# Gestion des identités
Il existe deux types d’identités que vous devez gérer dans le cadre de l’exploitation de charges de travail AWS sécurisées.
+ **Identités humaines :** les identités humaines qui nécessitent l’accès à vos environnements et applications AWS peuvent être classées en trois groupes : employés, tiers et utilisateurs.
Le groupe des *employés* comprend les administrateurs, les développeurs et les opérateurs qui font partie de votre organisation. Ils ont besoin d’un accès pour gérer, créer et exploiter vos ressources AWS.
Les *tiers* sont les collaborateurs externes, tels que les sous-traitants, les fournisseurs et les partenaires. Ils interagissent avec vos ressources AWS dans le cadre de leur engagement auprès de votre organisation.
Les *utilisateurs* sont les consommateurs de vos applications. Ils accèdent à vos ressources AWS via des navigateurs Web, des applications client, des applications mobiles ou des outils de ligne de commande interactifs.
+ **Identités des machines :** les applications, les outils opérationnels et les composants de votre charge de travail ont besoin d’une identité pour adresser des demandes aux services AWS, telles que la lecture de données. Ces identités incluent également les machines qui s’exécutent dans votre environnement AWS, comme les instances Amazon EC2 ou les fonctions AWS Lambda. Vous pouvez également gérer les identités des machines pour des parties externes ou des machines en dehors d’AWS, qui ont besoin d’accéder à votre environnement AWS.
**Topics**
+ [SEC02-BP01 Utiliser de solides mécanismes d’authentification](sec_identities_enforce_mechanisms.md)
+ [SEC02-BP02 Utiliser des informations d’identification temporaires](sec_identities_unique.md)
+ [SEC02-BP03 Stocker et utiliser des secrets en toute sécurité](sec_identities_secrets.md)
+ [SEC02-BP04 S’appuyer sur un fournisseur d’identité centralisé](sec_identities_identity_provider.md)
+ [SEC02-BP05 Contrôler et effectuer régulièrement une rotation des informations d’identification](sec_identities_audit.md)
+ [SEC02-BP06 Utiliser des groupes d’utilisateurs et des attributs](sec_identities_groups_attributes.md)
# SEC02-BP01 Utiliser de solides mécanismes d’authentification
Les connexions (authentification au moyen d’informations d’identification de connexion) peuvent présenter des risques lorsque l’on n’utilise pas des mécanismes tels que l’authentification multifactorielle (MFA), surtout dans les situations où les informations d’identification de connexion ont été divulguées par inadvertance ou peuvent être devinées facilement. Vous devez utiliser de solides mécanismes d’authentification pour réduire ces risques en exigeant l’authentification multifactorielle (MFA) et des politiques strictes de gestion des mots de passe.
**Résultat escompté :** réduisez les risques d’accès involontaire aux informations d’identification dans AWS en utilisant des mécanismes de connexion robustes pour les utilisateurs [Gestion des identités et des accès AWS (IAM)](https://aws.amazon.com/iam/), l’[utilisateur racine du Compte AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html), [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) et les fournisseurs d’identité tiers. Cela signifie que vous devez exiger une authentification multifactorielle (MFA), appliquer des politiques strictes de gestion des mots de passe et détecter les comportements de connexion anormaux.
**Anti-modèles courants :**
+ Ne pas appliquer de politique stricte de gestion de mots de passe pour vos identités, notamment des mots de passe complexes et l’authentification multifactorielle (MFA).
+ Utilisation des mêmes informations d’identification pour différents utilisateurs.
+ Ne pas utiliser de contrôles de détection pour les connexions suspectes.
**Niveau d’exposition au risque si cette bonne pratique n’est pas respectée :** élevé
## Directives d’implémentation
Les identités humaines peuvent se connecter à AWS de plusieurs façons. Une bonne pratique AWS consiste à s’appuyer sur un fournisseur d’identité centralisé en utilisant la fédération (fédération SAML 2.0 directe entre AWS IAM et le fournisseur d’identité centralisé ou utilisant AWS IAM Identity Center) lors de l’authentification auprès d’AWS. Dans ce cas, établissez un processus de connexion sécurisée avec votre fournisseur d’identité ou Microsoft Active Directory.
Lorsque vous ouvrez pour la première fois un Compte AWS, vous commencez avec un utilisateur racine du Compte AWS. Vous ne devez utiliser l’utilisateur racine du compte que pour configurer l’accès de vos utilisateurs (et pour les [tâches nécessitant l’utilisateur racine](https://docs.aws.amazon.com/accounts/latest/reference/root-user-tasks.html)). Il est important d’activer l’authentification multifactorielle (MFA) pour l’utilisateur racine du compte immédiatement après l’ouverture de votre Compte AWS et de sécuriser l’utilisateur racine à l’aide du [guide des bonnes pratiques AWS](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_securely_operate_aws_account.html).
AWS IAM Identity Center est conçu pour les utilisateurs en interne et vous pouvez créer et gérer des identités utilisateur au sein du service et sécuriser le processus d’authentification avec la MFA. AWS Cognito, quant à lui, est conçu pour la gestion de l’identité et de l’accès des clients (CIAM), qui fournit des groupes d’utilisateurs et des fournisseurs d’identité pour les identités des utilisateurs externes dans vos applications.
Si vous créez des utilisateurs dans AWS IAM Identity Center, sécurisez le processus d’authentification dans ce service et [activez la MFA](https://docs.aws.amazon.com/singlesignon/latest/userguide/enable-mfa.html). Pour les identités des utilisateurs externes dans vos applications, vous pouvez utiliser les [groupes d’utilisateurs Amazon Cognito](https://docs.aws.amazon.com/cognito/index.html) et sécuriser le processus d’authentification dans ce service ou utiliser l’un des fournisseurs d’identité pris en charge dans les groupes d’utilisateurs Amazon Cognito.
En outre, pour les utilisateurs dans AWS IAM Identity Center, vous pouvez utiliser [Accès vérifié par AWS](https://docs.aws.amazon.com/verified-access/latest/ug/what-is-verified-access.html) pour fournir un niveau de sécurité supplémentaire en vérifiant l’identité de l’utilisateur et la position de l’appareil avant d’accorder l’accès aux ressources AWS.
Si vous utilisez des utilisateurs [Gestion des identités et des accès AWS (IAM)](https://aws.amazon.com/iam/), sécurisez le processus d’authentification à l’aide d’IAM.
Vous pouvez utiliser AWS IAM Identity Center et la fédération IAM directe simultanément pour gérer l’accès à AWS. Vous pouvez utiliser la fédération IAM pour gérer l’accès à la AWS Management Console et aux services et IAM Identity Center pour gérer l’accès aux applications professionnelles telles que Quick ou Amazon Q Business.
Quelle que soit la méthode de connexion, il est essentiel d’appliquer une politique de connexion rigoureuse.
### Étapes d’implémentation
Voici des recommandations générales pour la connexion. Les paramètres que vous configurez doivent être définis par la politique de votre entreprise ou suivre une norme telle que [NIST 800-63](https://pages.nist.gov/800-63-3/sp800-63b.html).
+ Require MFA (Demander l’authentification MFA). L’une des [bonnes pratiques IAM consiste à exiger l’authentification multifactorielle](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#enable-mfa-for-privileged-users) pour les identités humaines et les charges de travail. L’activation de l’authentification multifactorielle (MFA) fournit une couche de sécurité supplémentaire en exigeant que les utilisateurs fournissent des informations d’identification et un mot de passe unique (OTP) ou une chaîne de caractères générée et vérifiée cryptographiquement à partir d’un appareil physique.
+ Mettez en place une longueur de mot de passe minimale, il s’agit d’un facteur essentiel pour garantir la force du mot de passe.
+ Appliquez la complexité des mots de passe pour les rendre plus difficiles à deviner.
+ Autorisez les utilisateurs à modifier leurs propres mots de passe.
+ Créez des identités individuelles plutôt que des informations d’identification partagées. En créant des identités individuelles, vous pouvez attribuer à chaque utilisateur un ensemble unique d’informations d’identification de sécurité. Les utilisateurs individuels offrent la possibilité d’auditer l’activité de chaque utilisateur.
Recommandations pour IAM Identity Center :
+ IAM Identity Center fournit une [politique de gestion de mots de passe](https://docs.aws.amazon.com/singlesignon/latest/userguide/password-requirements.html) prédéfinie lors de l’utilisation du répertoire par défaut qui définit la longueur, la complexité et les exigences de réutilisation de mots de passe.
+ [Activez l’authentification multifactorielle (MFA)](https://docs.aws.amazon.com/singlesignon/latest/userguide/mfa-enable-how-to.html) et configurez le paramètre contextuel ou permanent pour la MFA lorsque la source d’identité est le répertoire par défaut, AWS Managed Microsoft AD, ou AD Connector.
+ Permettez aux utilisateurs d’[enregistrer leurs propres appareils MFA](https://docs.aws.amazon.com/singlesignon/latest/userguide/how-to-allow-user-registration.html).
Recommandations pour le répertoire des groupes d’utilisateurs Amazon Cognito :
+ Configurez les paramètres de [sécurité du mot de passe](https://docs.aws.amazon.com/cognito/latest/developerguide/user-pool-settings-policies.html).
+ [Exiger l’authentification multifactorielle (MFA)](https://docs.aws.amazon.com/cognito/latest/developerguide/user-pool-settings-mfa.html) pour les utilisateurs.
+ Utilisez les [paramètres de sécurité avancés](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-settings-advanced-security.html) des groupes d’utilisateurs Amazon Cognito pour des fonctionnalités telles que l’[authentification adaptative](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-settings-adaptive-authentication.html) qui permet de bloquer les connexions suspectes.
Recommandations pour les utilisateurs IAM :
+ Idéalement, vous utilisez IAM Identify Center ou la fédération directe. Cependant, vous aurez peut-être besoin des utilisateurs IAM. Dans ce cas, [définissez une politique de gestion de mots de passe](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) pour les utilisateurs IAM. Vous pouvez utiliser la politique de gestion de mots de passe pour définir des exigences telles que la longueur minimale ou la nécessité d’utiliser des caractères non alphabétiques.
+ Créez une politique IAM pour [appliquer la connexion l’authentification multifactorielle (MFA)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_users-self-manage-mfa-and-creds.html#tutorial_mfa_step1) afin que les utilisateurs soient autorisés à gérer leurs propres mots de passe et appareils MFA.
## Ressources
**Bonnes pratiques associées :**
+ [SEC02-BP03 Stocker et utiliser des secrets en toute sécurité](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_secrets.html)
+ [SEC02-BP04 S’appuyer sur un fournisseur d’identité centralisé](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_identity_provider.html)
+ [SEC03-BP08 Partager des ressources en toute sécurité au sein de votre organisation](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_share_securely.html)
**Documents connexes :**
+ [Politique de mot de passe AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/password-requirements.html)
+ [Politique de mot de passe de l’utilisateur IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html)
+ [Définition du mot de passe de l’utilisateur racine du Compte AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)
+ [Politique de mot de passe Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/user-pool-settings-policies.html)
+ [Informations d’identification AWS](https://docs.aws.amazon.com/general/latest/gr/aws-sec-cred-types.html)
+ [Bonnes pratiques de sécurité IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
**Vidéos connexes:**
+ [Gestion des autorisations des utilisateurs à grande échelle avec IAM Identity Center AWS](https://youtu.be/aEIqeFCcK7E)
+ [Maîtrise des identités dans chaque couche](https://www.youtube.com/watch?v=vbjFjMNVEpc)
# SEC02-BP02 Utiliser des informations d’identification temporaires
Lors de tout type d’authentification, il est préférable d’utiliser des informations d’identification temporaires plutôt que des informations d’identification à long terme afin de réduire ou d’éliminer les risques, tels que la divulgation, le partage ou le vol des informations d’identification par inadvertance.
**Résultat escompté :** pour réduire le risque d’informations d’identification à long terme, utilisez des informations d’identification temporaires dans la mesure du possible pour les identités humaines et les identités machine. Les informations d’identification à long terme créent de nombreux risques, tels que l’exposition par le biais de chargements dans des référentiels publics. En utilisant des informations d’identification temporaires, vous réduisez considérablement les risques de compromission de ces informations.
**Anti-modèles courants :**
+ Les développeurs utilisent des clés d’accès à long terme issues des utilisateur IAM au lieu d’obtenir des informations d’identification temporaires de la CLI à l’aide de la fédération.
+ Les développeurs intègrent des clés d’accès à long terme dans leur code et téléchargent ce code dans des référentiels Git publics.
+ Les développeurs intègrent des clés d’accès à long terme dans les applications mobiles qui sont ensuite disponibles dans les boutiques d’applications.
+ Les utilisateurs partagent des clés d’accès à long terme avec d’autres utilisateurs ou des employés quittent l’entreprise avec des clés d’accès à long terme toujours en leur possession.
+ Utilisation des clés d’accès à long terme pour les identités machine lorsque des informations d’identification temporaires peuvent être utilisées.
**Niveau d’exposition au risque si cette bonne pratique n’est pas respectée :** élevé
## Directives d’implémentation
Utilisez des informations d’identification de sécurité temporaires plutôt que des informations d’identification à long terme pour toutes les demandes d’API et de CLI AWS. Les demandes d’API et de CLI adressées aux services AWS doivent, dans presque tous les cas, être signées à l’aide de [clés d’accès AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html). Ces demandes peuvent être signées avec des informations d’identification temporaires ou à long terme. Vous ne devez utiliser des informations d’identification à long terme, également appelées clés d’accès à long terme, que si vous utilisez un [utilisateur IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html) ou l’[utilisateur racine du Compte AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html). Lorsque vous vous fédérez vers AWS ou que vous assumez un [rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) par le biais d’autres méthodes, des informations d’identification temporaires sont générées. Même lorsque vous accédez à la AWS Management Console à l’aide des informations d’identification de connexion, des informations d’identification temporaires sont gérées pour vous permettre d’appeler les services AWS. Vous avez rarement besoin d’informations d’identification à long terme et vous pouvez accomplir presque toutes les tâches en utilisant des informations d’identification temporaires.
Privilégiez les informations d’identification temporaires plutôt que les informations d’identification à long terme et, parallèlement, mettez en place une stratégie de réduction des utilisateurs IAM au profit de la fédération et des rôles IAM. Bien que les utilisateurs IAM aient été employés pour les identités humaines et machine dans le passé, nous recommandons désormais de ne plus procéder ainsi afin d’éviter les risques liés à l’utilisation de clés d’accès à long terme.
### Étapes d’implémentation
#### Identités humaines
Pour les identités du personnel comme les employés, les administrateurs, les développeurs et les opérateurs :
+ Vous devez vous [compter sur un fournisseur d’identité](https://docs.aws.amazon.com//wellarchitected/latest/security-pillar/sec_identities_identity_provider.html) et [exiger des utilisateurs humains qu’ils utilisent la fédération avec un fournisseur d’identité pour accéder à AWS en utilisant des informations d’identification temporaires](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp). La fédération de vos utilisateurs peut se faire soit par une [fédération directe à chaque Compte AWS](https://aws.amazon.com/identity/federation/), soit en utilisant [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) et le fournisseur d’identité de votre choix. La fédération offre un certain nombre d’avantages par rapport aux utilisateurs IAM, outre l’élimination des informations d’identification à long terme. Vos utilisateurs peuvent également demander des informations d’identification temporaires depuis la ligne de commande pour une [fédération directe](https://aws.amazon.com/blogs/security/how-to-implement-federated-api-and-cli-access-using-saml-2-0-and-ad-fs/) ou en utilisant [IAM Identity Center](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-sso.html). Cela signifie que peu de cas d’utilisation nécessitent des utilisateurs IAM ou des informations d’identification à long terme pour vos utilisateurs.
Pour les identités tierces :
+ Lorsque vous accordez à des tiers, tels que des fournisseurs de logiciel en tant que service (SaaS), l’accès aux ressources de votre Compte AWS, vous pouvez utiliser des [rôles entre comptes](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_cross-account-with-roles.html) et des [politiques basées sur les ressources](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html). En outre, vous pouvez utiliser le flux d’informations d’identification client d’[octroi OAuth 2.0 Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/federation-endpoints-oauth-grants.html) pour les partenaires et clients SaaS B2B.
Pour les identités utilisateur qui accèdent à vos ressources AWS via des navigateurs Web, des applications client, des applications mobiles ou des outils de ligne de commande interactifs :
+ Si vous devez autoriser des demandes permettant aux consommateurs ou aux clients d’accéder à vos ressources AWS, vous pouvez utiliser les [groupes d’identités Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/identity-pools.html) ou les [groupes d’utilisateurs Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-identity-pools.html) pour fournir des informations d’identification temporaires. Les autorisations pour ces informations d’identification sont configurées via des rôles IAM. Vous pouvez également définir un rôle IAM distinct avec des autorisations limitées pour les utilisateurs invités qui ne sont pas authentifiés.
#### Identités de machines
Pour les identités machine, vous devrez peut-être utiliser des informations d’identification à long terme. Dans ce cas, vous devez [exiger que les charges de travail utilisent des informations d’identification temporaires avec des rôles IAM pour accéder à AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-workloads-use-roles).
+ Pour [Amazon Elastic Compute Cloud](https://aws.amazon.com/pm/ec2/) (Amazon EC2), vous pouvez utiliser des [rôles pour Amazon EC2.](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html)
+ [AWS Lambda](https://aws.amazon.com/lambda/) vous permet de configurer un [rôle d’exécution Lambda pour accorder au service les autorisations nécessaires](https://docs.aws.amazon.com/lambda/latest/dg/lambda-intro-execution-role.html) pour effectuer des actions AWS à l’aide d’informations d’identification temporaires. Il existe de nombreux modèles similaires pour AWS permettre aux services d’octroyer des informations d’identification temporaires à l’aide des rôles IAM.
+ Pour les appareils IoT, vous pouvez utiliser le [fournisseur d’informations d’identification AWS IoT Core](https://docs.aws.amazon.com/iot/latest/developerguide/authorizing-direct-aws.html) pour demander des informations d’identification temporaires.
+ Pour les systèmes sur site ou ceux qui s’exécutent en dehors d’AWS ces systèmes qui nécessitent un accès aux ressources AWS, vous pouvez utiliser [Rôles Anywhere IAM](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html).
Dans certains cas, les identifiants temporaires ne sont pas pris en charge et vous devez utiliser des informations d’identification à long terme. Dans ces cas, [contrôlez et effectuez régulièrement une rotation de ces informations d’identification](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_audit.html) et [effectuez régulièrement une rotation des clés d’accès](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#rotate-credentials). Pour les clés d’accès d’utilisateurs IAM à l’accès très restreint, envisagez d’utiliser les mesures de sécurité supplémentaires suivantes :
+ Accordez des autorisations très restreintes :
+ Optez pour le principe du moindre privilège (soyez précis quant aux actions, aux ressources et aux conditions).
+ Envisagez d’accorder à l’utilisateur IAM uniquement l’opération AssumeRole pour un seul rôle spécifique. En fonction de l’architecture sur site, cette approche permet d’isoler et de sécuriser les informations d’identification IAM à long terme.
+ Limitez les sources réseau et les adresses IP autorisées dans la politique d’approbation de rôle IAM.
+ Surveillez l’utilisation et configurez des alertes pour des autorisations non utilisées ou abusives (à l’aide des filtres de métriques et des alarmes AWS CloudWatch Logs).
+ Appliquez des [limites d’autorisation](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) (les politiques de contrôle des services (SCP) et les limites d’autorisation se complètent : les SCP sont grossières, tandis que les limites d’autorisation sont détaillées).
+ Mettez en œuvre un processus pour provisionner et stocker en toute sécurité (dans un coffre-fort sur site) les informations d’identification.
Autres options pour les scénarios nécessitant des informations d’identification à long terme :
+ Créez votre propre API de distribution de jetons (à l’aide d’Amazon API Gateway).
+ Dans les scénarios où vous devez utiliser des informations d’identification à long terme ou des informations d’identification autres que des clés d’accès AWS (telles que les connexions à la base de données), vous pouvez utiliser un service conçu pour gérer la gestion des secrets, tel qu’[AWS Secrets Manager](https://aws.amazon.com/secrets-manager/). Secrets Manager simplifie la gestion, la rotation et le stockage sécurisé des secrets chiffrés. De nombreux services AWS prennent en charge une [intégration directe](https://docs.aws.amazon.com/secretsmanager/latest/userguide/integrating.html) avec Secrets Manager.
+ Pour les intégrations multicloud, vous pouvez utiliser la fédération d’identité en fonction des informations d’identification de votre fournisseur de services d’informations d’identification (CSP) source (voir [AWS STS AssumeRoleWithWebIdentity](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html)).
Pour plus d’informations sur la rotation des informations d’identification à long terme, veuillez consulter la rubrique [Rotation des clés d’accès](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey).
## Ressources
**Bonnes pratiques associées:**
+ [SEC02-BP03 Stocker et utiliser des secrets en toute sécurité](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_secrets.html)
+ [SEC02-BP04 S’appuyer sur un fournisseur d’identité centralisé](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_identity_provider.html)
+ [SEC03-BP08 Partager des ressources en toute sécurité au sein de votre organisation](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_share_securely.html)
**Documents connexes:**
+ [Informations d’identification de sécurité temporaires](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)
+ [AWS Informations d’identification](https://docs.aws.amazon.com/general/latest/gr/aws-sec-cred-types.html)
+ [Bonnes pratiques de sécurité IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [Rôles IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)
+ [IAM Identity Center](https://aws.amazon.com/iam/identity-center/)
+ [Fournisseurs d’identité et fédération](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
+ [Rotation des clés d’accès](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey)
+ [Solutions partenaires de sécurité : accès et contrôle d’accès](https://aws.amazon.com/security/partner-solutions/#access-control)
+ [Utilisateur racine d’un compte AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)
+ [Accès à AWS via une identité de charge de travail native de Google Cloud Platform](https://aws.amazon.com/blogs/security/access-aws-using-a-google-cloud-platform-native-workload-identity/)
+ [Comment accéder aux ressources AWS à partir de locataires Microsoft Entra ID à l’aide d’AWS Security Token Service](https://aws.amazon.com/blogs/security/how-to-access-aws-resources-from-microsoft-entra-id-tenants-using-aws-security-token-service/)
**Vidéos connexes:**
+ [Gestion des autorisations des utilisateurs à grande échelle avec IAM Identity Center AWS](https://youtu.be/aEIqeFCcK7E)
+ [Maîtrise des identités dans chaque couche](https://www.youtube.com/watch?v=vbjFjMNVEpc)
# SEC02-BP03 Stocker et utiliser des secrets en toute sécurité
Une charge de travail nécessite une capacité automatisée pour prouver son identité aux bases de données, aux ressources et aux services tiers. Cela se fait à l’aide d’informations d’identification d’accès secrets, tels que des clés d’accès à l’API, des mots de passe et des jetons OAuth. L’utilisation d’un service spécialement conçu pour stocker, gérer et faire tourner ces informations d’identification permet de réduire les risques de compromission de ces informations d’identification.
**Résultat escompté :** mise en œuvre d’un mécanisme de gestion sécurisée des informations d’identification des applications permettant d’atteindre les objectifs suivants :
+ Identification des secrets nécessaires pour la charge de travail.
+ Réduction du nombre d’informations d’identification à long terme requis, en les remplaçant par des informations d’identification à court terme dans la mesure du possible.
+ Établissement d’un stockage sécurisé et d’une rotation automatisée des informations d’identification à long terme restantes.
+ Audit de l’accès aux secrets qui existent dans la charge de travail.
+ Surveillance continue pour vérifier qu’aucun secret n’est intégré dans le code source pendant le processus de développement.
+ Réduction des risques de divulgation des informations d’identification par inadvertance.
**Anti-modèles courants :**
+ Aucune rotation des informations d’identification.
+ Stockage des informations d’identification à long terme dans le code source ou les fichiers de configuration.
+ Stockage des informations d’identification au repos non chiffrées.
**Avantages liés au respect de cette bonne pratique :**
+ Les secrets sont chiffrés au repos et en transit.
+ L’accès aux informations d’identification est bloqué par le biais d’une API (considérez-la comme un *distributeur automatique d’informations d’identification*).
+ L’accès à une information d’identification (en lecture et en écriture) est audité et consigné.
+ Séparation des préoccupations : la rotation des informations d’identification est effectuée par un composant distinct, qui peut être séparé du reste de l’architecture.
+ Les secrets sont distribués automatiquement à la demande aux composants logiciels et la rotation se produit dans un emplacement central.
+ L’accès aux informations d’identification peut être contrôlé de façon précise.
**Niveau d’exposition au risque si cette bonne pratique n’est pas respectée** : élevé
## Directives d’implémentation
Dans le passé, les informations d’identification utilisées pour s’authentifier auprès des bases de données, des API tierces, des jetons et d’autres secrets pouvaient être intégrées dans du code source ou des fichiers d’environnement. AWS fournit plusieurs mécanismes pour stocker ces informations d’identification en toute sécurité, en effectuer la rotation automatiquement et vérifier leur utilisation.
Pour gérer les secrets de façon optimale, la meilleure solution consiste à suivre les directives de suppression, de remplacement et de rotation. Les informations d’identification les plus sûres sont celles que vous n’avez pas à stocker, gérer ou manipuler. Certaines informations d’identification qui ne sont plus nécessaires au fonctionnement de la charge de travail peuvent être supprimées en toute sécurité.
Pour les informations d’identification qui restent nécessaires au bon fonctionnement de la charge de travail, il peut être possible d’opter pour une solution temporaire ou à court terme au lieu d’utiliser des informations d’identification à long terme. Par exemple, au lieu du codage en dur une AWS clé d’accès secrète , envisagez de remplacer les informations d’identification à long terme par des informations d’identification temporaires à l’aide de rôles IAM.
Certains secrets de longue durée ne peuvent pas être supprimés ni remplacés. Ces secrets peuvent être stockés dans un service tel que [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html), où ils peuvent être stockés, gérés et subir une rotation de manière centralisée et régulière.
Un audit du code source et des fichiers de configuration de la charge de travail peut révéler de nombreux types d’informations d’identification. Le tableau suivant résume les stratégies de traitement des types courants d’informations d’identification :
| Type d’informations d’identification | Description | Stratégie suggérée |
| --- | --- | --- |
| Clés d’accès IAM | AWS Accès IAM et clés secrètes utilisés pour assumer des rôles IAM au sein d’une charge de travail | Remplacer : utilisez plutôt les [rôles IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios.html) attribués aux instances de calcul (telles que [Amazon EC2](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html) ou [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/lambda-intro-execution-role.html)). Pour l’interopérabilité avec des tiers qui ont besoin d’accéder aux ressources de votre compteCompte AWS, demandez-leur s’ils proposent [AWS l’accès intercompte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html). Pour les applications mobiles, pensez à utiliser des informations d’identification temporaires via les groupes d’identités [Amazon Cognito (identités fédérées)](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-identity.html). Pour les charges de travail exécutées en dehors de AWS, pensez à [Rôles Anywhere IAM](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html) ou à [AWS Systems Manager Hybrid Activations](https://docs.aws.amazon.com/systems-manager/latest/userguide/activations.html). Pour les conteneurs, consultez le [rôle IAM de la tâche Amazon ECS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task-iam-roles.html) ou le [rôle IAM du nœud Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/create-node-role.html). |
| Clés SSH | Clés privées Secure shell utilisées pour se connecter aux instances Linux EC2, manuellement ou dans le cadre d’un processus automatisé | Remplacer : utilisez [AWS Systems Manager](https://aws.amazon.com/blogs/mt/vr-beneficios-session-manager/) ou [EC2 Instance Connect](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Connect-using-EC2-Instance-Connect.html) pour fournir un accès programmatique et humain aux instances EC2 à l’aide de rôles IAM. |
| Informations d’identification d’application et base de données | Mots de passe — chaîne de texte brut | Rotation : stockez les informations d’identification dans [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) et établissez une rotation automatique si possible. |
| Informations d’identification d’administration Amazon RDS et Amazon Aurora | Mots de passe — chaîne de texte brut | Remplacer : utilisez [l’intégration de Secrets Manager avec Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/rds-secrets-manager.html) ou [Amazon Aurora](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/rds-secrets-manager.html). En outre, certains types de bases de données RDS peuvent utiliser des rôles IAM au lieu de mots de passe dans certains cas d’utilisation (pour plus de détails, voir [Authentification de base de données IAM](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.IAMDBAuth.html)). |
| Jetons OAuth | Jetons secrets — chaîne de texte brut | Rotation : stockez les jetons dans [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) et configurez la rotation automatique. |
| Jetons et clés API | Jetons secrets — chaîne de texte brut | Rotation : stockez dans [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) et établissez une rotation automatique si possible. |
Parmi les anti-modèles courants, citons l’intégration des clés d’accès IAM dans le code source, les fichiers de configuration ou les applications mobiles. Lorsqu’une clé d’accès IAM est requise pour communiquer avec un AWS service, utilisez des [informations d’identification de sécurité temporaires (à court terme)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html). Ces informations d’identification à court terme peuvent être fournies via [des rôles IAM pour les instances EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html), des [rôles d’exécution](https://docs.aws.amazon.com/lambda/latest/dg/lambda-intro-execution-role.html) pour les fonctions Lambda, [des rôles IAM Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/iam-roles.html) pour l’accès des utilisateurs mobiles et des [politiques IoT Core](https://docs.aws.amazon.com/iot/latest/developerguide/iot-policies.html) pour les appareils IoT. Lorsque vous interagissez avec des tiers, préférez la [délégation de l’accès à un rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) disposant de l’accès requis aux ressources de votre compte à la configuration d’un utilisateur IAM et à l’envoi au tiers de la clé d’accès secrète de cet utilisateur.
Dans de nombreux cas, la charge de travail nécessite le stockage des secrets nécessaires à l’interopérabilité avec d’autres services et ressources. [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) est spécialement conçu pour gérer en toute sécurité ces informations d’identification, ainsi que le stockage, l’utilisation et la rotation des jetons API, des mots de passe et d’autres informations d’identification.
AWS Secrets Manager fournit cinq fonctionnalités clés pour garantir le stockage et le traitement sécurisés des informations d’identification sensibles : [le chiffrement au repos](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html), [le chiffrement en transit](https://docs.aws.amazon.com/secretsmanager/latest/userguide/data-protection.html), [l’audit complet](https://docs.aws.amazon.com/secretsmanager/latest/userguide/monitoring.html), [le contrôle d’accès précis](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access.html) et [la rotation extensible des informations d’identification](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html). D’autres services de gestion des secrets créés par des AWS partenaires ou des solutions développées localement qui offrent des capacités et des assurances similaires sont également acceptables.
Lorsque vous récupérez un secret, vous pouvez utiliser les composants de mise en cache côté client de Secrets Manager pour le mettre en cache en vue d’une utilisation future. Il est plus rapide de récupérer un secret mis en cache que de le récupérer à partir de Secrets Manager. De plus, étant donné que l’appel des API Secrets Manager implique des coûts, l’utilisation d’un cache peut réduire vos coûts. Pour connaître toutes les manières dont vous pouvez récupérer des secrets, consultez [Obtenir des secrets](https://docs.aws.amazon.com/secretsmanager/latest/userguide/retrieving-secrets.html).
**Note**
Certains langages peuvent vous obliger à implémenter votre propre chiffrement en mémoire pour la mise en cache côté client.
### Étapes d’implémentation
1. Identifiez les chemins de code contenant des informations d’identification codées en dur à l’aide d’outils automatisés tels qu’[Amazon CodeGuru](https://aws.amazon.com/codeguru/features/).
1. Utilisez Amazon CodeGuru pour analyser vos référentiels de code. Une fois l’examen terminé, filtrez sur Type=Secrets dans CodeGuru pour trouver les lignes de code problématiques.
1. Identifiez les informations d’identification qui peuvent être supprimées ou remplacées.
1. Identifiez les informations d’identification qui ne sont plus nécessaires et marquez-les en vue de leur suppression.
1. Pour les clés secrètes AWS qui sont intégrées au code source, remplacez-les par des rôles IAM associés aux ressources nécessaires. Si une partie de votre charge de travail est externe à AWS mais nécessite des informations d’identification IAM pour accéder aux ressources AWS, envisagez d’utiliser [Rôles Anywhere IAM](https://aws.amazon.com/blogs/security/extend-aws-iam-roles-to-workloads-outside-of-aws-with-iam-roles-anywhere/) ou des [activations hybrides AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/activations.html).
1. Pour les autres secrets tiers de longue durée qui nécessitent l’utilisation de la stratégie de rotation, intégrez Secrets Manager dans votre code afin d’extraire les secrets tiers au moment de l’exécution.
1. La console CodeGuru peut [créer automatiquement un secret dans Secrets Manager](https://aws.amazon.com/blogs/aws/codeguru-reviewer-secrets-detector-identify-hardcoded-secrets/) à l’aide des informations d’identification découvertes.
1. Intégrez l’extraction des secrets à partir de Secrets Manager dans votre code d’application.
1. Les fonctions Lambda sans serveur peuvent utiliser une [extension Lambda](https://docs.aws.amazon.com/secretsmanager/latest/userguide/retrieving-secrets_lambda.html) indépendante du langage.
1. Pour les instances ou les conteneurs EC2, AWS fournit un exemple de [code côté client permettant de récupérer des secrets à partir de Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/retrieving-secrets.html) dans plusieurs langages de programmation courants.
1. Examinez régulièrement votre base de code et effectuez une nouvelle analyse afin de vérifier qu’aucun nouveau secret n’a été ajouté au code.
1. Envisagez l’utilisation d’un outil tel que [git-secrets](https://github.com/awslabs/git-secrets) pour éviter l’ajout de nouveaux secrets à votre dépôt de code source.
1. [Surveillez l’activité de Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/monitoring.html) pour détecter tout signe d’utilisation inattendue, d’accès secret inapproprié ou de tentative de suppression de secrets.
1. Réduisez l’exposition humaine aux informations d’identification. Limitez l’accès à la lecture, à l’écriture et à la modification des informations d’identification à un rôle IAM dédié à cette fin et fournissez un accès uniquement pour assumer le rôle à un petit sous-ensemble d’utilisateurs opérationnels.
## Ressources
**Bonnes pratiques associées :**
+ [SEC02-BP02 Utiliser des informations d’identification temporaires](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_unique.html)
+ [SEC02-BP05 Contrôler et effectuer régulièrement une rotation des informations d’identification](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_audit.html)
**Documents connexes :**
+ [Mise en route avec AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html)
+ [Fournisseurs d’identité et fédération](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
+ [Amazon CodeGuru présente un détecteur de secrets](https://aws.amazon.com/blogs/aws/codeguru-reviewer-secrets-detector-identify-hardcoded-secrets/)
+ [Comment AWS Secrets Manager utilise-t-il AWS Key Management Service ?](https://docs.aws.amazon.com/kms/latest/developerguide/services-secrets-manager.html)
+ [Chiffrement et déchiffrement de secret dans Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html)
+ [Entrées du journal de Secrets Manager](https://aws.amazon.com/blogs/security/tag/aws-secrets-manager/)
+ [Amazon RDS annonce l’intégration avec AWS Secrets Manager](https://aws.amazon.com/about-aws/whats-new/2022/12/amazon-rds-integration-aws-secrets-manager/)
**Vidéos connexes :**
+ [Bonnes pratiques de gestion, d’extraction et de renouvellement des secrets à grande échelle](https://youtu.be/qoxxRlwJKZ4)
+ [Trouvez des secrets codés en dur à l’aide du détecteur de secrets Amazon CodeGuru](https://www.youtube.com/watch?v=ryK3PN--oJs)
+ [Sécurisation des secrets des charges de travail hybrides à l’aide de AWS Secrets Manager](https://www.youtube.com/watch?v=k1YWhogGVF8)
**Ateliers connexes :**
+ [Stockez, récupérez et gérez les informations d’identification sensibles dans AWS Secrets Manager](https://catalog.us-east-1.prod.workshops.aws/workshops/92e466fd-bd95-4805-9f16-2df07450db42/en-US)
+ [Activations hybrides AWS Systems Manager](https://mng.workshop.aws/ssm/capability_hands-on_labs/hybridactivations.html)
# SEC02-BP04 S’appuyer sur un fournisseur d’identité centralisé
Pour les identités du personnel (employés et sous-traitants), faites confiance à un fournisseur d’identité qui vous permet de gérer les identités de manière centralisée. Cela facilite la gestion de l’accès entre plusieurs applications et systèmes, car vous créez, attribuez, gérez, révoquez et auditez l’accès depuis un seul emplacement.
**Résultat escompté :** vous disposez d’un fournisseur d’identité centralisé dans lequel vous gérez de manière centralisée les utilisateurs faisant partie du personnel, les politiques d’authentification (telles que l’exigence d’authentification multifactorielle (MFA)) et les autorisations accordées aux systèmes et aux applications (telles que l’attribution de l’accès en fonction de l’appartenance à un groupe ou des attributs d’un utilisateur). Les utilisateurs en interne se connectent au fournisseur d’identité central et se fédèrent (authentification unique) avec les applications internes et externes, ce qui leur évite d’avoir à mémoriser différentes informations d’identification. Votre fournisseur d’identité est intégré à vos systèmes de ressources humaines (RH) afin que les changements de personnel soient automatiquement synchronisés avec lui. Par exemple, si quelqu’un quitte votre organisation, vous pouvez automatiquement révoquer l’accès aux applications et systèmes fédérés (y compris AWS). Vous avez activé la journalisation détaillée des audits dans votre fournisseur d’identité et vous surveillez ces journaux pour détecter tout comportement inhabituel des utilisateurs.
**Anti-modèles courants :**
+ Vous n’utilisez pas la fédération ni l’authentification unique. Les utilisateurs en interne créent des comptes utilisateur et des informations d’identification distincts dans plusieurs applications et systèmes.
+ Vous n’avez pas automatisé le cycle de vie des identités pour les utilisateurs en interne, par exemple en intégrant votre fournisseur d’identité à vos systèmes RH. Lorsqu’un utilisateur quitte votre organisation ou change de rôle, vous suivez un processus manuel pour supprimer ou mettre à jour ses enregistrements dans plusieurs applications et systèmes.
**Avantages liés au respect de cette bonne pratique :** en utilisant un fournisseur d’identité centralisé, vous disposez d’un emplacement unique pour gérer les identités et les politiques des utilisateurs en interne, de la possibilité d’attribuer l’accès aux applications, aux utilisateurs et aux groupes, et de la capacité de surveiller l’activité de connexion des utilisateurs. Grâce à l’intégration du fournisseur d’identité dans vos systèmes de ressources humaines (RH), lorsqu’un utilisateur change de rôle, ces modifications sont synchronisées avec le fournisseur d’identité et mettent automatiquement à jour les applications et les autorisations qui lui ont été attribuées. Lorsqu’un utilisateur quitte votre organisation, son identité est automatiquement désactivée dans le fournisseur d’identité, révoquant ainsi son accès aux applications et systèmes fédérés.
**Niveau d’exposition au risque si cette bonne pratique n’est pas respectée** : élevé
## Directives d’implémentation
**Conseils pour les utilisateurs en interne accédant à AWS** Les utilisateurs en interne, tels que les employés et les sous-traitants de votre organisation, peuvent avoir besoin d’accéder à AWS avec la AWS Management Console ou l’AWS Command Line Interface (AWS CLI) pour exécuter leurs tâches. Vous pouvez accorder l’accès AWS aux utilisateurs en interne en les fédérant avec AWS à deux niveaux à partir de votre fournisseur d’identité centralisé : fédération directe vers chaque Compte AWS ou fédération vers plusieurs comptes dans [ votre organisation AWS](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html).
Pour fédérer les utilisateurs en interne directement avec chaque Compte AWS, vous pouvez utiliser un fournisseur d’identité centralisé afin de les fédérer à [Gestion des identités et des accès AWS](https://aws.amazon.com/iam/) dans ce compte. La flexibilité d’IAM vous permet d’activer un fournisseur d’identité [SAML 2.0](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html) ou [Open ID Connect (OIDC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_oidc.html) distinct pour chaque Compte AWS et d’utiliser des attributs d’utilisateur fédéré pour le contrôle d’accès. Les utilisateurs en interne utiliseront leur navigateur Web pour se connecter au fournisseur d’identité en indiquant leurs informations d’identification (telles que des mots de passe et des codes de jeton MFA). Le fournisseur d’identité enverra à son navigateur une assertion SAML soumise à l’URL de connexion de la AWS Management Console pour permettre à l’utilisateur de s’authentifier de manière unique auprès de la [AWS Management Console en assumant un rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_enable-console-saml.html). Vos utilisateurs peuvent également obtenir des informations d’identification d’API AWS temporaires à utiliser dans le [AWS CLI](https://aws.amazon.com/cli/) ou [AWS les SDK](https://aws.amazon.com/developer/tools/) à partir de [AWS STS](https://docs.aws.amazon.com/STS/latest/APIReference/welcome.html) en [assumant le rôle IAM à l’aide d’une assertion SAML](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html) du fournisseur d’identité.
Pour fédérer vos utilisateurs en interne avec plusieurs comptes dans votre organisation AWS, vous pouvez utiliser [https://aws.amazon.com/single-sign-on/](https://aws.amazon.com/single-sign-on/) pour gérer de manière centralisée l’accès des utilisateurs en interne aux Comptes AWS et aux applications. Vous activez Identity Center pour votre organisation et configurez votre source d’identité. IAM Identity Center fournit un répertoire de sources d’identité par défaut que vous pouvez utiliser pour gérer vos utilisateurs et vos groupes. Vous pouvez également choisir une source d’identité externe en vous [https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html) à l’aide de SAML 2.0 et en [provisionnant automatiquement](https://docs.aws.amazon.com/singlesignon/latest/userguide/provision-automatically.html) les utilisateurs et les groupes à l’aide de SCIM, ou en [https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-ad.html](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-ad.html) à l’aide de [Directory Service](https://aws.amazon.com/directoryservice/). Une fois qu’une source d’identité est configurée, vous pouvez attribuer aux utilisateurs et aux groupes l’accès aux Comptes AWS en définissant des politiques de moindre privilège dans vos [ensembles d’autorisation](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html). Les utilisateurs de votre personnel peuvent s’authentifier par l’intermédiaire de votre fournisseur d’identité central pour se connecter au [portail d’accès AWS](https://docs.aws.amazon.com/singlesignon/latest/userguide/using-the-portal.html) et ouvrir une session unique dans le Comptes AWS et les applications cloud qui leur sont attribuées. Vos utilisateurs peuvent configurer la [AWS CLI v2](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-sso.html) pour s’authentifier auprès d’Identity Center et obtenir des informations d’identification pour exécuter des commandes AWS CLI. Identity Center permet également l’accès par authentification unique aux applications AWS telles qu'[Amazon SageMaker AI Studio](https://docs.aws.amazon.com/sagemaker/latest/dg/onboard-sso-users.html) et [les portails AWS IoT Sitewise Monitor](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/monitor-getting-started.html).
Une fois que vous aurez suivi les instructions précédentes, vos utilisateurs en interne n’auront plus besoin d’utiliser des utilisateur IAM et des groupes pour les opérations normales lors de la gestion des charges de travail sur AWS. Au lieu de cela, vos utilisateurs et vos groupes sont gérés en dehors de AWS et les utilisateurs peuvent accéder aux ressources AWS sous la forme d’une *identité fédérée*. Les identités fédérées utilisent les groupes définis par votre fournisseur d’identité centralisé. Vous devez identifier et supprimer les groupes IAM, les utilisateur IAM et les informations d’identification utilisateur de longue durée (mots de passe et clés d’accès) dont vous n’avez plus besoin dans vos Comptes AWS. Vous pouvez [trouver les informations d’identification non utilisées](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_finding-unused.html) à l’aide de [rapports d’informations d’identification IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html), [supprimer les utilisateurs IAM correspondants](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_manage.html) et [supprimer les groupes IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_delete.html). Vous pouvez appliquer une [Politique de contrôle des services (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) à votre organisation afin d’empêcher la création de nouveaux utilisateurs IAM et groupes, en renforçant cet accès à AWS via des identités fédérées.
**Note**
Vous êtes responsable de la gestion de la rotation des jetons d’accès SCIM, comme décrit dans la documentation relative au [provisionnement automatique](https://docs.aws.amazon.com/singlesignon/latest/userguide/provision-automatically.html). En outre, vous êtes responsable de la rotation des certificats prenant en charge votre fédération d’identité.
**Conseils pour les utilisateurs de vos applications** Vous pouvez gérer les identités des utilisateurs de vos applications, telles qu’une application mobile, en utilisant [https://aws.amazon.com/cognito/](https://aws.amazon.com/cognito/) comme fournisseur d’identité centralisé. Amazon Cognito assure l’authentification, l’autorisation et la gestion des utilisateurs pour vos applications Web et mobiles. Amazon Cognito fournit une banque d’identités adaptée à des millions d’utilisateurs, prend en charge la fédération d’identité sociale de l’entreprise et propose des fonctionnalités de sécurité avancées pour protéger vos utilisateurs et votre entreprise. Vous pouvez intégrer votre application Web ou mobile personnalisée avec Amazon Cognito pour ajouter l’authentification des utilisateurs et le contrôle d’accès à vos applications en quelques minutes. Fondé sur des normes d’identité ouvertes telles que SAML et OpenID Connect (OIDC), Amazon Cognito prend en charge diverses réglementations de conformité et s’intègre aux ressources de développement front-end et dorsal.
### Étapes d’implémentation
**Étapes à suivre pour permettre aux utilisateurs en interne d’accéder à AWS**
+ Fédérez les utilisateurs en interne à AWS à l’aide d’un fournisseur d’identité centralisé en utilisant l’une des approches suivantes :
+ Utilisez IAM Identity Center pour activer l’authentification unique à plusieurs Comptes AWS dans votre organisation AWS en vous fédérant avec votre fournisseur d’identité.
+ Utilisez IAM pour connecter votre fournisseur d’identité directement à chaque Compte AWS, afin de permettre un accès fédéré précis.
+ Identifiez et supprimez les utilisateurs IAM et les groupes qui seront remplacés par des identités fédérées.
**Étapes à suivre pour les utilisateurs de vos applications**
+ Utilisez Amazon Cognito comme fournisseur d’identité centralisé pour vos applications.
+ Intégrez vos applications personnalisées à Amazon Cognito à l’aide d’OpenID Connect et d’OAuth. Vous pouvez développer vos applications personnalisées à l’aide des bibliothèques Amplify qui fournissent des interfaces simples à intégrer à divers services AWS, tels que Amazon Cognito pour l’authentification.
## Ressources
**Bonnes pratiques associées :**
+ [SEC02-BP06 Utiliser des groupes d’utilisateurs et des attributs](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_groups_attributes.html)
+ [SEC03-BP02 Accorder un accès selon le principe du moindre privilège](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_least_privileges.html)
+ [SEC03-BP06 Gérer l’accès en fonction du cycle de vie](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_lifecycle.html)
**Documents connexes :**
+ [Fédération d’identité dans AWS](https://aws.amazon.com/identity/federation/)
+ [Bonnes pratiques de sécurité dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [ Bonnes pratiques Gestion des identités et des accès AWS](https://aws.amazon.com/iam/resources/best-practices/)
+ [Mise en route avec l’administration déléguée d’IAM Identity Center](https://aws.amazon.com/blogs/security/getting-started-with-aws-sso-delegated-administration/)
+ [Comment utiliser les politiques gérées par le client dans IAM Identity Center pour les cas d’utilisation avancés](https://aws.amazon.com/blogs/security/how-to-use-customer-managed-policies-in-aws-single-sign-on-for-advanced-use-cases/)
+ [AWS CLI v2 : fournisseur d’informations d’identification IAM Identity Center](https://docs.aws.amazon.com/sdkref/latest/guide/feature-sso-credentials.html)
**Vidéos connexes :**
+ [AWS re:Inforce 2022 - Gestion des identités et des accès AWS (IAM) deep dive](https://youtu.be/YMj33ToS8cI)
+ [AWS re:Invent 2022 - Simplify your existing workforce access with IAM Identity Center](https://youtu.be/TvQN4OdR_0Y)
+ [AWS re:Invent 2018: Mastering Identity at Every Layer of the Cake](https://youtu.be/vbjFjMNVEpc)
**Exemples connexes :**
+ [Atelier : utilisation d’AWS IAM Identity Center pour assurer une gestion forte des identités](https://catalog.us-east-1.prod.workshops.aws/workshops/590f8439-42c7-46a1-8e70-28ee41498b3a/en-US)
**Outils associés :**
+ [AWS Partenaires disposant de la compétence Sécurité : gestion des identités et des accès](https://aws.amazon.com/security/partner-solutions/)
+ [saml2aws](https://github.com/Versent/saml2aws)
# SEC02-BP05 Contrôler et effectuer régulièrement une rotation des informations d’identification
Contrôlez et effectuez régulièrement une rotation des informations d’identification afin de limiter leur durée d’utilisation pour accéder à vos ressources. Les informations d’identification à long terme créent de nombreux risques, et ces risques peuvent être réduits par une rotation régulière de ces informations.
**Résultat souhaité :** mettez en œuvre la rotation des informations d’identification afin de réduire les risques associés à l’utilisation à long terme des informations d’identification. Auditez et corrigez régulièrement toute non-conformité avec les politiques de rotation des informations d’identification.
**Anti-modèles courants :**
+ Ne pas auditer l’utilisation des informations d’identification.
+ Utiliser inutilement des informations d’identification à long terme.
+ Utiliser des informations d’identification à long terme et ne pas effectuer de rotation régulièrement.
**Niveau d’exposition au risque si cette bonne pratique n’est pas respectée :** élevé
## Directives d’implémentation
Lorsque vous ne pouvez pas compter sur des informations d’identification temporaires et que vous avez besoin d’informations d’identification à long terme, auditez les informations d’identification pour vous assurer que les contrôles définis tels que [l’authentification multifactorielle](https://aws.amazon.com/iam/features/mfa/) (MFA) sont appliqués, qu’ils font l’objet d’une rotation régulière et qu’ils ont le niveau d’accès approprié.
La validation régulière, de préférence via un outil automatisé, est nécessaire pour vérifier que les contrôles corrects sont appliqués. Pour les identités humaines, vous devez obliger les utilisateurs à modifier leurs mots de passe régulièrement et à mettre hors service les clés d’accès au profit d’informations d’identification temporaires. Lorsque vous passez des utilisateurs Gestion des identités et des accès AWS (IAM) aux identités centralisées, vous pouvez [générer un rapport d’informations d’identification](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html) pour auditer vos utilisateurs.
Nous vous recommandons également d’appliquer les paramètres d’authentification multifactorielle dans votre fournisseur d’identité. Vous pouvez configurer [AWS Config Rules](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) ou utiliser des [normes de sécurité AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-iam-3) pour vérifier si les utilisateurs ont configuré l’authentification multifactorielle. Envisagez d’utiliser [Rôles Anywhere IAM](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html) afin de fournir des informations d’identification temporaires pour les identités des machines. Lorsque l’utilisation de rôles IAM et d’informations d’identification temporaires n’est pas possible, il est nécessaire de réaliser fréquemment des audits et la rotation des clés d’accès.
### Étapes d’implémentation
+ **Audit fréquent des informations d’identification :** l’audit des identités configurées dans votre fournisseur d’identités et dans IAM aide à garantir que seules les identités autorisées ont accès à votre charge de travail. Ces identités peuvent inclure, sans s’y limiter, des utilisateurs IAM, des utilisateurs AWS IAM Identity Center, des utilisateurs Active Directory ou des utilisateurs dans un autre fournisseur d’identité en amont. Par exemple, supprimez les personnes qui quittent l’organisation et supprimez les rôles inter-comptes qui ne sont plus requis. Mettez en place un processus pour auditer périodiquement les autorisations aux services auxquels accède une entité IAM. Cela vous permet d’identifier les politiques à modifier afin de supprimer les autorisations inutilisées. Utilisez les rapports d’informations d’identification et [AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) pour auditer les informations d’identification et les autorisations IAM. Vous pouvez utiliser [Amazon CloudWatch pour configurer des alarmes pour des appels d’API spécifiques](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudwatch-alarms-for-cloudtrail.html) appelés dans votre environnement AWS. [Amazon GuardDuty peut également vous avertir en cas d’activité inattendue](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html), qui peut indiquer un accès trop permissif ou un accès involontaire aux informations d’identification IAM.
+ **Rotation régulière des informations d’identification :** lorsque vous ne pouvez pas utiliser d’informations d’identification temporaires, alternez régulièrement les clés d’accès IAM à long terme (au maximum tous les 90 jours). Si une clé d’accès est divulguée involontairement à votre insu, cela limite la durée pendant laquelle les informations d’identification peuvent être utilisées pour accéder à vos ressources. Pour plus d’informations sur la rotation des clés d’accès pour les utilisateurs IAM, consultez la rubrique [Rotation des clés d’accès](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey).
+ **Examiner les permissions IAM :** pour améliorer la sécurité de votre Compte AWS, examinez et surveillez régulièrement chacune de vos politiques IAM. Vérifiez que les politiques respectent le principe du moindre privilège.
+ **Envisagez d’automatiser la création et la mise à jour des ressources IAM :** [IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) automatise de nombreuses tâches IAM, telles que la gestion des rôles et des politiques. Sinon, AWS CloudFormation peut être utilisé afin d’automatiser le déploiement des ressources IAM, y compris les rôles et les politiques, afin de réduire le risque d’erreur humaine, car les modèles peuvent être vérifiés et la version contrôlée.
+ **Utilisez Rôles Anywhere IAM pour remplacer les utilisateurs IAM par des identités de machines :** [Rôles Anywhere IAM](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html) vous permet d’utiliser des rôles dans des domaines que vous ne pouviez pas utiliser auparavant, tels que les serveurs sur site. Rôles Anywhere IAM utilise un [certificat X.509](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/trust-model.html#signature-verification) approuvé afin de s’authentifier auprès d’AWS et de recevoir des informations d’identification temporaires. L’utilisation de Rôles Anywhere IAM vous évite d’avoir à effectuer des rotations de ces informations d’identification, car les informations d’identification à long terme ne sont plus stockées dans votre environnement sur site. Veuillez noter que vous devrez surveiller et faire tourner le certificat X.509 à l’approche de son expiration.
## Ressources
**Bonnes pratiques associées :**
+ [SEC02-BP02 Utiliser des informations d’identification temporaires](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_unique.html)
+ [SEC02-BP03 Stocker et utiliser des secrets en toute sécurité](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_secrets.html)
**Documents connexes :**
+ [Mise en route avec AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html)
+ [Bonnes pratiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [Fournisseurs d’identité et fédération](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
+ [Solutions partenaires de sécurité : accès et contrôle d’accès](https://aws.amazon.com/security/partner-solutions/#access-control)
+ [Informations d’identification de sécurité temporaires](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)
+ [Obtention de rapports d’informations d’identification pour votre Compte AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html)
**Vidéos connexes :**
+ [Bonnes pratiques de gestion, d’extraction et de renouvellement des secrets à grande échelle](https://youtu.be/qoxxRlwJKZ4)
+ [Gestion des autorisations des utilisateurs à grande échelle avec IAM Identity Center AWS](https://youtu.be/aEIqeFCcK7E)
+ [Maîtrise des identités dans chaque couche](https://www.youtube.com/watch?v=vbjFjMNVEpc)
# SEC02-BP06 Utiliser des groupes d’utilisateurs et des attributs
La définition des autorisations en fonction des groupes d’utilisateurs et des attributs contribue à réduire le nombre et la complexité des politiques, ce qui simplifie la mise en œuvre du principe du moindre privilège. Vous pouvez utiliser des groupes d’utilisateurs pour gérer les autorisations de nombreuses personnes en un seul endroit selon la fonction qu’elles occupent au sein de votre organisation. Les attributs, tels que le service, le projet ou l’emplacement, peuvent fournir une couche supplémentaire de portée des autorisations lorsque des personnes occupent une fonction similaire, mais pour des sous-ensembles de ressources différents.
**Résultat escompté :** vous pouvez appliquer des modifications aux autorisations selon la fonction de tous les utilisateurs qui exécutent cette fonction. L’appartenance aux groupes et les attributs régissent les autorisations des utilisateurs, ce qui réduit la nécessité de gérer les autorisations au niveau de chaque utilisateur. Les groupes et les attributs que vous définissez dans votre fournisseur d’identité (IdP) sont propagés automatiquement à vos environnements AWS.
**Anti-modèles courants :**
+ Gestion des autorisations pour les utilisateurs individuels et duplication entre de nombreux utilisateurs.
+ Définition de groupes à un niveau trop élevé, autorisations trop étendues accordées.
+ Définition de groupes à un niveau trop détaillé, ce qui crée des duplications et de la confusion quant à l’appartenance.
+ Utilisation de groupes avec des autorisations dupliquées sur des sous-ensembles de ressources lorsque des attributs peuvent être utilisés à la place.
+ Aucune gestion de groupes, d’attributs et d’appartenances par le biais d’un fournisseur d’identité standardisé intégré à vos environnements AWS.
+ Utilisation du chaînage des rôles lors de l’utilisation de sessions AWS IAM Identity Center
**Niveau d’exposition au risque si cette bonne pratique n’est pas respectée :** moyen
## Directives d’implémentation
Les autorisations AWS sont définies dans des documents appelés *politiques*, qui sont associés à un principal, tel qu’un utilisateur, un groupe, un rôle ou une ressource. Vous pouvez mettre à l’échelle la gestion des autorisations en organisant les attributions d’autorisations (groupe, autorisations, compte) en fonction de la fonction, de la charge de travail et de l’environnement SDLC. En ce qui concerne le personnel, cela vous permet de définir des groupes selon la fonction occupée par les utilisateurs au sein de votre organisation, plutôt que selon les ressources auxquelles ils accèdent. Par exemple, un groupe WebAppDeveloper peut être associé à une politique pour configurer des services tels qu’Amazon CloudFront au sein d’un compte de développement. Un groupe `AutomationDeveloper` peut avoir des autorisations qui se chevauchent avec le groupe `WebAppDeveloper`. Ces autorisations communes peuvent être saisies dans une politique distincte et associées aux deux groupes, au lieu de faire en sorte que les utilisateurs des deux fonctions appartiennent à un groupe `CloudFrontAccess`.
Outre les groupes, vous pouvez utiliser des *attributs* pour élargir l’accès. Par exemple, vous pouvez avoir un attribut de projet permettant aux utilisateurs de votre groupe `WebAppDeveloper` de définir l’accès aux ressources spécifiques à leur projet. L’utilisation de cette technique élimine la nécessité de créer différents groupes pour les développeurs d’applications qui travaillent sur différents projets si leurs autorisations sont par ailleurs les mêmes. La façon dont vous faites référence aux attributs dans les politiques d’autorisation dépend de leur source, qu’ils soient définis dans le cadre de votre protocole de fédération (tel que SAML, OIDC ou SCIM), en tant qu’assertions SAML personnalisées ou définis dans le cadre d’IAM Identity Center.
### Étapes d’implémentation
1. Déterminez où vous allez définir les groupes et les attributs :
1. En suivant les instructions fournies dans [SEC02-BP04 S’appuyer sur un fournisseur d’identité centralisé](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_identity_provider.html), vous pouvez déterminer si vous devez définir des groupes et des attributs au sein de votre fournisseur d’identité, dans IAM Identity Center ou utiliser des groupes d’utilisateurs IAM dans un compte spécifique.
1. Définissez des groupes :
1. Déterminez vos groupes selon la fonction et la portée de l’accès requis. Envisagez d’utiliser une structure hiérarchique ou des conventions de dénomination pour organiser efficacement les groupes.
1. Si vous optez pour une définition au sein d’IAM Identity Center, créez des groupes et associez le niveau d’accès souhaité à l’aide d’ensembles d’autorisations.
1. Si vous optez pour une définition au sein d’un fournisseur d’identité externe, déterminez si le fournisseur prend en charge le protocole SCIM et envisagez d’activer le provisionnement automatique au sein d’IAM Identity Center. Cette capacité synchronise la création, l’appartenance et la suppression de groupes entre votre fournisseur et IAM Identity Center.
1. Définissez des attributs :
1. Si vous utilisez un fournisseur d’identité externe, les protocoles SCIM et SAML 2.0 fournissent certains attributs par défaut. Des attributs supplémentaires peuvent être définis et transmis à l’aide d’assertions SAML utilisant le nom de l’attribut `https://aws.amazon.com/SAML/Attributes/PrincipalTag`. Consultez la documentation de votre fournisseur d’identité pour obtenir des recommandations quant à la définition et la configuration d’attributs personnalisés.
1. Si vous définissez des rôles dans IAM Identity Center, activez la fonctionnalité de contrôle d’accès par attributs (ABAC) et définissez les attributs comme vous le souhaitez. Tenez compte des attributs qui correspondent à la stratégie de balisage des ressources ou à la structure de votre organisation.
Si vous avez besoin d’un chaînage des rôles IAM à partir des rôles IAM assumés via IAM Identity Center, les valeurs telles que `source-identity` et `principal-tags` ne se propagent pas. Pour plus de détails, consultez [Activer et configurer les attributs pour le contrôle d’accès](https://docs.aws.amazon.com/singlesignon/latest/userguide/configure-abac.html).
1. Déterminez la portée des autorisations en fonction des groupes et des attributs :
1. Envisagez d’inclure dans vos politiques d’autorisation des conditions qui comparent les attributs de votre principal à ceux des ressources auxquelles vous accédez. Par exemple, vous pouvez définir une condition pour autoriser l’accès à une ressource uniquement si la valeur d’une clé de condition `PrincipalTag` correspond à la valeur d’une clé `ResourceTag` du même nom.
1. Lorsque vous définissez des politiques ABAC, suivez les instructions figurant dans les bonnes pratiques et les exemples relatifs à l’[autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html).
1. Passez régulièrement en revue et mettez à jour la structure de votre groupe et de vos attributs au fur et à mesure de l’évolution des besoins de votre organisation afin de garantir une gestion optimale des autorisations.
## Ressources
**Bonnes pratiques associées :**
+ [SEC02-BP04 S’appuyer sur un fournisseur d’identité centralisé](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_identity_provider.html)
+ [SEC03-BP02 Accorder un accès selon le principe du moindre privilège](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_least_privileges.html)
+ [COST02-BP04 Mettre en œuvre des groupes et des rôles](https://docs.aws.amazon.com/wellarchitected/latest/framework/cost_govern_usage_groups_roles.html)
**Documents connexes :**
+ [Bonnes pratiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [Gestion des identités dans IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-sso.html)
+ [Qu’est-ce que le contrôle d’accès par attributs (ABAC) pour AWS ?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)
+ [Contrôle d’accès par attributs (ABAC) dans IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/configure-abac.html)
+ [Exemples de politique ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_abac.html)
**Vidéos connexes :**
+ [Gestion des autorisations des utilisateurs à grande échelle avec IAM Identity Center AWS](https://youtu.be/aEIqeFCcK7E)
+ [Maîtrise des identités dans chaque couche](https://www.youtube.com/watch?v=vbjFjMNVEpc)