En utilisant AWS re:Post, vous acceptez les AWS re:Post Conditions d’utilisation

Quelles sont les meilleures pratiques pour sécuriser mon compte AWS et ses ressources ?

Lecture de 8 minute(s)
0

Je souhaite protéger mes ressources ou mon compte AWS contre toute activité non autorisée. Je souhaite connaître les bonnes pratiques pour sécuriser mon compte AWS et ses ressources.

Brève description

AWS propose de nombreux outils pour vous aider à sécuriser votre compte. Toutefois, comme bon nombre de ces mesures ne sont pas actives par défaut, vous devez agir directement pour les mettre en œuvre. Voici quelques bonnes pratiques dont tenir compte pour sécuriser votre compte et ses ressources :

  • Protection de vos mots de passe et clés d'accès
  • Activation de l'authentification multifactorielle (MFA) sur l'utilisateur root d’un compte AWS et sur tous les utilisateurs disposant d'un accès interactif à AWS IAM
  • Limitation de l'accès de l’utilisateur root du compte AWS à vos ressources
  • Audit fréquent des utilisateurs IAM et de leurs politiques
  • Création d’instantanés Amazon Elastic Block Store (Amazon EBS), d’instantanés Amazon Relational Database Service (Amazon RDS) et de versions d'objets Amazon Simple Storage Service (Amazon S3)
  • Utilisation de projets AWS Git pour rechercher des preuves d'utilisation non autorisée
  • Surveillance de votre compte et de ses ressources

Remarque : Si vous utilisez AWS IAM Identity Center, les bonnes pratiques s’appliquent aux utilisateurs IAM et fédérés.

Résolution

Protection de vos mots de passe et clés d'accès

Les deux principaux types d'informations d'identification utilisés pour accéder à votre compte sont les mots de passe et les clés d'accès. Les mots de passe et les clés d'accès peuvent être appliqués à l’utilisateur root du compte AWS et à chaque utilisateur IAM. Il est recommandé de protéger les mots de passe et les clés d'accès de la même manière que toute autre donnée confidentielle à caractère personnel. Ne les intégrez jamais dans un code accessible au public (par exemple, un référentiel Git public). Pour plus de sécurité, renouvelez et mettez régulièrement à jour toutes les informations d'identification de sécurité.

Si vous pensez qu'un mot de passe ou une paire de clés d'accès a été révélé, procédez comme suit :

  1. Changez toutes les paires de clés d'accès.
  2. Modifiez le mot de passe de l’utilisateur root de votre compte AWS.
  3. Suivez les instructions de la section Que faire si je remarque une activité non autorisée sur mon compte AWS ?

Activation de la MFA

L'activation de la MFA peut contribuer à sécuriser les comptes et à empêcher les utilisateurs non autorisés de se connecter à des comptes sans jeton de sécurité.

Pour renforcer la sécurité, il est recommandé de configurer la MFA afin de protéger vos ressources AWS. Vous pouvez activer une MFA virtuelle pour les utilisateurs IAM et l'utilisateur root du compte AWS. L'activation de la MFA pour l'utilisateur root n'affecte que les informations d'identification de ce dernier. Les utilisateurs IAM du compte sont des identités distinctes dotées de leurs propres informations d'identification, et chaque identité possède sa propre configuration MFA.

Pour en savoir plus, voir Activation des dispositifs MFA pour les utilisateurs d'AWS.

Limitation de l'accès de l’utilisateur root à vos ressources

Les informations d'identification de l’utilisateur root du compte (son mot de passe ou ses clés d'accès) accordent un accès illimité à votre compte et à ses ressources. Il est recommandé de sécuriser et de minimiser l'accès de l’utilisateur root à votre compte.

Envisagez les stratégies suivantes pour limiter l'accès de l’utilisateur root à votre compte :

Pour en savoir plus, voir Protégez vos informations d'identification d'utilisateur root et ne les utilisez pas pour des tâches quotidiennes.

Audit fréquent des utilisateurs IAM et de leurs politiques

Tenez compte des bonnes pratiques suivantes lorsque vous travaillez avec des utilisateurs IAM :

Vous pouvez utiliser l'outil Éditeur visuel de la console IAM pour définir des politiques de sécurité. Exemples de cas d'utilisation courants pour les entreprises et les politiques que vous pouvez utiliser pour les résoudre : Cas d'utilisation IAM.

Création d’instantanés Amazon EBS, d’instantanés Amazon RDS et de versions d'objets Amazon S3

Pour créer un instantané ponctuel d'un volume EBS, voir Créer des instantanés Amazon EBS.

Pour activer les instantanés automatisés Amazon RDS et définir la période de conservation des sauvegardes, voir Activation des sauvegardes automatisées.

Pour créer un compartiment S3 standard pour la sauvegarde et l'archivage, voir Création de compartiments S3 standard pour la sauvegarde et l'archivage. Pour créer un système de gestion des versions dans les compartiments S3, voir Utilisation de la gestion des versions dans les compartiments S3.

Pour créer un plan de sauvegarde AWS à l'aide de la console, voir Création d’une sauvegarde planifiée. Pour créer un plan de sauvegarde AWS à l’aide de l’interface de la ligne de commande AWS (AWS CLI), voir Comment utiliser l'AWS CLI pour créer un plan de sauvegarde AWS ou exécuter une tâche à la demande ?

Utilisation de projets AWS Git pour vous protéger contre toute utilisation non autorisée

AWS vous propose d’installer des projets Git pour protéger votre compte :

  • Git Secrets peut scanner les fusions, les validations et les messages de validation à la recherche d'informations secrètes (clés d'accès). Si Git Secrets détecte des expressions régulières interdites, il peut refuser la publication de ces validations dans des référentiels publics.
  • Utilisez AWS Step Functions et AWS Lambda pour générer des Amazon CloudWatch Events depuis AWS Health ou AWS Trusted Advisor. S'il est prouvé que vos clés d'accès sont exposées, ces projets peuvent vous aider à détecter, enregistrer et atténuer automatiquement l'événement en question.

Surveillance de votre compte et de ses ressources

Il est recommandé de surveiller activement votre compte et ses ressources afin de détecter toute activité inhabituelle ou tout accès non autorisé à votre compte. Envisagez au moins une des solutions suivantes :

**Remarque :**Il est recommandé d'activer la journalisation pour toutes les régions, et pas seulement pour celles que vous utilisez régulièrement.

Informations connexes

Sécurité dans le cloud AWS

Bonnes pratiques de gestion des comptes AWS

Bonnes pratiques pour la sécurité, l'identité et la conformité

Comment sécuriser les fichiers de mon compartiment Amazon S3 ?

Bonnes pratiques de surveillance et d'audit pour Amazon S3

AWS OFFICIEL
AWS OFFICIELA mis à jour il y a 2 ans