# SEC 2 Comment gérer l'authentification pour les personnes et les machines ?
<a name="w2aac19b7b7b5"></a>

 Il existe deux types d'identités à gérer dans le cadre de l'exploitation de charges de travail AWS sécurisées. Comprendre le type d'identité à gérer et dont vous devez autoriser l'accès vous permet de garantir l'accès aux ressources adéquates, dans les bonnes conditions. 

Identités humaines : vos administrateurs, développeurs, opérateurs et utilisateurs finaux ont besoin d'une identité pour accéder à vos environnements et applications AWS. Il s'agit des membres de votre organisation ou des utilisateurs externes avec lesquels vous collaborez et qui interagissent avec vos ressources AWS via un navigateur Web, une application cliente ou des outils de ligne de commande interactifs. 

Identités de machines : vos applications de service, outils opérationnels et charges de travail nécessitent une identité pour envoyer des demandes aux services AWS, par exemple pour lire des données. Ces identités comprennent des machines s'exécutant dans votre environnement AWS, telles que des instances Amazon EC2 ou des fonctions AWS Lambda. Vous pouvez également gérer les identités de machines pour les tiers qui ont besoin d'un accès. De plus, certaines machines en dehors d'AWS peuvent avoir besoin d'accéder à votre environnement AWS. 

**Topics**
+ [SEC02-BP01 Utiliser de solides mécanismes d'authentification](sec_identities_enforce_mechanisms.md)
+ [SEC02-BP02 Utiliser des informations d'identification temporaires](sec_identities_unique.md)
+ [SEC02-BP03 Stocker et utiliser des secrets en toute sécurité](sec_identities_secrets.md)
+ [SEC02-BP04 S'appuyer sur un fournisseur d'identité centralisé](sec_identities_identity_provider.md)
+ [SEC02-BP05 Contrôler et effectuer régulièrement une rotation des informations d'identification](sec_identities_audit.md)
+ [SEC02-BP06 Tirer parti des groupes d'utilisateurs et des attributs](sec_identities_groups_attributes.md)

# SEC02-BP01 Utiliser de solides mécanismes d'authentification
<a name="sec_identities_enforce_mechanisms"></a>

 Appliquez une longueur minimale pour les mots de passe et formez vos utilisateurs à éviter les mots de passe courants ou réutilisés. Appliquez la MFA (Multi-Factor Authentication) avec des mécanismes logiciels ou matériels pour fournir une couche supplémentaire de vérification. Par exemple, lorsque vous utilisez IAM Identity Center comme source d'identité, configurez le paramètre « contextuel » ou « toujours activé » pour MFA et autorisez les utilisateurs à inscrire leurs propres appareils MFA pour accélérer l'adoption. Lorsque vous utilisez un fournisseur d'identité (IdP) externe, configurez votre IdP pour MFA. 

 **Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit 

## Directives d'implémentation
<a name="implementation-guidance"></a>
+  Créer une politique Identity and Access Management (IAM) pour appliquer l'authentification MFA : créez une politique IAM gérée par le client qui interdit toutes les actions IAM, à l'exception de celles qui permettent à un utilisateur d'endosser des rôles, de modifier ses propres informations d'identification et de gérer ses périphériques MFA sur la [page « Mes informations d'identification de sécurité ».](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_users-self-manage-mfa-and-creds.html#tutorial_mfa_step1). 
+  Activer l'authentification MFA dans votre fournisseur d'identité : activez [MFA](https:/aws.amazon.com/iam/details/mfa) dans le fournisseur d'identité ou le service d'authentification unique, comme [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/step1.html), que vous utilisez. 
+  Configurer une stratégie de mot de passe fort : configurez une stratégie de [mot de passe fort](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html?ref=wellarchitected) dans IAM et un système d'identités fédérées pour assurer une meilleure protection contre les attaques par force brute. 
+  [Effectuer une rotation régulière des informations d'identification](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#rotate-credentials) : assurez-vous que les administrateurs de votre charge de travail modifient régulièrement leurs mots de passe et clés d'accès (le cas échéant). 

## Ressources
<a name="resources"></a>

 **Documents connexes :** 
+  [Démarrer avec AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html) 
+  [Bonnes pratiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) 
+  [Fournisseurs d'identité et fédération](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html) 
+  [Utilisateur racine d'un compte AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html?ref=wellarchitected) 
+  [Démarrer avec AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html?ref=wellarchitected) 
+   [Informations d'identification de sécurité temporaires](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html?ref=wellarchitected) 
+  [Solutions partenaires de sécurité : accès et contrôle d'accès](https://aws.amazon.com/security/partner-solutions/#access-control) 
+  [Informations d'identification de sécurité temporaires](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) 
+  [Utilisateur racine d'un compte AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html) 

 **Vidéos connexes :** 
+  [Bonnes pratiques de gestion, d'extraction et de renouvellement des secrets à grande échelle](https://youtu.be/qoxxRlwJKZ4) 
+  [Gestion des autorisations utilisateur à grande échelle avec IAM Identity Center](https://youtu.be/aEIqeFCcK7E) 
+  [Maîtrise des identités dans chaque couche](https://www.youtube.com/watch?v=vbjFjMNVEpc) 

# SEC02-BP02 Utiliser des informations d'identification temporaires
<a name="sec_identities_unique"></a>

 demandez aux identités d'acquérir des [informations d'identification temporaires de façon dynamique](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_request.html). Pour les identités humaines, utilisez AWS IAM Identity Center ou la fédération avec les rôles Gestion des identités et des accès AWS (IAM) pour accéder aux Comptes AWS. Les identités machine, telles que les instances Amazon Elastic Compute Cloud(Amazon EC2) ou les fonctions AWS Lambda, nécessitent l'utilisation de rôles IAM au lieu d'utilisateurs IAM avec des clés d'accès à long terme. 

Pour les identités humaines utilisant AWS Management Console, vous devez obliger les utilisateurs à acquérir des informations d'identification temporaires et à se fédérer dans AWS. Pour ce faire, utilisez le portail utilisateur AWS IAM Identity Center. Pour les utilisateurs nécessitant un accès à l'interface de ligne de commande, assurez-vous qu'ils utilisent [AWS CLI v2](http://aws.amazon.com/blogs/developer/aws-cli-v2-is-now-generally-available/), qui prend en charge l'intégration directe avec IAM Identity Center. Les utilisateurs peuvent créer des profils d'interface de ligne de commande qui sont liés à des comptes et des rôles IAM Identity Center. L'interface de ligne de commande récupère automatiquement les informations d'identification AWS auprès d'IAM Identity Center et les actualise en votre nom. Vous n'avez ainsi plus besoin de copier et coller des informations d'identification AWS temporaires à partir de la console IAM Identity Center. Pour le kit SDK, les utilisateurs doivent s'appuyer sur AWS Security Token Service (AWS STS) pour endosser des rôles et recevoir des informations d'identification temporaires. Dans certains cas, les informations d'identification temporaires peuvent ne pas être pratiques. Vous devez être conscient des risques liés au stockage des clés d'accès, effectuez-en régulièrement une rotation et exigez l'authentification multifacteur (MFA) comme condition dans la mesure du possible. Utilisez les dernières informations consultées pour déterminer quand changer ou supprimer les clés d'accès.

Dans les cas où vous devez accorder aux consommateurs l'accès à vos ressources AWS, utilisez les groupes d'identités [Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/role-based-access-control.html) et attribuez-leur un ensemble d'informations d'identification temporaires à privilèges limités pour accéder à vos ressources AWS. Les autorisations pour chaque utilisateur sont contrôlées par le biais [de rôles IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) que vous créez. Vous pouvez définir des règles pour choisir le rôle pour chaque utilisateur en fonction des demandes du jeton d'identification de l'utilisateur. Vous pouvez définir un rôle par défaut pour les utilisateurs authentifiés. Vous pouvez également définir un rôle IAM distinct avec des autorisations limitées pour les utilisateurs invités qui ne sont pas authentifiés.

Pour les identités machine, vous devez utiliser les rôles IAM pour accorder l'accès à AWS. Pour les instances Amazon Elastic Compute Cloud(Amazon EC2), vous pouvez utiliser [des rôles pour Amazon EC2](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html). Vous pouvez attacher un rôle IAM à votre instance Amazon EC2 pour permettre à vos applications s'exécutant sur Amazon EC2 d'utiliser des informations d'identification de sécurité temporaires qu'AWS crée, distribue et alterne automatiquement via le service IMDS (Instance Metadata Service). La [dernière version](https://aws.amazon.com/blogs/security/defense-in-depth-open-firewalls-reverse-proxies-ssrf-vulnerabilities-ec2-instance-metadata-service/) d'IMDS contribue à protéger contre les vulnérabilités qui exposent les informations d'identification temporaires, et doit être implémentée. Pour accéder aux instances Amazon EC2 à l'aide de clés ou de mots de passe, [AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html) est un moyen plus sécurisé d'accéder à vos instances et de les gérer à l'aide d'un agent préinstallé sans le secret stocké. En outre, d'autres services AWS, tels qu'AWS Lambda, vous permettent de configurer un rôle de service IAM pour accorder au service les autorisations nécessaires pour exécuter des actions AWS à l'aide d'informations d'identification temporaires. Dans les situations où vous ne pouvez pas utiliser d'informations d'identification temporaires, optez pour des outils de programmation, comme [AWS Secrets Manager](https://aws.amazon.com/secrets-manager/), pour automatiser la rotation et la gestion des informations d'identification.

**Contrôler et effectuer régulièrement une rotation des informations d'identification : **La validation régulière, de préférence via un outil automatisé, est nécessaire pour vérifier que les contrôles corrects sont appliqués. Pour les identités humaines, vous devez obliger les utilisateurs à modifier leurs mots de passe régulièrement et à abandonner les clés d'accès au profit d'informations d'identification temporaires. Lorsque vous passez d'utilisateurs IAM à des identités centralisées, vous pouvez [générer un rapport d'informations d'identification ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html)pour auditer vos utilisateurs IAM. Nous vous recommandons également d'appliquer les paramètres MFA dans votre fournisseur d'identité. Vous pouvez configurer des règles [AWS Config Rules](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) pour surveiller ces paramètres. Pour les identités machine, vous devez vous appuyer sur des informations d'identification temporaires à l'aide des rôles IAM. Pour les situations où cela n'est pas possible, un audit fréquent et une rotation des clés d'accès sont nécessaires.

**Stocker et utiliser des secrets en toute sécurité :** Pour les informations d'identification qui ne sont pas liées à IAM et qui ne peuvent pas être temporaires, telles que les connexions de base de données, utilisez un service conçu pour gérer les secrets, comme [Secrets Manager](https://aws.amazon.com/secrets-manager/). Secrets Manager facilite la gestion, la rotation et le stockage en toute sécurité des secrets chiffrés à l'aide des [services supportés](https://docs.aws.amazon.com/secretsmanager/latest/userguide/integrating.html). Les appels pour accéder aux secrets sont consignés dans AWS CloudTrail à des fins d'audit, et les autorisations IAM peuvent leur accorder un accès selon le principe du moindre privilège.

 **Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit 

## Directives d'implémentation
<a name="implementation-guidance"></a>
+  Implémenter des politiques du moindre privilège : attribuez des politiques d'accès avec le moins de privilèges possibles aux groupes et rôles IAM pour rester cohérent avec le rôle ou la fonction de l'utilisateur que vous avez défini. 
  +  [Accorder le privilège le plus faible](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) 
+  Supprimer les autorisations inutiles : implémentez la politique du moindre privilège en supprimant les autorisations superflues. 
  +  [Réduction de la portée de la politique en affichant l'activité des utilisateurs](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html) 
  +  [Afficher l'accès du rôle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#roles-delete_prerequisites) 
+  Envisager des limites d'autorisations : une limite des autorisations est une fonction avancée permettant d'utiliser une stratégie gérée qui définit les autorisations maximales qu'une entité IAM peut recevoir d'une politique basée sur une identité. La limite des autorisations d'une entité lui permet d'exécuter uniquement les actions autorisées par ses stratégies basées sur l'identité et ses limites d'autorisations. 
  +  [Atelier : Limites d'autorisations IAM et délégation de la création de rôles](https://wellarchitectedlabs.com/Security/300_IAM_Permission_Boundaries_Delegating_Role_Creation/README.html) 
+  Prendre en compte les balises de ressource pour les autorisations : vous pouvez utiliser des balises pour contrôler l'accès aux ressources AWS qui prennent en charge le balisage. Vous pouvez également baliser des utilisateurs et des rôles IAM pour contrôler les éléments auxquels ils peuvent accéder. 
  +  [Atelier : Contrôle d'accès basé sur les balises IAM pour EC2](https://wellarchitectedlabs.com/Security/300_IAM_Tag_Based_Access_Control_for_EC2/README.html) 
  +  [Contrôle d'accès basé sur les attributs (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) 

## Ressources
<a name="resources"></a>

 **Documents connexes :** 
+  [Démarrer avec AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html) 
+  [Bonnes pratiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) 
+  [Fournisseurs d'identité et fédération](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html) 
+  [Solutions partenaires de sécurité : accès et contrôle d'accès](https://aws.amazon.com/security/partner-solutions/#access-control) 
+  [Informations d'identification de sécurité temporaires](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) 
+  [Utilisateur racine d'un compte AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html) 

 **Vidéos connexes :** 
+  [Bonnes pratiques de gestion, d'extraction et de renouvellement des secrets à grande échelle](https://youtu.be/qoxxRlwJKZ4) 
+  [Gestion des autorisations utilisateur à grande échelle avec AWS IAM Identity Center](https://youtu.be/aEIqeFCcK7E) 
+  [Maîtrise des identités dans chaque couche](https://www.youtube.com/watch?v=vbjFjMNVEpc) 

# SEC02-BP03 Stocker et utiliser des secrets en toute sécurité
<a name="sec_identities_secrets"></a>

 Pour les identités d'employés et les identités machine qui nécessitent des secrets, tels que les mots de passe d'applications tierces, stockez-les avec une rotation automatique en utilisant les dernières normes du secteur dans un service spécialisé, tout comme les informations d'identification qui ne sont pas liées à IAM et qui ne peuvent pas être temporaires, telles que les connexions de base de données, utilisent un service conçu pour gérer la gestion des secrets, comme AWS Secrets Manager. Secrets Manager facilite la gestion, la rotation et le stockage sécurisé des secrets chiffrés à l'aide des services pris en charge. Les appels pour accéder aux secrets sont consignés dans AWS CloudTrail à des fins d'audit, et les autorisations IAM peuvent leur accorder un accès selon le principe du moindre privilège. 

 **Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit 

## Directives d'implémentation
<a name="implementation-guidance"></a>
+  Utiliser AWS Secrets Manager : [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) est un service AWS qui facilite la gestion des secrets. Il peut s'agir d'informations d'identification pour une base de données, de mots de passe, de clés d'API tierces, voire de texte arbitraire. 

## Ressources
<a name="resources"></a>

 **Documents connexes :** 
+  [Démarrer avec AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html)
+  [Fournisseurs d'identité et fédération](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html) 

 **Vidéos connexes :** 
+  [Bonnes pratiques de gestion, d'extraction et de renouvellement des secrets à grande échelle](https://youtu.be/qoxxRlwJKZ4) 

# SEC02-BP04 S'appuyer sur un fournisseur d'identité centralisé
<a name="sec_identities_identity_provider"></a>

 Pour les identités humaines, appuyez-vous sur un fournisseur d'identité vous permettant de gérer les identités dans un emplacement centralisé. Cela facilite la gestion de l'accès entre plusieurs applications et services, car vous créez, gérez et révoquez l'accès depuis un seul emplacement. Par exemple, si quelqu'un quitte votre organisation, vous pouvez révoquer l'accès à toutes les applications et services (y compris AWS) depuis un seul emplacement. Cela réduit le nombre d'informations d'identification nécessaires et permet l'intégration aux processus de ressources humaines (RH) existants. 

Pour la fédération avec des comptes AWS individuels, vous pouvez utiliser des identités centralisées pour AWS ayant un fournisseur SAML 2.0 avec Gestion des identités et des accès AWS. Vous pouvez utiliser n'importe quel fournisseur, qu'il soit hébergé par vous sur AWS, externe à AWS ou fourni par le réseau de partenaires AWS Partner, compatible avec le protocole [SAML 2.0](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml.html) . Vous pouvez utiliser la fédération entre votre compte AWS et le fournisseur choisi pour accorder à un utilisateur ou à une application l'accès pour appeler les opérations d'API AWS à l'aide d'une assertion SAML afin d'obtenir des informations d'identification de sécurité temporaires. L'authentification unique basée sur le web est également prise en charge, ce qui permet aux utilisateurs de se connecter à AWS Management Console à partir de votre site web de connexion.

Pour la fédération sur plusieurs comptes de votre AWS Organizations, vous pouvez configurer votre source d'identité dans [AWS IAM Identity Center (IAM Identity Center)](http://aws.amazon.com/single-sign-on/), et spécifier où vos utilisateurs et groupes sont stockés. Une fois configuré, votre fournisseur d'identité est votre source de vérité et les informations peuvent être [synchronisées](https://docs.aws.amazon.com/singlesignon/latest/userguide/provision-automatically.html) à l'aide du protocole SCIM (System for Cross-domain Identity Management) v2.0. Vous pouvez ensuite rechercher des utilisateurs ou des groupes et leur accorder un accès IAM Identity Center aux comptes AWS, aux applications cloud ou aux deux.

IAM Identity Center s'intègre à AWS Organizations, ce qui vous permet de configurer votre fournisseur d'identité une fois, puis [d'accorder l'accès aux comptes existants et aux nouveaux comptes](https://docs.aws.amazon.com/singlesignon/latest/userguide/useraccess.html) gérés dans votre organisation. IAM Identity Center vous fournit un stockage par défaut, que vous pouvez utiliser pour gérer vos utilisateurs et groupes. Si vous choisissez d'utiliser le stockage IAM Identity Center, créez vos utilisateurs et groupes et attribuez leur niveau d'accès à vos comptes et applications AWS, en gardant à l'esprit la bonne pratique du moindre privilège. Sinon, vous pouvez choisir de vous [connecter à votre fournisseur d'identité externe ](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html)à l'aide de SAML 2.0 ou [de vous connecter à votre annuaire Microsoft AD](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-ad.html) à l'aide d’AWS Directory Service. Une fois configuré, vous pouvez vous connecter à AWS Management Console ou à l'application mobile AWS en vous authentifiant via votre fournisseur d'identité central.

Pour gérer les utilisateurs finaux ou les consommateurs de vos charges de travail, comme une application mobile, vous pouvez utiliser [Amazon Cognito](http://aws.amazon.com/cognito/). Il fournit les fonctions d'authentification, d'autorisation et de gestion des utilisateurs pour vos applications Web et mobiles. Vos utilisateurs peuvent se connecter directement avec un nom d'utilisateur et un mot de passe, ou via un tiers tel que Amazon, Apple, Facebook ou Google.

 **Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Débit 

## Directives d'implémentation
<a name="implementation-guidance"></a>
+  Centraliser l'accès administratif : créez une entité de fournisseur d'identité de gestion des identités et des accès (IAM) pour établir une relation de confiance entre votre Compte AWS et votre fournisseur d'identité (IdP). IAM prend en charge les IdP compatibles avec OpenID Connect (OIDC) ou SAML 2.0 (Security Assertion Markup Language 2.0). 
  +  [Fournisseurs d'identité et fédération](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html) 
+  Centraliser l'accès aux applications : envisagez Amazon Cognito pour centraliser l'accès aux applications. Cognito vous permet d'ajouter rapidement et facilement une inscription et une connexion utilisateur ainsi qu'un contrôle d'accès à vos applications Web et mobiles. [Amazon Cognito](https://aws.amazon.com/cognito/) s'adapte à des millions d'utilisateurs et prend en charge la connexion avec les fournisseurs d'identité sociale comme Facebook, Google et Amazon, ainsi qu'avec les fournisseurs d'identité entreprise via SAML 2.0. 
+  Supprimez les utilisateurs et les groupes IAM obsolètes : une fois que vous commencez à utiliser un fournisseur d'identité (IdP), supprimez les utilisateurs et groupes IAM qui ne sont plus nécessaires. 
  +  [Identification des informations d'identification non utilisées](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_finding-unused.html) 
  +  [Suppression d'un groupe IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_delete.html) 

## Ressources
<a name="resources"></a>

 **Documents connexes :** 
+  [Bonnes pratiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) 
+  [Solutions partenaires de sécurité : accès et contrôle d'accès](https://aws.amazon.com/security/partner-solutions/#access-control) 
+  [Informations d'identification de sécurité temporaires](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) 
+  [Utilisateur racine d'un compte AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html) 

 **Vidéos connexes :** 
+  [Bonnes pratiques de gestion, d'extraction et de renouvellement des secrets à grande échelle](https://youtu.be/qoxxRlwJKZ4) 
+  [Gestion des autorisations utilisateur à grande échelle avec AWS IAM Identity Center](https://youtu.be/aEIqeFCcK7E) 
+  [Maîtrise des identités dans chaque couche](https://www.youtube.com/watch?v=vbjFjMNVEpc) 

# SEC02-BP05 Contrôler et effectuer régulièrement une rotation des informations d'identification
<a name="sec_identities_audit"></a>

 Lorsque l'utilisation d'informations d'identification temporaires est impossible et que vous avez besoin d'informations d'identification à long terme, vérifiez les informations d'identification pour vous assurer que les contrôles définis, tels que l'authentification multifacteur (MFA) sont appliqués, changés régulièrement et disposent du niveau d'accès approprié. La validation régulière, de préférence via un outil automatisé, est nécessaire pour vérifier que les contrôles corrects sont appliqués. Pour les identités humaines, vous devez obliger les utilisateurs à modifier leurs mots de passe régulièrement et à abandonner les clés d'accès au profit d'informations d'identification temporaires. Lorsque vous passez d'utilisateurs Gestion des identités et des accès AWS (IAM) à des identités centralisées, vous pouvez [générer un rapport d'informations d'identification ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html)pour auditer vos utilisateurs IAM. Nous vous recommandons également d'appliquer les paramètres MFA dans votre fournisseur d'identité. Vous pouvez configurer des règles [AWS Config Rules](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) pour surveiller ces paramètres. Pour les identités machine, vous devez vous appuyer sur des informations d'identification temporaires à l'aide des rôles IAM. Pour les situations où cela n'est pas possible, un audit fréquent et une rotation des clés d'accès sont nécessaires. 

 **Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise 

## Directives d'implémentation
<a name="implementation-guidance"></a>
+  Contrôler régulièrement les informations d'identification : utilisez les rapports sur les informations d'identification et Identify and Access Management (IAM) Access Analyzer pour contrôler les informations d'identification et les autorisations IAM. 
  +  [IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) 
  +  [Générer un rapport d'informations d'identification](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html) 
  +  [Atelier : Nettoyage automatisé des utilisateurs IAM](https://wellarchitectedlabs.com/Security/200_Automated_IAM_User_Cleanup/README.html?ref=wellarchitected-tool) 
+  Utiliser les niveaux d'accès pour examiner les autorisations IAM : pour améliorer la sécurité de votre Compte AWS, examinez et surveillez régulièrement chacune de vos politiques IAM. Veillez à ce que vos stratégies accordent le moins de privilèges possible pour n'effectuer que les actions nécessaires. 
  +  [Utiliser des niveaux d'accès pour vérifier les autorisations IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#use-access-levels-to-review-permissions) 
+  Envisager d'automatiser la création et les mises à jour des ressources IAM : AWS CloudFormation peut être utilisé pour automatiser le déploiement des ressources IAM, y compris les rôles et les politiques, afin de réduire les erreurs humaines, car les modèles peuvent être vérifiés et contrôlés par leur version. 
  +  [Atelier : Déploiement automatisé des groupes et rôles IAM](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_IAM_Groups_and_Roles/README.html) 

## Ressources
<a name="resources"></a>

 **Documents connexes :** 
+  [Démarrer avec AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html) 
+  [Bonnes pratiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) 
+  [Fournisseurs d'identité et fédération](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html) 
+  [Solutions partenaires de sécurité : accès et contrôle d'accès](https://aws.amazon.com/security/partner-solutions/#access-control) 
+  [Informations d'identification de sécurité temporaires](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) 

 **Vidéos connexes :** 
+  [Bonnes pratiques de gestion, d'extraction et de renouvellement des secrets à grande échelle](https://youtu.be/qoxxRlwJKZ4) 
+  [Gestion des autorisations utilisateur à grande échelle avec AWS IAM Identity Center](https://youtu.be/aEIqeFCcK7E) 
+  [Maîtrise des identités dans chaque couche](https://www.youtube.com/watch?v=vbjFjMNVEpc) 

# SEC02-BP06 Tirer parti des groupes d'utilisateurs et des attributs
<a name="sec_identities_groups_attributes"></a>

 Au fur et à mesure que le nombre d'utilisateurs que vous gérez augmente, vous devez déterminer les moyens de les organiser afin de pouvoir les gérer à grande échelle. Placez les utilisateurs ayant des exigences de sécurité communes dans des groupes définis par votre fournisseur d'identité et mettez en place des mécanismes pour s'assurer que les attributs pouvant être utilisés pour le contrôle d'accès (par exemple, service ou emplacement) sont corrects et mis à jour. Utilisez ces groupes et attributs pour contrôler l'accès plutôt que des utilisateurs individuels. Cela vous permet de gérer l'accès de manière centralisée en modifiant une fois l'appartenance à un groupe ou les attributs d'un utilisateur avec un [jeu d'autorisations](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsets.html), plutôt que de mettre à jour de nombreuses stratégies individuelles lorsque les besoins d'accès d'un utilisateur changent. Vous pouvez utiliser AWS IAM Identity Center (IAM Identity Center) pour gérer les groupes d'utilisateurs et les attributs. IAM Identity Center prend en charge les attributs les plus couramment utilisés, qu'ils soient saisis manuellement lors de la création de l'utilisateur ou alloués automatiquement à l'aide d'un moteur de synchronisation, tel que défini dans la spécification SCIM (Cross-Domain Identity Management). 

Placez les utilisateurs ayant des exigences de sécurité communes dans des groupes définis par votre fournisseur d'identité et mettez en place des mécanismes pour s'assurer que les attributs pouvant être utilisés pour le contrôle d'accès (par exemple, service ou emplacement) sont corrects et mis à jour. Utilisez ces groupes et attributs, plutôt que des utilisateurs individuels, pour contrôler l'accès. Cela vous permet de gérer l'accès de manière centralisée en modifiant l'appartenance à un groupe ou les attributs d'un utilisateur une fois, plutôt que de mettre à jour de nombreuses stratégies individuelles lorsque les besoins d'accès d'un utilisateur changent.

 **Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Faible 

## Directives d'implémentation
<a name="implementation-guidance"></a>
+  Si vous utilisez AWS IAM Identity Center (IAM Identity Center), configurez des groupes : IAM Identity Center vous permet de configurer des groupes d'utilisateurs et d'attribuer aux groupes le niveau d'autorisation souhaité. 
  +  [Authentification unique AWS : gérer les identités](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-sso.html) 
+  Familiarisez-vous avec le contrôle d'accès basé sur les attributs (ABAC) : l'ABAC est une stratégie d'autorisation qui définit les autorisations en fonction des attributs. 
  +  [Qu'est-ce que l'ABAC pour AWS ?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) 
  +  [Atelier : Contrôle d'accès basé sur les balises IAM pour EC2](https://www.wellarchitectedlabs.com/Security/300_IAM_Tag_Based_Access_Control_for_EC2/README.html) 

## Ressources
<a name="resources"></a>

 **Documents connexes :** 
+  [Démarrer avec AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html) 
+  [Bonnes pratiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) 
+  [Fournisseurs d'identité et fédération](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html) 
+  [Utilisateur racine d'un compte AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html) 

 **Vidéos connexes :** 
+  [Bonnes pratiques de gestion, d'extraction et de renouvellement des secrets à grande échelle](https://youtu.be/qoxxRlwJKZ4) 
+  [Gestion des autorisations utilisateur à grande échelle avec AWS IAM Identity Center](https://youtu.be/aEIqeFCcK7E) 
+  [Maîtrise des identités dans chaque couche](https://www.youtube.com/watch?v=vbjFjMNVEpc) 

 **Exemples connexes :** 
+  [Atelier : Contrôle d'accès basé sur les balises IAM pour EC2](https://www.wellarchitectedlabs.com/Security/300_IAM_Tag_Based_Access_Control_for_EC2/README.html)