Configuration de votre environnement AWS

GUIDE DE MISE EN ROUTE

Module 2 : Protection de votre compte AWS

Dans ce module, vous apprendrez les bonnes pratiques pour la protection de votre compte AWS.

Introduction

Lors de la configuration d'un nouveau compte AWS, vous devez protéger l'utilisateur racine et créer des utilisateurs AWS IAM supplémentaires pour vous connecter à ce compte. L'utilisateur racine est un compte spécial qui dispose d'un accès total au compte et qui peut ainsi y effectuer toutes les actions, y compris la modification des moyens de paiement ou la clôture du compte. De ce fait, il est recommandé de le sécuriser grâce à une authentification à double facteurs et de configurer les utilisateurs IAM supplémentaires avec lesquels vous connecter. Ce module traitera de la protection de l'utilisateur racine et de la configuration des utilisateurs IAM.

Ce que vous apprendrez

  • Comment sécuriser le compte de l'utilisateur racine
  • Configurer des utilisateurs IAM supplémentaires

 Durée

5 minutes

 Conditions requises pour le module

  • Navigateur Internet

Implémentation

Protection de l'utilisateur racine

Après votre connexion au compte AWS nouvellement créé, entrez IAM dans le champ de recherche au centre et en haut de la page, ensuite cliquez sur IAM. Une boîte de dialogue indiquant « Alertes de sécurité » vous invitera à sécuriser l'utilisateur racine grâce à une authentification multi-facteur (MFA). Cliquez sur Activer MFA, puis sur Lancer MFA.

gsg_secure_step_1

Vous devrez ensuite faire votre choix parmi les options MFA disponibles. Pour avoir un aperçu de ces options, veuillez lire le guide d'authentification multifacteur. Si vous ne savez quelle option choisir, sélectionnez Dispositif MFA virtuel et installez l'une des applis disponibles pour votre téléphone mobile. Veuillez noter le mode de gestion des sauvegardes et des restaurations de l'appli d'authentification que vous aurez choisie, puisque vous pourriez avoir besoin de configurer l'appli sur un téléphone différent à l'avenir. La connexion de votre utilisateur racine est désormais protégée.

gsg_secure_step_2

Configuration des utilisateurs et des rôles supplémentaires

Une bonne pratique de sécurité est de ne pas vous servir de votre compte racine pour un usage quotidien, mais plutôt de créer des utilisateurs distincts pour des rôles et fonctions différents. Pour en configurer un, vous devrez d'abord créer un groupe d'utilisateurs IAM. Celui-ci disposera d'un ensemble d'autorisations qui s'appliquent à tout utilisateur faisant partie du groupe. Cliquez sur Groupes d'utilisateurs dans le volet de navigation gauche, puis sur Créer un groupe. Saisissez le nom du groupe (p. ex. : « administrateurs »), puis faites défiler vers le bas jusqu'à Attacher les politiques d'autorisations. Recherchez « AdministratorAccess », puis cochez la case à côté de la politique nommée « AdministratorAccess », faites défiler vers le bas et cliquez sur Créer un groupe.

gsg_secure_step_3

Nous créerons ensuite un utilisateur IAM en cliquant sur Utilisateurs dans la barre de navigation gauche, puis en cliquant sur Ajouter un utilisateur. Une fois le nom d'utilisateur saisi, vous devez sélectionner le type d'accès AWS. Un accès programmatique créera un identifiant de la clé d'accès et une paire secrète pour une utilisation avec AWS CLI, CDK et d'autres applications. En outre, l'accès de la console de gestion AWS permettra à l'utilisateur de se connecter à la console AWS pour ce compte. Pour ce guide, sélectionnez ces deux options.

gsg_secure_step_4

Cliquez sur Suivant pour ajouter l'utilisateur au groupe déjà créé, sélectionnez-le depuis la liste, puis cliquez sur Suivant : Balises.

gsg_secure_step_4-1

Les balises sont utiles pour la recherche de ressources parmi les services ou pour ajouter des métadonnées telles qu'une section. Pour notre cas d'utilisation, cliquez sur Suivant : Vérification sans ajouter une balise. Vous pouvez désormais vérifier les valeurs définies pour l'utilisateur que vous créez avant de réellement le créer. Vous remarquerez qu'il existe une politique gérée supplémentaire appelée « IAMUserChangePassword » ajoutée sous la politique « administrateurs » que nous avons créée. Celle-ci est automatiquement ajoutée à un utilisateur lorsque l'option l'obligeant à modifier son mot de passe a été sélectionnée puisque toutes les politiques IAM peuvent ne pas y disposer des autorisations requises.

gsg_secure_step_5

Cliquez sur Créer un utilisateur pour créer l'utilisateur. Vous verrez désormais l'écran de confirmation pour l'utilisateur, mais NE CLIQUEZ PAS encore sur Fermer. Le mot de passe et la clé d'accès secrète pour l'accès de l'API automatiquement générés peuvent uniquement être accessibles à partir de cet écran, et ce, une seule fois. Mettez par écrit l'identifiant de la clé d'accès, la clé d'accès secrète et le mot de passe. Nous nous en servirons dans le prochain module de ce guide. Après cela, cliquez sur Fermer.

gsg_secure_step_6

Dernières étapes

Avant de nous déconnecter et de commencer à utiliser notre nouvel utilisateur IAM, il reste deux étapes à terminer. La première consiste à définir un alias pour notre compte pour qu'il soit plus facile à retenir que l'ID de compte à 12 caractères. Pour ce faire, cliquez sur Tableau de bord dans la barre de navigation gauche, puis cliquez sur Créer sous la section « Compte AWS » dans le panneau de droite. Vous pouvez désormais définir un alias pour votre compte. Il devra être unique parmi tous les comptes AWS afin que votre premier choix ne soit plus disponible.

gsg_secure_step_8

Cliquez sur Enregistrer pour définir la valeur et copiez ensuite l'URL générée pour une utilisation ultérieure dans ce guide. Elle sera sous le format https://<votre-texte>.signin.aws.amazon.com/console.

gsg_secure_step_7

La dernière étape consiste à activer toutes les régions dont vous pourriez avoir besoin. Cela s'applique uniquement aux régions lancées après le 20 mars 2019. Cela comprend actuellement :

  • Afrique (Le Cap)
  • Asie-Pacifique (Hong Kong)
  • Europe (Milan)
  • Moyen-Orient (Bahreïn)
 
Veuillez suivre ces instructions si vous avez besoin d'activer toutes ces régions.

Conclusion

Félicitations, vous avez appris à sécuriser votre compte. N'oubliez pas de vous déconnecter et de vous connecter en retour avec le compte du nouvel utilisateur que vous avez créé précédemment.

Prochainement : Configurer AWS CLI

Dites-nous si nous avons répondu à vos attentes.

Nous vous remercions pour votre commentaire
Nous sommes ravis que cette page vous ait été utile. Souhaitez-vous partager des détails supplémentaires pour nous aider à continuer à nous améliorer ?
Fermer
Nous vous remercions pour votre commentaire
Nous sommes désolés que cette page ne vous ait pas été utile. Souhaitez-vous partager des détails supplémentaires pour nous aider à continuer à nous améliorer ?
Fermer