

# Gestion et séparation des comptes AWS
<a name="aws-account-management-and-separation"></a>

Nous vous recommandons d’organiser les charges de travail dans des comptes et des comptes de groupe distincts suivant la fonction, les exigences de conformité ou un ensemble commun de contrôles plutôt que de mettre en miroir la structure de rapport de votre organisation. Dans AWS, les comptes constituent un conteneur hermétique. Par exemple, la séparation au niveau du compte est fortement recommandée pour isoler les charges de travail de production des charges de travail de développement et de test. 

 **Gérer les comptes de manière centralisée **: AWS Organizations [automatise la création et la gestion de comptes AWS](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts.html), ainsi que le contrôle de ces comptes après leur création. Lorsque vous créez un compte dans AWS Organizations, il est important de tenir compte de l’adresse électronique que vous utilisez, car il s’agit de l’identifiant racine qui permet de réinitialiser le mot de passe. Les organisations vous permettent de regrouper des comptes en [unités d’organisation (OU)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_ous.html), ce qui peut représenter différents environnements en fonction des besoins et de l’objectif de la charge de travail. 

 **Définir les contrôles de manière centralisée :** contrôlez ce que vos comptes AWS peuvent faire en autorisant uniquement des services, régions et actions de service spécifiques au niveau approprié. AWS Organizations vous permet d’utiliser des politiques de contrôle des services (SCP) pour appliquer des protections par autorisation au niveau de l’organisation, de l’unité d’organisation ou du compte, qui s’appliquent à tous les utilisateurs et rôles [Gestion des identités et des accès AWS](https://aws.amazon.com/iam/) (IAM) Par exemple, vous pouvez appliquer une politique de contrôle des services qui empêche les utilisateurs de lancer des ressources dans des régions que vous n’avez pas explicitement autorisées. AWS Control Tower offre un moyen simplifié de configurer et de gérer plusieurs comptes. Il automatise la configuration des comptes dans votre organisation AWS, automatise la mise en service, applique des [guardrails](https://docs.aws.amazon.com/controltower/latest/userguide/guardrails.html) (qui incluent la prévention et la détection) et vous fournit un tableau de bord pour plus de visibilité. 

 **Configurer les services et les ressources de manière centralisée **: AWS Organizations vous aide à configurer les [services AWS](https://aws.amazon.com/organizations/features/) qui s’appliquent à tous vos comptes. Par exemple, vous pouvez configurer la journalisation centrale de toutes les actions effectuées dans votre organisation à l’aide d’[AWS CloudTrail](https://aws.amazon.com/cloudtrail/) et empêcher les comptes membres de désactiver la journalisation. Vous pouvez également regrouper de manière centralisée les données pour les règles que vous avez définies à l’aide d’[AWS Config](https://aws.amazon.com/config/), ce qui vous permet de vérifier la conformité de vos charges de travail et de réagir rapidement aux modifications. AWS CloudFormation [StackSets](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html) permet de gérer de manière centralisée les piles AWS CloudFormation dans votre organisation dans plusieurs comptes et unités d’organisation. Cela vous permet de mettre automatiquement en service un nouveau compte pour répondre à vos exigences de sécurité. 

Utilisez la fonction de délégation de l’administration des services de sécurité pour séparer les comptes utilisés pour la gestion du compte de facturation (compte de gestion) de l’organisation. Plusieurs services AWS, tels que GuardDuty, Security Hub et AWS Config, prennent en charge les intégrations avec les organisations AWS, y compris la désignation d’un compte spécifique pour les fonctions administratives.

**Topics**
+ [SEC01-BP01 Séparer les charges de travail à l’aide de comptes](sec_securely_operate_multi_accounts.md)
+ [SEC01-BP02 Sécuriser l’utilisateur racine et les propriétés du compte](sec_securely_operate_aws_account.md)

# SEC01-BP01 Séparer les charges de travail à l’aide de comptes
<a name="sec_securely_operate_multi_accounts"></a>

 Établissez des barrières de protection et un isolement communs entre les environnements (par exemple, production, développement et test) et les charges de travail grâce à une stratégie multicompte. La séparation au niveau des comptes est vivement recommandée, car elle fournit une solide limite d’isolement pour la sécurité, la facturation et les accès. 

**Résultat escompté :** une structure de compte qui isole les opérations cloud, les charges de travail indépendantes et les environnements dans des comptes distincts, renforçant ainsi la sécurité de l’infrastructure cloud.

**Anti-modèles courants:**
+  Placer plusieurs charges de travail non liées avec différents niveaux de sensibilité des données dans le même compte.
+  Structure d’unité d’organisation mal définie.

**Avantages liés au respect de cette bonne pratique:**
+  Réduction de la portée des répercussions si un utilisateur accède à une charge de travail par inadvertance.
+  Gouvernance centralisée des services, ressources et régions AWS.
+  Maintien de la sécurité de l’infrastructure cloud avec des politiques et une administration centralisée des services de sécurité.
+  Processus automatisé de création et de gestion des comptes.
+  Audit centralisé de votre infrastructure pour les exigences en matière de conformité et de réglementation.

 **Niveau d’exposition au risque si cette bonne pratique n’est pas respectée** : élevé 

## Directives d’implémentation
<a name="implementation-guidance"></a>

 Les Comptes AWS établissent une limite d’isolement de sécurité entre les charges de travail ou les ressources qui fonctionnent à différents niveaux de sensibilité. AWS fournit des outils permettant de gérer vos charges de travail cloud à grande échelle grâce à une stratégie multicompte pour tirer parti de cette limite d’isolement. Pour obtenir des conseils sur les concepts, les modèles et la mise en œuvre d’une stratégie multi-comptes sur AWS, consultez [Organisation de votre environnement AWS à l’aide de plusieurs comptes](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html). 

 Lorsque plusieurs Comptes AWS sont gérés de façon centralisée, ils doivent être organisés selon une hiérarchie définie par des couches d’unités d’organisation. Les contrôles de sécurité peuvent ensuite être organisés et appliqués aux unités d’organisation et aux comptes membres, ce qui permet d’établir des contrôles préventifs uniformes sur les comptes membres au sein de l’organisation. Les contrôles de sécurité sont hérités, vous pouvez donc filtrer les autorisations disponibles pour les comptes membres situés aux niveaux inférieurs d’une hiérarchie d’unités d’organisation. Une bonne conception tire parti de cet héritage pour réduire le nombre et la complexité des politiques de sécurité nécessaires afin de mettre en place les contrôles de sécurité souhaités pour chaque compte membre. 

 [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) et [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) sont deux services que vous pouvez utiliser pour mettre en œuvre et gérer cette structure multi-comptes dans votre environnement AWS. AWS Organizations vous permet d’organiser les comptes selon une hiérarchie définie par une ou plusieurs couches d’unités d’organisation, chaque unité d’organisation contenant un certain nombre de comptes membres. Les [politiques de contrôle des services](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) (SCP) permettent à l’administrateur de l’organisation d’établir des contrôles préventifs précis sur les comptes des membres et [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/config-rule-multi-account-deployment.html) peut être utilisé pour établir des contrôles proactifs et détectifs sur les comptes des membres. De nombreux services AWS [s’intègrent à AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services_list.html) pour fournir des contrôles administratifs délégués et effectuer des tâches spécifiques aux services sur tous les comptes membres de l’organisation. 

 Situé au-dessus d’AWS Organizations, [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) fournit une configuration des bonnes pratiques en un clic pour un environnement AWS multicomptes avec une [zone de destination](https://docs.aws.amazon.com/controltower/latest/userguide/aws-multi-account-landing-zone.html). La zone de destination est le point d’entrée de l’environnement multicompte établi par Control Tower. Control Tower offre plusieurs [avantages](https://aws.amazon.com/blogs/architecture/fast-and-secure-account-governance-with-customizations-for-aws-control-tower/) par rapport à AWS Organizations. Les trois avantages qui permettent d’améliorer la gouvernance des comptes sont les suivants : 
+  Des contrôles de sécurité obligatoires intégrés qui sont automatiquement appliquées aux comptes admis dans l’organisation. 
+  Des contrôles facultatifs qui peuvent être activés ou désactivés pour un ensemble donné d’unités d’organisation. 
+  [AWS Control Tower Account Factory](https://docs.aws.amazon.com/controltower/latest/userguide/account-factory.html) permet le déploiement automatique de comptes contenant des lignes de base et des options de configuration préapprouvées au sein de votre organisation. 

 **Étapes d’implémentation** 

1.  **Conception d’une structure d’unité organisationnelle :** une structure d’unité organisationnelle correctement conçue réduit la charge de gestion requise pour créer et maintenir des politiques de contrôle des services et d’autres contrôles de sécurité. La structure de votre unité organisationnelle doit être [alignée sur les besoins de votre entreprise, la sensibilité des données et la structure de la charge de travail](https://aws.amazon.com/blogs/mt/best-practices-for-organizational-units-with-aws-organizations/). 

1.  **Créez une zone de destination pour votre environnement multicomptes :** une zone de destination fournit une base de sécurité et d’infrastructure cohérente à partir de laquelle votre organisation peut rapidement développer, lancer et déployer des charges de travail. Vous pouvez utiliser une [zone de destination personnalisée ou AWS Control Tower](https://docs.aws.amazon.com/prescriptive-guidance/latest/migration-aws-environment/building-landing-zones.html) pour orchestrer votre environnement. 

1.  **Établissez des barrières de protection :** mettez en place des barrières de protection de sécurité cohérentes pour votre environnement dans toute votre zone de destination. AWS Control Tower fournit une liste de contrôles [obligatoires](https://docs.aws.amazon.com/controltower/latest/userguide/mandatory-controls.html) et [facultatifs](https://docs.aws.amazon.com/controltower/latest/userguide/optional-controls.html) qui peuvent être déployés. Les contrôles obligatoires sont déployés automatiquement lors de l’implémentation de Control Tower. Passez en revue la liste des contrôles hautement recommandés et facultatifs, puis implémentez les contrôles adaptés à vos besoins. 

1.  **Restreindre l’accès aux régions nouvellement ajoutées** : pour les nouvelles Régions AWS, les ressources IAM comme les utilisateurs et les rôles sont uniquement propagées vers les régions que vous activez. Cette action peut être effectuée via la [console lorsque vous utilisez Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/region-deny.html) ou en ajustant les [politiques d’autorisation IAM dans AWS Organizations](https://aws.amazon.com/blogs/security/setting-permissions-to-enable-accounts-for-upcoming-aws-regions/). 

1.  **Envisager AWS [StackSets](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html)** : StackSets peut être utilisé pour déployer des ressources, y compris les politiques, rôles et groupes IAM, dans différentes régions et différents Comptes AWS à partir d’un modèle approuvé. 

## Ressources
<a name="resources"></a>

**Bonnes pratiques associées:** 
+ [SEC02-BP04 S’appuyer sur un fournisseur d’identité centralisé](sec_identities_identity_provider.md)

**Documents connexes:** 
+  [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) 
+  [Consignes AWS pour les audits de sécurité](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html) 
+  [Bonnes pratiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) 
+  [Utiliser StackSets CloudFormation pour allouer des ressources sur plusieurs Comptes AWS et régions](https://aws.amazon.com/blogs/aws/use-cloudformation-stacksets-to-provision-resources-across-multiple-aws-accounts-and-regions/) 
+  [Organisations FAQ](https://aws.amazon.com/organizations/faqs/) 
+  [Terminologie et concepts relatifs à AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html) 
+  [Best Practices for Service Control Policies in an AWS Organizations Multi-Account Environment](https://aws.amazon.com/blogs/industries/best-practices-for-aws-organizations-service-control-policies-in-a-multi-account-environment/) 
+  [AWS Guide de référence sur la gestion des comptes](https://docs.aws.amazon.com/accounts/latest/reference/accounts-welcome.html) 
+  [Organisation de votre environnement AWS à l’aide de comptes multiple](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html) 

**Vidéos connexes:** 
+  [Permettre l’adoption d’AWS à grande échelle grâce à l’automatisation et à la gouvernance](https://youtu.be/GUMSgdB-l6s) 
+  [Bonnes pratiques de sécurité : une approche Well-Architected](https://youtu.be/u6BCVkXkPnM) 
+  [Building and Governing Multiple Accounts using AWS Control Tower](https://www.youtube.com/watch?v=agpyuvRv5oo) 
+  [Activer Control Tower pour les organisations existantes](https://www.youtube.com/watch?v=CwRy0t8nfgM) 

# SEC01-BP02 Sécuriser l’utilisateur racine et les propriétés du compte
<a name="sec_securely_operate_aws_account"></a>

 L’utilisateur racine est celui qui dispose du plus de privilèges dans un Compte AWS, avec un accès administratif complet à toutes les ressources du compte. De plus, dans certains cas, il ne peut pas être limité par les politiques de sécurité. Si vous désactivez l’accès par programmation pour l’utilisateur racine, établissez des contrôles appropriés pour l’utilisateur racine et évitez l’utilisation de routine de l’utilisateur racine, vous réduirez le risque d’exposition accidentelle des informations d’identification racine et de compromission ultérieure de l’environnement cloud. 

**Résultat escompté : **la sécurisation de l’utilisateur racine permet de réduire les risques de dommages accidentels ou intentionnels dus à une mauvaise utilisation des informations d’identification de l’utilisateur racine. La mise en place de contrôles de détection permet également d’alerter le personnel approprié lorsque des mesures sont prises à l’aide de l’utilisateur racine.

**Anti-modèles courants:**
+  Se servir de l’utilisateur racine pour des tâches autres que celles nécessitant des informations d’identification de l’utilisateur racine.  
+  Omettre de tester régulièrement des plans d’urgence pour vérifier le fonctionnement de l’infrastructure, des processus et du personnel essentiels dans les situations d’urgence. 
+  Ne tenir compte que du flux de connexion type du compte et omettre d’envisager ou de tester d’autres méthodes de récupération de compte. 
+  Ne pas gérer les DNS, les serveurs de messagerie et les fournisseurs de services téléphoniques dans le cadre du périmètre de sécurité critique, car ils sont utilisés dans le flux de récupération de compte. 

 **Avantages du respect de cette bonne pratique :** la sécurisation de l’accès à l’utilisateur racine permet de s’assurer que les actions de votre compte sont contrôlées et auditées. 

 **Niveau d’exposition au risque si cette bonne pratique n’est pas respectée** : élevé 

## Directives d’implémentation
<a name="implementation-guidance"></a>

 AWS propose plusieurs outils afin de vous aider à sécuriser votre compte. Toutefois, étant donné que certaines de ces mesures ne sont pas activées par défaut, vous devez intervenir directement pour les implémenter. Considérez ces recommandations comme des étapes fondamentales pour sécuriser votre Compte AWS. À mesure que vous mettez en œuvre ces étapes, il est important d’établir un processus permettant d’évaluer et de surveiller continuellement les contrôles de sécurité. 

 Lorsque vous créez un Compte AWS, vous commencez avec une seule identité disposant d’un accès complet à toutes les ressources et à tous les services AWS de ce compte. Cette identité est appelée l’utilisateur racine du Compte AWS. Vous pouvez vous connecter en tant qu’utilisateur racine avec l’adresse e-mail et le mot de passe que vous avez utilisés pour créer le compte. En raison de l’accès élevé accordé à l’utilisateur racine AWS, vous devez limiter l’utilisation de l’utilisateur racine AWS aux seules tâches qui [l’exigent spécifiquement](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html). Les informations d’identification de l’utilisateur racine doivent être étroitement protégées et l’authentification multifactorielle (MFA) doit toujours être activée pour l’utilisateur racine du Compte AWS. 

 Outre le flux d’authentification normal pour vous connecter à votre utilisateur racine en utilisant un nom d’utilisateur, un mot de passe et un dispositif d’authentification multifactorielle (MFA), il y a des flux de récupération de compte pour vous connecter à l’utilisateur racine de votre Compte AWS, à condition de disposer d’un accès à l’adresse e-mail et au numéro de téléphone associés à votre compte. Par conséquent, il est tout aussi important de sécuriser le compte de messagerie de l’utilisateur racine là où l’e-mail de récupération est envoyé, ainsi que le numéro de téléphone associé au compte. Il est également nécessaire de tenir compte des dépendances circulaires possibles lorsque l’adresse e-mail associée à l’utilisateur racine est hébergée sur des serveurs de messagerie ou des ressources du service de noms de domaine (DNS) à partir du même Compte AWS. 

 Lorsque vous utilisez AWS Organizations, il y a plusieurs Comptes AWS, chacun d’entre eux ayant un utilisateur racine. Un compte est désigné comme compte de gestion et plusieurs couches de comptes membres peuvent alors être ajoutées sous le compte de gestion. Privilégiez la sécurisation de l’utilisateur racine de votre compte de gestion, puis occupez-vous des utilisateurs racine des comptes membres. La stratégie de sécurisation de l’utilisateur racine de votre compte de gestion peut différer de celle des utilisateurs racine des comptes membres et vous pouvez placer des contrôles de sécurité préventifs sur les utilisateurs racine des comptes membres. 

 **Étapes d’implémentation** 

 Les étapes d’implémentation suivantes sont recommandées afin d’établir des contrôles pour l’utilisateur racine. Le cas échéant, les recommandations sont recoupées avec la [version de référence 1.4.0 de CIS AWS Foundations](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-cis-controls-1.4.0.html). Outre ces étapes, consultez les [directives relatives aux bonnes pratiques AWS](https://aws.amazon.com/premiumsupport/knowledge-center/security-best-practices/) pour sécuriser votre Compte AWS et vos ressources. 

 **Contrôles préventifs** 

1.  Configurez des [informations de contact](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-contact-primary.html) précises pour le compte. 

   1.  Ces informations sont utilisées pour le flux de récupération de mot de passe perdu, le flux de récupération de compte d’authentification multifactorielle perdu et pour les communications critiques liées à la sécurité avec votre équipe. 

   1.  Utilisez une adresse e-mail hébergée par votre domaine d’entreprise, de préférence une liste de distribution, comme adresse e-mail de l’utilisateur racine. L’utilisation d’une liste de distribution plutôt que d’un compte de messagerie individuel fournit une redondance et une continuité supplémentaires pour l’accès au compte racine sur de longues périodes. 

   1.  Le numéro de téléphone indiqué pour les coordonnées doit correspondre à un téléphone dédié et sécurisé à cette fin. Ce numéro de téléphone ne doit figurer sur aucune liste ni être communiqué à personne. 

1.  Ne créez pas de clés d’accès pour l’utilisateur racine. Si des clés d’accès existent, retirez-les (CIS 1.4). 

   1.  Éliminez les informations d’identification par programmation de longue durée (clés d’accès et secrètes) pour l’utilisateur racine. 

   1.  Si des clés d’accès de l’utilisateur racine existent déjà, vous devez transférer les processus utilisant ces clés pour utiliser les clés d’accès temporaires d’un rôle Gestion des identités et des accès AWS (IAM), puis [supprimer les clés d’accès de l’utilisateur racine](https://docs.aws.amazon.com/accounts/latest/reference/root-user-access-key.html#root-user-delete-access-key). 

1.  Déterminez si vous devez stocker les informations d’identification de l’utilisateur racine. 

   1.  Si vous utilisez AWS Organizations pour créer de nouveaux comptes membres, le mot de passe initial pour l’utilisateur racine sur ces nouveaux comptes est une valeur aléatoire à laquelle vous n’avez pas accès. Envisagez d’utiliser le flux de réinitialisation du mot de passe de votre compte de gestion AWS Organization pour [obtenir l’accès au compte membre](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_access.html#orgs_manage_accounts_access-as-root) si nécessaire. 

   1.  Pour les Comptes AWS autonomes ou le compte de gestion AWS Organization, envisagez de créer et de stocker en toute sécurité les informations d’identification de l’utilisateur racine. Utilisez l’authentification multifactorielle pour l’utilisateur racine. 

1.  Utilisez les contrôles préventifs pour les utilisateurs racine des comptes membres dans les environnements AWS multicomptes. 

   1.  Envisagez d’utiliser la barrière de sécurité préventive [Interdire la création de clés d’accès racine pour l’utilisateur racine](https://docs.aws.amazon.com/controltower/latest/userguide/strongly-recommended-controls.html#disallow-root-access-keys) pour les comptes des membres. 

   1.  Envisagez d’utiliser la barrière de sécurité préventive [Désactiver les actions en tant qu’utilisateur racine](https://docs.aws.amazon.com/controltower/latest/userguide/strongly-recommended-controls.html#disallow-root-auser-actions) pour les comptes des membres. 

1.  Si vous avez besoin d’informations d’identification pour l’utilisateur racine : 

   1.  Utilisez un mot de passe complexe. 

   1.  Activez l’authentification multifactorielle (MFA) pour l’utilisateur racine, plus particulièrement pour les comptes de gestion (payeur) AWS Organizations (CIS 1.5). 

   1.  Envisagez l’utilisation des appareils d’authentification multifactorielle pour la résilience et la sécurité, car les appareils à usage unique peuvent réduire les risques de réutilisation des appareils contenant vos codes d’authentification multifactorielle à d’autres fins. Vérifiez que les appareils d’authentification multifactorielle alimentés par une batterie sont remplacés régulièrement. (CIS 1.6) 
      +  Pour configurer l’authentification multifactorielle pour l’utilisateur racine, suivez les instructions de création d’un [appareil d’authentification multifactorielle virtuel](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable_virtual.html#enable-virt-mfa-for-root) ou d’un [appareil d’authentification multifactoriel matériel](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable_physical.html#enable-hw-mfa-for-root). 

   1.  Envisagez d’inscrire plusieurs appareils d’authentification multifactorielle à des fins de sauvegarde. [Jusqu’à 8 appareils d’authentification multifactorielle sont autorisés par compte](https://aws.amazon.com/blogs/security/you-can-now-assign-multiple-mfa-devices-in-iam/). 
      +  Notez que l’inscription de plusieurs appareils d’authentification multifactorielle pour l’utilisateur racine désactive automatiquement le [processus de récupération de votre compte en cas de perte de l’appareil d’authentification multifactorielle](https://aws.amazon.com/premiumsupport/knowledge-center/reset-root-user-mfa/). 

   1.  Stockez le mot de passe en sécurité et tenez compte des dépendances circulaires si vous le stockez électroniquement. Ne stockez pas le mot de passe de manière à ce qu’il nécessite un accès au même Compte AWS pour l’obtenir. 

1.  Facultatif : envisagez d’établir un calendrier périodique de rotation des mots de passe pour l’utilisateur racine. 
   +  Les bonnes pratiques relatives à la gestion des informations d’identification dépendent de vos exigences en matière de réglementation et de politiques. Les utilisateurs racine protégés par l’authentification multifactorielle ne dépendent pas du mot de passe comme facteur d’authentification unique. 
   +  [La modification périodique du mot de passe de l’utilisateur racine](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_change-root.html) réduit le risque d’utilisation abusive d’un mot de passe exposé par inadvertance. 

 **Contrôles de détection** 
+  Créez des alarmes pour détecter l’utilisation des informations d’identification racine (CIS 1.7). [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html) peut surveiller l’utilisation des informations d’identification de l’API de l’utilisateur racine et émettre des alertes à ce sujet par le biais du résultat [RootCredentialUsage](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#policy-iam-rootcredentialusage). 
+  Évaluez et mettez en œuvre les contrôles de détection inclus dans le [pack de conformité AWS Well-Architected Security Pillar pour AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/operational-best-practices-for-wa-Security-Pillar.html) ou, si vous utilisez AWS Control Tower, les [contrôles fortement recommandés](https://docs.aws.amazon.com/controltower/latest/userguide/strongly-recommended-controls.html) disponibles dans Control Tower. 

 **Conseils opérationnels** 
+  Déterminez qui, au sein de l’organisation, doit avoir accès aux informations d’identification de l’utilisateur racine. 
  +  Utilisez la règle des deux personnes pour éviter qu’une seule personne ait accès à toutes les informations d’identification et à l’authentification multifactorielle nécessaires pour obtenir l’accès à l’utilisateur racine. 
  +  Vérifiez que l’organisation, et non une seule personne, conserve le contrôle du numéro de téléphone et de l’alias d’e-mail associés au compte (qui sont utilisés pour la réinitialisation du mot de passe et l’authentification multifactorielle). 
+  Utilisez l’utilisateur racine uniquement de façon exceptionnelle (CIS 1.7). 
  +  L’utilisateur racine AWS ne doit pas être employé pour des tâches quotidiennes, même les tâches d’administration. Connectez-vous uniquement en tant qu’utilisateur racine pour effectuer des [tâches AWS nécessitant un utilisateur racine](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html). Toutes les autres actions doivent être effectuées par d’autres utilisateurs assumant les rôles appropriés. 
+  Vérifiez régulièrement que l’accès à l’utilisateur racine fonctionne afin que les procédures soient testées avant une situation d’urgence nécessitant l’utilisation des informations d’identification de l’utilisateur racine. 
+  Vérifiez régulièrement que l’adresse e-mail associée au compte et celles répertoriées sous [Contacts alternatifs](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-contact-alternate.html) fonctionnent. Vérifiez dans ces boîtes de réception si vous avez reçu des notifications de sécurité de la part de abuse@amazon.com. Assurez-vous également que les numéros de téléphone associés au compte fonctionnent. 
+  Préparez les procédures d’intervention en cas d’incident pour réagir face à une utilisation inappropriée du compte racine. Consultez le [guide de réponse aux incidents de sécurité AWS](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/aws-security-incident-response-guide.html) et les bonnes pratiques décrites dans la [section Réponse aux incidents du livre blanc sur le pilier Sécurité](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/incident-response.html) pour plus d’informations sur l’élaboration d’une stratégie de réponse aux incidents adaptée à votre Compte AWS. 

## Ressources
<a name="resources"></a>

**Bonnes pratiques associées:** 
+ [SEC01-BP01 Séparer les charges de travail à l’aide de comptes](sec_securely_operate_multi_accounts.md)
+ [SEC02-BP01 Utiliser de solides mécanismes d’authentification](sec_identities_enforce_mechanisms.md)
+ [SEC03-BP02 Accorder un accès selon le principe du moindre privilège](sec_permissions_least_privileges.md)
+ [SEC03-BP03 Établir un processus d’accès d’urgence](sec_permissions_emergency_process.md)
+ [SEC10-BP05 Préallouer les accès](sec_incident_response_pre_provision_access.md)

**Documents connexes:** 
+  [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) 
+  [AWS Consignes pour les audits de sécurité](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html) 
+  [Bonnes pratiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) 
+  [Amazon GuardDuty — alerte d’utilisation des informations d’identification racine](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#policy-iam-rootcredentialusage) 
+  [Conseils détaillés sur la surveillance de l’utilisation des informations d’identification racine via CloudTrail](https://docs.aws.amazon.com/securityhub/latest/userguide/iam-controls.html#iam-20) 
+  [Jetons MFA approuvés pour une utilisation avec AWS](https://aws.amazon.com/iam/features/mfa/) 
+  Mise en œuvre de l’[accès au mode « bris de glace »](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/break-glass-access.html) sur AWS 
+  [Les 10 meilleurs éléments de sécurité à améliorer dans votre Compte AWS](https://aws.amazon.com/blogs/security/top-10-security-items-to-improve-in-your-aws-account/) 
+  [Que faire si je remarque une activité non autorisée dans mon Compte AWS?](https://aws.amazon.com/premiumsupport/knowledge-center/potential-account-compromise/) 

**Vidéos connexes:** 
+  [Permettre l’adoption d’AWS à grande échelle grâce à l’automatisation et à la gouvernance](https://youtu.be/GUMSgdB-l6s) 
+  [Bonnes pratiques de sécurité : une approche Well-Architected](https://youtu.be/u6BCVkXkPnM) 
+  [Limiting use of AWS root credentials](https://youtu.be/SMjvtxXOXdU?t=979) from AWS re:inforce 2022 – Security best practices with AWS IAM