Quelles sont les meilleures pratiques pour sécuriser mon compte AWS et ses ressources?

Brève description

AWS propose plusieurs outils afin de vous aider à sécuriser votre compte. Toutefois, étant donné que plusieurs de ces mesures ne sont pas actives par défaut, vous devez intervenir directement pour les implémenter. Voici quelques bonnes pratiques à prendre en compte lors de la sécurisation de votre compte et de ses ressources:

• Sauvegarder vos mots de passe et clés d'accès
• Activez l'authentification multifactorielle (MFA) sur l'utilisateur root du compte AWS et tous les utilisateurs disposant d'un accès interactif à AWS Identity and Access Management (IAM)
• Limiter l'accès des utilisateurs root du compte AWS à vos ressources
• Procédez régulièrement à des audits des utilisateurs IAM et de leurs stratégies
• Créer des instantanés Amazon Elastic Block Store (Amazon EBS), des instantanés Amazon Relational Database Service (Amazon RDS) et des versions d'objets Amazon Simple Storage Service (Amazon S3)
• Utilisation de projets AWS Git pour rechercher des preuves d'utilisation non autorisée
• Surveillez votre compte et ses ressources

Remarque: si vous utilisez AWS Identity Center ou des utilisateurs fédérés IAM, les meilleures pratiques pour les utilisateurs IAM s'appliquent également aux utilisateurs fédérés.

Solution

Sauvegarder vos mots de passe et clés d'accès

Les deux principaux types d'informations d'identification pour accéder à votre compte sont les mots de passe et les clés d'accès. Les mots de passe et les clés d'accès peuvent être appliqués au utilisateur root AWS et aux utilisateurs IAM individuels. Vous devez sauvegarder les mots de passe et clés d'accès aussi soigneusement que vous le feriez avec d'autres données personnelles confidentielles. Ne les intégrez jamais à un code accessible publiquement (c’est-à-dire, un référentiel Git public). Pour plus de sécurité, procédez à une rotation de vos informations d'identification et mettez-les régulièrement à jour.

Si vous pensez qu'un mot de passe ou une paire de clés d'accès a été exposé, procédez comme suit:

1. Procédez à la rotation de toutes les paires de clés d'accès.
2. Modifiez le mot de passe utilisateur root de votre compte AWS.
3. Que dois-je faire si je remarque une activité non autorisée sur mon compte AWS ?

Activer le MFA

L'activation de l'authentification MFA peut vous aider à sécuriser les comptes et à empêcher les utilisateurs non autorisés de se connecter à des comptes sans jeton de sécurité.

Pour une sécurité accrue, il est recommandé de configurer l’authentification MFA pour protéger vos ressources AWS. Vous pouvez activer un MFA virtuel pour les utilisateurs IAM et l'utilisateur root du compte AWS. L'activation d'authentification MFA pour l'utilisateur root affecte uniquement les informations d'identification de l'utilisateur racine. Les utilisateurs IAM du compte sont des identités distinctes avec leurs propres informations d'identification, et chaque identité possède sa propre configuration d'authentification MFA.

Pour plus d'informations, consultez Activation des appareils MFA pour les utilisateurs d'AWS.

Limiter l'accès de l'utilisateur root à vos ressources

Les informations d'identification du compte d'utilisateur root (le mot de passe root ou les clés d'accès root) accordent un accès illimité à votre compte et à ses ressources. Il est recommandé de sécuriser et de minimiser l'accès des utilisateurs root à votre compte.

Envisagez les stratégies suivantes pour limiter l'accès de l'utilisateur root à votre compte:

• Utilisez les utilisateurs IAM pour accéder à votre compte au quotidien. Si vous êtes la seule personne à accéder au compte, consultez Création de votre premier utilisateur et groupe d'utilisateurs administrateur IAM.
• Éliminez l'utilisation de clés d'accès root. Au lieu de cela, faites-les pivoter vers les clés d'accès IAM, puis supprimez les clés d'accès inutilisées.
• Utilisez un appareil MFA pour l'utilisateur root de votre compte.

Pour plus d'informations, consultez Protégez vos informations d'identification d'utilisateur root et ne les utilisez pas pour les tâches quotidiennes.

Procédez régulièrement à des audits des utilisateurs IAM et de leurs stratégies

Envisagez d'appliquer les bonnes pratiques suivantes lorsque vous êtes amené à travailler avec des utilisateurs IAM:

• Assurez-vous que ces utilisateurs IAM disposent des stratégies les plus restrictives possible, avec uniquement les autorisations strictement nécessaires pour leur permettre d'effectuer leurs tâches (moindre privilège).
• UtilisezAnalyseur d’accès AWS IAM pour analyser vos autorisations existantes. Pour plus d’informations, consultez IAM Access Analyzer facilite l'implémentation des autorisations de moindre privilège en générant des stratégies IAM basées sur l'activité d'accès.
• Créez différents utilisateurs IAM pour chaque ensemble de tâches.
• Lors de l'association de plusieurs stratégies au même utilisateur IAM, gardez à l'esprit que la stratégie la moins restrictive prévaut.
• Auditez fréquemment vos utilisateurs IAM et leurs autorisations, et trouvez les informations d'identification non utilisées.
• Si votre utilisateur IAM a besoin d'accéder à la console, vous pouvez configurer un mot de passe pour autoriser l'accès à la console tout en limitant les autorisations de l'utilisateur.
• Configurez des appareils MFA individuels pour chaque utilisateur IAM qui dispose d'un accès à la console.

Vous pouvez utiliser l'éditeur visuel de la console IAM pour vous aider à définir des politiques sécurisées. Pour obtenir des exemples de cas d'utilisation d'entreprise les plus courants, ainsi que les stratégies que vous pouvez utiliser pour y faire face, consultez les Cas d'utilisation d'entreprise pour IAM.

Création d'instantanés Amazon EBS, d'instantanés Amazon RDS et de versions d'objets Amazon S3

Pour créer un instantané d'un volume EBS, consultez Créer des instantanés Amazon EBS.

Pour activer les instantanés automatisés Amazon RDS et définir la période de conservation des sauvegardes, consultez Activation des sauvegardes automatiques.

Pour créer un compartiment S3 standard pour la sauvegarde et l'archivage, consultez Création de compartiments S3 standard pour la sauvegarde et l'archivage. Pour créer la gestion des versions des compartiments S3, reportez-vous à la section Utilisation de la gestion des versions dans les compartiments S3.

Pour créer un plan de AWS Backup à l'aide de la console, consultez Créer une sauvegarde planifiée. Pour créer un plan de AWS Backup à l'aide de l’interface de la ligne de commande AWS ( AWS CLI), consultez Comment puis-je utiliser l'AWS CLI pour créer un plan de AWS Backup ou exécuter une tâche à la demande?

Utilisez les projets AWS Git pour vous protéger contre toute utilisation non autorisée

AWS propose des projets Git que vous pouvez installer et qui peuvent vous aider à protéger votre compte:

• Git Secrets peut analyser les fusions et les validations et valider les messages pour obtenir des informations secrètes (c'est-à-dire, des clés d'accès). Si Git Secrets détecte des expressions régulières interdites, il peut empêcher la publication de ces validations sur des référentiels publics.
• Utilisez AWS Step Functions et AWS Lambda pour générer Amazon CloudWatch Events à partir d'AWS Health ou par AWS Trusted Advisor. Si vos clés d'accès semblent avoir été exposées, les projets peuvent vous aider à détecter, consigner et traiter automatiquement l'événement en question.

Surveillez votre compte et ses ressources

Il est recommandé de surveiller de manière active votre compte et ses ressources afin de détecter toute activité ou accès à votre compte inhabituels. Envisagez l'une ou plusieurs des solutions suivantes:

• Créez une alarme de facturation pour surveiller vos frais AWS estimés afin de recevoir des notifications automatiques lorsque votre facture dépasse les seuils que vous avez définis. Pour plus d'informations, consultez la FAQ sur Amazon CloudWatch.
• Créez une trace pour votre compte AWS afin de suivre les informations d'identification utilisées pour lancer des appels d'API particuliers et le moment où elles sont utilisées. Ces mesures vous aident à déterminer si l'utilisation était accidentelle ou non autorisée. Vous pouvez prendre les mesures appropriées pour atténuer la situation. Pour plus d'informations, consultez la section Bonnes pratiques en matière de sécurité dans AWS CloudTrail.
• Utilisez CloudTrail et CloudWatch ensemble pour surveiller l'utilisation des clés d'accès et recevoir des alertes pour les apels d'API inhabituels.
• Activez la journalisation au niveau des ressources (par exemple, au niveau de l'instance ou du système d'exploitation) et le chiffrement du compartiment défaut Amazon S3.
• Activez Amazon GuardDuty pour votre compte AWS dans toutes les régions prises en charge. Une fois activé, GuardDuty commence à analyser des flux de données indépendants provenant de la gestion AWS CloudTrail et des événements de données Amazon S3, des journaux de flux Amazon VPC et des journaux DNS pour générer des conclusions de sécurité. Les principales catégories de détection incluent la compromission de compte, la compromission d'instance et les intrusions malveillantes. Pour plus d'informations, voir Amazon GuardDuty FAQs.

Remarque: il est recommandé d'activer la journalisation pour toutes les régions, et pas seulement pour celles que vous utilisez régulièrement.

---

informations connexes

Sécurité dans le cloud AWS

Bonnes pratiques de gestion des clés d'accès AWS

Bonnes pratiques pour la sécurité, l'identité et la conformité

Comment puis-je assurer la sécurité des fichiers de mon compartiment Amazon S3 ?

Meilleures pratiques en matière de surveillance et d'audit Amazon S3