|
| Approbation de la suspension | example-inc:suspension:approval | Le lien vers l'approbation de la suspension du compte | workload/deprecation |
# Gestion des incidents
Les tags peuvent jouer un rôle essentiel dans toutes les phases de la gestion des incidents, qu'il s'agisse de l'enregistrement des incidents, de la priorisation, de l'investigation, de la communication, de la résolution ou de la clôture.
Les balises peuvent indiquer où un incident doit être enregistré, l'équipe ou les équipes qui doivent être informées de l'incident et la priorité d'escalade définie. Il est important de se rappeler que les balises ne sont pas cryptées. Pensez donc aux informations que vous y stockez. De plus, dans les organisations, les équipes et les chaînes hiérarchiques, les responsabilités changent. Pensez donc à stocker un lien vers un portail sécurisé où ces informations peuvent être gérées plus efficacement. Il n'est pas nécessaire que ces balises soient exclusives. Par exemple, l'ID d'application peut être utilisé pour rechercher les chemins d'escalade dans un portail de gestion des services informatiques. Assurez-vous qu'il est clairement indiqué dans vos définitions opérationnelles que cette balise est utilisée à des fins multiples.
Les balises relatives aux exigences opérationnelles peuvent également être détaillées, afin d'aider les responsables des incidents et le personnel des opérations à affiner leurs objectifs en réponse à un incident ou à un événement.
Les liens relatifs (vers l'URL de la base de connaissances) pour les [runbooks](https://wa.aws.amazon.com/wellarchitected/2020-07-02T19-33-23/wat.concept.runbook.en.html) et les [playbooks](https://wa.aws.amazon.com/wellarchitected/2020-07-02T19-33-23/wat.concept.playbook.en.html) peuvent être inclus sous forme de balises pour aider les équipes répondantes à identifier le processus, la procédure et la documentation correspondants.
*Tableau 9 - Utiliser des balises opérationnelles pour informer la gestion des incidents*
| Cas d’utilisation | Clé de tag | Justification | Exemple de valeurs |
| --- | --- | --- | --- |
| Gestion des incidents | example-inc:incident-management:escalationlog | Le système utilisé par l'équipe d'assistance pour enregistrer les incidents | jira, servicenow, zendesk |
| Gestion des incidents | example-inc:incident-management:escalationpath | La voie de l'escalade | ops-center, dev-ops, app-team |
| Répartition des coûts et gestion des incidents | example-inc:cost-allocation:CostCenter | Surveillez les coûts par centre de coûts. Il s'agit d'un exemple de balise à double usage dans laquelle le centre de coûts est utilisé comme code d'application pour la journalisation des incidents. | 123-\$1 |
| Sauvegarde planifiée | example-inc:backup:schedule | Backup planning de la ressource | Daily |
| Playbook/Gestion des incidents | example-inc:incident-management:playbook | Playbook documenté | webapp/incident/playbook |
# Application de correctifs
Organisations peuvent automatiser leur stratégie d'application de correctifs pour les environnements informatiques mutables et maintenir les instances mutables conformes à la ligne de base de correctifs définie pour cet environnement d'application en utilisant AWS Systems Manager Patch Manager et. AWS Lambda**Une stratégie de balisage pour les instances mutables au sein de ces environnements peut être gérée en affectant ces instances à des **groupes de correctifs** et à des fenêtres de maintenance.** Consultez les exemples suivants pour un split Dev → Test → Prod. AWS des instructions prescriptives sont disponibles pour la [gestion des correctifs des instances mutables](https://docs.aws.amazon.com/prescriptive-guidance/latest/patch-management-hybrid-cloud/welcome.html).
*Tableau 10 - Les balises opérationnelles peuvent être spécifiques à l'environnement*
| Développement | Intermédiaire | Production |
| --- | --- | --- |
| {
"Tags": [
{
"Key": "Maintenance Window",
"ResourceId": "i-012345678ab9ab111",
"ResourceType": "instance",
"Value": "cron(30 23 ? * TUE#1 *)"
},
{
"Key": "Name",
"ResourceId": "i-012345678ab9ab222",
"ResourceType": "instance",
"Value": "WEBAPP"
},
{
"Key": "Patch Group",
"ResourceId": "i-012345678ab9ab333",
"ResourceType": "instance",
"Value": "WEBAPP-DEV-AL2"
}
]
}
| {
"Tags": [
{
"Key": "Maintenance Window",
"ResourceId": "i-012345678ab9ab444",
"ResourceType": "instance",
"Value": "cron(30 23 ? * TUE#2 *)"
},
{
"Key": "Name",
"ResourceId": "i-012345678ab9ab555",
"ResourceType": "instance",
"Value": "WEBAPP"
},
{
"Key": "Patch Group",
"ResourceId": "i-012345678ab9ab666",
"ResourceType": "instance",
"Value": "WEBAPP-TEST-AL2"
}
]
}
| {
"Tags": [
{
"Key": "Maintenance Window",
"ResourceId": "i-012345678ab9ab777",
"ResourceType": "instance",
"Value": "cron(30 23 ? * TUE#3 *)"
},
{
"Key": "Name",
"ResourceId": "i-012345678ab9ab888",
"ResourceType": "instance",
"Value": "WEBAPP"
},
{
"Key": "Patch Group",
"ResourceId": "i-012345678ab9ab999",
"ResourceType": "instance",
"Value": "WEBAPP-PROD-AL2"
}
]
}
|
Les vulnérabilités de type « jour zéro » peuvent également être gérées en définissant des balises pour compléter votre stratégie d'application de correctifs. Reportez-vous à la section [Éviter les vulnérabilités de type « jour zéro » grâce à l'application de correctifs de sécurité le jour même à l'aide de AWS Systems Manager](https://aws.amazon.com/blogs/mt/avoid-zero-day-vulnerabilities-same-day-security-patching-aws-systems-manager/) pour obtenir des instructions détaillées.
# Observabilité opérationnelle
L'observabilité est nécessaire pour obtenir des informations exploitables sur les performances de vos environnements et vous aider à détecter et à étudier les problèmes. Il a également un objectif secondaire qui vous permet de définir et de mesurer des indicateurs de performance clés (KPIs) et des objectifs de niveau de service (SLOs) tels que le temps de disponibilité. Pour la plupart des entreprises, KPIs les opérations importantes sont le temps moyen de détection (MTTD) et le temps moyen de reprise (MTTR) après un incident.
Tout au long de l'observabilité, le contexte est important, car les données sont collectées, puis les balises associées sont collectées. Quel que soit le service, l'application ou le niveau d'application sur lequel vous vous concentrez, vous pouvez filtrer et analyser pour ce jeu de données spécifique. Les tags peuvent être utilisés pour automatiser l'intégration aux CloudWatch alarmes afin que les bonnes équipes puissent être alertées lorsque certains seuils métriques sont dépassés. Par exemple, une clé de balise `example-inc:ops:alarm-tag` et la valeur qu'elle contient peuvent indiquer la création de l' CloudWatch alarme. Une solution illustrant cela est décrite dans [Utiliser des balises pour créer et gérer des CloudWatch alarmes Amazon pour les instances Amazon EC2](https://aws.amazon.com/blogs/mt/use-tags-to-create-and-maintain-amazon-cloudwatch-alarms-for-amazon-ec2-instances-part-1/).
La configuration d'un trop grand nombre d'alarmes peut facilement créer une tempête d'alertes, lorsqu'un grand nombre d'alarmes ou de notifications submergent rapidement les opérateurs et réduisent leur efficacité globale alors que les opérateurs trient et hiérarchisent manuellement les alarmes individuelles. Un contexte supplémentaire pour les alarmes peut être fourni sous forme de balises, ce qui signifie que des règles peuvent être définies au sein d'Amazon EventBridge pour garantir que l'accent est mis sur le problème en amont plutôt que sur les dépendances en aval.
Le rôle des opérations parallèles DevOps est souvent négligé, mais pour de nombreuses organisations, les équipes opérationnelles centrales fournissent toujours une première réponse essentielle en dehors des heures normales de bureau. (Vous trouverez plus de détails sur ce modèle dans le [livre blanc sur l'excellence opérationnelle](https://docs.aws.amazon.com/wellarchitected/latest/operational-excellence-pillar/separated-aeo-ieo-with-cent-gov-and-partner.html).) Contrairement à l' DevOps équipe responsable de la charge de travail, elle n'a généralement pas les mêmes connaissances approfondies. Le contexte fourni par les balises dans les tableaux de bord et les alertes peut donc les diriger vers le runbook adapté au problème, ou lancer un runbook automatique (voir le billet de blog Automating [Amazon CloudWatch ](https://aws.amazon.com/blogs/mt/automating-amazon-cloudwatch-alarms-with-aws-systems-manager/) Alarms with). AWS Systems Manager
# Balises pour la sécurité des données, la gestion des risques et le contrôle d'accès
Organisations ont des besoins et des obligations variés à satisfaire en ce qui concerne la gestion appropriée du stockage et du traitement des données. La classification des données est un précurseur important pour plusieurs cas d'utilisation, tels que le contrôle d'accès, la conservation des données, l'analyse des données et la conformité.
# Sécurité des données et gestion des risques
Au sein d'un AWS environnement, vous aurez probablement des comptes soumis à des exigences de conformité et de sécurité différentes. Par exemple, vous pouvez disposer d'un sandbox pour développeurs et d'un compte hébergeant l'environnement de production pour une charge de travail hautement réglementée, telle que le traitement des paiements. En les isolant dans différents comptes, vous pouvez [appliquer des contrôles de sécurité distincts](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/benefits-of-using-multiple-aws-accounts.html#apply-distinct-security-controls-by-environment), [restreindre l'accès aux données sensibles](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/benefits-of-using-multiple-aws-accounts.html#constrain-access-to-sensitive-data) et réduire la portée de l'audit pour les charges de travail réglementées.
L'adoption d'une norme unique pour toutes les charges de travail peut être source de défis. Bien que de nombreux contrôles s'appliquent de la même manière dans un environnement, certains sont excessifs ou non pertinents pour les comptes qui n'ont pas besoin de respecter des cadres réglementaires spécifiques et pour les comptes dans lesquels aucune donnée personnelle identifiable ne sera jamais présente (par exemple, un sandbox pour développeurs ou des comptes de développement de charge de travail). Cela conduit généralement à des résultats de sécurité faussement positifs qui doivent être triés et corrigés sans aucune action, ce qui réduit les efforts nécessaires aux résultats qui devraient faire l'objet d'une enquête.
*Tableau 11 — Exemples de balises de sécurité des données et de gestion des risques*
| Cas d’utilisation | Clé de tag | Justification | Exemple de valeurs |
| --- | --- | --- | --- |
| Gestion des incidents | example-inc:incident- management:escalationlog | Le système utilisé par l'équipe d'assistance pour enregistrer les incidents | jira, servicenow, zendesk |
| Gestion des incidents | example-inc:incident- management:escalationpath | La voie de l'escalade | ops-center, dev-ops, app-team |
| Classification des données | example-inc:data:classification | Classifiez les données à des fins de conformité et de gouvernance | Public, Private, Confidential, Restricted |
| Conformité d’ | example-inc:compliance:framework | Identifie le cadre de conformité auquel la charge de travail est soumise | PCI-DSS, HIPAA |
La gestion manuelle des différents contrôles dans un AWS environnement est à la fois chronophage et source d'erreurs. L'étape suivante consiste à automatiser le déploiement des contrôles de sécurité appropriés et à configurer l'inspection des ressources en fonction de la classification de ce compte. En appliquant des balises aux comptes et aux ressources qu'ils contiennent, le déploiement des contrôles peut être automatisé et configuré en fonction de la charge de travail.
**Exemple : **
Une charge de travail inclut un compartiment Amazon S3 dont la balise `example-inc:data:classification` contient la valeur`Private`. L'automatisation des outils de sécurité déploie une AWS Config règle `s3-bucket-public-read-prohibited` qui vérifie les paramètres de blocage de l'accès public du compartiment Amazon S3, la politique du compartiment et la liste de contrôle d'accès au compartiment (ACL), confirmant que la configuration du compartiment est adaptée à la classification des données. Pour garantir que le contenu du compartiment est conforme à la classification, [Amazon Macie peut être configuré pour vérifier la présence d'informations personnelles identifiables (PII](https://aws.amazon.com/about-aws/whats-new/2021/05/amazon-macie-supports-criteria-based-bucket-selection-sensitive-data-discovery-jobs/)). Le blog [Utiliser Amazon Macie pour valider la classification des données des compartiments S3](https://aws.amazon.com/blogs/architecture/using-amazon-macie-to-validate-s3-bucket-data-classification/) explore ce modèle de manière plus approfondie.
Certains environnements réglementaires, tels que les assurances et les soins de santé, peuvent être soumis à des politiques obligatoires de conservation des données. La conservation des données à l'aide de balises, associée aux politiques de cycle de vie d'Amazon S3, peut être un moyen simple et efficace de définir les transitions d'objets vers un autre niveau de stockage. Les règles du cycle de vie d'Amazon S3 peuvent également être utilisées pour faire expirer des objets afin de les supprimer après l'expiration de la période de conservation obligatoire. Reportez-vous à [Simplifiez le cycle de vie de vos données en utilisant des balises d'objet avec Amazon S3 Lifecycle](https://aws.amazon.com/blogs/storage/simplify-your-data-lifecycle-by-using-object-tags-with-amazon-s3-lifecycle/) pour un guide détaillé de ce processus.
En outre, lors du tri ou du traitement d'une constatation de sécurité, les balises peuvent fournir à l'enquêteur un contexte important qui aide à qualifier le risque et à impliquer les équipes appropriées pour enquêter ou atténuer le résultat.
# Tags pour la gestion des identités et le contrôle d'accès
Lors de la gestion du contrôle d'accès dans un AWS environnement doté de balises AWS IAM Identity Center, les balises peuvent activer plusieurs modèles de mise à l'échelle. Plusieurs modèles de délégation peuvent être appliqués, certains sont basés sur le balisage. Nous les aborderons individuellement et fournirons des liens pour en savoir plus sur chacun d'entre eux.
# ABAC pour les ressources individuelles
Les utilisateurs et les rôles IAM de l'IAM Identity Center prennent en charge le contrôle d'accès basé sur les attributs (ABAC), qui vous permet de définir l'accès aux opérations et aux ressources en fonction de balises. ABAC permet de réduire le besoin de mettre à jour les politiques d'autorisation et vous aide à baser l'accès sur les attributs des employés figurant dans le répertoire de votre entreprise. Si vous utilisez déjà une stratégie multi-comptes, l'ABAC peut être utilisé en complément du contrôle d'accès basé sur les rôles (RBAC) pour fournir à plusieurs équipes opérant sur le même compte un accès granulaire à différentes ressources. Par exemple, les utilisateurs du centre d'identité IAM ou les rôles IAM peuvent inclure des conditions visant à limiter l'accès à des instances Amazon EC2 spécifiques qui, autrement, devraient être explicitement répertoriées dans chaque politique pour y accéder.
Étant donné qu'un modèle d'autorisation ABAC repose sur des balises pour accéder aux opérations et aux ressources, il est important de prévoir des garde-fous pour empêcher tout accès involontaire. SCPs peut être utilisé pour protéger les tags au sein de votre organisation en autorisant uniquement la modification des tags sous certaines conditions. Les blogs [Sécurisation des balises de ressources utilisées pour l'autorisation à l'aide d'une politique de contrôle des services AWS Organizations](https://aws.amazon.com/blogs/security/securing-resource-tags-used-for-authorization-using-service-control-policy-in-aws-organizations/) et [des limites d'autorisations pour les entités IAM fournissent des](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) informations sur la manière de mettre en œuvre cette politique.
Lorsque des instances Amazon EC2 à longue durée de vie sont utilisées pour prendre en charge des pratiques opérationnelles plus traditionnelles, cette approche peut être utilisée. Le [blog Configure IAM Identity Center ABAC pour les instances Amazon EC2 et le gestionnaire de session Systems Manager décrivent](https://aws.amazon.com/blogs/security/configure-aws-sso-abac-for-ec2-instances-and-systems-manager-session-manager/) plus en détail cette forme de contrôle d'accès basé sur les attributs. Comme indiqué précédemment, tous les types de ressources ne prennent pas en charge le balisage, et parmi ceux qui le sont, tous ne prennent pas en charge l'application de politiques de balises. Il est donc conseillé d'évaluer cela avant de commencer à implémenter cette stratégie sur un Compte AWS.
Pour en savoir plus sur les services compatibles avec ABAC, consultez la section [AWS Services compatibles avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).