SEC03-BP07 Analyser l’accès public et intercompte

Surveillez continuellement les résultats qui mettent en évidence l’accès public et intercompte. Limitez l’accès public et l’accès intercompte aux seules ressources spécifiques qui nécessitent cet accès.

Résultat escompté : connaitre quelles de vos ressources AWS sont partagées et avec qui. Surveillez et auditez continuellement vos ressources partagées afin de vérifier qu’elles ne sont partagées qu’avec les principaux autorisés.

Anti-modèles courants :

Ne pas tenir un inventaire des ressources partagées.
Ne pas suivre de processus pour régir l’accès intercompte et public aux ressources.

Niveau d’exposition au risque si cette bonne pratique n’est pas respectée : bas

Directives d’implémentation

Si votre compte est dans AWS Organizations, vous pouvez accorder l’accès aux ressources à l’ensemble de l’organisation, à des unités d’organisation spécifiques ou à des comptes individuels. Si votre compte n’est pas membre d’une organisation, vous pouvez partager des ressources avec des comptes individuels. Vous pouvez accorder un accès direct intercompte à l’aide de politiques basées sur les ressources, par exemple les politiques de compartiment Amazon Simple Storage Service (Amazon S3), ou en autorisant le principal d’un autre compte à assumer un rôle IAM dans votre compte. Lorsque vous utilisez des politiques de ressources, vérifiez que l’accès n’est accordé qu’aux principaux autorisés. Définir un processus d’approbation de toutes les ressources qui doivent être accessibles au public.

AWS Identity and Access Management Access Analyzer utilise la sécurité prouvable pour identifier tous les chemins d’accès à une ressource en dehors de son compte. Il passe en revue les politiques de ressources en continu et présente les résultats d’accès public et intercompte pour permettre d’analyser facilement un accès potentiellement étendu. Envisagez de configurer l’analyseur d’accès IAM avec AWS Organizations afin de vérifier que vous avez une visibilité sur tous vos comptes. L’analyseur d’accès IAM vous permet également de prévisualiser les résultats avant de déployer les autorisations relatives aux ressources. Vous pouvez ainsi vérifier que vos modifications de politique n’accordent que l’accès public et intercompte prévu à vos ressources. En établissant un accès multicompte, vous pouvez utiliser des politiques d’approbation pour vérifier dans quels cas un rôle peut être assumé. Par exemple, vous pourriez utiliser la clé de condition PrincipalOrgId pour refuser une tentative d’assumer un rôle en dehors de votre AWS Organizations.

AWS Config peut signaler les ressources mal configurées et, par le biais de vérifications des politiques AWS Config, détecter les ressources dont l’accès public est configuré. Les services tels que AWS Control Tower et AWS Security Hub CSPM simplifient le déploiement des contrôles de détection et des barrières de protection sur AWS Organizations afin d’identifier et de corriger les ressources exposées au public. Par exemple, AWS Control Tower dispose d’une barrière de protection gérée qui peut détecter si des instantanés d’Amazon EBS sont restaurés par Comptes AWS.

Étapes d’implémentation

Envisagez d’utiliser AWS Config for AWS Organizations : AWS Config vous permet d’agréger les résultats de plusieurs comptes d’un AWS Organizations vers un compte d’administrateur délégué. Cela fournit une vue complète et vous permet de déployer AWS Config Rules sur plusieurs comptes afin de détecter les ressources accessibles au public.
Configurez AWS Identity and Access Management Access Analyzer : l’Analyseur d’accès IAM vous aide à identifier les ressources dans votre organisation et vos comptes, telles que les compartiments Amazon S3 ou les rôles IAM, qui sont partagés avec une entité externe.
Utilisez la correction automatique AWS Config pour effectuer les modifications de la configuration de l’accès public des compartiments Amazon S3 : vous pouvez activer automatiquement les paramètres de blocage de l’accès public pour les compartiments Amazon S3.
Implémentez la surveillance et les alertes pour déterminer si les compartiments Amazon S3 sont devenus publics : vous devez mettre en place un système de surveillance et d’alerte pour détecter si le blocage de l’accès public Amazon S3 est désactivé et si les compartiments Amazon S3 deviennent publics. En outre, si vous utilisez AWS Organizations, vous pouvez créer une politique de contrôle de services qui empêche toute modification des stratégies d’accès public d’Amazon S3. AWS Trusted Advisor vérifie les compartiments Amazon S3 dont les autorisations permettent un accès libre. Les autorisations de compartiment qui accordent à tous un accès au chargement ou à la suppression créent des problèmes de sécurité potentiels, en permettant à quiconque d’ajouter, de modifier ou de supprimer les éléments d’un compartiment. La vérification Trusted Advisor examine les autorisations explicites de compartiment et les politiques associées de compartiment susceptibles de remplacer les autorisations de compartiment. Vous pouvez également utiliser AWS Config pour surveiller l’accès public de vos compartiments Amazon S3. Pour plus d’informations, consultez la section Comment utiliser AWS Config pour surveiller et gérer les compartiments Amazon S3 autorisant l’accès public.

Lorsque vous examinez les contrôles d’accès pour les compartiments Amazon S3, il est important de prendre en compte la nature des données qui y sont stockées. Amazon Macie est un service conçu pour vous aider à découvrir et à protéger les données sensibles, telles que les données d’identification personnelle (PII), les informations protégées sur la santé (PHI) et les informations d’identification telles que les clés privées ou les clés d’accès AWS.

Ressources

Documents connexes :

Vidéos connexes :

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

SEC03-BP06 Gérer l’accès en fonction du cycle de vie

SEC03-BP08 Partager des ressources en toute sécurité au sein de votre organisation