Quelles sont les meilleures pratiques pour sécuriser mon compte AWS et ses ressources?

Dernière mise à jour: 22-08-2022

Quelles sont les meilleures pratiques pour sécuriser mon compte AWS et ses ressources?

-ou-

Je souhaite protéger mes ressources ou mon compte AWS contre toute activité non autorisée.

Brève description

AWS propose plusieurs outils afin de vous aider à sécuriser votre compte. Toutefois, étant donné que plusieurs de ces mesures ne sont pas actives par défaut, vous devez intervenir directement pour les implémenter. Voici quelques bonnes pratiques à prendre en compte lors de la sécurisation de votre compte et de ses ressources:

  • Sauvegarder vos mots de passe et clés d'accès
  • Activez l'authentification multifactorielle (MFA) sur l'utilisateur root du compte AWS et tous les utilisateurs disposant d'un accès interactif à AWS Identity and Access Management (IAM)
  • Limiter l'accès des utilisateurs root du compte AWS à vos ressources
  • Procédez régulièrement à des audits des utilisateurs IAM et de leurs stratégies
  • Créer des instantanés Amazon Elastic Block Store (Amazon EBS), des instantanés Amazon Relational Database Service (Amazon RDS) et des versions d'objets Amazon Simple Storage Service (Amazon S3)
  • Utilisation de projets AWS Git pour rechercher des preuves d'utilisation non autorisée
  • Surveillez votre compte et ses ressources

Remarque: si vous utilisez AWS Identity Center ou des utilisateurs fédérés IAM, les meilleures pratiques pour les utilisateurs IAM s'appliquent également aux utilisateurs fédérés.

Solution

Sauvegarder vos mots de passe et clés d'accès

Les deux principaux types d'informations d'identification pour accéder à votre compte sont les mots de passe et les clés d'accès. Les mots de passe et les clés d'accès peuvent être appliqués au utilisateur root AWS et aux utilisateurs IAM individuels. Vous devez sauvegarder les mots de passe et clés d'accès aussi soigneusement que vous le feriez avec d'autres données personnelles confidentielles. Ne les intégrez jamais à un code accessible publiquement (c’est-à-dire, un référentiel Git public). Pour plus de sécurité, procédez à une rotation de vos informations d'identification et mettez-les régulièrement à jour.

Si vous pensez qu'un mot de passe ou une paire de clés d'accès a été exposé, procédez comme suit:

  1. Procédez à la rotation de toutes les paires de clés d'accès.
  2. Modifiez le mot de passe utilisateur root de votre compte AWS.
  3. Que dois-je faire si je remarque une activité non autorisée sur mon compte AWS ?

Activer le MFA

L'activation de l'authentification MFA peut vous aider à sécuriser les comptes et à empêcher les utilisateurs non autorisés de se connecter à des comptes sans jeton de sécurité.

Pour une sécurité accrue, il est recommandé de configurer l’authentification MFA pour protéger vos ressources AWS. Vous pouvez activer un MFA virtuel pour les utilisateurs IAM et l'utilisateur root du compte AWS. L'activation d'authentification MFA pour l'utilisateur root affecte uniquement les informations d'identification de l'utilisateur racine. Les utilisateurs IAM du compte sont des identités distinctes avec leurs propres informations d'identification, et chaque identité possède sa propre configuration d'authentification MFA.

Pour plus d'informations, consultez Activation des appareils MFA pour les utilisateurs d'AWS.

Limiter l'accès de l'utilisateur root à vos ressources

Les informations d'identification du compte d'utilisateur root (le mot de passe root ou les clés d'accès root) accordent un accès illimité à votre compte et à ses ressources. Il est recommandé de sécuriser et de minimiser l'accès des utilisateurs root à votre compte.

Envisagez les stratégies suivantes pour limiter l'accès de l'utilisateur root à votre compte:

Pour plus d'informations, consultez Protégez vos informations d'identification d'utilisateur root et ne les utilisez pas pour les tâches quotidiennes.

Procédez régulièrement à des audits des utilisateurs IAM et de leurs stratégies

Envisagez d'appliquer les bonnes pratiques suivantes lorsque vous êtes amené à travailler avec des utilisateurs IAM:

Vous pouvez utiliser l'éditeur visuel de la console IAM pour vous aider à définir des politiques sécurisées. Pour obtenir des exemples de cas d'utilisation d'entreprise les plus courants, ainsi que les stratégies que vous pouvez utiliser pour y faire face, consultez les Cas d'utilisation d'entreprise pour IAM.

Création d'instantanés Amazon EBS, d'instantanés Amazon RDS et de versions d'objets Amazon S3

Pour créer un instantané d'un volume EBS, consultez Créer des instantanés Amazon EBS.

Pour activer les instantanés automatisés Amazon RDS et définir la période de conservation des sauvegardes, consultez Activation des sauvegardes automatiques.

Pour créer un compartiment S3 standard pour la sauvegarde et l'archivage, consultez Création de compartiments S3 standard pour la sauvegarde et l'archivage. Pour créer la gestion des versions des compartiments S3, reportez-vous à la section Utilisation de la gestion des versions dans les compartiments S3.

Pour créer un plan de AWS Backup à l'aide de la console, consultez Créer une sauvegarde planifiée. Pour créer un plan de AWS Backup à l'aide de l’interface de la ligne de commande AWS ( AWS CLI), consultez Comment puis-je utiliser l'AWS CLI pour créer un plan de AWS Backup ou exécuter une tâche à la demande?

Utilisez les projets AWS Git pour vous protéger contre toute utilisation non autorisée

AWS propose des projets Git que vous pouvez installer et qui peuvent vous aider à protéger votre compte:

  • Git Secrets peut analyser les fusions et les validations et valider les messages pour obtenir des informations secrètes (c'est-à-dire, des clés d'accès). Si Git Secrets détecte des expressions régulières interdites, il peut empêcher la publication de ces validations sur des référentiels publics.
  • Utilisez AWS Step Functions et AWS Lambda pour générer Amazon CloudWatch Events à partir d'AWS Health ou par AWS Trusted Advisor. Si vos clés d'accès semblent avoir été exposées, les projets peuvent vous aider à détecter, consigner et traiter automatiquement l'événement en question.

Surveillez votre compte et ses ressources

Il est recommandé de surveiller de manière active votre compte et ses ressources afin de détecter toute activité ou accès à votre compte inhabituels. Envisagez l'une ou plusieurs des solutions suivantes:

Remarque: il est recommandé d'activer la journalisation pour toutes les régions, et pas seulement pour celles que vous utilisez régulièrement.