# SEC 3 Comment gérer les autorisations des personnes et des machines ?
Gérez les autorisations des identités de personnes et de machines qui nécessitent un accès à AWS ainsi qu'à votre charge de travail. Les autorisations régissent les ressources accessibles et les conditions d'accès.
**Topics**
+ [SEC03-BP01 Définir les conditions d'accès](sec_permissions_define.md)
+ [SEC03-BP02 Accorder un accès selon le principe du moindre privilège](sec_permissions_least_privileges.md)
+ [SEC03-BP03 Établir un processus d'accès d'urgence](sec_permissions_emergency_process.md)
+ [SEC03-BP04 Limiter les autorisations au minimum requis en permanence](sec_permissions_continuous_reduction.md)
+ [SEC03-BP05 Définir des protections par autorisation pour votre organisation](sec_permissions_define_guardrails.md)
+ [SEC03-BP06 Gérer l'accès en fonction du cycle de vie](sec_permissions_lifecycle.md)
+ [SEC03-BP07 Analyser l'accès public et entre les comptes](sec_permissions_analyze_cross_account.md)
+ [SEC03-BP08 Partager des ressources en toute sécurité](sec_permissions_share_securely.md)
# SEC03-BP01 Définir les conditions d'accès
Les administrateurs, utilisateurs finaux ou autres composants doivent pouvoir accéder à chaque composant ou ressource de votre charge de travail. Définissez clairement qui ou quoi doit avoir accès à chaque composant, choisissez le type d'identité et la méthode d'authentification et d'autorisation appropriés.
**Anti-modèles courants :**
+ Codage en dur ou stockage de secrets dans votre application.
+ Octroi d'autorisations personnalisées à chaque utilisateur.
+ Utilisation d'informations d'identification durables.
**Niveau d'exposition au risque si cette bonne pratique n'est pas respectée :** Élevé
## Directives d'implémentation
Les administrateurs, utilisateurs finaux ou autres composants doivent pouvoir accéder à chaque composant ou ressource de votre charge de travail. Définissez clairement qui ou quoi doit avoir accès à chaque composant, choisissez le type d'identité et la méthode d'authentification et d'autorisation appropriés.
Un accès standard aux Comptes AWS de l'organisation doit être fourni à l'aide d'un [accès fédéré](https://aws.amazon.com/identity/federation/) ou d'un fournisseur d'identité centralisé. Vous devez également centraliser la gestion des identités et vous assurer qu'il existe une pratique établie pour intégrer l'accès à AWS au cycle de vie de l'accès des employés. Par exemple, lorsqu'un employé change de poste et de niveau d'accès, son appartenance à un groupe doit également évoluer de façon à refléter les nouvelles conditions d'accès qui lui sont associées.
Lorsque vous définissez des conditions d'accès pour des identités non humaines, déterminez quels applications et composants ont besoin d'un accès et comment les autorisations sont accordées. Dans cette optique, il est recommandé d'utiliser les rôles IAM créés avec le modèle d'accès du moindre privilège. [Les politiques gérées par AWS](https://docs.aws.amazon.com/singlesignon/latest/userguide/security-iam-awsmanpol.html) établissent des politiques IAM prédéfinies qui couvrent les cas d'utilisation les plus courants.
Les services AWS, tels qu' [AWS Secrets Manager](https://aws.amazon.com/blogs/security/identify-arrange-manage-secrets-easily-using-enhanced-search-in-aws-secrets-manager/) et [AWS Systems Manager Parameter Store,](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-parameter-store.html)peuvent permettre de dissocier les secrets de l'application ou de la charge de travail en toute sécurité lorsqu'il est impossible d'utiliser des rôles IAM. Dans Secrets Manager, vous pouvez établir une rotation automatique de vos informations d'identification. Vous pouvez utiliser Systems Manager de façon à référencer les paramètres dans vos scripts, commandes, documents SSM, configuration et flux de travail d'automatisation en utilisant le nom unique que vous avez spécifié lors de la création du paramètre.
Vous pouvez utiliser des rôles Gestion des identités et des accès AWS partout de façon à obtenir [des informations d'identification de sécurité temporaires dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) pour les charges de travail exécutées en dehors d'AWS. Vos charges de travail peuvent utiliser les mêmes [politiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) et [rôles IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) que ceux utilisés avec les applications AWS pour accéder aux ressources AWS.
Dans la mesure du possible, privilégiez les informations d'identification temporaires à court terme plutôt que les informations d'identification statiques à long terme. Pour les scénarios dans le cadre desquels les utilisateurs IAM doivent disposer d'un accès par programmation et d'informations d'identification à long terme, utilisez [les dernières informations de clé d'accès utilisées](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey) pour effectuer la rotation des clés d'accès et supprimer ces dernières.
## Ressources
**Documents connexes :**
+ [Contrôle d'accès basé sur les attributs (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)
+ [AWS IAM Identity Center](https://aws.amazon.com/iam/identity-center/)
+ [IAM Roles Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html)
+ [AWS politiques gérées pour IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/security-iam-awsmanpol.html)
+ [AWS IAM policy conditions](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)
+ [IAM use cases](https://docs.aws.amazon.com/IAM/latest/UserGuide/IAM_UseCases.html)
+ [Remove unnecessary credentials](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#remove-credentials)
+ [Gestion des politiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)
+ [How to control access to AWS resources based on Compte AWS, OU, or organization](https://aws.amazon.com/blogs/security/how-to-control-access-to-aws-resources-based-on-aws-account-ou-or-organization/)
+ [Identify, arrange, and manage secrets easily using enhanced search in AWS Secrets Manager](https://aws.amazon.com/blogs/security/identify-arrange-manage-secrets-easily-using-enhanced-search-in-aws-secrets-manager/)
**Vidéos connexes :**
+ [Devenir un expert en stratégie IAM en 60 minutes maximum](https://youtu.be/YQsK4MtsELU)
+ [Separation of Duties, Least Privilege, Delegation, and CI/CD](https://youtu.be/3H0i7VyTu70)
+ [Streamlining identity and access management for innovation](https://www.youtube.com/watch?v=3qK0b1UkaE8)
# SEC03-BP02 Accorder un accès selon le principe du moindre privilège
Accordez uniquement l'accès dont les identités ont besoin en autorisant des actions spécifiques sur certaines ressources AWS, dans des conditions définies. Faites appel à des groupes et des attributs d'identité pour définir de façon dynamique des autorisations à grande échelle, plutôt que pour des utilisateurs individuels. Par exemple, vous pouvez autoriser un groupe de développeurs à gérer uniquement les ressources de leur projet. Ainsi, lorsqu'un développeur est supprimé du groupe, son accès est révoqué partout où ce groupe a été utilisé pour le contrôle d'accès, sans qu'il soit nécessaire de modifier les politiques d'accès.
**Anti-modèles courants :**
+ Octroi par défaut des autorisations d'administrateur aux utilisateurs.
+ Utilisation du compte racine pour les activités quotidiennes.
**Niveau d'exposition au risque si cette bonne pratique n'est pas respectée :** Élevé
## Directives d'implémentation
L'établissement d'un principe du [moindre privilège](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) garantit que les identités sont uniquement autorisées à effectuer l'ensemble minimal de fonctions nécessaire pour traiter une tâche spécifique, tout en équilibrant la convivialité et l'efficacité. L'utilisation de ce principe limite l'accès involontaire et vous permet de vérifier qui a accès à quelles ressources. Dans AWS, les identités n'ont pas d'autorisations par défaut, sauf pour l'utilisateur root. Les informations d'identification de l'utilisateur root doivent être étroitement contrôlées et doivent uniquement être utilisées pour [tâches spécifiques](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html).
Vous utilisez des politiques pour accorder explicitement des autorisations associées à IAM ou à des entités de ressources, telles qu'un rôle IAM utilisé par des identités fédérées ou des machines, ou des ressources (par exemple, des compartiments S3). Lorsque vous créez et associez une politique, vous pouvez spécifier les actions de service, les ressources et les conditions qui doivent être remplies pour qu'AWS autorise l'accès. AWS prend en charge diverses conditions pour vous aider à limiter l'accès. Par exemple, à l'aide de la `clé de condition` [PrincipalOrgID](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html), l'identifiant d'AWS Organizations est vérifié afin que l'accès puisse être accordé au sein de votre organisation AWS.
Vous pouvez également contrôler les demandes que les services AWS effectuent en votre nom, comme AWS CloudFormation qui crée une fonction AWS Lambda, à l'aide de la clé de condition `CalledVia` . Vous devez superposer différents types de politiques pour limiter efficacement les autorisations globales au sein d'un compte. Par exemple, vous pouvez autoriser vos équipes d'application à créer leurs propres politiques IAM, tout en utilisant une [limite des autorisations](https://aws.amazon.com/blogs/security/delegate-permission-management-to-developers-using-iam-permissions-boundaries/) afin de restreindre les autorisations maximum susceptibles d'être octroyées.
Plusieurs capacités AWS vous permettent d'adapter la gestion des autorisations et de respecter le principe du moindre privilège. [Le contrôle d'accès basé sur les attributs](https://aws.amazon.com/blogs/security/delegate-permission-management-to-developers-using-iam-permissions-boundaries/) vous permet de limiter les autorisations en fonction *[de la balise](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/tagging-best-practices.html)* d'une ressource, afin de prendre des décisions en matière d'autorisation reposant sur les balises appliquées à la ressources et au principal IAM appelant. Cela vous permet de combiner votre politique de balisage et d'autorisations afin d'obtenir un accès précis aux ressources sans avoir besoin d'un grand nombre de politiques personnalisées.
Pour accélérer la création d'une politique de moindre privilège, une autre solution consiste à baser votre politique sur les autorisations CloudTrail après l'exécution d'une activité. [IAM Access Analyzer peut générer automatiquement une politique IAM basée sur l'activité](https://aws.amazon.com/blogs/security/delegate-permission-management-to-developers-using-iam-permissions-boundaries/). vous pouvez également utiliser IAM Access Advisor au niveau du compte de l'individu ou de l'organisation [afin de suivre les dernières informations consultées pour une politique particulière](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html).
Établissez une cadence pour examiner ces détails et supprimer les autorisations inutiles. Vous devez établir des barrières de protection pour les autorisations au sein de votre AWS organisation afin de contrôler les autorisations maximales dans tout compte membre. Les services tels qu' [AWS Control Tower ont des contrôles préventifs gérés prescriptifs](https://docs.aws.amazon.com/controltower/latest/userguide/guardrails.html) et vous permettent de définir vos propres contrôles.
## Ressources
**Documents connexes :**
+ [Limites d'autorisations pour les entités IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)
+ [Techniques for writing least privilege IAM policies](https://aws.amazon.com/blogs/security/techniques-for-writing-least-privilege-iam-policies/)
+ [IAM Access Analyzer makes it easier to implement least privilege permissions by generating IAM policies based on access activity](https://aws.amazon.com/blogs/security/iam-access-analyzer-makes-it-easier-to-implement-least-privilege-permissions-by-generating-iam-policies-based-on-access-activity/)
+ [Ajustement des autorisations dans AWS à l'aide des dernières informations consultées](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html)
+ [IAM policy types and when to use them](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)
+ [Testing IAM policies with the IAM policy simulator](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_testing-policies.html)
+ [Guardrails in AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/guardrails.html)
+ [Zero Trust architectures: An AWS perspective](https://aws.amazon.com/blogs/security/zero-trust-architectures-an-aws-perspective/)
+ [How to implement the principle of least privilege with CloudFormation StackSets](https://aws.amazon.com/blogs/security/how-to-implement-the-principle-of-least-privilege-with-cloudformation-stacksets/)
**Vidéos connexes :**
+ [Next-generation permissions management](https://www.youtube.com/watch?v=8vsD_aTtuTo)
+ [Zero Trust: An AWS perspective](https://www.youtube.com/watch?v=1p5G1-4s1r0)
+ [How can I use permissions boundaries to limit IAM users and roles to prevent privilege escalation?](https://www.youtube.com/watch?v=omwq3r7poek)
**Exemples connexes :**
+ [Atelier : IAM permissions boundaries delegating role creation](https://wellarchitectedlabs.com/Security/300_IAM_Permission_Boundaries_Delegating_Role_Creation/README.html)
# SEC03-BP03 Établir un processus d'accès d'urgence
Un processus permettant l'accès d'urgence à votre charge de travail en cas de problème lié à un processus automatisé ou un pipeline. Ceci vous permet d'utiliser la stratégie du moindre privilège, tout en veillant à ce que les utilisateurs obtiennent le niveau d'accès approprié lorsqu'ils en ont besoin. Ce processus peut inclure une combinaison de différentes capacités, par exemple un rôle AWS entre comptes d'urgence pour l'accès, ou un processus spécifique que les administrateurs doivent suivre pour valider et approuver une demande d'urgence.
**Anti-modèles courants :**
+ Absence de processus d'urgence pour récupérer après une panne avec votre configuration d'identité existante.
+ Octroi d'autorisations élevées à long terme à des fins de dépannage ou de récupération.
**Niveau d'exposition au risque si cette bonne pratique n'est pas respectée :** Moyen
## Directives d'implémentation
La mise en place d'un accès d'urgence peut prendre plusieurs formes pour lesquelles il est important d'être prêt. La première forme est un échec de votre fournisseur d'identité principal. Dans ce cas, vous devez compter sur une deuxième méthode d'accès avec les autorisations requises pour la récupération. Cette méthode pourrait être un fournisseur d'identité de secours ou un utilisateur IAM. Cette deuxième méthode doit être [étroitement contrôlée, surveillée, et son utilisation](https://aws.amazon.com/blogs/mt/monitor-and-notify-on-aws-account-root-user-activity/) doit être indiquée dans l'événement. L'identité des accès d'urgence doit provenir d'un compte utilisé à cette fin et disposer d'autorisations destinées uniquement à assumer un rôle spécifiquement conçu pour la récupération.
Vous devriez également être prêt pour un accès d'urgence lorsqu'un accès d'administration temporaire élevé est nécessaire. Un scénario courant consiste à limiter les autorisations mutantes à un processus automatisé utilisé pour déployer les modifications. Lorsque ce processus rencontre un problème, les utilisateurs peuvent avoir besoin de demander des autorisations élevées pour restaurer la fonctionnalité. Le cas échéant, établissez un processus dans le cadre duquel les utilisateurs peuvent demander un accès élevé et les administrateurs peuvent le valider et l'approuver. Les plans d'implémentation décrivant en détail les bonnes pratiques pour la préallocation des accès et la configuration de rôles d'urgence, *de type break-glass,*sont fournis dans le cadre de [SEC10-BP05 Préallouer les accès](sec_incident_response_pre_provision_access.md).
## Ressources
**Documents connexes :**
+ [Monitor and Notify on AWS](https://aws.amazon.com/blogs/mt/monitor-and-notify-on-aws-account-root-user-activity)
+ [Managing temporary elevated access](https://aws.amazon.com/blogs/security/managing-temporary-elevated-access-to-your-aws-environment/)
**Vidéo connexe :**
+ [Become an IAM Policy Master in 60 Minutes or Less](https://youtu.be/YQsK4MtsELU)
# SEC03-BP04 Limiter les autorisations au minimum requis en permanence
Lorsque les équipes et les charges de travail déterminent l'accès dont elles ont besoin, supprimez les autorisations inutilisées et établissez des processus de vérification pour obtenir les autorisations de moindre privilège. Surveillez et réduisez en continu les identités et les autorisations inutilisées.
Parfois, lorsque les équipes et les projets démarrent, vous pouvez choisir d'accorder un large accès (dans un environnement de développement ou dans un environnement de test) pour favoriser l'innovation et l'agilité. Nous vous recommandons d'évaluer l'accès en permanence et, en particulier dans un environnement de production, de limiter l'accès aux seules autorisations requises et de respecter le principe du moindre privilège. AWS fournit des fonctionnalités d'analyse des accès pour vous aider à identifier les accès inutilisés. Pour vous aider à identifier les utilisateurs et les rôles inutilisés, AWS analyse l'activité d'accès et fournit des informations sur la dernière utilisation des clés d'accès et des rôles. Vous pouvez utiliser le [dernier horodatage consulté](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor-view-data.html) to [identifier les utilisateurs et les rôles inutilisés](http://aws.amazon.com/blogs/security/identify-unused-iam-roles-remove-confidently-last-used-timestamp/)et les supprimer. De plus, vous pouvez consulter les informations relatives aux services et actions consultées en dernier afin d'identifier et de [restreindre les autorisations à des utilisateurs et des rôles spécifiques](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html). Par exemple, vous pouvez utiliser les dernières informations consultées pour identifier les actions Amazon Simple Storage Service(Amazon S3) spécifiques dont votre rôle d'application a besoin et limiter l'accès à celles-ci uniquement. Ces fonctionnalités sont disponibles dans AWS Management Console et par programmation pour vous permettre de les intégrer dans vos flux de travail d'infrastructure et vos outils automatisés.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Moyenne entreprise
## Directives d'implémentation
+ Configurer AWS Identity and Access Management (IAM) Access Analyzer : AWS IAM Access Analyzer vous aide à identifier les ressources de votre organisation et de vos comptes, telles que les compartiments Amazon Simple Storage Service (Amazon S3) ou les rôles IAM partagés avec une entité externe.
+ [AWS IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html)
## Ressources
**Documents connexes :**
+ [Contrôle d'accès basé sur les attributs (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)
+ [Accorder le privilège le plus faible](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)
+ [Suppression des informations d'identification inutiles](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#remove-credentials)
+ [Travailler avec des stratégies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)
**Vidéos connexes :**
+ [Devenir un expert en politiques IAM en 60 minutes maximum](https://youtu.be/YQsK4MtsELU)
+ [Séparation des responsabilités, moindre privilège, délégation et CI/CD](https://youtu.be/3H0i7VyTu70)
# SEC03-BP05 Définir des protections par autorisation pour votre organisation
Établissez des contrôles communs qui limitent l'accès à toutes les identités de votre organisation. Par exemple, vous pouvez restreindre l'accès à des Régions AWS spécifiques ou empêcher vos techniciens de supprimer des ressources communes, telles qu'un rôle IAM utilisé pour votre équipe de sécurité centrale.
**Anti-modèles courants :**
+ Exécution des charges de travail dans votre compte d'administrateur organisationnel.
+ Exécution des charges de travail de production et autres dans le même compte.
**Niveau d'exposition au risque si cette bonne pratique n'est pas respectée :** Moyen
## Directives d'implémentation
Au fur et à mesure que vous développez et gérez des charges de travail supplémentaires dans AWS, vous devez séparer ces charges de travail à l'aide de comptes et gérer ces comptes à l'aide d'AWS Organizations. Nous vous recommandons d'établir des protections par autorisation communes qui limitent l'accès à toutes les identités de votre organisation. Par exemple, vous pouvez restreindre l'accès à des Régions AWS spécifiques ou empêcher votre équipe de supprimer des ressources communes, telles qu'un rôle IAM utilisé par votre équipe de sécurité centrale.
Vous pouvez commencer en implémentant des exemples de politiques de contrôle des services, par exemple en empêchant les utilisateurs de désactiver les services clés. Les SCP utilisent le langage de politique IAM et vous permettent d'établir des contrôles auxquels tous les principaux (utilisateurs et rôles) IAM adhèrent. Vous pouvez restreindre l'accès à des actions de service spécifiques, à des ressources et en fonction de conditions spécifiques pour répondre aux besoins de contrôle d'accès de votre organisation. Si nécessaire, vous pouvez définir des exceptions à vos barrières de protection. Par exemple, vous pouvez restreindre les actions de service pour toutes les entités IAM du compte, à l'exception d'un rôle d'administrateur spécifique.
Nous vous déconseillons l'exécution de vos charges de travail dans votre compte de gestion. Le compte de gestion doit être utilisé afin de gouverner et déployer des barrières de protection en matière de sécurité qui affecteront les comptes des membres. Certains services AWS prennent en charge l'utilisation d'un compte d'administrateur délégué. Lorsqu'il est disponible, nous vous recommandons d'utiliser ce compte délégué plutôt que le compte de gestion. Vous devez limiter fortement l'accès au compte d'administrateur organisationnel.
La mise en place d'une stratégie multicompte vous permet de bénéficier d'une plus grande flexibilité dans l'application de barrières de protection à vos charges de travail. L'AWS Security Reference Architecture propose des conseils normatifs en ce qui concerne la conception de la structure de votre compte. Les services AWS tels qu'AWS Control Tower offrent des capacités de gestion centralisée des contrôles préventifs et de détection au sein de votre organisation. Définissez un objectif clair pour chaque compte ou unité opérationnelle au sein de votre organisation et limitez les contrôles conformément à cet objectif.
## Ressources
**Documents connexes :**
+ [AWS Organizations](https://aws.amazon.com/organizations/)
+ [Politiques de contrôle de service (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)
+ [Get more out of service control policies in a multi-account environment](https://aws.amazon.com/blogs/security/get-more-out-of-service-control-policies-in-a-multi-account-environment/)
+ [AWS Architecture de référence de sécurité (AWS SRA)](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/welcome.html)
**Vidéos connexes :**
+ [Enforce Preventive Guardrails using Service Control Policies](https://www.youtube.com/watch?v=mEO05mmbSms)
+ [Building governance at scale with AWS Control Tower](https://www.youtube.com/watch?v=Zxrs6YXMidk)
+ [AWS Identity and Access Management deep dive](https://www.youtube.com/watch?v=YMj33ToS8cI)
# SEC03-BP06 Gérer l'accès en fonction du cycle de vie
Intégrez les contrôles d'accès au cycle de vie des opérateurs et des applications et à votre fournisseur de fédération centralisée. Par exemple, supprimez l'accès d'un utilisateur lorsqu'il quitte l'organisation ou change de poste.
Lorsque vous gérez des charges de travail à l'aide de comptes distincts, vous devrez partager des ressources entre ces comptes. Nous vous recommandons de partager des ressources à l'aide d' [AWS Resource Access Manager (AWS RAM)](http://aws.amazon.com/ram/). Ce service vous permet de partager facilement et en toute sécurité des ressources AWS au sein de votre AWS Organizations et de vos unités d'organisation. Avec AWS RAM, l'accès aux ressources partagées est automatiquement accordé ou révoqué lorsque les comptes sont déplacés vers et hors de l'organisation ou de l'unité d'organisation avec laquelle ils sont partagés. Cela permet de vous assurer que les ressources sont uniquement partagées avec les comptes que vous souhaitez.
**Niveau de risque exposé si cette bonne pratique n'est pas respectée :** Faible
## Directives d'implémentation
Cycle de vie de l'accès utilisateur : implémentez une stratégie de cycle de vie d'accès utilisateur pour les nouveaux utilisateurs qui rejoignent l'entreprise, les changements de poste et les utilisateurs qui quittent l'entreprise, afin que seuls les utilisateurs actifs disposent d'un accès approprié.
## Ressources
**Documents connexes :**
+ [Contrôle d'accès basé sur les attributs (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)
+ [Accorder le privilège le plus faible](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)
+ [IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html)
+ [Suppression des informations d'identification inutiles](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#remove-credentials)
+ [Travailler avec des stratégies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)
**Vidéos connexes :**
+ [Devenir un expert en stratégie IAM en 60 minutes maximum](https://youtu.be/YQsK4MtsELU)
+ [Séparation des responsabilités, moindre privilège, délégation et CI/CD](https://youtu.be/3H0i7VyTu70)
# SEC03-BP07 Analyser l'accès public et entre les comptes
Surveillez en continu les résultats qui mettent en évidence l'accès public et intercompte. Limitez l'accès public et l'accès intercompte uniquement aux ressources qui requièrent ce type d'accès.
**Anti-modèles courants :**
+ Ne pas suivre un processus pour régir l'accès intercompte et public aux ressources.
**Niveau d'exposition au risque si cette bonne pratique n'est pas respectée :** Faible
## Directives d'implémentation
Dans AWS, vous pouvez accorder l'accès aux ressources d'un autre compte. Vous accordez un accès intercompte direct en utilisant les politiques attachées aux ressources (par exemple, [les politiques de compartiment Amazon Simple Storage Service (Amazon S3))](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html)ou en permettant à une identité d'assumer un rôle IAM dans un autre compte. Lorsque vous utilisez des politiques de ressources, vérifiez que l'accès est accordé aux identités de votre organisation et que vous avez bien l'intention de rendre les ressources publiques. Définir un processus d'approbation de toutes les ressources qui doivent être accessibles au public.
[IAM Access Analyzer](https://aws.amazon.com/iam/features/analyze-access/) utilise [une sécurité prouvable](https://aws.amazon.com/security/provable-security/) pour identifier tous les chemins d'accès à une ressource en dehors de son compte. Il passe en revue les stratégies de ressources en continu et présente les résultats d'accès public et entre comptes pour vous permettre d'analyser facilement un accès potentiellement étendu. Envisagez de configurer IAM Access Analyzer avec AWS Organizations afin de vérifier que vous avez une visibilité sur tous vos comptes. IAM Access Analyzer vous permet également de [visualiser les résultats de l'Analyseur d'accès](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-access-preview.html)avant de déployer les autorisations d'accès aux ressources. Vous pouvez ainsi vérifier que vos modifications de politique n'accordent que l'accès public et intercompte prévu à vos ressources. Lors de la conception pour un accès multicompte, vous pouvez utiliser [des politiques d'approbation afin de contrôler dans quels cas un rôle peut être assumé](https://aws.amazon.com/blogs/security/how-to-use-trust-policies-with-iam-roles/). Par exemple, vous pouvez limiter l'hypothèse de rôle à une plage d'IP source spécifique.
Vous pouvez également utiliser [AWS Config pour signaler et corriger les ressources](https://docs.aws.amazon.com/config/latest/developerguide/operational-best-practices-for-Publicly-Accessible-Resources.html) pour toute configuration accidentelle d'accès public, via les vérifications de politiques d'AWS Config. Des services comme [AWS Control Tower](https://aws.amazon.com/controltower) et [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp.html) simplifient le déploiement des contrôles et des barrières de protection sur une AWS Organizations afin d'identifier et de corriger les ressources publiquement exposées. Par exemple, AWS Control Tower dispose d'une barrière de protection gérée qui peut détecter si [des instantanés Amazon EBS sont restaurables par tous les comptes AWS](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html).
## Ressources
**Documents connexes :**
+ [Utiliser AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html?ref=wellarchitected)
+ [Guardrails in AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)
+ [Norme concernant les bonnes pratiques de sécurité de base AWS](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp.html)
+ [Règles gérées AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_use-managed-rules.html)
+ [Référence de la vérification AWS Trusted Advisor](https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor-check-reference.html)
**Vidéos connexes :**
+ [Best Practices for securing your multi-account environment](https://www.youtube.com/watch?v=ip5sn3z5FNg)
+ [Dive Deep into IAM Access Analyzer](https://www.youtube.com/watch?v=i5apYXya2m0)
# SEC03-BP08 Partager des ressources en toute sécurité
Contrôlez la consommation des ressources partagées entre les comptes ou au sein de votre AWS Organizations. Surveillez et vérifiez l'accès aux ressources partagées.
**Anti-modèles courants :**
+ Utilisation de la politique d'approbation IAM par défaut lorsque vous accordez un accès intercompte à un tiers.
**Niveau d'exposition au risque si cette bonne pratique n'est pas respectée :** Faible
## Directives d'implémentation
Lorsque vous gérez vos charges de travail à l'aide de plusieurs comptes AWS, vous devrez parfois partager des ressources entre les comptes. Il s'agira très souvent d'un partage entre comptes au sein d'une AWS Organizations. Plusieurs services AWS tels qu' [AWS Security Hub CSPM](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-securityhub.html), [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html)et [AWS Backup](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-backup.html) pour intégrer des fonctions intercomptes à Organizations. Vous pouvez utiliser [AWS Resource Access Manager](https://aws.amazon.com/ram/) pour partager d'autres ressources communes, telles que [les sous-réseaux de VPC et les attachement de la passerelle de transit](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html#shareable-vpc), [AWS Network Firewall](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html#shareable-network-firewall)ou [les pipelines Amazon SageMaker Runtime](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html#shareable-sagemaker). Si vous souhaitez veiller à ce que votre compte partage uniquement les ressources de votre Organizations, nous vous recommandons d'utiliser [des politiques de contrôle des services (SCP)](https://docs.aws.amazon.com/ram/latest/userguide/scp.html) afin d'éviter tout accès aux principaux externes.
Lorsque vous partagez des ressources, veillez à mettre en place des mesures de protection contre les accès non intentionnels. Nous vous recommandons de combiner les contrôles basés sur l'identité et les contrôles réseau de façon à [créer un périmètre de données pour votre organisation](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/building-a-data-perimeter-on-aws.html). Ces contrôles doivent limiter rigoureusement les ressources susceptibles d'être partagées et empêcher le partage ou l'exposition de ressources qui ne doivent pas être autorisées. Par exemple, dans le cadre de votre périmètre de données, vous pouvez utiliser les politiques de point de terminaison d'un VPC et la condition `aws:PrincipalOrgId` afin de vous assurer que les identités accédant à vos compartiments Amazon S3 appartiennent à votre organisation.
Dans certains cas, vous pouvez autoriser le partage des ressources en dehors de vos Organizations ou accorder à des tiers l'accès à votre compte. Par exemple, un partenaire peut fournir une solution de surveillance qui doit accéder aux ressources de votre compte. Dans ces cas, vous devez créer un rôle intercompte IAM en lui attribuant uniquement les privilèges requis par le tiers. Vous devez également élaborer une politique d'approbation en utilisant la [condition d'ID externe](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html). Lorsque vous utilisez un ID externe, vous devez générer un ID unique pour chaque tiers. L'ID unique ne doit pas être fourni ou contrôlé par le tiers. Si le tiers n'a plus besoin d'accéder à votre environnement, vous devez supprimer le rôle. Dans tous les cas, évitez de fournir à des tiers des informations d'identification IAM à long terme. Gardez un œil sur les autres services AWS qui prennent en charge le partage de façon native. Par exemple, l'AWS Well-Architected Tool permet [de partager une charge de travail](https://docs.aws.amazon.com/wellarchitected/latest/userguide/workloads-sharing.html) avec d'autres comptes AWS.
Lorsque vous utilisez un service tel qu'Amazon S3, il est recommandé de [désactiver les ACL pour votre compartiment Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html) et d'utiliser les politiques IAM afin de définir le contrôle d'accès. [Pour limiter l'accès à une origine Amazon S3](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html) depuis [Amazon CloudFront,](https://aws.amazon.com/cloudfront/)migrez l'identité d'accès d'origine (OAI) vers le contrôle d'accès d'origine (OAC) qui prend en charge des fonctionnalités supplémentaires, dont le chiffrement côté serveur avec [AWS KMS](https://aws.amazon.com/kms/).
## Ressources
**Documents connexes :**
+ [Bucket owner granting cross-account permission to objects it does not own](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-walkthroughs-managing-access-example4.html)
+ [How to use Trust Policies with IAM](https://aws.amazon.com/blogs/security/how-to-use-trust-policies-with-iam-roles/)
+ [Building Data Perimeter on AWS](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/building-a-data-perimeter-on-aws.html)
+ [How to use an external ID when granting a third party access to your AWS resources](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html)
**Vidéos connexes :**
+ [Granular Access with AWS Resource Access Manager](https://www.youtube.com/watch?v=X3HskbPqR2s)
+ [Securing your data perimeter with VPC endpoints](https://www.youtube.com/watch?v=iu0-o6hiPpI)
+ [ Establishing a data perimeter on AWS](https://www.youtube.com/watch?v=SMi5OBjp1fI)