Quelles sont les meilleures pratiques pour sécuriser mon compte AWS et ses ressources ?
Je souhaite protéger mes ressources ou mon compte AWS contre toute activité non autorisée. Je souhaite connaître les bonnes pratiques pour sécuriser mon compte AWS et ses ressources.
Brève description
AWS propose de nombreux outils pour vous aider à sécuriser votre compte. Toutefois, comme bon nombre de ces mesures ne sont pas actives par défaut, vous devez agir directement pour les mettre en œuvre. Voici quelques bonnes pratiques dont tenir compte pour sécuriser votre compte et ses ressources :
- Protection de vos mots de passe et clés d'accès
- Activation de l'authentification multifactorielle (MFA) sur l'utilisateur root d’un compte AWS et sur tous les utilisateurs disposant d'un accès interactif à AWS IAM
- Limitation de l'accès de l’utilisateur root du compte AWS à vos ressources
- Audit fréquent des utilisateurs IAM et de leurs politiques
- Création d’instantanés Amazon Elastic Block Store (Amazon EBS), d’instantanés Amazon Relational Database Service (Amazon RDS) et de versions d'objets Amazon Simple Storage Service (Amazon S3)
- Utilisation de projets AWS Git pour rechercher des preuves d'utilisation non autorisée
- Surveillance de votre compte et de ses ressources
Remarque : Si vous utilisez AWS IAM Identity Center, les bonnes pratiques s’appliquent aux utilisateurs IAM et fédérés.
Résolution
Protection de vos mots de passe et clés d'accès
Les deux principaux types d'informations d'identification utilisés pour accéder à votre compte sont les mots de passe et les clés d'accès. Les mots de passe et les clés d'accès peuvent être appliqués à l’utilisateur root du compte AWS et à chaque utilisateur IAM. Il est recommandé de protéger les mots de passe et les clés d'accès de la même manière que toute autre donnée confidentielle à caractère personnel. Ne les intégrez jamais dans un code accessible au public (par exemple, un référentiel Git public). Pour plus de sécurité, renouvelez et mettez régulièrement à jour toutes les informations d'identification de sécurité.
Si vous pensez qu'un mot de passe ou une paire de clés d'accès a été révélé, procédez comme suit :
- Changez toutes les paires de clés d'accès.
- Modifiez le mot de passe de l’utilisateur root de votre compte AWS.
- Suivez les instructions de la section Que faire si je remarque une activité non autorisée sur mon compte AWS ?
Activation de la MFA
L'activation de la MFA peut contribuer à sécuriser les comptes et à empêcher les utilisateurs non autorisés de se connecter à des comptes sans jeton de sécurité.
Pour renforcer la sécurité, il est recommandé de configurer la MFA afin de protéger vos ressources AWS. Vous pouvez activer une MFA virtuelle pour les utilisateurs IAM et l'utilisateur root du compte AWS. L'activation de la MFA pour l'utilisateur root n'affecte que les informations d'identification de ce dernier. Les utilisateurs IAM du compte sont des identités distinctes dotées de leurs propres informations d'identification, et chaque identité possède sa propre configuration MFA.
Pour en savoir plus, voir Activation des dispositifs MFA pour les utilisateurs d'AWS.
Limitation de l'accès de l’utilisateur root à vos ressources
Les informations d'identification de l’utilisateur root du compte (son mot de passe ou ses clés d'accès) accordent un accès illimité à votre compte et à ses ressources. Il est recommandé de sécuriser et de minimiser l'accès de l’utilisateur root à votre compte.
Envisagez les stratégies suivantes pour limiter l'accès de l’utilisateur root à votre compte :
- Utilisez les utilisateurs IAM pour accéder quotidiennement à votre compte. Si vous êtes la seule personne à accéder au compte, voir Création d'un utilisateur administratif.
- Éliminez l'utilisation de clés d'accès root. Pour en savoir plus, voir Bonnes pratiques en matière de gestion des clés d'accès AWS.
- Utilisez un dispositif MFA pour l'utilisateur root de votre compte.
Pour en savoir plus, voir Protégez vos informations d'identification d'utilisateur root et ne les utilisez pas pour des tâches quotidiennes.
Audit fréquent des utilisateurs IAM et de leurs politiques
Tenez compte des bonnes pratiques suivantes lorsque vous travaillez avec des utilisateurs IAM :
- Assurez-vous que les utilisateurs IAM disposent des politiques les plus restrictives possibles, qui se limitent aux autorisations suffisantes pour leur permettre d'effectuer les tâches prévues (moindre privilège).
- Utilisez Analyseur d'accès AWS IAM pour analyser vos autorisations existantes. Pour en savoir plus, voir IAM Access Analyzer facilite la mise en œuvre des autorisations de moindre privilège en générant des politiques IAM basées sur l'activité d'accès.
- Créez différents utilisateurs IAM pour chaque ensemble de tâches.
- Lorsque vous associez plusieurs politiques au même utilisateur IAM, n’oubliez pas que c’est la stratégie la moins restrictive qui est prioritaire.
- Auditez régulièrement vos utilisateurs IAM et leurs autorisations, et recherchez des informations d'identification non utilisées.
- Si un utilisateur IAM a besoin d'accéder à la console, vous pouvez configurer un mot de passe pour autoriser l'accès à la console tout en limitant les autorisations de l'utilisateur.
- Configurez un dispositif MFA pour chaque utilisateur IAM ayant accès à la console.
Vous pouvez utiliser l'outil Éditeur visuel de la console IAM pour définir des politiques de sécurité. Exemples de cas d'utilisation courants pour les entreprises et les politiques que vous pouvez utiliser pour les résoudre : Cas d'utilisation IAM.
Création d’instantanés Amazon EBS, d’instantanés Amazon RDS et de versions d'objets Amazon S3
Pour créer un instantané ponctuel d'un volume EBS, voir Créer des instantanés Amazon EBS.
Pour activer les instantanés automatisés Amazon RDS et définir la période de conservation des sauvegardes, voir Activation des sauvegardes automatisées.
Pour créer un compartiment S3 standard pour la sauvegarde et l'archivage, voir Création de compartiments S3 standard pour la sauvegarde et l'archivage. Pour créer un système de gestion des versions dans les compartiments S3, voir Utilisation de la gestion des versions dans les compartiments S3.
Pour créer un plan de sauvegarde AWS à l'aide de la console, voir Création d’une sauvegarde planifiée. Pour créer un plan de sauvegarde AWS à l’aide de l’interface de la ligne de commande AWS (AWS CLI), voir Comment utiliser l'AWS CLI pour créer un plan de sauvegarde AWS ou exécuter une tâche à la demande ?
Utilisation de projets AWS Git pour vous protéger contre toute utilisation non autorisée
AWS vous propose d’installer des projets Git pour protéger votre compte :
- Git Secrets peut scanner les fusions, les validations et les messages de validation à la recherche d'informations secrètes (clés d'accès). Si Git Secrets détecte des expressions régulières interdites, il peut refuser la publication de ces validations dans des référentiels publics.
- Utilisez AWS Step Functions et AWS Lambda pour générer des Amazon CloudWatch Events depuis AWS Health ou AWS Trusted Advisor. S'il est prouvé que vos clés d'accès sont exposées, ces projets peuvent vous aider à détecter, enregistrer et atténuer automatiquement l'événement en question.
Surveillance de votre compte et de ses ressources
Il est recommandé de surveiller activement votre compte et ses ressources afin de détecter toute activité inhabituelle ou tout accès non autorisé à votre compte. Envisagez au moins une des solutions suivantes :
- Créer une alarme de facturation pour surveiller vos frais AWS estimés. Vous recevrez des notifications automatisées si votre facture dépasse les seuils que vous avez définis. Pour en savoir plus, voir FAQ Amazon CloudWatch.
- Créer un suivi pour votre compte AWS afin de suivre les informations d'identification utilisées pour lancer des appels d'API particuliers et savoir à quel moment elles sont utilisées. Cela peut vous aider à déterminer si l'utilisation était accidentelle ou non autorisée. Vous pouvez ensuite prendre les mesures appropriées pour remédier à la situation. Pour en savoir plus, voir Bonnes pratiques de sécurité dans AWS CloudTrail.
- Utilisez CloudTrail et CloudWatch conjointement pour surveiller l'utilisation des clés d'accès et recevoir des alertes en cas d'appels d'API inhabituels.
- Activez la journalisation au niveau des ressources (par exemple, au niveau de l'instance ou du système d'exploitation) et le chiffrement du compartiment par défaut Amazon S3.
- Activez Amazon GuardDuty pour votre compte AWS dans toutes les régions prises en charge. Une fois activé, GuardDuty commence à analyser les flux de données indépendants provenant de la gestion d'AWS CloudTrail et des événements de données Amazon S3, des journaux de flux Amazon VPC et des journaux DNS afin de générer des résultats de sécurité. Les principales catégories de détection incluent la compromission de comptes, la compromission d'instances et les intrusions malveillantes. Pour en savoir plus, voir Questions fréquentes (FAQ) sur Amazon GuardDuty.
**Remarque :**Il est recommandé d'activer la journalisation pour toutes les régions, et pas seulement pour celles que vous utilisez régulièrement.
Informations connexes
Bonnes pratiques de gestion des comptes AWS
Bonnes pratiques pour la sécurité, l'identité et la conformité
Comment sécuriser les fichiers de mon compartiment Amazon S3 ?
Contenus pertinents
- demandé il y a un an
- demandé il y a 10 mois
- demandé il y a 4 mois
- demandé il y a un an
- AWS OFFICIELA mis à jour il y a 2 ans
- AWS OFFICIELA mis à jour il y a 2 ans
- AWS OFFICIELA mis à jour il y a 2 ans
- AWS OFFICIELA mis à jour il y a 2 ans