J'aimerais connaître certaines bonnes pratiques pour la sécurisation de mon compte AWS et de ses ressources.

AWS propose plusieurs outils afin de vous aider à sécuriser votre compte. Toutefois, étant donné que plusieurs de ces mesures ne sont pas actives par défaut, vous devez intervenir directement pour les implémenter. Voici quelques bonnes pratiques à prendre en compte à l'heure de sécuriser votre compte et vos ressources :

Sauvegarder vos mots de passe et clés d'accès

Les deux principaux types d'informations d'identification pour accéder à votre compte sont les mots de passe et les clés d'accès. Ces deux types peuvent s'appliquer au compte utilisateur racine AWS comme aux utilisateurs AWS Identity and Access Management (IAM) individuels. Vous devez sauvegarder les mots de passe et clés d'accès aussi soigneusement que vous le feriez avec d'autres données personnelles confidentielles. Ne les intégrez jamais à un code accessible publiquement (c’est-à-dire, un référentiel Git public). Pour plus de sécurité, procédez à une rotation de vos informations d'identification et mettez-les régulièrement à jour.

Si vous utilisez GitHub pour la gestion des versions des documents ou des codes et le partage, envisagez d'utiliser des git-secrets, qui peuvent analyser et rechercher des informations d'identification AWS et d'autres informations sensibles. Utiliser des git-secrets peut vous aider à éviter d'avoir à valider des codes ou des documents qui contiennent des informations sensibles.

Configurez un appareil Multi-Factor Authentication (MFA) pour protéger les clés d'accès qui disposent uniquement d'un accès aux API. Utiliser la méthode MFA peut également vous aider à définir plus précisément quelles commandes API requièrent un jeton MFA pour passez à l'étape suivante.

Si vous pensez qu'un mot de passe ou une paire de clés d'accès a été exposé :

  1. Procédez à la rotation de toutes les paires de clés d'accès.
  2. Modifiez votre mot de passe utilisateur racine.
  3. Suivez les instructions de la section Mon compte AWS a peut-être été compromis.

Limiter l'accès de l'utilisateur racine à vos ressources

Les informations d'identification du compte de l'utilisateur racine (le mot de passe racine ou les clés d'accès racines) octroient un accès illimité à votre compte et à vos ressources. Il est donc recommandé de sécuriser les deux et de limiter l'accès de l'utilisateur racine à votre compte.

Envisagez les stratégies suivantes pour limiter l'accès de l'utilisateur racine à votre compte :

Procédez régulièrement à des audits des utilisateurs IAM et de leurs stratégies

Envisagez d'appliquer les bonnes pratiques suivantes lorsque vous êtes amené à travailler avec des utilisateurs IAM :

  • Assurez-vous que ces utilisateurs IAM disposent des stratégies les plus restrictives possible, avec uniquement les autorisations strictement nécessaires pour leur permettre d'effectuer leurs tâches (moindre privilège).
  • Créez différents utilisateurs IAM pour chaque ensemble de tâches.
  • Lors de l'association de plusieurs stratégies au même utilisateur IAM, gardez à l'esprit que la stratégie la moins restrictive prévaut.
  • Procédez régulièrement à des audits de vos utilisateurs IAM et de leurs autorisations, et supprimez tous les utilisateurs IAM ou clés inutilisés.
  • Si votre utilisateur IAM a besoin d'accéder à la console, vous pouvez configurer un mot de passe pour autoriser l'accès à la console tout en limitant les autorisations de l'utilisateur.
  • Configurez des appareils MFA individuels pour chaque utilisateur IAM qui dispose d'un accès à la console.

Vous pouvez utiliser le générateur de stratégies AWS pour vous aider à définir des stratégies sécurisées. Pour obtenir des exemples de cas d'utilisation d'entreprise les plus courants, ainsi que les stratégies que vous pouvez utiliser pour y faire face, consultez les Cas d'utilisation d'entreprise.

Surveillez votre compte et ses ressources

Vous pouvez contacter AWS Support si vous avez des questions concernant l'activité de votre compte. Toutefois, pour des raisons de confidentialité et de sécurité, AWS n'assure pas une surveillance active de votre utilisation, et utilise des outils limités pour examiner les problèmes. Il est recommandé de surveiller de manière active votre compte et ses ressources afin de détecter toute activité ou accès à votre compte inhabituels. Envisagez l'une ou plusieurs des solutions suivantes :

Remarque : il est recommandé, si possible, d'activer la journalisation pour l'ensemble des régions, et non juste pour celles que vous utilisez régulièrement.


Cette page vous a-t-elle été utile ? Oui | Non

Retour au Centre de connaissances AWS Support

Vous avez besoin d'aide ? Consultez le site du Centre AWS Support

Date de publication : 14/03/2017

Date de mise à jour : 12/02/2019