pacon maintenant au module 5 ou an va voir la sécurité d'1WS cloud ,Chez Amazon Web
Services (AWS), la sécurité est la priorité numéro1. AWS offre un environnement de
cloud computing évolutif conçu pour offrir une disponibilité et une fiabilité élevées, et fournir les outils qui vous permettent d’exécuter une large gamme d’applications. La priorité d’AWS est d’aider à protéger la confidentialité, l’intégrité et la disponibilité de vos systèmes et données, car c’est ce qui maintient la confiance. Ce module présente l’approche AWS en matière de sécurité. Cela inclut à la fois les contrôles dans l’environnement AWS et certains des produits et fonctionnalités AWS que les clients peuvent utiliser pour atteindre leurs objectifs de sécurité. À la fin de ce module, vous devriez être en mesure d’effectuer les tâches suivantes:•Identifier le modèle de responsabilité partagée•Identifier la responsabilité du client et celle d’AWS•Identifier les utilisateurs, les groupes et les rôles IAM•Décrire différents types d’identifiants de sécurité dansIAM•Identifier la procédure de sécurisation d’un nouveau compteAWS•Explorer les utilisateurs et les groupes IAM•Identifier la manière de sécuriser les données AWS•Identifier les programmes de conformité AWS pacon maintennat a la section 1 Modèle de responsabilité partagée AWS AWS et le client se partagent la responsabilité de la sécurité et de la conformité. Ce modèle de responsabilité partagée est conçu pour alléger la charge opérationnelle du client. Dans le même temps, pour assurer la flexibilité et le contrôle client qui permettent le déploiement de solutions client sur AWS, le client reste responsable de certains aspects de la sécurité globale. La répartition des responsabilités est souvent illustrée par le concept de sécurité du cloudpar opposition à la sécurité dans le cloud.AWS exploite, gère et contrôle les composants depuis la couche de virtualisation logicielle jusqu’à la sécurité physique des installations dans lesquelles les servicesAWS opèrent.AWS se chargede protéger l’infrastructure sur laquelle s’exécutent tous les services proposés dans AWS Cloud. Cette infrastructure est composée du matériel, des logiciels, du réseau et des installations exécutant les services d’AWS Cloud.Le client est responsabledu chiffrement des données au repos et en transit. Il doit aussi s’assurer que le réseau est configuré de manière à garantir sa sécurité, et que les autorisations de sécurité et autres identifiants sont gérés de manière sûre. De plus, le client est responsable de la configuration des groupes de sécurité et de la configuration du système d’exploitation au niveau des instances de calcul qu’il lance (y compris les mises à jour et les correctifs de sécurité). AWS est responsable de la sécurité du cloud. Qu’est-ce que cela signifie?Dans un modèle de responsabilité partagée, AWS exploite, gère et contrôle les composants, allant du système d’exploitation hôte bare metal et de la couche de virtualisation des hyperviseurs jusqu’à la sécurité physique des installations dans lesquelles les services sont exploités. Autrement dit, AWS se charge de protéger l’infrastructure mondiale sur laquelle s’exécutent tous les services proposés dans AWS Cloud. Cette infrastructure mondiale inclut les régionsAWS, les zones de disponibilité et les emplacements périphériques.AWS est responsable de l’infrastructure physique qui héberge vos ressources, notamment:•La sécurité physique des centres de données avec un accès contrôlé et basé sur les besoins, des installations secrètes, des gardes en place 24h/24 et 7j/7, une authentification à deux facteurs, la consignation et la vérification des accès, des systèmes de vidéosurveillance, la démagnétisation des disques et leur destruction.•L’infrastructure matérielle,dont les serveurs, les dispositifs de stockage et autres appareils sur lesquels s’appuient les services AWS.•L’infrastructure logicielle,qui héberge les systèmes d’exploitation, les applications de service et logiciels de virtualisation.•L’infrastructure réseau, comme les routeurs, les commutateurs, les équilibreurs de charge, les pare-feu et le câblage. AWS surveille également en permanence le réseau au niveau des frontières externes, sécurise les points d’accès et fournit une infrastructure redondante avec détection des intrusions.La protection de cette infrastructure est la priorité absolue d’AWS. Bien que vous ne puissiez pas visiter les centres de données ou les bureaux AWS pour voir cette protection de vos propres yeux, Amazon vous fournit différents rapports venant d’auditeurs tiers, qui ont vérifié la conformité avec un ensemble de normes et de réglementations de sécurité informatique. Tandis que l’infrastructure cloud est sécurisée et maintenue par AWS, les clients sont responsables de la sécurité de tout ce qu’ils mettent dansle cloud. Le client est responsablede ce qui est mis en œuvre à l’aide des services AWS et des applications connectées à AWS. La procédure de sécurité que vous devez appliquer dépend des services que vous utilisez et de la complexité de votre système.Les responsabilités du client incluent la sélection et la sécurisation de tous les systèmes d’exploitation d’instance, la sécurisation des applications lancées sur les ressources AWS, les configurations de groupe de sécurité, les configurations de pare-feu, les configurations réseau et la gestion sécurisée des comptes. Lorsque les clients utilisent les services AWS, ils conservent un contrôle total de leur contenu. Les clients sont responsables de la gestion des exigences critiques en matière de sécurité des contenus, notamment: •Le contenu qu’ils ont choisi de stocker sur AWS•Quels services AWS sont utilisés avec le contenu•Dans quel pays le contenu est stocké•Le format et la structure de ce contenu et sa dissimulation, son anonymisation ou son chiffrement•Les personnes qui ont accès à ce contenu et la façon dont ces droits d’accès sont accordés, gérés et révoqués. Les clients conservent le contrôle sur la sécurité qu’ils ont choisi de mettre en place pour protéger leurs propres données, leur environnement, les applications,les configurations IAM, ainsi que les systèmes d’exploitation L’infrastructure en tant que service (IaaS) fait référence aux services qui fournissent des composants de base pour l’Informatique dans le cloud. Cela comprend généralement l’accès requis pour configurer le réseau, les ordinateurs (virtuels ou sur du matériel dédié) et l’espace de stockage de données. Les services cloud qui entrent dans la catégorie IaaSoffrent au client le niveau de flexibilité et de contrôle de gestion le plus élevéde leurs ressources informatiques. Les services IaaS s’apparentent aux ressources informatiques sur site que de nombreux services informatiques connaissent bien.Les services AWS, comme Amazon EC2,peut être classé comme des services IaaS. Dès lors, le client doit effectuer toutes les tâches de configuration et de gestion de la sécurité nécessaires. Les clients qui déploient les instances EC2 sont responsables de la gestion du système d’exploitation invité (y compris les mises à jour et les correctifs de sécurité), de tout logiciel d’application installé sur les instances et de la configuration des groupes de sécurité fournis par AWS.La plateforme en tant que service (PaaS) désigne services qui évitent au client de devoir gérer l’infrastructure sous-jacente (matériel, systèmes d’exploitation, etc.). Les services PaaS permettent au client de se concentrer entièrement sur le déploiement et la gestion des applications. Les clients n’ont pas à se soucier de l’approvisionnement des ressources, de la planification de la capacité, de la maintenance logicielle ou de l’application des correctifs.Les services AWS tels qu’AWS Lambda etAmazon RDS peuvent être classés dans la catégorie PaaS, carAWS gère la couche d’infrastructure, le système d’exploitation et les plateformes. Les clients ont uniquement besoin d’accéder aux points de terminaison pour stocker et récupérer leurs données. Avec les services PaaS, les clients sont responsables de la gestion de leurs données, de la classification de leurs ressources et de l’application des autorisations appropriées. Toutefois, ces services ressemblent davantage à des services gérés, AWS gérant une plus grande partie des exigences en matière de sécurité. Pour ces services, AWS gère les tâches de sécurité de base, telles que l’application de correctifs au système d’exploitation et aux bases de données, la configuration des pare-feu et la reprise après sinistre. Lelogiciel en tant que service (SaaS) désigne les services qui fournissent des logiciels hébergés de manière centralisée qui sont généralement accessibles via un navigateur Web, une application mobile ou une interface de programmation d’applications (API). Le modèle de licence des offres SaaS est généralement un abonnement ou un paiement à l’utilisation. Avec les offres SaaS, les clients n’ont pas besoin de gérer l’infrastructure qui prend en charge le service. Certains services AWS, comme AWS Trusted Advisor, AWS Shieldet Amazon Chime, peuvent être classés dans la catégorie des offres SaaS, compte tenu de leurs caractéristiques.AWS Trusted Advisorest un outil en ligne qui analyse votre environnement AWS et offre des conseils et des recommandations en temps réel pour vous aider à allouer vos ressources en suivant les bonnes pratiques AWS. Le service Trusted Advisor est proposé dans le cadre de votre programme de support AWS. Certaines fonctionnalités de Trusted Advisor sont gratuites pour tous les comptes, mais les clients Business Support et Enterprise Support ont accès à l’ensemble complet des vérifications et des recommandations de Trusted Advisor.AWSShieldest un service de protection contre le déni de service distribué (DDoS) géré. Il protège les applications s’exécutant sous AWS. Il assure une détection continue et intègre l’atténuation automatique des risques afin de minimiser les interruptions et la latence des applications. Il n’est donc pas nécessaire de faire appel à AWSSupport pour bénéficier de la protectionDDoS. AWS Shield Advanced est disponible pour tous les clients. Toutefois, pour contacter l’équipe d’intervention DDoS, les clients doivent bénéficier d’un contrat de support Enterprise ou Business auprès d’AWS Support.Amazon Chimeest un service de communication qui vous permet de vous réunir et de discuter avec vos collaborateurs, mais également de passer des appels professionnels au sein de votre organisation comme en dehors, le tout à partir d’une simple application.Il s’agit d’un service de communication facturé à l’utilisation sans frais initiaux, sans engagement et sans contrat de longue durée. pacon maintennat a la section 2 : AWS identify and access managemement AWS Identity and Access Management (IAM)vous permet de contrôler les accès aux services de calcul, de stockage, de base de données et d’application dans AWS Cloud. IAM peut être utilisé pour gérer l’authentification et pour spécifier et appliquer des stratégies d’autorisation pour vous permettre de spécifier quels utilisateurs peuvent accéder à quels services. IAM est un outil qui gère de manière centralisée l’accès aux ressources de lancement, de configuration, de gestion et de résiliation de votre compte AWS. Il implique un contrôle précis de l’accès aux ressources, y compris la possibilité de spécifier exactement quels appels d’APIl’utilisateur est autorisé à effectuer pour chaque service. Que vous utilisiez AWS Management Console, AWS CLI ou les kits de développement logiciel (SDK) AWS, chaque appel à un service AWS est un appel d’API.Avec IAM, vous pouvez gérer quellesressources sont accessibles à quels utilisateurset comment ils peuvent y accéder.Vous pouvez accorder différentes autorisations à différents utilisateurs concernant différentes ressources. Par exemple, vous pouvez accorder à certains utilisateurs un accès complet à Amazon EC2, Amazon S3, Amazon DynamoDB, Amazon Redshift et d’autres services AWS. Cependant, pour d’autres utilisateurs, vous pouvez autoriser uniquement l’accès en lecture seule à quelques compartiments S3. De même, vous pouvez autoriser d’autres utilisateurs à administrer uniquement des instances EC2 spécifiques. Vous pouvez également autoriser quelques utilisateurs à accéder uniquement aux informations de facturation du compte et à rien d’autre.IAM est une fonction de votre compte AWS offerte gratuitement. Pour comprendre comment utiliser IAM pour la sécurisation de votre compte AWS, il est important de connaître le rôle et la fonction de chacun des quatre composants IAM.Un utilisateur IAM est une personne ou une application qui est définie dans un compte AWS et qui doit effectuer des appels d’API vers les produits AWS. Chaque utilisateur doit posséder un nom unique (sans espaces dans le nom) dans le compte AWS et un ensemble d’autorisations de sécurité qui ne sont pas partagées avec d’autres utilisateurs. Ces autorisations sont différentes des autorisations de sécurité de l’utilisateur racine du compte AWS. Chaque utilisateur est défini dans un seul compte AWS.Un groupeIAMest un ensemble d’utilisateursIAM. Vous pouvez utiliser des groupes IAM pour simplifier la spécification et la gestion des autorisations pour plusieurs utilisateurs.Une stratégie IAM est un document qui définit les autorisations permettant de déterminer les opérations que les utilisateurs peuvent effectuer dans le compte AWS. Une stratégie accorde généralement l’accès à des ressources spécifiques et définit les actions que l’utilisateur peut effectuer avec ces ressources. Les stratégies peuvent également refuser explicitement l’accès.Un rôle IAMest un outil permettant d’accorder un accès temporaire à des ressources AWS spécifiques dans un compte AWS. L’authentification est un concept de sécurité informatique de base selon lequel un utilisateur ou un système doit d’abord prouver son identité. Pensez à la façon dont vous vous authentifiez lorsque vous vous rendez à l’aéroport et que vous voulez passer la sécurité pour ne pas rater votre vol. Dans ce cas, vous devez présenter une pièce d’identité au responsable de la sécurité afin de prouver votre identité avant de pouvoir entrer dans une zone réglementée. Un concept similaire s’applique à l’accès aux ressources AWS dans le cloud. Lorsque vous définissez un utilisateur IAM, vous sélectionnez le type d’accès qui lui est attribué pour accéder aux ressources AWS. Vous pouvez attribuer deux types d’accès différents aux utilisateurs: l’accès par programmation et l’accès à AWS Management Console. Vous pouvez soit attribuer un accès en programmation ou un accès à la console uniquement, soit les deux types d’accès simultanément.Si vous accordez un accès par programmation, l’utilisateur IAM devra présenter un ID de clé d’accèset une clé d’accès secrètelorsqu’il effectuera un appel d’API AWS à l’aide de l’AWS CLI, du kit SDK AWS ou d’un autre outil de développement.Si vous accordez l’accès à AWS Management Console, l’utilisateur IAM devra remplir les champs qui s’affichent dans la fenêtre de connexion du navigateur. Il devra fournir l’ID de compte à 12chiffres ou l’alias de compte correspondant. L’utilisateur devra également saisir son nom d’utilisateur et son mot de passe IAM. Si l’authentification multifacteur (MFA)est activée, il sera également invité à saisir un code d’authentification. Les services et ressources AWS sont accessibles à l’aide d’AWS Management Console, d’AWS CLI ou via des SDK et des API. Pour une sécurité optimale, nous vous recommandons d’activer la sécurité MFA. Avec l’authentification MFA, les utilisateurs et les systèmes doivent fournir un jeton MFA, en plus des identifiants de connexion habituels, avant de pouvoir accéder aux services et ressources AWS. Les options de génération du jeton d’authentification MFA incluent les applications virtuelles compatibles avec MFA(comme Google Authenticator ou Authy 2-Factor Authentication), les clés de sécurité U2Fet les périphériques MFA matériels. L’autorisationest le processus qui consiste à déterminer les autorisationsà accorder à un utilisateur, à un service ou à une application. Une fois authentifié, l’utilisateurdoit avoir l’autorisation d’accéder aux services AWS. Par défaut, les utilisateurs IAM ne sont pas autorisés à accéder aux ressources ni aux données d’un compte AWS. Au lieu de cela, vous devez explicitement accorder des autorisations à un utilisateur, groupe ou rôle en créant unestratégie,qui est un document au format JavaScript Object Notation (JSON). Une stratégie répertorie les autorisations qui acceptentou refusent l’accès aux ressources du compte AWS. Pour attribuer une autorisation à un utilisateur, un groupe ou un rôle, vous devez créer une stratégie IAM(ou rechercher une stratégie existante dans le compte). Il n’existe aucune autorisation par défaut. Toutes les actions du compte sont refusées à l’utilisateur par défaut (refus implicite) à moins que ces actions ne soient explicitement autorisées. Toute action que vous n’autorisez pas explicitement est refusée. Toute action que vous refusez de façon explicite sera toujours refusée.Le principe du moindre privilègeest un concept important en matière de sécurité informatique. Il favorise l’octroi à l’utilisateur du minimum de privilèges nécessaires en fonction de ses besoins. Lorsque vous créez des stratégies IAM, il est recommandé de suivre le conseil de sécurité consistant à accorder le moindre privilège. Déterminez les tâches que les utilisateurs doivent effectuer et élaborez des stratégies leur permettant de réaliser uniquement ces tâches. Commencez avec un minimum d’autorisations et accordez-en d’autres si nécessaire. Cette méthode est plus sûre que de commencer avec des autorisations trop permissives, puis d’essayer de les restreindre ultérieurement.Remarque: la portée des configurations de service IAM est mondiale. Les paramètres ne sont pas définis au niveau de la région AWS. Les paramètres IAM s’appliquent à toutes les régions AWS. Une stratégie IAM est une déclaration formelle des autorisations qui sont accordées à une entité. Les stratégies peuvent être attachées à n’importe quelle entité IAM. Parmi les entités, citons les utilisateurs, les groupes, les rôles ou les ressources. Par exemple, vous pouvez associer une stratégie à des ressources AWS de manière à bloquer toutes les requêtes ne provenant pas d’une plage d’adressesIP approuvées. Les stratégies spécifient les actions qui sont autorisées, sur quelles ressources autoriser les actions et l’effet que cela aura lorsque l’utilisateur sollicitera l’accès aux ressources.L’ordre d’évaluation des stratégies n’a aucun impact sur le résultat de l’évaluation. Toutes les stratégies sont évaluées et le résultat indique toujours si la demande est autorisée ou refusée. En cas de conflit, la stratégie la plus restrictive prime.Il existe deux types de stratégies IAM. Les stratégies basées sur l’identité sont des stratégies d’autorisation que vous pouvez attacher à un mandataire ou à une identité, comme un utilisateur, un rôle ou un groupe IAM. Ces stratégies contrôlent les actions que peut effectuer cette identité, sur quelles ressources et dans quelles conditions. Les stratégies basées sur l’identité peuvent être classées comme suit:•Stratégies gérées: stratégies autonomes basées sur une identité que vous pouvez attacher à plusieurs utilisateurs, groupes et rôles dans votre compte AWS.•Stratégies intégrées:stratégies que vous créez et gérez et qui sont intégrées directement à un utilisateur, groupe ou rôle.Les stratégies basées sur les ressources sont des documents de stratégie au format JSON que vous associez à une ressource, telle qu’un compartiment S3. Ces stratégies contrôlent les actions qu’un mandataire spécifique peut effectuer sur cette ressource et dans quelles conditions. Comme mentionné précédemment, les documents de stratégie IAM sont écrits en JSON.Cet exemple de stratégie IAM permet aux utilisateurs d’accéder uniquement à certaines ressources.•Table DynamoDB dont le nom est de la forme table- name.•Compartiment S3 du compte AWS dont le nom est représenté par bucket-nameet tous les éléments qu’il contient.Cette stratégie IAM inclut également un élément de refus explicite ("Effect":"Deny"). L’élément NotResource permet de garantir que les utilisateurs ne peuvent pas exploiter d’autres actions ou ressources DynamoDB ou S3, à l’exception de celles spécifiées dans la stratégie, même si des autorisations ont été accordées dans une autre stratégie. Une déclaration de refus explicite est prioritaire sur une déclaration d’autorisation. Alors que les stratégies basées sur l’identité sont attachées à un utilisateur, un groupe ou un rôle, les stratégies basées sur les ressources sont attachées à une ressource telle qu’un compartiment S3. Ces stratégies spécifient qui peut accéder à la ressource et quelles actions y sont possibles. Les stratégies basées sur les ressources sont définies de manière intégréeuniquement. Autrement dit, vous définissez la stratégie au niveau de la ressource elle-même, au lieu de créer un document de stratégie IAM distinct que vous attachez. Par exemple, pour créer une stratégie de compartiment S3 (un type de stratégie basée sur les ressources) sur un compartiment S3, accédez au compartiment, cliquez sur l’onglet Permissions(Autorisations), cliquez sur le bouton Bucket Policy (Stratégie de compartiment) et définissez-y le document de stratégie au format JSON. Une liste de contrôle d’accès (ACL) Amazon S3 est un autre exemple de stratégie basée sur les ressources.Le diagramme montre deux manières distinctes d’accorder à l’utilisateur MaryMajorl’accès aux objets du compartiment S3 nommé photos. Sur la gauche, figure un exemple de stratégie basée sur l’identité. Une stratégie IAM qui accorde l’accès au compartiment S3 est attachée à l’utilisateur MaryMajor. Sur la droite, figure un exemple de stratégie basée sur les ressources. La stratégie de compartiment S3 pour le compartiment photosspécifie que l’utilisateur MaryMajor est autorisé à répertorier et à lire les objets du compartiment. Notez que vous pouvez définir une instruction de refus dans une stratégie de compartiment pour restreindre l’accès à des utilisateurs IAM spécifiques, même si les utilisateurs se voient accorder l’accès dans une stratégie distincte basée sur l’identité. Une déclaration de refus explicite est toujours prioritaire sur une déclaration d’autorisation. Les stratégies IAM vous permettent d’affiner les privilèges accordés aux utilisateurs, groupes et rôles IAM. Lorsqu’IAM détermine si une autorisation est accordée, IAM vérifie d’abord si une stratégie de refus explicitea été appliquée. S’il n’existe aucun refus explicite, il recherche alors toute stratégie d’autorisation expliciteapplicable. Si aucune stratégie de refus ou d’autorisation explicite n’est définie, IAM applique l’option par défaut, qui consiste à refuser l’accès. Ce processus est appelé refus implicite. L’utilisateur sera autorisé à effectuer l’action uniquement si l’action demandée n’est pasexplicitement refusée et si elle est explicitement autorisée.Il peut être difficile de déterminer si l’accès à une ressource sera accordé à une entité IAM lorsque vous développez des stratégies IAM. Le simulateur de stratégie IAMest un outil utile pour tester et dépanner les stratégies IAM. Un groupeIAM est un ensemble d’utilisateurs IAM. Les groupes IAM offrent un moyen pratique de spécifier des autorisations pour un ensemble d’utilisateurs, ce qui peut faciliter la gestion des autorisations pour ces derniers. Par exemple, vous pouvez créer un groupe IAM appelé Développeurs et attacher une ou plusieurs stratégies IAM à ce groupe pour accorder les autorisations d’accès aux ressources AWS dont les développeurs ont généralement besoin. Tout utilisateur que vous ajouterez ensuite au groupe Développeurs disposera automatiquement des autorisations attribuées à ce groupe. Dans ce cas, vous n’avez pas besoin d’attacher la stratégie IAM ou les stratégies IAM directement à l’utilisateur. Si un nouvel utilisateur rejoint votre organisation et requiert des privilèges de développeur, il vous suffit de l’ajouter au groupe Développeurs. De même, si une personne change de travail dans votre organisation, au lieu de modifier ses autorisations, il vous suffit de supprimer cet utilisateur du groupe.Caractéristiques importantes des groupes IAM:•Un groupe peut contenir de nombreux utilisateurs, et un utilisateur peut appartenir à plusieurs groupes.•Les groupes ne peuvent pas être imbriqués. Un groupe ne peut contenir que des utilisateurs et ne peut pas contenir d’autres groupes.•Il n’existe pas de groupe par défaut qui inclut automatiquement tous les utilisateurs du compte AWS. Si vous souhaitez avoir un groupe avec tous les utilisateurs du compte, vous devez créer le groupe et y ajouter chaque nouvel utilisateur. Un rôle IAM est une identitéIAM que vous pouvez créer dans votre compte et qui dispose d’autorisations spécifiques. Un rôle IAM est similaire à un utilisateur IAM, car il s’agit également d’une identité AWS à laquelle vous pouvez attacher des stratégies d’autorisation, et ces autorisations déterminent ce que l’identité peut et ne peut pas faire dans AWS. Cependant, au lieu d’être associé à une seule personne, un rôle peut être endossé par tous ceux qui en ont besoin. En outre, un rôle ne dispose pas d’informations d’identification standard à long-terme comme un mot de passe ou des clés d’accès associées. Aulieu de cela, lorsque vous adoptez un rôle, il vous fournit des autorisations de sécurité temporaires pour votre session de rôle.Vous pouvezutiliser les rôles pour déléguer des accès à des utilisateurs, des applications ou des services qui, en temps normal, n’ont pas accès à vos ressources AWS. Par exemple, vous pouvez accorder aux utilisateurs de votre compte AWS l’accès à des ressources dont ils ne disposent pas en temps normal, ou accorder aux utilisateurs d’un compte AWS l’accès aux ressources d’un autre compte. Il est également possible d’autoriser une application mobile à utiliser des ressourcesAWS, sans pour autant intégrer de clés AWS dans l’application (où leur rotation peut être difficile et d’où les utilisateurs peuvent éventuellement les extraire et les utiliser à mauvais escient). De plus, il se peut que vous souhaitiez parfois accorder l’accès AWS à des utilisateurs qui ont déjà des identités définies en dehors d’AWS, comme dans votre annuaire d’entreprise. Ou, vous pouvez avoir besoin d’accorder l’accès à votre compte à des tiers afin qu’ils puissent effectuer un audit sur vos ressources. Pour tous ces exemples de cas d’utilisation, les rôles IAM sont un composant essentiel à la mise en œuvre du déploiement cloud. Dans ce diagramme, un développeur exécute une application sur une instance EC2 qui nécessite l’accès au compartiment S3 qui est nommé photos. Un administrateur crée le rôle IAM et l’attache à l’instance EC2. Ce rôle inclut une stratégie d’autorisations qui accorde un accès en lecture seule au compartiment S3 spécifié. Il comprend également une stratégie de confiance qui permet à l’instance EC2 d’endosser le rôle et de récupérer les autorisations temporaires. Lorsque l’application s’exécute sur l’instance, elle peut accéder au compartiment photos avec les autorisations temporaires du rôle. L’administrateur n’a pas besoin d’accorder au développeur l’autorisation d’accéder au compartiment photos, et le développeur n’a à aucun moment besoin de partager ni de gérer ses autorisations. pacon maintenant a la section 3 : sécursation d'un nouveau compte AWS Lorsque vous créez un compte AWS, vous commencez avec une seule identité de connexion disposant d’un accès complet à tous les services et ressources AWS du compte. Cette identité est appelée utilisateur racine du compte AWSet elle est accessible en se connectant à AWS Management Console à l’aide de l’adresse e-mail et du mot de passe utilisés pour la création du compte. Les utilisateurs racines du compte AWS ont un accès complet à toutes les ressources du compte. Pour cette raison, AWS recommande fortement de ne pas utiliser les autorisations du compte racine pour vos interactions quotidiennes avec le compte.À la place, utilisez IAM pour créer des utilisateurs supplémentaires auxquels vous attribuerez des autorisations sur la base du principe du moindre privilège. Par exemple, si vous avez besoin d’autorisations de niveau administrateur, vous pouvez créer un utilisateur IAM, lui accorder l’accès complet, puis utiliser ces informations d’identification pour interagir avec le compte. Si plus tard vous avez besoin de modifier ou d’annuler vos autorisations, vous pouvez supprimer ou modifier les stratégies qui sont associées à cet utilisateur IAM. D’autre part, si plusieurs utilisateurs ont besoin d’accéder à ce compte, vous pouvez créer des autorisations uniques pour chaque utilisateur et définir qui a accès à quelles ressources. Par exemple, vous pouvez créer des utilisateurs IAM avec un accès en lecture seule aux ressources de votre compte AWS et distribuer ces informations d’identification à vos utilisateurs, selon les besoins. Il est recommandé de ne pas partager les mêmes informations d’identification avec plusieurs utilisateurs. Pour arrêter d’utiliser l’utilisateur racine du compte, procédez comme suit:1.Alors que vous êtes connecté en tant qu’utilisateur racine du compte, créez un utilisateur IAM pour vous-même avec l’accès à AWS Management Console activé (mais n’attachez pas encore d’autorisations à l’utilisateur). Enregistrez les clés d’accès de l’utilisateur IAM si nécessaire.2.Ensuite, créez un groupe IAM, donnez- lui un nom (tel que FullAccess) et attachez des stratégies IAM au groupe pour accorder un accès complet à au moins quelques-uns des services que vous utiliserez. Ajoutez ensuite l’utilisateur IAM au groupe. 3.Désactivez et supprimez les clés d’accès de l’utilisateur racine de votre compte, si elles existent.4.Activez une stratégie de mot de passe pour tous les utilisateurs. Copiez le lien de connexion de l’utilisateur IAMà partir de la page du tableau de bord IAM. Ensuite, déconnectez-vous en tant qu’utilisateur racine du compte.5.Accédez au lien de connexion de l’utilisateur IAM que vous avez copié, puis connectez-vous au compte à l’aide de vos nouvelles informations d’identification d’utilisateur IAM. 6.Stockez les autorisations de l’utilisateur racine de votre compte dans un endroit sécurisé. Pour afficher des instructions détaillées sur la configuration de votre premier utilisateur IAM et de votre premier groupe IAM, consultez Création de votre premier utilisateur et groupe administrateur IAM. Une autre étape recommandée pour sécuriser un nouveau compte AWS consiste à exiger l’authentification multifacteur (MFA) pour la connexion de l’utilisateur racine du compte et pour toutes les autres connexions d’utilisateur IAM. Vous pouvez également utiliser l’authentification MFA pour contrôler l’accès par programmation.Pour en savoir plus, consultez Configuration de l’accès aux API protégé par MFA.Plusieurs options s’offrent à vous pour récupérer le jeton MFA nécessaire pour se connecter lorsque l’authentification MFA est activée. Parmi ces options citons les applications virtuelles compatibles MFA (telles que Google Authenticator et Authy Authenticator), les clés de sécurité U2F et les périphériques MFA matériels avec des outils de génération automatique de clés ou des cartes d’affichage. AWS CloudTrail est un service qui journalise toutes les demandes d’API dans les ressources de votre compte. De cette manière, il permet un audit opérationnel de votre compte. AWS CloudTrail est activé par défaut lors de la création de tous les comptes AWS et conserve un enregistrement des 90 derniers jours d’activité des événements de gestion de compte. Vous pouvez afficher et télécharger les 90derniers jours d’activité de votre compte pour les opérations de création, modificationet suppressiondes services pris en charge par CloudTrailsans avoir à configurer manuellement un autre journal d’activité. Pour activer la conservation des journaux CloudTrail au-delà des 90derniers jours et pour être notifié chaque fois que des événements spécifiques se produisent, créez un autre journal d’activité (comme décrit grossièrement sur la diapositive). Pour obtenir des instructions détaillées sur la création d’un journal d’activité dans AWS CloudTrail, consultezcette sectiondans la documentation AWS. Une étape supplémentaire recommandée pour sécuriser un nouveau compte AWS consiste à activer les rapports de facturation, tel que le rapport d’utilisation et de coût AWS. Les rapports de facturation fournissent des informations relatives à votre utilisation des ressourcesAWS et aux coûts estimés pour cette utilisation. AWS transmet ces rapports à un compartiment AmazonS3 que vous spécifiez, puis les met à jour au moins une fois par jour. AWS Cost and Usage Report permet de suivre l’utilisation du compte AWS et indique les frais estimés à l’heure ou à la journée.Pour plus d’informations sur la création d’un rapport d’utilisation et de coût AWS, consultez la documentation AWS. pacon a la section 4 qui est la sécurisation des comptes AWS Organizationsest un service de gestion de comptes qui vous permet de consolider plusieurs comptes AWS dans une organisation que vous créez et gérez de façon centralisée. L’accent est mis sur les fonctionnalités de sécurité fournies par AWS Organizations. Une fonction de sécurité utile est que vous pouvez regrouper plusieurs comptes en unités d’organisation, ou UO, et attacher différentes stratégies d’accès à chacune d’elles. Par exemple, si certains comptes ne doivent être autorisés à accéder qu’aux services AWS qui répondent à certaines exigences réglementaires, vous pouvez les placer dans une unité d’organisation. Vous pouvez ensuite définir une stratégie qui bloque l’accès de l’unité d’organisation aux services qui ne répondent pas à ces exigences, puis attacher cette stratégie à l’unité d’organisation. Une autre fonctionnalité de sécurité est qu’AWS Organizations s’intègre à IAM. AWS Organizations étend ce contrôle au niveau du compte en vous permettant de contrôler les opérations que les utilisateurs et les rôles d’un compte ou d’un groupe de comptes peuvent effectuer. Les autorisations résultantes sont à la croisée des autorisations accordées par AWS Organizations et des autorisations accordées explicitement par IAM dans le compte pour cet utilisateur ou ce rôle. L’utilisateur ne peut accéder qu’à ce qui est autorisé à la foispar les stratégies AWSOrganisations et les stratégies IAM. Enfin, AWS Organizations fournit des stratégies de contrôle des services (SCP) qui vous permettent de spécifier les autorisations maximales que les comptes membres de l’organisation peuvent avoir. Les SCP vous permettent d’imposer des restrictions sur les services AWS et les ressources, ainsi que sur les actions individuelles auxquelles les utilisateurs et les rôles de chaque compte membre peuvent accéder. Ces restrictions supplantent même celles des administrateurs des comptes membres.Lorsqu’AWS Organizations bloque l’accès à un service, une ressource ou une action d’API, tout utilisateur ou rôle dans ce compte ne peut y accéder, même si un administrateur d’un compte membre accorde explicitement ces autorisations.* Voici un examen plus approfondi de la fonctionnalité Stratégies de contrôle des services (SCP)dans AWS Organizations. Les SCP offrent un contrôle central sur les autorisations maximales disponiblespour tous les comptes de votre organisation, ce qui vous permet de vous assurer que vos comptes respectent les directives de contrôle d’accès de votre organisation. Les SCP sont disponibles uniquement dans une organisation ayant toutes les fonctions activées, y compris la facturation consolidée. Elles ne sont pas disponibles si votre organisation n’a activé que les fonctions de facturation consolidée. Pour obtenir des instructions sur l’activation des SCP, consultez Activation et désactivation d’un type de stratégie sur une racine.Les SCP sont similaires aux stratégies d’autorisations IAM et utilisent presque la même syntaxe. Cependant, une SCP n’accorde jamais d’autorisations. Il s’agit de stratégies JSON qui spécifient les autorisations maximales pour une organisation ou une unité d’organisation. L’association d’une SCP à la racine de l’organisation ou à une unité d’organisation (OU) définit une protection pour les actions que les comptes de cette racine ou de l’OU peuvent effectuer. Cependant, elle ne supplante pas les configurations IAM bien gérées au sein de chaque compte. Vous devez toujours attacher des stratégies IAMaux utilisateurs et aux rôles dans les comptes de votre organisation pour accorder réellement des autorisations d’utilisation. AWS Key Management Service (AWS KMS) est un service qui vous permet de créer et de gérer des clés de chiffrement, et de contrôler l’utilisation du chiffrement dans un large éventail de services AWS et au sein de vos applications. AWS KMS est un service sécurisé et résilient qui utilise des modules de sécurité matériels (HSM) validés (ou en cours de validation) selon la norme FIPS140-2pour protéger vos clés. AWSKMS est également intégré à AWSCloudTrail pour vous fournir des journaux contenant des informations sur toutes les utilisations de vos clés, afin de vous aider à répondre à vos besoins en matière de réglementation et de conformité.Les clés principales client (CMK) sont utilisées pour contrôler l’accès aux clés de chiffrement des données permettant de chiffrer et déchiffrer vos données. Vous pouvez créer d’autres clés quand vous le souhaitez, et gérer qui y a accès et qui peut les utiliser. Vous pouvez aussi importer des clés dans KMS à partir de votre propre infrastructure de gestion de clés. AWS KMS s’intègre à la plupart des services AWS. Autrement dit, vous pouvez utiliser les clés CMK AWS KMS pour contrôler le chiffrement des données que vous stockez dans ces services.Pour en savoir plus, consultez Fonctionnalités d’AWS Key Management Service. AmazonCognito fournit des solutions pour contrôler l’accès aux ressources AWS à partir de votre application. Vous pouvez définir des rôles et mapper des utilisateurs à des rôles différents afin que votre application ne puisse accéder qu’aux ressources autorisées pour chaque utilisateur.Amazon Cognito utilise des normes communes de gestion des identités, telles que Security Assertion Markup Language (SAML)2.0.Le langage SAML est une norme ouverte pour l’échange d’informations d’identité et de sécurité avec des applications et des fournisseurs de services. Les applications et les fournisseurs de services qui prennent en charge SAML vous permettent de vous connecter à l’aide des informations d’identification de votre annuaire d’entreprise, telles que votre nom d’utilisateur et votre mot de passe Microsoft ActiveDirectory. Avec SAML, vous pouvez utiliser l’authentification unique (SSO) pour vous connecter à toutes vos applications SAML à l’aide d’un seul ensemble d’informations d’identification.AmazonCognito vous aide à respecter plusieurs exigences de sécurité et de conformité, notamment celles imposées aux organisations très réglementées telles que les entreprises du secteur de la santé et les commerçants. AmazonCognito peut être utilisé conformément à la loi américaine HIPAA(Health Insurance Portability and Accountability Act). Il peut également être utilisé pour les charges de travail conformes à la norme PCI DSS(Payment Card Industry Data Security Standard), aux rapports SOCde l’American Institute of CPAs (AICPA) et aux normesISO/CEI 27001,ISO/CEI 27017etISO/CEI 27018et ISO 9001de l’Organisation internationale de normalisation (ISO) et de la Commission électrotechnique internationale (CEI). AWSShieldest un service de protection DDoS (Déni de service distribué) géré qui protège les applications exécutées sous AWS. Il assure une détection continue et intègre l’atténuation automatique des risques afin de minimiser les interruptions et la latence des applications. Il n’est donc pas nécessaire de faire appel à AWSSupport pour bénéficier de la protectionDDoS. AWSShield vous permet de protéger votre site web contre tous les types d’attaques DDoS, notamment les attaques ciblant la couche d’infrastructure (comme les inondations UDP), les attaques de type «state exhaustion» (comme les inondations TCP SYN) et les attaques visant la couche d’application (comme les inondations HTTP GET ou POST). Pour obtenir des exemples, consultez le Guide du développeur AWSWAF.AWS Shield Standard est activé automatiquement pour tous les clients AWS sans frais supplémentaires.AWS Shield Advancedest un service payant optionnel. AWSShieldAdvanced offre des protections supplémentaires contre les attaques de plus grande ampleur et plus sophistiquées pour vos applications qui s’exécutent sur Amazon EC2, Elastic Load Balancing, Amazon CloudFront, AWS Global Accelerator et Amazon Route53. AWS Shield Advanced est disponible pour tous les clients. Toutefois, pour contacter l’équipe d’intervention DDoS, les clients doivent bénéficier d’un contrat de support Enterprise ou Business auprès d’AWS Support. pacon a la section 5 su'il s'agit de la sécursation des données sur AWS Le chiffrement des données est un outil essentiel à utiliser lorsque votre objectif est de protéger les données numériques. Le chiffrement prend des données lisibles et les code de manière à les rendre illisibles pour toute personne n’ayant pas accès à la clé secrète utilisée pour les décoder. Même si une personne non autorisée accède à vos données, elle ne peut pas les exploiter. Les données au repos font référence aux données qui sont physiquement stockées sur disque ou sur bande. Vous pouvez créer des systèmes de fichiers chiffrés sur AWS afin que toutes vos données et métadonnées soient chiffrées au repos à l’aide de l’algorithme de chiffrement avancé Advanced Encryption Standard (AES)-256, utilisant une norme ouverte. Lorsque vous utilisez AWS KMS, le chiffrement et le déchiffrement sont gérés de manière automatique et transparente, de sorte que vous n’avez pas besoin de modifier vos applications. Si votre organisation est soumise à des stratégies d’entreprise ou réglementaires qui exigent le chiffrement des données et des métadonnées au repos, AWS recommande d’activer le chiffrement sur tous les services qui stockent vos données. Vous pouvez chiffrer les données stockées dans n’importe quel service pris en charge par AWS KMS. Pour une liste des services pris en charge, découvrez comment les services AWS utilisent AWS KMS. Les données en transit font référence aux données qui se déplacent sur le réseau. Le chiffrement des données en transit est réalisé à l’aide du protocole Transport Layer Security (TLS)1.2 avec un chiffrement AES-256 standard ouvert.TLS s’appelait auparavant Secure Sockets Layer (SSL).AWS Certificate Managerest un service qui vous permet de mettre en service, gérer et déployer des certificats SSL ou TLS à utiliser avec les services AWS et vos ressources internes connectées. Les certificats SSL ou TLS sont utilisés pour sécuriser les communications réseau et pour établir l’identité des sites web par Internet, ainsi que celle des ressources présentes sur les réseaux privés. Avec AWS Certificate Manager, vous pouvez demander un certificat, puis le déployer sur une ressource AWS, telle qu’un équilibreur de charge ou des distributions CloudFront. AWS Certificate Manager s’occupe également du renouvellement des certificats.Le trafic web qui passe par le protocole HTTP n’est pas sécurisé. En revanche, le trafic qui passe via le protocole HTTP sécurisé, ou HTTPS, est chiffré à l’aide du protocole TLS ou SSL. Le trafic HTTPS est protégé contre les écoutes et les attaques de type intercepteur (MITM) grâce au chiffrement bidirectionnel de la communication.Les services AWS prennent en charge le chiffrement des données en transit. Deux exemples de chiffrement de données en transit sont présentés. Le premier exemple montre une instance EC2 qui a monté un système de fichiers partagé Amazon EFS. Tout le trafic de données entre l’instance et Amazon EFS est chiffré avec TLS ou SSL. Pour plus d’informations sur cette configuration, consultez Chiffrement des données EFS en transit.Le deuxième exemple montre l’utilisation d’AWS Storage Gateway, un service de stockage dans le cloud hybride qui fournit un accès sur site au stockage dans AWS Cloud. Dans cet exemple, Storage Gateway est connecté par Internet à Amazon S3, et la connexion chiffre les données en transit. Par défaut, tous les compartiments S3 sont privés, et seuls les utilisateurs auxquels l’accès a été explicitement accordé peuvent y accéder. Il est essentiel de gérer et de contrôler l’accès aux données Amazon S3. AWS fournit de nombreux outils et options pour contrôler l’accès à vos compartiments S3 et aux objets, y compris:•Utilisation d’Amazon S3 Block Public Access. Ces paramètres supplantent toutes les autres stratégies ou autorisations d’objet. Activez Block Public Access(Bloquer l’accès public) pour tous les compartiments pour lesquels vous ne voulez pas autoriser un accès public. Cette fonctionnalité fournit une méthode simple pour éviter l’exposition involontaire des données Amazon S3.•Écriture de stratégies IAMqui spécifie que les utilisateurs peuvent accéder à des compartiments et des objets spécifiques. Cette méthode a été examinée en détail plus tôt dans ce module.•Écriture de stratégies de compartimentqui définissent l’accès à des compartiments ou des objets spécifiques. Cette option est généralement utilisée lorsque l’utilisateur ou le système ne peut pas s’authentifier à l’aide d’IAM. Les stratégies de compartiment peuvent être configurées pour accorder l’accès entre les comptes AWS ou pour accorder un accès public ou anonyme aux données Amazon S3. Si des stratégies de compartiment sont utilisées, elles doivent être définies avec soin et testées de manière exhaustive. Vous pouvez spécifier une déclaration de refus dans une stratégie de compartiment pour restreindre l’accès. L’accès sera restreint, même si les utilisateurs disposent d’autorisations accordées dans le cadre d’une stratégie basée sur l’identité, qui est attachée à l’utilisateur. •Définissez des listes de contrôle d’accès (ACL)sur vos compartiments et objets. Les ACL sont moins couramment utilisées (les ACL sont antérieures à IAM). Si vous utilisez des ACL, ne définissez pas un accès trop ouvert ou permissif.•AWS Trusted Advisorpropose une fonction de vérification des autorisations des compartiments, qui est un outil utile pour vérifier si l’un des compartiments de votre compte possède des autorisations qui accordent un accès global. pacon a la section 6 qu'il s'agit efforts pour assurer la comformuté AWS fait appel à des organismes externes de certification et à des auditeurs indépendants pour fournir aux clients des informations relatives aux stratégies, aux processus et aux contrôles établis et gérés par AWS: Une liste complète des programmes de conformité AWSest disponible. En outre, pour plus d’informations sur les services AWS couverts par les programmes d’assurance AWS, consultez Services AWS couverts par le programme de conformité.Comme exemple de certificationpour laquelle vous pouvez utiliser les services AWS pour atteindre vos objectifs de conformité, considérez la certification ISO/IEC 27001:2013. Elle spécifie les exigences relatives à l’établissement, à la mise en œuvre, à la gestion et à l’amélioration continue d’un système de gestion de la sécurité de l’information. La base de cette certification est l’élaboration et la mise en œuvre d’un programme de sécurité rigoureux qui comprend l’élaboration et la mise en place d’un système de gestion de la sécurité de l’information. Le système de gestion de la sécurité de l’information requis dans le cadre de cette norme définit la manière dont AWS gère en permanence la sécurité de façon globale.AWS fournit également des fonctions de sécurité et des accords juridiques qui sont conçus pour aider les clients à respecter les réglementations et les lois courantes. La réglementation HIPAA (Health Insurance Portability and Accountability Act)en fait partie. Tout comme le Règlement européen général sur la protection des données (RGPD), protège les droits fondamentaux des personnes concernées au sein de l’Union européenne en matière de respect de la confidentialité et de protection des données personnelles. Il intègre des exigences très strictes qui améliorent et uniformisent les normes de protection, de sécurité et de conformité des données. Le centre RGPDcontient de nombreuses ressources pour aider les clients à respecter leurs exigences de conformité avec cette réglementation. AWSConfigest un service qui vous permet d’analyser, de contrôler et d’évaluer les configurations de vos ressourcesAWS. Il surveille et enregistre en permanence les configurations de vos ressources AWS et vous permet d’automatiser l’évaluation des configurations enregistrées par rapport aux configurations souhaitées. AWS Config vous permet d’examiner l’évolution des configurations et des relations entre les ressources AWS, d’explorer des historiques de configuration de ressources détaillés et de déterminer votre niveau de conformité global par rapport aux configurations spécifiées dans vos directives internes. Cela vous permet de simplifier l’audit de la conformité, l’analyse de la sécurité, la gestion des modifications et le diagnostic des défaillances opérationnelles.Comme vous pouvez le voir dans la capture d’écran du tableau de bord AWS Config illustrée ici, AWS Config conserve un inventaire de toutes les ressources qui existent dans le compte, puis vérifie la conformité des règles de configuration et des ressources. Les ressources jugées non conformes sont signalées pour que vous ayez connaissance des problèmes de configuration qui doivent être résolus dans le compte.AWSConfig est un service régional. Pour suivre les ressources entre les régions, vous devez l’activer dans chaque région que vous souhaitez utiliser. AWS Config offre une fonctionnalité d’agrégation qui permet d’afficher une vue agrégée des ressources sur plusieurs régions et même plusieurs comptes. AWS Artifact fournit des téléchargements à la demande des documents de sécurité et de conformité AWS, tels que les certifications AWS ISO, les rapports PCI (Payment Card Industry) et les rapports SOC (Service Organization Control). Ces documents (également appelés «artefacts d’audit») peuvent ensuite être adressés à des auditeurs ou régulateurs afin d’attester du niveau de sécurité et de conformité de l’infrastructure et des services AWS dont vous faites usage. Vous pouvez aussi en tirer parti afin d’évaluer votre propre architecture cloud et l’efficacité des contrôles effectués en interne dans votre entreprise. AWS Artifact ne fournit que des documents concernant AWS. Les clients AWS sont responsables de l’élaboration ou de l’obtention des documents qui prouvent la sécurité et la conformité de leurs applications. Vous pouvez également utiliser AWS Artifact pour examiner, accepter et suivre le statut des accords AWS tels que l’accord de partenariat commercial. Cet accord est généralement nécessaire pour les entreprises soumises à la loi HIPAA afin de s’assurer que les informations de santé sont correctement protégées. Avec AWS Artifact, vous pouvez accepter des accords avec AWS et désigner des comptes AWS qui peuvent légalement traiter des informations soumises à des restrictions spécifiques. Vous pouvez accepter un accord au nom de plusieurs comptes. Pour accepter des accords pour plusieurs comptes, utilisez AWS Organizations afin de créer une organisation. Pour en savoir plus, consultez Gestion des accords dans AWS Artifact.