes pratiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) 
+  [Solutions partenaires de sécurité : accès et contrôle d'accès](https://aws.amazon.com/security/partner-solutions/#access-control) 
+  [Informations d'identification de sécurité temporaires](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) 
+  [Utilisateur racine d'un compte AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html) 

 **Vidéos connexes :** 
+  [Bonnes pratiques de gestion, d'extraction et de renouvellement des secrets à grande échelle](https://youtu.be/qoxxRlwJKZ4) 
+  [Gestion des autorisations utilisateur à grande échelle avec AWS IAM Identity Center](https://youtu.be/aEIqeFCcK7E) 
+  [Maîtrise des identités dans chaque couche](https://www.youtube.com/watch?v=vbjFjMNVEpc) 

# SEC02-BP05 Contrôler et effectuer régulièrement une rotation des informations d'identification
<a name="sec_identities_audit"></a>

 Lorsque l'utilisation d'informations d'identification temporaires est impossible et que vous avez besoin d'informations d'identification à long terme, vérifiez les informations d'identification pour vous assurer que les contrôles définis, tels que l'authentification multifacteur (MFA) sont appliqués, changés régulièrement et disposent du niveau d'accès approprié. La validation régulière, de préférence via un outil automatisé, est nécessaire pour vérifier que les contrôles corrects sont appliqués. Pour les identités humaines, vous devez obliger les utilisateurs à modifier leurs mots de passe régulièrement et à abandonner les clés d'accès au profit d'informations d'identification temporaires. Lorsque vous passez d'utilisateurs Gestion des identités et des accès AWS (IAM) à des identités centralisées, vous pouvez [générer un rapport d'informations d'identification ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html)pour auditer vos utilisateurs IAM. Nous vous recommandons également d'appliquer les paramètres MFA dans votre fournisseur d'identité. Vous pouvez configurer des règles [AWS Config Rules](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) pour surveiller ces paramètres. Pour les identités machine, vous devez vous appuyer sur des informations d'identification temporaires à l'aide des rôles IAM. Pour les situations où cela n'est pas possible, un audit fréquent et une rotation des clés d'accès sont nécessaires. 

 **Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise 

## Directives d'implémentation
<a name="implementation-guidance"></a>
+  Contrôler régulièrement les informations d'identification : utilisez les rapports sur les informations d'identification et Identify and Access Management (IAM) Access Analyzer pour contrôler les informations d'identification et les autorisations IAM. 
  +  [IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) 
  +  [Générer un rapport d'informations d'identification](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html) 
  +  [Atelier : Nettoyage automatisé des utilisateurs IAM](https://wellarchitectedlabs.com/Security/200_Automated_IAM_User_Cleanup/README.html?ref=wellarchitected-tool) 
+  Utiliser les niveaux d'accès pour examiner les autorisations IAM : pour améliorer la sécurité de votre Compte AWS, examinez et surveillez régulièrement chacune de vos politiques IAM. Veillez à ce que vos stratégies accordent le moins de privilèges possible pour n'effectuer que les actions nécessaires. 
  +  [Utiliser des niveaux d'accès pour vérifier les autorisations IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#use-access-levels-to-review-permissions) 
+  Envisager d'automatiser la création et les mises à jour des ressources IAM : AWS CloudFormation peut être utilisé pour automatiser le déploiement des ressources IAM, y compris les rôles et les politiques, afin de réduire les erreurs humaines, car les modèles peuvent être vérifiés et contrôlés par leur version. 
  +  [Atelier : Déploiement automatisé des groupes et rôles IAM](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_IAM_Groups_and_Roles/README.html) 

## Ressources
<a name="resources"></a>

 **Documents connexes :** 
+  [Démarrer avec AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html) 
+  [Bonnes pratiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) 
+  [Fournisseurs d'identité et fédération](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html) 
+  [Solutions partenaires de sécurité : accès et contrôle d'accès](https://aws.amazon.com/security/partner-solutions/#access-control) 
+  [Informations d'identification de sécurité temporaires](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) 

 **Vidéos connexes :** 
+  [Bonnes pratiques de gestion, d'extraction et de renouvellement des secrets à grande échelle](https://youtu.be/qoxxRlwJKZ4) 
+  [Gestion des autorisations utilisateur à grande échelle avec AWS IAM Identity Center](https://youtu.be/aEIqeFCcK7E) 
+  [Maîtrise des identités dans chaque couche](https://www.youtube.com/watch?v=vbjFjMNVEpc) 

# SEC02-BP06 Tirer parti des groupes d'utilisateurs et des attributs
<a name="sec_identities_groups_attributes"></a>

 Au fur et à mesure que le nombre d'utilisateurs que vous gérez augmente, vous devez déterminer les moyens de les organiser afin de pouvoir les gérer à grande échelle. Placez les utilisateurs ayant des exigences de sécurité communes dans des groupes définis par votre fournisseur d'identité et mettez en place des mécanismes pour s'assurer que les attributs pouvant être utilisés pour le contrôle d'accès (par exemple, service ou emplacement) sont corrects et mis à jour. Utilisez ces groupes et attributs pour contrôler l'accès plutôt que des utilisateurs individuels. Cela vous permet de gérer l'accès de manière centralisée en modifiant une fois l'appartenance à un groupe ou les attributs d'un utilisateur avec un [jeu d'autorisations](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsets.html), plutôt que de mettre à jour de nombreuses stratégies individuelles lorsque les besoins d'accès d'un utilisateur changent. Vous pouvez utiliser AWS IAM Identity Center (IAM Identity Center) pour gérer les groupes d'utilisateurs et les attributs. IAM Identity Center prend en charge les attributs les plus couramment utilisés, qu'ils soient saisis manuellement lors de la création de l'utilisateur ou alloués automatiquement à l'aide d'un moteur de synchronisation, tel que défini dans la spécification SCIM (Cross-Domain Identity Management). 

Placez les utilisateurs ayant des exigences de sécurité communes dans des groupes définis par votre fournisseur d'identité et mettez en place des mécanismes pour s'assurer que les attributs pouvant être utilisés pour le contrôle d'accès (par exemple, service ou emplacement) sont corrects et mis à jour. Utilisez ces groupes et attributs, plutôt que des utilisateurs individuels, pour contrôler l'accès. Cela vous permet de gérer l'accès de manière centralisée en modifiant l'appartenance à un groupe ou les attributs d'un utilisateur une fois, plutôt que de mettre à jour de nombreuses stratégies individuelles lorsque les besoins d'accès d'un utilisateur changent.

 **Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Faible 

## Directives d'implémentation
<a name="implementation-guidance"></a>
+  Si vous utilisez AWS IAM Identity Center (IAM Identity Center), configurez des groupes : IAM Identity Center vous permet de configurer des groupes d'utilisateurs et d'attribuer aux groupes le niveau d'autorisation souhaité. 
  +  [Authentification unique AWS : gérer les identités](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-sso.html) 
+  Familiarisez-vous avec le contrôle d'accès basé sur les attributs (ABAC) : l'ABAC est une stratégie d'autorisation qui définit les autorisations en fonction des attributs. 
  +  [Qu'est-ce que l'ABAC pour AWS ?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) 
  +  [Atelier : Contrôle d'accès basé sur les balises IAM pour EC2](https://www.wellarchitectedlabs.com/Security/300_IAM_Tag_Based_Access_Control_for_EC2/README.html) 

## Ressources
<a name="resources"></a>

 **Documents connexes :** 
+  [Démarrer avec AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html) 
+  [Bonnes pratiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) 
+  [Fournisseurs d'identité et fédération](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html) 
+  [Utilisateur racine d'un compte AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html) 

 **Vidéos connexes :** 
+  [Bonnes pratiques de gestion, d'extraction et de renouvellement des secrets à grande échelle](https://youtu.be/qoxxRlwJKZ4) 
+  [Gestion des autorisations utilisateur à grande échelle avec AWS IAM Identity Center](https://youtu.be/aEIqeFCcK7E) 
+  [Maîtrise des identités dans chaque couche](https://www.youtube.com/watch?v=vbjFjMNVEpc) 

 **Exemples connexes :** 
+  [Atelier : Contrôle d'accès basé sur les balises IAM pour EC2](https://www.wellarchitectedlabs.com/Security/300_IAM_Tag_Based_Access_Control_for_EC2/README.html) 

# SEC 3  Comment gérer les autorisations des personnes et des machines ?
<a name="w2aac19b7b7b7"></a>

 Gérez les autorisations des identités de personnes et de machines qui nécessitent un accès à AWS ainsi qu'à votre charge de travail. Les autorisations régissent les ressources accessibles et les conditions d'accès. 

**Topics**
+ [SEC03-BP01 Définir les conditions d'accès](sec_permissions_define.md)
+ [SEC03-BP02 Accorder un accès selon le principe du moindre privilège](sec_permissions_least_privileges.md)
+ [SEC03-BP03 Établir un processus d'accès d'urgence](sec_permissions_emergency_process.md)
+ [SEC03-BP04 Limiter les autorisations au minimum requis en permanence](sec_permissions_continuous_reduction.md)
+ [SEC03-BP05 Définir des protections par autorisation pour votre organisation](sec_permissions_define_guardrails.md)
+ [SEC03-BP06 Gérer l'accès en fonction du cycle de vie](sec_permissions_lifecycle.md)
+ [SEC03-BP07 Analyser l'accès public et entre les comptes](sec_permissions_analyze_cross_account.md)
+ [SEC03-BP08 Partager des ressources en toute sécurité](sec_permissions_share_securely.md)

# SEC03-BP01 Définir les conditions d'accès
<a name="sec_permissions_define"></a>

Les administrateurs, utilisateurs finaux ou autres composants doivent pouvoir accéder à chaque composant ou ressource de votre charge de travail. Définissez clairement qui ou quoi doit avoir accès à chaque composant, choisissez le type d'identité et la méthode d'authentification et d'autorisation appropriés.

 **Anti-modèles courants :** 
+ Codage en dur ou stockage de secrets dans votre application. 
+ Octroi d'autorisations personnalisées à chaque utilisateur. 
+ Utilisation d'informations d'identification durables. 

 **Niveau d'exposition au risque si cette bonne pratique n'est pas respectée :** Élevé 

## Directives d'implémentation
<a name="implementation-guidance"></a>

 Les administrateurs, utilisateurs finaux ou autres composants doivent pouvoir accéder à chaque composant ou ressource de votre charge de travail. Définissez clairement qui ou quoi doit avoir accès à chaque composant, choisissez le type d'identité et la méthode d'authentification et d'autorisation appropriés.

Un accès standard aux Comptes AWS de l'organisation doit être fourni à l'aide d'un [accès fédéré](https://aws.amazon.com/identity/federation/) ou d'un fournisseur d'identité centralisé. Vous devez également centraliser la gestion des identités et vous assurer qu'il existe une pratique établie pour intégrer l'accès à AWS au cycle de vie de l'accès des employés. Par exemple, lorsqu'un employé change de poste et de niveau d'accès, son appartenance à un groupe doit également évoluer de façon à refléter les nouvelles conditions d'accès qui lui sont associées.

 Lorsque vous définissez des conditions d'accès pour des identités non humaines, déterminez quels applications et composants ont besoin d'un accès et comment les autorisations sont accordées. Dans cette optique, il est recommandé d'utiliser les rôles IAM créés avec le modèle d'accès du moindre privilège. [Les politiques gérées par AWS](https://docs.aws.amazon.com/singlesignon/latest/userguide/security-iam-awsmanpol.html) établissent des politiques IAM prédéfinies qui couvrent les cas d'utilisation les plus courants.

Les services AWS, tels qu' [AWS Secrets Manager](https://aws.amazon.com/blogs/security/identify-arrange-manage-secrets-easily-using-enhanced-search-in-aws-secrets-manager/) et [AWS Systems Manager Parameter Store,](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-parameter-store.html)peuvent permettre de dissocier les secrets de l'application ou de la charge de travail en toute sécurité lorsqu'il est impossible d'utiliser des rôles IAM. Dans Secrets Manager, vous pouvez établir une rotation automatique de vos informations d'identification. Vous pouvez utiliser Systems Manager de façon à référencer les paramètres dans vos scripts, commandes, documents SSM, configuration et flux de travail d'automatisation en utilisant le nom unique que vous avez spécifié lors de la création du paramètre.

Vous pouvez utiliser des rôles Gestion des identités et des accès AWS partout de façon à obtenir [des informations d'identification de sécurité temporaires dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) pour les charges de travail exécutées en dehors d'AWS. Vos charges de travail peuvent utiliser les mêmes [politiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) et [rôles IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) que ceux utilisés avec les applications AWS pour accéder aux ressources AWS. 

 Dans la mesure du possible, privilégiez les informations d'identification temporaires à court terme plutôt que les informations d'identification statiques à long terme. Pour les scénarios dans le cadre desquels les utilisateurs IAM doivent disposer d'un accès par programmation et d'informations d'identification à long terme, utilisez [les dernières informations de clé d'accès utilisées](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey) pour effectuer la rotation des clés d'accès et supprimer ces dernières. 

## Ressources
<a name="resources"></a>

 **Documents connexes :** 
+  [Contrôle d'accès basé sur les attributs (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) 
+  [AWS IAM Identity Center](https://aws.amazon.com/iam/identity-center/) 
+  [IAM Roles Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html) 
+  [AWS politiques gérées pour IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/security-iam-awsmanpol.html) 
+  [AWS IAM policy conditions](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) 
+  [IAM use cases](https://docs.aws.amazon.com/IAM/latest/UserGuide/IAM_UseCases.html) 
+  [Remove unnecessary credentials](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#remove-credentials) 
+  [Gestion des politiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html) 
+  [How to control access to AWS resources based on Compte AWS, OU, or organization](https://aws.amazon.com/blogs/security/how-to-control-access-to-aws-resources-based-on-aws-account-ou-or-organization/) 
+  [Identify, arrange, and manage secrets easily using enhanced search in AWS Secrets Manager](https://aws.amazon.com/blogs/security/identify-arrange-manage-secrets-easily-using-enhanced-search-in-aws-secrets-manager/) 

 **Vidéos connexes :** 
+  [Devenir un expert en stratégie IAM en 60 minutes maximum](https://youtu.be/YQsK4MtsELU) 
+  [Separation of Duties, Least Privilege, Delegation, and CI/CD](https://youtu.be/3H0i7VyTu70) 
+  [Streamlining identity and access management for innovation](https://www.youtube.com/watch?v=3qK0b1UkaE8) 

# SEC03-BP02 Accorder un accès selon le principe du moindre privilège
<a name="sec_permissions_least_privileges"></a>

Accordez uniquement l'accès dont les identités ont besoin en autorisant des actions spécifiques sur certaines ressources AWS, dans des conditions définies. Faites appel à des groupes et des attributs d'identité pour définir de façon dynamique des autorisations à grande échelle, plutôt que pour des utilisateurs individuels. Par exemple, vous pouvez autoriser un groupe de développeurs à gérer uniquement les ressources de leur projet. Ainsi, lorsqu'un développeur est supprimé du groupe, son accès est révoqué partout où ce groupe a été utilisé pour le contrôle d'accès, sans qu'il soit nécessaire de modifier les politiques d'accès.

 **Anti-modèles courants :** 
+ Octroi par défaut des autorisations d'administrateur aux utilisateurs. 
+ Utilisation du compte racine pour les activités quotidiennes. 

 **Niveau d'exposition au risque si cette bonne pratique n'est pas respectée :** Élevé 

## Directives d'implémentation
<a name="implementation-guidance"></a>

L'établissement d'un principe du [moindre privilège](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) garantit que les identités sont uniquement autorisées à effectuer l'ensemble minimal de fonctions nécessaire pour traiter une tâche spécifique, tout en équilibrant la convivialité et l'efficacité. L'utilisation de ce principe limite l'accès involontaire et vous permet de vérifier qui a accès à quelles ressources. Dans AWS, les identités n'ont pas d'autorisations par défaut, sauf pour l'utilisateur root. Les informations d'identification de l'utilisateur root doivent être étroitement contrôlées et doivent uniquement être utilisées pour [tâches spécifiques](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html). 

Vous utilisez des politiques pour accorder explicitement des autorisations associées à IAM ou à des entités de ressources, telles qu'un rôle IAM utilisé par des identités fédérées ou des machines, ou des ressources (par exemple, des compartiments S3). Lorsque vous créez et associez une politique, vous pouvez spécifier les actions de service, les ressources et les conditions qui doivent être remplies pour qu'AWS autorise l'accès. AWS prend en charge diverses conditions pour vous aider à limiter l'accès. Par exemple, à l'aide de la `clé de condition` [PrincipalOrgID](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html), l'identifiant d'AWS Organizations est vérifié afin que l'accès puisse être accordé au sein de votre organisation AWS.

Vous pouvez également contrôler les demandes que les services AWS effectuent en votre nom, comme AWS CloudFormation qui crée une fonction AWS Lambda, à l'aide de la clé de condition `CalledVia` . Vous devez superposer différents types de politiques pour limiter efficacement les autorisations globales au sein d'un compte. Par exemple, vous pouvez autoriser vos équipes d'application à créer leurs propres politiques IAM, tout en utilisant une [limite des autorisations](https://aws.amazon.com/blogs/security/delegate-permission-management-to-developers-using-iam-permissions-boundaries/) afin de restreindre les autorisations maximum susceptibles d'être octroyées. 

Plusieurs capacités AWS vous permettent d'adapter la gestion des autorisations et de respecter le principe du moindre privilège. [Le contrôle d'accès basé sur les attributs](https://aws.amazon.com/blogs/security/delegate-permission-management-to-developers-using-iam-permissions-boundaries/) vous permet de limiter les autorisations en fonction *[de la balise](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/tagging-best-practices.html)* d'une ressource, afin de prendre des décisions en matière d'autorisation reposant sur les balises appliquées à la ressources et au principal IAM appelant. Cela vous permet de combiner votre politique de balisage et d'autorisations afin d'obtenir un accès précis aux ressources sans avoir besoin d'un grand nombre de politiques personnalisées.

Pour accélérer la création d'une politique de moindre privilège, une autre solution consiste à baser votre politique sur les autorisations CloudTrail après l'exécution d'une activité. [IAM Access Analyzer peut générer automatiquement une politique IAM basée sur l'activité](https://aws.amazon.com/blogs/security/delegate-permission-management-to-developers-using-iam-permissions-boundaries/). vous pouvez également utiliser IAM Access Advisor au niveau du compte de l'individu ou de l'organisation [afin de suivre les dernières informations consultées pour une politique particulière](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html).

Établissez une cadence pour examiner ces détails et supprimer les autorisations inutiles. Vous devez établir des barrières de protection pour les autorisations au sein de votre AWS organisation afin de contrôler les autorisations maximales dans tout compte membre. Les services tels qu' [AWS Control Tower ont des contrôles préventifs gérés prescriptifs](https://docs.aws.amazon.com/controltower/latest/userguide/guardrails.html) et vous permettent de définir vos propres contrôles. 

## Ressources
<a name="resources"></a>

 **Documents connexes :** 
+  [Limites d'autorisations pour les entités IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) 
+  [Techniques for writing least privilege IAM policies](https://aws.amazon.com/blogs/security/techniques-for-writing-least-privilege-iam-policies/) 
+  [IAM Access Analyzer makes it easier to implement least privilege permissions by generating IAM policies based on access activity](https://aws.amazon.com/blogs/security/iam-access-analyzer-makes-it-easier-to-implement-least-privilege-permissions-by-generating-iam-policies-based-on-access-activity/) 
+  [Ajustement des autorisations dans AWS à l'aide des dernières informations consultées](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html) 
+  [IAM policy types and when to use them](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) 
+  [Testing IAM policies with the IAM policy simulator](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_testing-policies.html) 
+  [Guardrails in AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/guardrails.html) 
+  [Zero Trust architectures: An AWS perspective](https://aws.amazon.com/blogs/security/zero-trust-architectures-an-aws-perspective/) 
+  [How to implement the principle of least privilege with CloudFormation StackSets](https://aws.amazon.com/blogs/security/how-to-implement-the-principle-of-least-privilege-with-cloudformation-stacksets/) 

 **Vidéos connexes :** 
+  [Next-generation permissions management](https://www.youtube.com/watch?v=8vsD_aTtuTo) 
+  [Zero Trust: An AWS perspective](https://www.youtube.com/watch?v=1p5G1-4s1r0) 
+  [How can I use permissions boundaries to limit IAM users and roles to prevent privilege escalation?](https://www.youtube.com/watch?v=omwq3r7poek) 

 **Exemples connexes :** 
+  [Atelier : IAM permissions boundaries delegating role creation](https://wellarchitectedlabs.com/Security/300_IAM_Permission_Boundaries_Delegating_Role_Creation/README.html) 

# SEC03-BP03 Établir un processus d'accès d'urgence
<a name="sec_permissions_emergency_process"></a>

 Un processus permettant l'accès d'urgence à votre charge de travail en cas de problème lié à un processus automatisé ou un pipeline. Ceci vous permet d'utiliser la stratégie du moindre privilège, tout en veillant à ce que les utilisateurs obtiennent le niveau d'accès approprié lorsqu'ils en ont besoin. Ce processus peut inclure une combinaison de différentes capacités, par exemple un rôle AWS entre comptes d'urgence pour l'accès, ou un processus spécifique que les administrateurs doivent suivre pour valider et approuver une demande d'urgence. 

 **Anti-modèles courants :** 
+ Absence de processus d'urgence pour récupérer après une panne avec votre configuration d'identité existante.
+ Octroi d'autorisations élevées à long terme à des fins de dépannage ou de récupération.

 **Niveau d'exposition au risque si cette bonne pratique n'est pas respectée :** Moyen 

## Directives d'implémentation
<a name="implementation-guidance"></a>

 La mise en place d'un accès d'urgence peut prendre plusieurs formes pour lesquelles il est important d'être prêt. La première forme est un échec de votre fournisseur d'identité principal. Dans ce cas, vous devez compter sur une deuxième méthode d'accès avec les autorisations requises pour la récupération. Cette méthode pourrait être un fournisseur d'identité de secours ou un utilisateur IAM. Cette deuxième méthode doit être [étroitement contrôlée, surveillée, et son utilisation](https://aws.amazon.com/blogs/mt/monitor-and-notify-on-aws-account-root-user-activity/) doit être indiquée dans l'événement. L'identité des accès d'urgence doit provenir d'un compte utilisé à cette fin et disposer d'autorisations destinées uniquement à assumer un rôle spécifiquement conçu pour la récupération. 

 Vous devriez également être prêt pour un accès d'urgence lorsqu'un accès d'administration temporaire élevé est nécessaire. Un scénario courant consiste à limiter les autorisations mutantes à un processus automatisé utilisé pour déployer les modifications. Lorsque ce processus rencontre un problème, les utilisateurs peuvent avoir besoin de demander des autorisations élevées pour restaurer la fonctionnalité. Le cas échéant, établissez un processus dans le cadre duquel les utilisateurs peuvent demander un accès élevé et les administrateurs peuvent le valider et l'approuver. Les plans d'implémentation décrivant en détail les bonnes pratiques pour la préallocation des accès et la configuration de rôles d'urgence, *de type break-glass,*sont fournis dans le cadre de [SEC10-BP05 Préallouer les accès](sec_incident_response_pre_provision_access.md). 

## Ressources
<a name="resources"></a>

 **Documents connexes :** 
+ [Monitor and Notify on AWS](https://aws.amazon.com/blogs/mt/monitor-and-notify-on-aws-account-root-user-activity) 
+ [Managing temporary elevated access](https://aws.amazon.com/blogs/security/managing-temporary-elevated-access-to-your-aws-environment/) 

 **Vidéo connexe :** 
+  [Become an IAM Policy Master in 60 Minutes or Less](https://youtu.be/YQsK4MtsELU) 

# SEC03-BP04 Limiter les autorisations au minimum requis en permanence
<a name="sec_permissions_continuous_reduction"></a>

 Lorsque les équipes et les charges de travail déterminent l'accès dont elles ont besoin, supprimez les autorisations inutilisées et établissez des processus de vérification pour obtenir les autorisations de moindre privilège. Surveillez et réduisez en continu les identités et les autorisations inutilisées. 

Parfois, lorsque les équipes et les projets démarrent, vous pouvez choisir d'accorder un large accès (dans un environnement de développement ou dans un environnement de test) pour favoriser l'innovation et l'agilité. Nous vous recommandons d'évaluer l'accès en permanence et, en particulier dans un environnement de production, de limiter l'accès aux seules autorisations requises et de respecter le principe du moindre privilège. AWS fournit des fonctionnalités d'analyse des accès pour vous aider à identifier les accès inutilisés. Pour vous aider à identifier les utilisateurs et les rôles inutilisés, AWS analyse l'activité d'accès et fournit des informations sur la dernière utilisation des clés d'accès et des rôles. Vous pouvez utiliser le [dernier horodatage consulté](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor-view-data.html) to [identifier les utilisateurs et les rôles inutilisés](http://aws.amazon.com/blogs/security/identify-unused-iam-roles-remove-confidently-last-used-timestamp/)et les supprimer. De plus, vous pouvez consulter les informations relatives aux services et actions consultées en dernier afin d'identifier et de [restreindre les autorisations à des utilisateurs et des rôles spécifiques](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html). Par exemple, vous pouvez utiliser les dernières informations consultées pour identifier les actions Amazon Simple Storage Service(Amazon S3) spécifiques dont votre rôle d'application a besoin et limiter l'accès à celles-ci uniquement. Ces fonctionnalités sont disponibles dans AWS Management Console et par programmation pour vous permettre de les intégrer dans vos flux de travail d'infrastructure et vos outils automatisés.

 **Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise 

## Directives d'implémentation
<a name="implementation-guidance"></a>
+  Configurer AWS Identity and Access Management (IAM) Access Analyzer : AWS IAM Access Analyzer vous aide à identifier les ressources de votre organisation et de vos comptes, telles que les compartiments Amazon Simple Storage Service (Amazon S3) ou les rôles IAM partagés avec une entité externe. 
  + [AWS IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) 

## Ressources
<a name="resources"></a>

 **Documents connexes :** 
+  [Contrôle d'accès basé sur les attributs (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) 
+  [Accorder le privilège le plus faible](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) 
+  [Suppression des informations d'identification inutiles](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#remove-credentials) 
+  [Travailler avec des stratégies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html) 

 **Vidéos connexes :** 
+  [Devenir un expert en politiques IAM en 60 minutes maximum](https://youtu.be/YQsK4MtsELU) 
+  [Séparation des responsabilités, moindre privilège, délégation et CI/CD](https://youtu.be/3H0i7VyTu70) 

# SEC03-BP05 Définir des protections par autorisation pour votre organisation
<a name="sec_permissions_define_guardrails"></a>

 Établissez des contrôles communs qui limitent l'accès à toutes les identités de votre organisation. Par exemple, vous pouvez restreindre l'accès à des Régions AWS spécifiques ou empêcher vos techniciens de supprimer des ressources communes, telles qu'un rôle IAM utilisé pour votre équipe de sécurité centrale. 

 **Anti-modèles courants :** 
+ Exécution des charges de travail dans votre compte d'administrateur organisationnel. 
+ Exécution des charges de travail de production et autres dans le même compte. 

 **Niveau d'exposition au risque si cette bonne pratique n'est pas respectée :** Moyen 

## Directives d'implémentation
<a name="implementation-guidance"></a>

 Au fur et à mesure que vous développez et gérez des charges de travail supplémentaires dans AWS, vous devez séparer ces charges de travail à l'aide de comptes et gérer ces comptes à l'aide d'AWS Organizations. Nous vous recommandons d'établir des protections par autorisation communes qui limitent l'accès à toutes les identités de votre organisation. Par exemple, vous pouvez restreindre l'accès à des Régions AWS spécifiques ou empêcher votre équipe de supprimer des ressources communes, telles qu'un rôle IAM utilisé par votre équipe de sécurité centrale. 

 Vous pouvez commencer en implémentant des exemples de politiques de contrôle des services, par exemple en empêchant les utilisateurs de désactiver les services clés. Les SCP utilisent le langage de politique IAM et vous permettent d'établir des contrôles auxquels tous les principaux (utilisateurs et rôles) IAM adhèrent. Vous pouvez restreindre l'accès à des actions de service spécifiques, à des ressources et en fonction de conditions spécifiques pour répondre aux besoins de contrôle d'accès de votre organisation. Si nécessaire, vous pouvez définir des exceptions à vos barrières de protection. Par exemple, vous pouvez restreindre les actions de service pour toutes les entités IAM du compte, à l'exception d'un rôle d'administrateur spécifique. 

 Nous vous déconseillons l'exécution de vos charges de travail dans votre compte de gestion. Le compte de gestion doit être utilisé afin de gouverner et déployer des barrières de protection en matière de sécurité qui affecteront les comptes des membres. Certains services AWS prennent en charge l'utilisation d'un compte d'administrateur délégué. Lorsqu'il est disponible, nous vous recommandons d'utiliser ce compte délégué plutôt que le compte de gestion. Vous devez limiter fortement l'accès au compte d'administrateur organisationnel. 

La mise en place d'une stratégie multicompte vous permet de bénéficier d'une plus grande flexibilité dans l'application de barrières de protection à vos charges de travail. L'AWS Security Reference Architecture propose des conseils normatifs en ce qui concerne la conception de la structure de votre compte. Les services AWS tels qu'AWS Control Tower offrent des capacités de gestion centralisée des contrôles préventifs et de détection au sein de votre organisation. Définissez un objectif clair pour chaque compte ou unité opérationnelle au sein de votre organisation et limitez les contrôles conformément à cet objectif. 

## Ressources
<a name="resources"></a>

 **Documents connexes :** 
+ [AWS Organizations](https://aws.amazon.com/organizations/) 
+ [Politiques de contrôle de service (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) 
+ [Get more out of service control policies in a multi-account environment](https://aws.amazon.com/blogs/security/get-more-out-of-service-control-policies-in-a-multi-account-environment/) 
+ [AWS Architecture de référence de sécurité (AWS SRA)](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/welcome.html) 

 **Vidéos connexes :** 
+ [Enforce Preventive Guardrails using Service Control Policies](https://www.youtube.com/watch?v=mEO05mmbSms) 
+  [Building governance at scale with AWS Control Tower](https://www.youtube.com/watch?v=Zxrs6YXMidk) 
+  [AWS Identity and Access Management deep dive](https://www.youtube.com/watch?v=YMj33ToS8cI) 

# SEC03-BP06 Gérer l'accès en fonction du cycle de vie
<a name="sec_permissions_lifecycle"></a>

 Intégrez les contrôles d'accès au cycle de vie des opérateurs et des applications et à votre fournisseur de fédération centralisée. Par exemple, supprimez l'accès d'un utilisateur lorsqu'il quitte l'organisation ou change de poste. 

Lorsque vous gérez des charges de travail à l'aide de comptes distincts, vous devrez partager des ressources entre ces comptes. Nous vous recommandons de partager des ressources à l'aide d' [AWS Resource Access Manager (AWS RAM)](http://aws.amazon.com/ram/). Ce service vous permet de partager facilement et en toute sécurité des ressources AWS au sein de votre AWS Organizations et de vos unités d'organisation. Avec AWS RAM, l'accès aux ressources partagées est automatiquement accordé ou révoqué lorsque les comptes sont déplacés vers et hors de l'organisation ou de l'unité d'organisation avec laquelle ils sont partagés. Cela permet de vous assurer que les ressources sont uniquement partagées avec les comptes que vous souhaitez.

 **Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Faible 

## Directives d'implémentation
<a name="implementation-guidance"></a>

 Cycle de vie de l'accès utilisateur : implémentez une stratégie de cycle de vie d'accès utilisateur pour les nouveaux utilisateurs qui rejoignent l'entreprise, les changements de poste et les utilisateurs qui quittent l'entreprise, afin que seuls les utilisateurs actifs disposent d'un accès approprié. 

## Ressources
<a name="resources"></a>

 **Documents connexes :** 
+  [Contrôle d'accès basé sur les attributs (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) 
+  [Accorder le privilège le plus faible](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) 
+  [IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) 
+  [Suppression des informations d'identification inutiles](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#remove-credentials) 
+  [Travailler avec des stratégies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html) 

 **Vidéos connexes :** 
+  [Devenir un expert en stratégie IAM en 60 minutes maximum](https://youtu.be/YQsK4MtsELU) 
+  [Séparation des responsabilités, moindre privilège, délégation et CI/CD](https://youtu.be/3H0i7VyTu70) 

# SEC03-BP07 Analyser l'accès public et entre les comptes
<a name="sec_permissions_analyze_cross_account"></a>

Surveillez en continu les résultats qui mettent en évidence l'accès public et intercompte. Limitez l'accès public et l'accès intercompte uniquement aux ressources qui requièrent ce type d'accès. 

 **Anti-modèles courants :** 
+  Ne pas suivre un processus pour régir l'accès intercompte et public aux ressources. 

 **Niveau d'exposition au risque si cette bonne pratique n'est pas respectée :** Faible 

## Directives d'implémentation
<a name="implementation-guidance"></a>

Dans AWS, vous pouvez accorder l'accès aux ressources d'un autre compte. Vous accordez un accès intercompte direct en utilisant les politiques attachées aux ressources (par exemple, [les politiques de compartiment Amazon Simple Storage Service (Amazon S3))](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html)ou en permettant à une identité d'assumer un rôle IAM dans un autre compte. Lorsque vous utilisez des politiques de ressources, vérifiez que l'accès est accordé aux identités de votre organisation et que vous avez bien l'intention de rendre les ressources publiques. Définir un processus d'approbation de toutes les ressources qui doivent être accessibles au public. 

 [IAM Access Analyzer](https://aws.amazon.com/iam/features/analyze-access/) utilise [une sécurité prouvable](https://aws.amazon.com/security/provable-security/) pour identifier tous les chemins d'accès à une ressource en dehors de son compte. Il passe en revue les stratégies de ressources en continu et présente les résultats d'accès public et entre comptes pour vous permettre d'analyser facilement un accès potentiellement étendu. Envisagez de configurer IAM Access Analyzer avec AWS Organizations afin de vérifier que vous avez une visibilité sur tous vos comptes. IAM Access Analyzer vous permet également de [visualiser les résultats de l'Analyseur d'accès](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-access-preview.html)avant de déployer les autorisations d'accès aux ressources. Vous pouvez ainsi vérifier que vos modifications de politique n'accordent que l'accès public et intercompte prévu à vos ressources. Lors de la conception pour un accès multicompte, vous pouvez utiliser [des politiques d'approbation afin de contrôler dans quels cas un rôle peut être assumé](https://aws.amazon.com/blogs/security/how-to-use-trust-policies-with-iam-roles/). Par exemple, vous pouvez limiter l'hypothèse de rôle à une plage d'IP source spécifique. 

 Vous pouvez également utiliser [AWS Config pour signaler et corriger les ressources](https://docs.aws.amazon.com/config/latest/developerguide/operational-best-practices-for-Publicly-Accessible-Resources.html) pour toute configuration accidentelle d'accès public, via les vérifications de politiques d'AWS Config. Des services comme [AWS Control Tower](https://aws.amazon.com/controltower) et [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp.html) simplifient le déploiement des contrôles et des barrières de protection sur une AWS Organizations afin d'identifier et de corriger les ressources publiquement exposées. Par exemple, AWS Control Tower dispose d'une barrière de protection gérée qui peut détecter si [des instantanés Amazon EBS sont restaurables par tous les comptes AWS](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html).

## Ressources
<a name="resources"></a>

 **Documents connexes :** 
+  [Utiliser AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html?ref=wellarchitected)
+  [Guardrails in AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) 
+  [Norme concernant les bonnes pratiques de sécurité de base AWS](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp.html)
+  [Règles gérées AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_use-managed-rules.html) 
+  [Référence de la vérification AWS Trusted Advisor](https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor-check-reference.html) 

 **Vidéos connexes :** 
+ [Best Practices for securing your multi-account environment](https://www.youtube.com/watch?v=ip5sn3z5FNg)
+ [Dive Deep into IAM Access Analyzer](https://www.youtube.com/watch?v=i5apYXya2m0)

# SEC03-BP08 Partager des ressources en toute sécurité
<a name="sec_permissions_share_securely"></a>

 Contrôlez la consommation des ressources partagées entre les comptes ou au sein de votre AWS Organizations. Surveillez et vérifiez l'accès aux ressources partagées. 

 **Anti-modèles courants :** 
+  Utilisation de la politique d'approbation IAM par défaut lorsque vous accordez un accès intercompte à un tiers. 

 **Niveau d'exposition au risque si cette bonne pratique n'est pas respectée :** Faible 

## Directives d'implémentation
<a name="implementation-guidance"></a>

 Lorsque vous gérez vos charges de travail à l'aide de plusieurs comptes AWS, vous devrez parfois partager des ressources entre les comptes. Il s'agira très souvent d'un partage entre comptes au sein d'une AWS Organizations. Plusieurs services AWS tels qu' [AWS Security Hub CSPM](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-securityhub.html), [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html)et [AWS Backup](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-backup.html) pour intégrer des fonctions intercomptes à Organizations. Vous pouvez utiliser [AWS Resource Access Manager](https://aws.amazon.com/ram/) pour partager d'autres ressources communes, telles que [les sous-réseaux de VPC et les attachement de la passerelle de transit](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html#shareable-vpc), [AWS Network Firewall](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html#shareable-network-firewall)ou [les pipelines Amazon SageMaker Runtime](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html#shareable-sagemaker). Si vous souhaitez veiller à ce que votre compte partage uniquement les ressources de votre Organizations, nous vous recommandons d'utiliser [des politiques de contrôle des services (SCP)](https://docs.aws.amazon.com/ram/latest/userguide/scp.html) afin d'éviter tout accès aux principaux externes.

 Lorsque vous partagez des ressources, veillez à mettre en place des mesures de protection contre les accès non intentionnels. Nous vous recommandons de combiner les contrôles basés sur l'identité et les contrôles réseau de façon à [créer un périmètre de données pour votre organisation](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/building-a-data-perimeter-on-aws.html). Ces contrôles doivent limiter rigoureusement les ressources susceptibles d'être partagées et empêcher le partage ou l'exposition de ressources qui ne doivent pas être autorisées. Par exemple, dans le cadre de votre périmètre de données, vous pouvez utiliser les politiques de point de terminaison d'un VPC et la condition `aws:PrincipalOrgId` afin de vous assurer que les identités accédant à vos compartiments Amazon S3 appartiennent à votre organisation. 

 Dans certains cas, vous pouvez autoriser le partage des ressources en dehors de vos Organizations ou accorder à des tiers l'accès à votre compte. Par exemple, un partenaire peut fournir une solution de surveillance qui doit accéder aux ressources de votre compte. Dans ces cas, vous devez créer un rôle intercompte IAM en lui attribuant uniquement les privilèges requis par le tiers. Vous devez également élaborer une politique d'approbation en utilisant la [condition d'ID externe](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html). Lorsque vous utilisez un ID externe, vous devez générer un ID unique pour chaque tiers. L'ID unique ne doit pas être fourni ou contrôlé par le tiers. Si le tiers n'a plus besoin d'accéder à votre environnement, vous devez supprimer le rôle. Dans tous les cas, évitez de fournir à des tiers des informations d'identification IAM à long terme. Gardez un œil sur les autres services AWS qui prennent en charge le partage de façon native. Par exemple, l'AWS Well-Architected Tool permet [de partager une charge de travail](https://docs.aws.amazon.com/wellarchitected/latest/userguide/workloads-sharing.html) avec d'autres comptes AWS. 

 Lorsque vous utilisez un service tel qu'Amazon S3, il est recommandé de [désactiver les ACL pour votre compartiment Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html) et d'utiliser les politiques IAM afin de définir le contrôle d'accès. [Pour limiter l'accès à une origine Amazon S3](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html) depuis [Amazon CloudFront,](https://aws.amazon.com/cloudfront/)migrez l'identité d'accès d'origine (OAI) vers le contrôle d'accès d'origine (OAC) qui prend en charge des fonctionnalités supplémentaires, dont le chiffrement côté serveur avec [AWS KMS](https://aws.amazon.com/kms/).

## Ressources
<a name="resources"></a>

 **Documents connexes :** 
+ [Bucket owner granting cross-account permission to objects it does not own](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-walkthroughs-managing-access-example4.html)
+ [How to use Trust Policies with IAM](https://aws.amazon.com/blogs/security/how-to-use-trust-policies-with-iam-roles/)
+ [Building Data Perimeter on AWS](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/building-a-data-perimeter-on-aws.html)
+ [How to use an external ID when granting a third party access to your AWS resources](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html)

 **Vidéos connexes :** 
+ [Granular Access with AWS Resource Access Manager](https://www.youtube.com/watch?v=X3HskbPqR2s)
+ [Securing your data perimeter with VPC endpoints](https://www.youtube.com/watch?v=iu0-o6hiPpI)
+ [ Establishing a data perimeter on AWS](https://www.youtube.com/watch?v=SMi5OBjp1fI)