J'aimerais connaître certaines bonnes pratiques de sécurisation de mon compte AWS et de ses ressources

AWS propose un certain nombre d'outils pour vous aider à sécuriser votre compte. Un grand nombre de ces mesures ne sont pas activées par défaut, et vous devez prendre des actions directes pour les implémenter. Voici quelques bonnes pratiques que vous pouvez envisager d'adopter pour améliorer la sécurité de votre compte et de vos ressources :

Sauvegarder vos mots de passe et clé d'accès

Les deux principaux types d'informations d'identification utilisées pour votre compte sont les mots de passe et les clés d'accès. Ces deux types d'informations d'identification peuvent être appliqués aux utilisateurs IAM individuels ou du compte principal. Vous devriez sauvegarder vos mots de passe et clé d'accès comme vous le feriez pour toutes autres données personnelles confidentielles, et ne jamais les intégrer dans du code accessible au public (p. ex. un référentiel Git public). Pour améliorer votre niveau de sécurité, procédez régulièrement à une mise à jour ou à une rotation de toutes vos informations d'identification de sécurité.

Si vous utilisez GitHub pour la gestion et le partage des versions de codes ou de documents, envisagez d'utiliser git-secrets, qui peut analyser les informations d'identification AWS et d'autres informations sensibles, afin de vous aider à évider de transmettre ces codes ou documents qui contiennent des informations sensibles.

Installez un dispositif Multi-Factor Authentication (MFA) pour protéger les clés d'accès qui ont uniquement accès aux API et choisissez quelles commandes API requièrent un jeton MFA pour procéder à l'opération.

Si vous pensez qu'un mot de passe ou plusieurs clés d'accès ont été révélés, procédez immédiatement à une rotation et supprimez les informations d'identification qui ont été exposées, et consultez la section Mon compte AWS a peut-être été compromis.

Limiter l'accès de l'utilisateur principal à vos ressources

Les informations d'identification de compte principal (le mot de passe principal ou les clés d'accès principales) fournissent un accès illimité à votre compte et à ses ressources, c'est pourquoi il est recommandé de les sécuriser et de réduire au minimum l'accès de l'utilisateur principal à votre compte.

Envisagez d'adopter les stratégies suivantes pour limiter l'accès de l'utilisateur principal à votre compte :

Procéder régulièrement à des audits des utilisateurs IAM et de leurs politiques

Envisagez d'adopter les bonnes pratiques suivantes lorsque vous travaillez avec des utilisateurs IAM :

  • Assurez-vous que ces utilisateurs IAM bénéficient des politiques les plus restreintes possible, avec uniquement des droits qui les autorisent à traiter les tâches qui leur sont confiées (moindre privilège).
  • Créez différents utilisateurs IAM pour chaque jeu de tâches.
  • Lorsque vous associez plusieurs politiques au même utilisateur IAM, gardez à l'esprit que la politique la moins restrictive prévaut.
  • Procédez régulièrement à des audits de vos utilisateurs IAM et de leurs droits, et supprimez toute clé ou tout utilisateur IAM inutilisés.
  • Si votre utilisateur IAM a besoin d'accéder à la console, vous pouvez configurer un mot de passe pour permettre l'accès à la console tout en limitant les droits de l'utilisateur.
  • Mettez en place des dispositifs MFA individuels pour chaque utilisateur IAM bénéficiant d'un accès à la console.

Vous pouvez utiliser l'AWS Policy Generator (Générateur de politiques AWS) pour vous aider à définir les politiques de sécurité. Pour des exemples de cas d'utilisation commerciaux courants et des polices que vous pourriez être amené à utiliser pour y faire face, consultez la section Cas d'utilisation commerciaux.

Surveiller votre compte et ses ressources

Vous pouvez contacter l'équipe AWS Support pour adresser les questions que vous pourriez avoir au sujet de l'activité de votre compte. Toutefois, pour des raisons de confidentialité et de sécurité, AWS ne procède pas à une surveillance active de votre utilisation et a recours à des outils limités pour examiner les problèmes. Nous vous recommandons de surveiller activement votre compte et ses ressources afin de détecter toute activité ou accès inhabituels à votre compte. Envisagez l'une ou plusieurs des solutions suivantes :

Remarque : si possible, nous vous recommandons d'activer la journalisation pour toutes les régions, et non seulement pour celles que vous utilisez régulièrement.

sécurité, iam, mfa, audit, accès, clé d'accès, compromission, utilisation hors limites


Cette page vous a-t-elle été utile ? Oui | Non

Retour au Centre de connaissances AWS Support

Vous avez besoin d'aide ? Consultez le site du Centre AWS Support

Date de publication : 14/03/2017