pacon maintenant au module 5 ou an va voir la sécurité d'1WS cloud ,Chez Amazon Web

Services (AWS), la sécurité est la priorité numéro1. AWS offre un environnement de

cloud computing évolutif conçu pour offrir une disponibilité et une fiabilité
élevées, et fournir les outils qui vous permettent d’exécuter une large gamme
d’applications. La priorité d’AWS est d’aider à protéger la confidentialité,
l’intégrité et la disponibilité de vos systèmes et données, car c’est ce qui
maintient la confiance. Ce module présente l’approche AWS en matière de sécurité.
Cela inclut à la fois les contrôles dans l’environnement AWS et certains des
produits et fonctionnalités AWS que les clients peuvent utiliser pour atteindre
leurs objectifs de sécurité.
À la fin de ce module, vous devriez être en mesure d’effectuer les tâches
suivantes:•Identifier le modèle de responsabilité partagée•Identifier la
responsabilité du client et celle d’AWS•Identifier les utilisateurs, les groupes et
les rôles IAM•Décrire différents types d’identifiants de sécurité
dansIAM•Identifier la procédure de sécurisation d’un nouveau compteAWS•Explorer les
utilisateurs et les groupes IAM•Identifier la manière de sécuriser les données
AWS•Identifier les programmes de conformité AWS
pacon maintennat a la section 1 Modèle de responsabilité partagée AWS
AWS et le client se partagent la responsabilité de la sécurité et de la conformité.
Ce modèle de responsabilité partagée est conçu pour alléger la charge
opérationnelle du client. Dans le même temps, pour assurer la flexibilité et le
contrôle client qui permettent le déploiement de solutions client sur AWS, le
client reste responsable de certains aspects de la sécurité globale. La répartition
des responsabilités est souvent illustrée par le concept de sécurité du cloudpar
opposition à la sécurité dans le cloud.AWS exploite, gère et contrôle les
composants depuis la couche de virtualisation logicielle jusqu’à la sécurité
physique des installations dans lesquelles les servicesAWS opèrent.AWS se chargede
protéger l’infrastructure sur laquelle s’exécutent tous les services proposés dans
AWS Cloud. Cette infrastructure est composée du matériel, des logiciels, du réseau
et des installations exécutant les services d’AWS Cloud.Le client est responsabledu
chiffrement des données au repos et en transit. Il doit aussi s’assurer que le
réseau est configuré de manière à garantir sa sécurité, et que les autorisations de
sécurité et autres identifiants sont gérés de manière sûre. De plus, le client est
responsable de la configuration des groupes de sécurité et de la configuration du
système d’exploitation au niveau des instances de calcul qu’il lance (y compris les
mises à jour et les correctifs de sécurité).
AWS est responsable de la sécurité du cloud. Qu’est-ce que cela signifie?Dans un
modèle de responsabilité partagée, AWS exploite, gère et contrôle les composants,
allant du système d’exploitation hôte bare metal et de la couche de virtualisation
des hyperviseurs jusqu’à la sécurité physique des installations dans lesquelles les
services sont exploités. Autrement dit, AWS se charge de protéger l’infrastructure
mondiale sur laquelle s’exécutent tous les services proposés dans AWS Cloud. Cette
infrastructure mondiale inclut les régionsAWS, les zones de disponibilité et les
emplacements périphériques.AWS est responsable de l’infrastructure physique qui
héberge vos ressources, notamment:•La sécurité physique des centres de données avec
un accès contrôlé et basé sur les besoins, des installations secrètes, des gardes
en place 24h/24 et 7j/7, une authentification à deux facteurs, la consignation et
la vérification des accès, des systèmes de vidéosurveillance, la démagnétisation
des disques et leur destruction.•L’infrastructure matérielle,dont les serveurs, les
dispositifs de stockage et autres appareils sur lesquels s’appuient les services
AWS.•L’infrastructure logicielle,qui héberge les systèmes d’exploitation, les
applications de service et logiciels de virtualisation.•L’infrastructure réseau,
comme les routeurs, les commutateurs, les équilibreurs de charge, les pare-feu et
le câblage. AWS surveille également en permanence le réseau au niveau des
frontières externes, sécurise les points d’accès et fournit une infrastructure
redondante avec détection des intrusions.La protection de cette infrastructure est
la priorité absolue d’AWS. Bien que vous ne puissiez pas visiter les centres de
données ou les bureaux AWS pour voir cette protection de vos propres yeux, Amazon
vous fournit différents rapports venant d’auditeurs tiers, qui ont vérifié la
conformité avec un ensemble de normes et de réglementations de sécurité
informatique.
Tandis que l’infrastructure cloud est sécurisée et maintenue par AWS, les clients
sont responsables de la sécurité de tout ce qu’ils mettent dansle cloud. Le client
est responsablede ce qui est mis en œuvre à l’aide des services AWS et des
applications connectées à AWS. La procédure de sécurité que vous devez appliquer
dépend des services que vous utilisez et de la complexité de votre système.Les
responsabilités du client incluent la sélection et la sécurisation de tous les
systèmes d’exploitation d’instance, la sécurisation des applications lancées sur
les ressources AWS, les configurations de groupe de sécurité, les configurations de
pare-feu, les configurations réseau et la gestion sécurisée des comptes. Lorsque
les clients utilisent les services AWS, ils conservent un contrôle total de leur
contenu. Les clients sont responsables de la gestion des exigences critiques en
matière de sécurité des contenus, notamment: •Le contenu qu’ils ont choisi de
stocker sur AWS•Quels services AWS sont utilisés avec le contenu•Dans quel pays le
contenu est stocké•Le format et la structure de ce contenu et sa dissimulation, son
anonymisation ou son chiffrement•Les personnes qui ont accès à ce contenu et la
façon dont ces droits d’accès sont accordés, gérés et révoqués. Les clients
conservent le contrôle sur la sécurité qu’ils ont choisi de mettre en place pour
protéger leurs propres données, leur environnement, les applications,les
configurations IAM, ainsi que les systèmes d’exploitation
L’infrastructure en tant que service (IaaS) fait référence aux services qui
fournissent des composants de base pour l’Informatique dans le cloud. Cela comprend
généralement l’accès requis pour configurer le réseau, les ordinateurs (virtuels ou
sur du matériel dédié) et l’espace de stockage de données. Les services cloud qui
entrent dans la catégorie IaaSoffrent au client le niveau de flexibilité et de
contrôle de gestion le plus élevéde leurs ressources informatiques. Les services
IaaS s’apparentent aux ressources informatiques sur site que de nombreux services
informatiques connaissent bien.Les services AWS, comme Amazon EC2,peut être classé
comme des services IaaS. Dès lors, le client doit effectuer toutes les tâches de
configuration et de gestion de la sécurité nécessaires. Les clients qui déploient
les instances EC2 sont responsables de la gestion du système d’exploitation invité
(y compris les mises à jour et les correctifs de sécurité), de tout logiciel
d’application installé sur les instances et de la configuration des groupes de
sécurité fournis par AWS.La plateforme en tant que service (PaaS) désigne services
qui évitent au client de devoir gérer l’infrastructure sous-jacente (matériel,
systèmes d’exploitation, etc.). Les services PaaS permettent au client de se
concentrer entièrement sur le déploiement et la gestion des applications. Les
clients n’ont pas à se soucier de l’approvisionnement des ressources, de la
planification de la capacité, de la maintenance logicielle ou de l’application des
correctifs.Les services AWS tels qu’AWS Lambda etAmazon RDS peuvent être classés
dans la catégorie PaaS, carAWS gère la couche d’infrastructure, le système
d’exploitation et les plateformes. Les clients ont uniquement besoin d’accéder aux
points de terminaison pour stocker et récupérer leurs données. Avec les services
PaaS, les clients sont responsables de la gestion de leurs données, de la
classification de leurs ressources et de l’application des autorisations
appropriées. Toutefois, ces services ressemblent davantage à des services gérés,
AWS gérant une plus grande partie des exigences en matière de sécurité. Pour ces
services, AWS gère les tâches de sécurité de base, telles que l’application de
correctifs au système d’exploitation et aux bases de données, la configuration des
pare-feu et la reprise après sinistre.
Lelogiciel en tant que service (SaaS) désigne les services qui fournissent des
logiciels hébergés de manière centralisée qui sont généralement accessibles via un
navigateur Web, une application mobile ou une interface de programmation
d’applications (API). Le modèle de licence des offres SaaS est généralement un
abonnement ou un paiement à l’utilisation. Avec les offres SaaS, les clients n’ont
pas besoin de gérer l’infrastructure qui prend en charge le service. Certains
services AWS, comme AWS Trusted Advisor, AWS Shieldet Amazon Chime, peuvent être
classés dans la catégorie des offres SaaS, compte tenu de leurs
caractéristiques.AWS Trusted Advisorest un outil en ligne qui analyse votre
environnement AWS et offre des conseils et des recommandations en temps réel pour
vous aider à allouer vos ressources en suivant les bonnes pratiques AWS. Le service
Trusted Advisor est proposé dans le cadre de votre programme de support AWS.
Certaines fonctionnalités de Trusted Advisor sont gratuites pour tous les comptes,
mais les clients Business Support et Enterprise Support ont accès à l’ensemble
complet des vérifications et des recommandations de Trusted Advisor.AWSShieldest un
service de protection contre le déni de service distribué (DDoS) géré. Il protège
les applications s’exécutant sous AWS. Il assure une détection continue et intègre
l’atténuation automatique des risques afin de minimiser les interruptions et la
latence des applications. Il n’est donc pas nécessaire de faire appel à AWSSupport
pour bénéficier de la protectionDDoS. AWS Shield Advanced est disponible pour tous
les clients. Toutefois, pour contacter l’équipe d’intervention DDoS, les clients
doivent bénéficier d’un contrat de support Enterprise ou Business auprès d’AWS
Support.Amazon Chimeest un service de communication qui vous permet de vous réunir
et de discuter avec vos collaborateurs, mais également de passer des appels
professionnels au sein de votre organisation comme en dehors, le tout à partir
d’une simple application.Il s’agit d’un service de communication facturé à
l’utilisation sans frais initiaux, sans engagement et sans contrat de longue durée.
pacon maintennat a la section 2 : AWS identify and access managemement
AWS Identity and Access Management (IAM)vous permet de contrôler les accès aux
services de calcul, de stockage, de base de données et d’application dans AWS
Cloud. IAM peut être utilisé pour gérer l’authentification et pour spécifier et
appliquer des stratégies d’autorisation pour vous permettre de spécifier quels
utilisateurs peuvent accéder à quels services. IAM est un outil qui gère de manière
centralisée l’accès aux ressources de lancement, de configuration, de gestion et de
résiliation de votre compte AWS. Il implique un contrôle précis de l’accès aux
ressources, y compris la possibilité de spécifier exactement quels appels
d’APIl’utilisateur est autorisé à effectuer pour chaque service. Que vous utilisiez
AWS Management Console, AWS CLI ou les kits de développement logiciel (SDK) AWS,
chaque appel à un service AWS est un appel d’API.Avec IAM, vous pouvez gérer
quellesressources sont accessibles à quels utilisateurset comment ils peuvent y
accéder.Vous pouvez accorder différentes autorisations à différents utilisateurs
concernant différentes ressources. Par exemple, vous pouvez accorder à certains
utilisateurs un accès complet à Amazon EC2, Amazon S3, Amazon DynamoDB, Amazon
Redshift et d’autres services AWS. Cependant, pour d’autres utilisateurs, vous
pouvez autoriser uniquement l’accès en lecture seule à quelques compartiments S3.
De même, vous pouvez autoriser d’autres utilisateurs à administrer uniquement des
instances EC2 spécifiques. Vous pouvez également autoriser quelques utilisateurs à
accéder uniquement aux informations de facturation du compte et à rien d’autre.IAM
est une fonction de votre compte AWS offerte gratuitement.
Pour comprendre comment utiliser IAM pour la sécurisation de votre compte AWS, il
est important de connaître le rôle et la fonction de chacun des quatre composants
IAM.Un utilisateur IAM est une personne ou une application qui est définie dans un
compte AWS et qui doit effectuer des appels d’API vers les produits AWS. Chaque
utilisateur doit posséder un nom unique (sans espaces dans le nom) dans le compte
AWS et un ensemble d’autorisations de sécurité qui ne sont pas partagées avec
d’autres utilisateurs. Ces autorisations sont différentes des autorisations de
sécurité de l’utilisateur racine du compte AWS. Chaque utilisateur est défini dans
un seul compte AWS.Un groupeIAMest un ensemble d’utilisateursIAM. Vous pouvez
utiliser des groupes IAM pour simplifier la spécification et la gestion des
autorisations pour plusieurs utilisateurs.Une stratégie IAM est un document qui
définit les autorisations permettant de déterminer les opérations que les
utilisateurs peuvent effectuer dans le compte AWS. Une stratégie accorde
généralement l’accès à des ressources spécifiques et définit les actions que
l’utilisateur peut effectuer avec ces ressources. Les stratégies peuvent également
refuser explicitement l’accès.Un rôle IAMest un outil permettant d’accorder un
accès temporaire à des ressources AWS spécifiques dans un compte AWS.
L’authentification est un concept de sécurité informatique de base selon lequel un
utilisateur ou un système doit d’abord prouver son identité. Pensez à la façon dont
vous vous authentifiez lorsque vous vous rendez à l’aéroport et que vous voulez
passer la sécurité pour ne pas rater votre vol. Dans ce cas, vous devez présenter
une pièce d’identité au responsable de la sécurité afin de prouver votre identité
avant de pouvoir entrer dans une zone réglementée. Un concept similaire s’applique
à l’accès aux ressources AWS dans le cloud. Lorsque vous définissez un utilisateur
IAM, vous sélectionnez le type d’accès qui lui est attribué pour accéder aux
ressources AWS. Vous pouvez attribuer deux types d’accès différents aux
utilisateurs: l’accès par programmation et l’accès à AWS Management Console. Vous
pouvez soit attribuer un accès en programmation ou un accès à la console
uniquement, soit les deux types d’accès simultanément.Si vous accordez un accès par
programmation, l’utilisateur IAM devra présenter un ID de clé d’accèset une clé
d’accès secrètelorsqu’il effectuera un appel d’API AWS à l’aide de l’AWS CLI, du
kit SDK AWS ou d’un autre outil de développement.Si vous accordez l’accès à AWS
Management Console, l’utilisateur IAM devra remplir les champs qui s’affichent dans
la fenêtre de connexion du navigateur. Il devra fournir l’ID de compte à 12chiffres
ou l’alias de compte correspondant. L’utilisateur devra également saisir son nom
d’utilisateur et son mot de passe IAM. Si l’authentification multifacteur (MFA)est
activée, il sera également invité à saisir un code d’authentification.
Les services et ressources AWS sont accessibles à l’aide d’AWS Management Console,
d’AWS CLI ou via des SDK et des API. Pour une sécurité optimale, nous vous
recommandons d’activer la sécurité MFA. Avec l’authentification MFA, les
utilisateurs et les systèmes doivent fournir un jeton MFA, en plus des identifiants
de connexion habituels, avant de pouvoir accéder aux services et ressources AWS.
Les options de génération du jeton d’authentification MFA incluent les applications
virtuelles compatibles avec MFA(comme Google Authenticator ou Authy 2-Factor
Authentication), les clés de sécurité U2Fet les périphériques MFA matériels.
L’autorisationest le processus qui consiste à déterminer les autorisationsà
accorder à un utilisateur, à un service ou à une application. Une fois authentifié,
l’utilisateurdoit avoir l’autorisation d’accéder aux services AWS. Par défaut, les
utilisateurs IAM ne sont pas autorisés à accéder aux ressources ni aux données d’un
compte AWS. Au lieu de cela, vous devez explicitement accorder des autorisations à
un utilisateur, groupe ou rôle en créant unestratégie,qui est un document au format
JavaScript Object Notation (JSON). Une stratégie répertorie les autorisations qui
acceptentou refusent l’accès aux ressources du compte AWS.
Pour attribuer une autorisation à un utilisateur, un groupe ou un rôle, vous devez
créer une stratégie IAM(ou rechercher une stratégie existante dans le compte). Il
n’existe aucune autorisation par défaut. Toutes les actions du compte sont refusées
à l’utilisateur par défaut (refus implicite) à moins que ces actions ne soient
explicitement autorisées. Toute action que vous n’autorisez pas explicitement est
refusée. Toute action que vous refusez de façon explicite sera toujours refusée.Le
principe du moindre privilègeest un concept important en matière de sécurité
informatique. Il favorise l’octroi à l’utilisateur du minimum de privilèges
nécessaires en fonction de ses besoins. Lorsque vous créez des stratégies IAM, il
est recommandé de suivre le conseil de sécurité consistant à accorder le moindre
privilège. Déterminez les tâches que les utilisateurs doivent effectuer et élaborez
des stratégies leur permettant de réaliser uniquement ces tâches. Commencez avec un
minimum d’autorisations et accordez-en d’autres si nécessaire. Cette méthode est
plus sûre que de commencer avec des autorisations trop permissives, puis d’essayer
de les restreindre ultérieurement.Remarque: la portée des configurations de service
IAM est mondiale. Les paramètres ne sont pas définis au niveau de la région AWS.
Les paramètres IAM s’appliquent à toutes les régions AWS.
Une stratégie IAM est une déclaration formelle des autorisations qui sont accordées
à une entité. Les stratégies peuvent être attachées à n’importe quelle entité IAM.
Parmi les entités, citons les utilisateurs, les groupes, les rôles ou les
ressources. Par exemple, vous pouvez associer une stratégie à des ressources AWS de
manière à bloquer toutes les requêtes ne provenant pas d’une plage d’adressesIP
approuvées. Les stratégies spécifient les actions qui sont autorisées, sur quelles
ressources autoriser les actions et l’effet que cela aura lorsque l’utilisateur
sollicitera l’accès aux ressources.L’ordre d’évaluation des stratégies n’a aucun
impact sur le résultat de l’évaluation. Toutes les stratégies sont évaluées et le
résultat indique toujours si la demande est autorisée ou refusée. En cas de
conflit, la stratégie la plus restrictive prime.Il existe deux types de stratégies
IAM. Les stratégies basées sur l’identité sont des stratégies d’autorisation que
vous pouvez attacher à un mandataire ou à une identité, comme un utilisateur, un
rôle ou un groupe IAM. Ces stratégies contrôlent les actions que peut effectuer
cette identité, sur quelles ressources et dans quelles conditions. Les stratégies
basées sur l’identité peuvent être classées comme suit:•Stratégies gérées:
stratégies autonomes basées sur une identité que vous pouvez attacher à plusieurs
utilisateurs, groupes et rôles dans votre compte AWS.•Stratégies
intégrées:stratégies que vous créez et gérez et qui sont intégrées directement à un
utilisateur, groupe ou rôle.Les stratégies basées sur les ressources sont des
documents de stratégie au format JSON que vous associez à une ressource, telle
qu’un compartiment S3. Ces stratégies contrôlent les actions qu’un mandataire
spécifique peut effectuer sur cette ressource et dans quelles conditions.
Comme mentionné précédemment, les documents de stratégie IAM sont écrits en
JSON.Cet exemple de stratégie IAM permet aux utilisateurs d’accéder uniquement à
certaines ressources.•Table DynamoDB dont le nom est de la forme table-
name.•Compartiment S3 du compte AWS dont le nom est représenté par bucket-nameet
tous les éléments qu’il contient.Cette stratégie IAM inclut également un élément de
refus explicite ("Effect":"Deny"). L’élément NotResource permet de garantir que les
utilisateurs ne peuvent pas exploiter d’autres actions ou ressources DynamoDB ou
S3, à l’exception de celles spécifiées dans la stratégie, même si des autorisations
ont été accordées dans une autre stratégie. Une déclaration de refus explicite est
prioritaire sur une déclaration d’autorisation.
Alors que les stratégies basées sur l’identité sont attachées à un utilisateur, un
groupe ou un rôle, les stratégies basées sur les ressources sont attachées à une
ressource telle qu’un compartiment S3. Ces stratégies spécifient qui peut accéder à
la ressource et quelles actions y sont possibles. Les stratégies basées sur les
ressources sont définies de manière intégréeuniquement. Autrement dit, vous
définissez la stratégie au niveau de la ressource elle-même, au lieu de créer un
document de stratégie IAM distinct que vous attachez. Par exemple, pour créer une
stratégie de compartiment S3 (un type de stratégie basée sur les ressources) sur un
compartiment S3, accédez au compartiment, cliquez sur l’onglet
Permissions(Autorisations), cliquez sur le bouton Bucket Policy (Stratégie de
compartiment) et définissez-y le document de stratégie au format JSON. Une liste de
contrôle d’accès (ACL) Amazon S3 est un autre exemple de stratégie basée sur les
ressources.Le diagramme montre deux manières distinctes d’accorder à l’utilisateur
MaryMajorl’accès aux objets du compartiment S3 nommé photos. Sur la gauche, figure
un exemple de stratégie basée sur l’identité. Une stratégie IAM qui accorde l’accès
au compartiment S3 est attachée à l’utilisateur MaryMajor. Sur la droite, figure un
exemple de stratégie basée sur les ressources. La stratégie de compartiment S3 pour
le compartiment photosspécifie que l’utilisateur MaryMajor est autorisé à
répertorier et à lire les objets du compartiment. Notez que vous pouvez définir une
instruction de refus dans une stratégie de compartiment pour restreindre l’accès à
des utilisateurs IAM spécifiques, même si les utilisateurs se voient accorder
l’accès dans une stratégie distincte basée sur l’identité. Une déclaration de refus
explicite est toujours prioritaire sur une déclaration d’autorisation.
Les stratégies IAM vous permettent d’affiner les privilèges accordés aux
utilisateurs, groupes et rôles IAM. Lorsqu’IAM détermine si une autorisation est
accordée, IAM vérifie d’abord si une stratégie de refus explicitea été appliquée.
S’il n’existe aucun refus explicite, il recherche alors toute stratégie
d’autorisation expliciteapplicable. Si aucune stratégie de refus ou d’autorisation
explicite n’est définie, IAM applique l’option par défaut, qui consiste à refuser
l’accès. Ce processus est appelé refus implicite. L’utilisateur sera autorisé à
effectuer l’action uniquement si l’action demandée n’est pasexplicitement refusée
et si elle est explicitement autorisée.Il peut être difficile de déterminer si
l’accès à une ressource sera accordé à une entité IAM lorsque vous développez des
stratégies IAM. Le simulateur de stratégie IAMest un outil utile pour tester et
dépanner les stratégies IAM.
Un groupeIAM est un ensemble d’utilisateurs IAM. Les groupes IAM offrent un moyen
pratique de spécifier des autorisations pour un ensemble d’utilisateurs, ce qui
peut faciliter la gestion des autorisations pour ces derniers. Par exemple, vous
pouvez créer un groupe IAM appelé Développeurs et attacher une ou plusieurs
stratégies IAM à ce groupe pour accorder les autorisations d’accès aux ressources
AWS dont les développeurs ont généralement besoin. Tout utilisateur que vous
ajouterez ensuite au groupe Développeurs disposera automatiquement des
autorisations attribuées à ce groupe. Dans ce cas, vous n’avez pas besoin
d’attacher la stratégie IAM ou les stratégies IAM directement à l’utilisateur. Si
un nouvel utilisateur rejoint votre organisation et requiert des privilèges de
développeur, il vous suffit de l’ajouter au groupe Développeurs. De même, si une
personne change de travail dans votre organisation, au lieu de modifier ses
autorisations, il vous suffit de supprimer cet utilisateur du
groupe.Caractéristiques importantes des groupes IAM:•Un groupe peut contenir de
nombreux utilisateurs, et un utilisateur peut appartenir à plusieurs groupes.•Les
groupes ne peuvent pas être imbriqués. Un groupe ne peut contenir que des
utilisateurs et ne peut pas contenir d’autres groupes.•Il n’existe pas de groupe
par défaut qui inclut automatiquement tous les utilisateurs du compte AWS. Si vous
souhaitez avoir un groupe avec tous les utilisateurs du compte, vous devez créer le
groupe et y ajouter chaque nouvel utilisateur.
Un rôle IAM est une identitéIAM que vous pouvez créer dans votre compte et qui
dispose d’autorisations spécifiques. Un rôle IAM est similaire à un utilisateur
IAM, car il s’agit également d’une identité AWS à laquelle vous pouvez attacher des
stratégies d’autorisation, et ces autorisations déterminent ce que l’identité peut
et ne peut pas faire dans AWS. Cependant, au lieu d’être associé à une seule
personne, un rôle peut être endossé par tous ceux qui en ont besoin. En outre, un
rôle ne dispose pas d’informations d’identification standard à long-terme comme un
mot de passe ou des clés d’accès associées. Aulieu de cela, lorsque vous adoptez un
rôle, il vous fournit des autorisations de sécurité temporaires pour votre session
de rôle.Vous pouvezutiliser les rôles pour déléguer des accès à des utilisateurs,
des applications ou des services qui, en temps normal, n’ont pas accès à vos
ressources AWS. Par exemple, vous pouvez accorder aux utilisateurs de votre compte
AWS l’accès à des ressources dont ils ne disposent pas en temps normal, ou accorder
aux utilisateurs d’un compte AWS l’accès aux ressources d’un autre compte. Il est
également possible d’autoriser une application mobile à utiliser des ressourcesAWS,
sans pour autant intégrer de clés AWS dans l’application (où leur rotation peut
être difficile et d’où les utilisateurs peuvent éventuellement les extraire et les
utiliser à mauvais escient). De plus, il se peut que vous souhaitiez parfois
accorder l’accès AWS à des utilisateurs qui ont déjà des identités définies en
dehors d’AWS, comme dans votre annuaire d’entreprise. Ou, vous pouvez avoir besoin
d’accorder l’accès à votre compte à des tiers afin qu’ils puissent effectuer un
audit sur vos ressources. Pour tous ces exemples de cas d’utilisation, les rôles
IAM sont un composant essentiel à la mise en œuvre du déploiement cloud.
Dans ce diagramme, un développeur exécute une application sur une instance EC2 qui
nécessite l’accès au compartiment S3 qui est nommé photos. Un administrateur crée
le rôle IAM et l’attache à l’instance EC2. Ce rôle inclut une stratégie
d’autorisations qui accorde un accès en lecture seule au compartiment S3 spécifié.
Il comprend également une stratégie de confiance qui permet à l’instance EC2
d’endosser le rôle et de récupérer les autorisations temporaires. Lorsque
l’application s’exécute sur l’instance, elle peut accéder au compartiment photos
avec les autorisations temporaires du rôle. L’administrateur n’a pas besoin
d’accorder au développeur l’autorisation d’accéder au compartiment photos, et le
développeur n’a à aucun moment besoin de partager ni de gérer ses autorisations.
pacon maintenant a la section 3 : sécursation d'un nouveau compte AWS
Lorsque vous créez un compte AWS, vous commencez avec une seule identité de
connexion disposant d’un accès complet à tous les services et ressources AWS du
compte. Cette identité est appelée utilisateur racine du compte AWSet elle est
accessible en se connectant à AWS Management Console à l’aide de l’adresse e-mail
et du mot de passe utilisés pour la création du compte. Les utilisateurs racines du
compte AWS ont un accès complet à toutes les ressources du compte. Pour cette
raison, AWS recommande fortement de ne pas utiliser les autorisations du compte
racine pour vos interactions quotidiennes avec le compte.À la place, utilisez IAM
pour créer des utilisateurs supplémentaires auxquels vous attribuerez des
autorisations sur la base du principe du moindre privilège. Par exemple, si vous
avez besoin d’autorisations de niveau administrateur, vous pouvez créer un
utilisateur IAM, lui accorder l’accès complet, puis utiliser ces informations
d’identification pour interagir avec le compte. Si plus tard vous avez besoin de
modifier ou d’annuler vos autorisations, vous pouvez supprimer ou modifier les
stratégies qui sont associées à cet utilisateur IAM. D’autre part, si plusieurs
utilisateurs ont besoin d’accéder à ce compte, vous pouvez créer des autorisations
uniques pour chaque utilisateur et définir qui a accès à quelles ressources. Par
exemple, vous pouvez créer des utilisateurs IAM avec un accès en lecture seule aux
ressources de votre compte AWS et distribuer ces informations d’identification à
vos utilisateurs, selon les besoins. Il est recommandé de ne pas partager les mêmes
informations d’identification avec plusieurs utilisateurs.
Pour arrêter d’utiliser l’utilisateur racine du compte, procédez comme suit:1.Alors
que vous êtes connecté en tant qu’utilisateur racine du compte, créez un
utilisateur IAM pour vous-même avec l’accès à AWS Management Console activé (mais
n’attachez pas encore d’autorisations à l’utilisateur). Enregistrez les clés
d’accès de l’utilisateur IAM si nécessaire.2.Ensuite, créez un groupe IAM, donnez-
lui un nom (tel que FullAccess) et attachez des stratégies IAM au groupe pour
accorder un accès complet à au moins quelques-uns des services que vous utiliserez.
Ajoutez ensuite l’utilisateur IAM au groupe. 3.Désactivez et supprimez les clés
d’accès de l’utilisateur racine de votre compte, si elles existent.4.Activez une
stratégie de mot de passe pour tous les utilisateurs. Copiez le lien de connexion
de l’utilisateur IAMà partir de la page du tableau de bord IAM. Ensuite,
déconnectez-vous en tant qu’utilisateur racine du compte.5.Accédez au lien de
connexion de l’utilisateur IAM que vous avez copié, puis connectez-vous au compte à
l’aide de vos nouvelles informations d’identification d’utilisateur IAM. 6.Stockez
les autorisations de l’utilisateur racine de votre compte dans un endroit sécurisé.
Pour afficher des instructions détaillées sur la configuration de votre premier
utilisateur IAM et de votre premier groupe IAM, consultez Création de votre premier
utilisateur et groupe administrateur IAM.
Une autre étape recommandée pour sécuriser un nouveau compte AWS consiste à exiger
l’authentification multifacteur (MFA) pour la connexion de l’utilisateur racine du
compte et pour toutes les autres connexions d’utilisateur IAM. Vous pouvez
également utiliser l’authentification MFA pour contrôler l’accès par
programmation.Pour en savoir plus, consultez Configuration de l’accès aux API
protégé par MFA.Plusieurs options s’offrent à vous pour récupérer le jeton MFA
nécessaire pour se connecter lorsque l’authentification MFA est activée. Parmi ces
options citons les applications virtuelles compatibles MFA (telles que Google
Authenticator et Authy Authenticator), les clés de sécurité U2F et les
périphériques MFA matériels avec des outils de génération automatique de clés ou
des cartes d’affichage.
AWS CloudTrail est un service qui journalise toutes les demandes d’API dans les
ressources de votre compte. De cette manière, il permet un audit opérationnel de
votre compte. AWS CloudTrail est activé par défaut lors de la création de tous les
comptes AWS et conserve un enregistrement des 90 derniers jours d’activité des
événements de gestion de compte. Vous pouvez afficher et télécharger les 90derniers
jours d’activité de votre compte pour les opérations de création, modificationet
suppressiondes services pris en charge par CloudTrailsans avoir à configurer
manuellement un autre journal d’activité. Pour activer la conservation des journaux
CloudTrail au-delà des 90derniers jours et pour être notifié chaque fois que des
événements spécifiques se produisent, créez un autre journal d’activité (comme
décrit grossièrement sur la diapositive). Pour obtenir des instructions détaillées
sur la création d’un journal d’activité dans AWS CloudTrail, consultezcette
sectiondans la documentation AWS.
Une étape supplémentaire recommandée pour sécuriser un nouveau compte AWS consiste
à activer les rapports de facturation, tel que le rapport d’utilisation et de coût
AWS. Les rapports de facturation fournissent des informations relatives à votre
utilisation des ressourcesAWS et aux coûts estimés pour cette utilisation. AWS
transmet ces rapports à un compartiment AmazonS3 que vous spécifiez, puis les met à
jour au moins une fois par jour. AWS Cost and Usage Report permet de suivre
l’utilisation du compte AWS et indique les frais estimés à l’heure ou à la
journée.Pour plus d’informations sur la création d’un rapport d’utilisation et de
coût AWS, consultez la documentation AWS.
pacon a la section 4 qui est la sécurisation des comptes
AWS Organizationsest un service de gestion de comptes qui vous permet de consolider
plusieurs comptes AWS dans une organisation que vous créez et gérez de façon
centralisée. L’accent est mis sur les fonctionnalités de sécurité fournies par AWS
Organizations. Une fonction de sécurité utile est que vous pouvez regrouper
plusieurs comptes en unités d’organisation, ou UO, et attacher différentes
stratégies d’accès à chacune d’elles. Par exemple, si certains comptes ne doivent
être autorisés à accéder qu’aux services AWS qui répondent à certaines exigences
réglementaires, vous pouvez les placer dans une unité d’organisation. Vous pouvez
ensuite définir une stratégie qui bloque l’accès de l’unité d’organisation aux
services qui ne répondent pas à ces exigences, puis attacher cette stratégie à
l’unité d’organisation. Une autre fonctionnalité de sécurité est qu’AWS
Organizations s’intègre à IAM. AWS Organizations étend ce contrôle au niveau du
compte en vous permettant de contrôler les opérations que les utilisateurs et les
rôles d’un compte ou d’un groupe de comptes peuvent effectuer. Les autorisations
résultantes sont à la croisée des autorisations accordées par AWS Organizations et
des autorisations accordées explicitement par IAM dans le compte pour cet
utilisateur ou ce rôle. L’utilisateur ne peut accéder qu’à ce qui est autorisé à la
foispar les stratégies AWSOrganisations et les stratégies IAM.
Enfin, AWS Organizations fournit des stratégies de contrôle des services (SCP) qui
vous permettent de spécifier les autorisations maximales que les comptes membres de
l’organisation peuvent avoir. Les SCP vous permettent d’imposer des restrictions
sur les services AWS et les ressources, ainsi que sur les actions individuelles
auxquelles les utilisateurs et les rôles de chaque compte membre peuvent accéder.
Ces restrictions supplantent même celles des administrateurs des comptes
membres.Lorsqu’AWS Organizations bloque l’accès à un service, une ressource ou une
action d’API, tout utilisateur ou rôle dans ce compte ne peut y accéder, même si un
administrateur d’un compte membre accorde explicitement ces autorisations.*
Voici un examen plus approfondi de la fonctionnalité Stratégies de contrôle des
services (SCP)dans AWS Organizations. Les SCP offrent un contrôle central sur les
autorisations maximales disponiblespour tous les comptes de votre organisation, ce
qui vous permet de vous assurer que vos comptes respectent les directives de
contrôle d’accès de votre organisation. Les SCP sont disponibles uniquement dans
une organisation ayant toutes les fonctions activées, y compris la facturation
consolidée. Elles ne sont pas disponibles si votre organisation n’a activé que les
fonctions de facturation consolidée. Pour obtenir des instructions sur l’activation
des SCP, consultez Activation et désactivation d’un type de stratégie sur une
racine.Les SCP sont similaires aux stratégies d’autorisations IAM et utilisent
presque la même syntaxe. Cependant, une SCP n’accorde jamais d’autorisations. Il
s’agit de stratégies JSON qui spécifient les autorisations maximales pour une
organisation ou une unité d’organisation. L’association d’une SCP à la racine de
l’organisation ou à une unité d’organisation (OU) définit une protection pour les
actions que les comptes de cette racine ou de l’OU peuvent effectuer. Cependant,
elle ne supplante pas les configurations IAM bien gérées au sein de chaque compte.
Vous devez toujours attacher des stratégies IAMaux utilisateurs et aux rôles dans
les comptes de votre organisation pour accorder réellement des autorisations
d’utilisation.
AWS Key Management Service (AWS KMS) est un service qui vous permet de créer et de
gérer des clés de chiffrement, et de contrôler l’utilisation du chiffrement dans un
large éventail de services AWS et au sein de vos applications. AWS KMS est un
service sécurisé et résilient qui utilise des modules de sécurité matériels (HSM)
validés (ou en cours de validation) selon la norme FIPS140-2pour protéger vos clés.
AWSKMS est également intégré à AWSCloudTrail pour vous fournir des journaux
contenant des informations sur toutes les utilisations de vos clés, afin de vous
aider à répondre à vos besoins en matière de réglementation et de conformité.Les
clés principales client (CMK) sont utilisées pour contrôler l’accès aux clés de
chiffrement des données permettant de chiffrer et déchiffrer vos données. Vous
pouvez créer d’autres clés quand vous le souhaitez, et gérer qui y a accès et qui
peut les utiliser. Vous pouvez aussi importer des clés dans KMS à partir de votre
propre infrastructure de gestion de clés. AWS KMS s’intègre à la plupart des
services AWS. Autrement dit, vous pouvez utiliser les clés CMK AWS KMS pour
contrôler le chiffrement des données que vous stockez dans ces services.Pour en
savoir plus, consultez Fonctionnalités d’AWS Key Management Service.
AmazonCognito fournit des solutions pour contrôler l’accès aux ressources AWS à
partir de votre application. Vous pouvez définir des rôles et mapper des
utilisateurs à des rôles différents afin que votre application ne puisse accéder
qu’aux ressources autorisées pour chaque utilisateur.Amazon Cognito utilise des
normes communes de gestion des identités, telles que Security Assertion Markup
Language (SAML)2.0.Le langage SAML est une norme ouverte pour l’échange
d’informations d’identité et de sécurité avec des applications et des fournisseurs
de services. Les applications et les fournisseurs de services qui prennent en
charge SAML vous permettent de vous connecter à l’aide des informations
d’identification de votre annuaire d’entreprise, telles que votre nom d’utilisateur
et votre mot de passe Microsoft ActiveDirectory. Avec SAML, vous pouvez utiliser
l’authentification unique (SSO) pour vous connecter à toutes vos applications SAML
à l’aide d’un seul ensemble d’informations d’identification.AmazonCognito vous aide
à respecter plusieurs exigences de sécurité et de conformité, notamment celles
imposées aux organisations très réglementées telles que les entreprises du secteur
de la santé et les commerçants. AmazonCognito peut être utilisé conformément à la
loi américaine HIPAA(Health Insurance Portability and Accountability Act). Il peut
également être utilisé pour les charges de travail conformes à la norme PCI
DSS(Payment Card Industry Data Security Standard), aux rapports SOCde l’American
Institute of CPAs (AICPA) et aux normesISO/CEI 27001,ISO/CEI 27017etISO/CEI 27018et
ISO 9001de l’Organisation internationale de normalisation (ISO) et de la Commission
électrotechnique internationale (CEI).
AWSShieldest un service de protection DDoS (Déni de service distribué) géré qui
protège les applications exécutées sous AWS. Il assure une détection continue et
intègre l’atténuation automatique des risques afin de minimiser les interruptions
et la latence des applications. Il n’est donc pas nécessaire de faire appel à
AWSSupport pour bénéficier de la protectionDDoS. AWSShield vous permet de protéger
votre site web contre tous les types d’attaques DDoS, notamment les attaques
ciblant la couche d’infrastructure (comme les inondations UDP), les attaques de
type «state exhaustion» (comme les inondations TCP SYN) et les attaques visant la
couche d’application (comme les inondations HTTP GET ou POST). Pour obtenir des
exemples, consultez le Guide du développeur AWSWAF.AWS Shield Standard est activé
automatiquement pour tous les clients AWS sans frais supplémentaires.AWS Shield
Advancedest un service payant optionnel. AWSShieldAdvanced offre des protections
supplémentaires contre les attaques de plus grande ampleur et plus sophistiquées
pour vos applications qui s’exécutent sur Amazon EC2, Elastic Load Balancing,
Amazon CloudFront, AWS Global Accelerator et Amazon Route53. AWS Shield Advanced
est disponible pour tous les clients. Toutefois, pour contacter l’équipe
d’intervention DDoS, les clients doivent bénéficier d’un contrat de support
Enterprise ou Business auprès d’AWS Support.
pacon a la section 5 su'il s'agit de la sécursation des données sur AWS
Le chiffrement des données est un outil essentiel à utiliser lorsque votre objectif
est de protéger les données numériques. Le chiffrement prend des données lisibles
et les code de manière à les rendre illisibles pour toute personne n’ayant pas
accès à la clé secrète utilisée pour les décoder. Même si une personne non
autorisée accède à vos données, elle ne peut pas les exploiter. Les données au
repos font référence aux données qui sont physiquement stockées sur disque ou sur
bande. Vous pouvez créer des systèmes de fichiers chiffrés sur AWS afin que toutes
vos données et métadonnées soient chiffrées au repos à l’aide de l’algorithme de
chiffrement avancé Advanced Encryption Standard (AES)-256, utilisant une norme
ouverte. Lorsque vous utilisez AWS KMS, le chiffrement et le déchiffrement sont
gérés de manière automatique et transparente, de sorte que vous n’avez pas besoin
de modifier vos applications. Si votre organisation est soumise à des stratégies
d’entreprise ou réglementaires qui exigent le chiffrement des données et des
métadonnées au repos, AWS recommande d’activer le chiffrement sur tous les services
qui stockent vos données. Vous pouvez chiffrer les données stockées dans n’importe
quel service pris en charge par AWS KMS. Pour une liste des services pris en
charge, découvrez comment les services AWS utilisent AWS KMS.
Les données en transit font référence aux données qui se déplacent sur le réseau.
Le chiffrement des données en transit est réalisé à l’aide du protocole Transport
Layer Security (TLS)1.2 avec un chiffrement AES-256 standard ouvert.TLS s’appelait
auparavant Secure Sockets Layer (SSL).AWS Certificate Managerest un service qui
vous permet de mettre en service, gérer et déployer des certificats SSL ou TLS à
utiliser avec les services AWS et vos ressources internes connectées. Les
certificats SSL ou TLS sont utilisés pour sécuriser les communications réseau et
pour établir l’identité des sites web par Internet, ainsi que celle des ressources
présentes sur les réseaux privés. Avec AWS Certificate Manager, vous pouvez
demander un certificat, puis le déployer sur une ressource AWS, telle qu’un
équilibreur de charge ou des distributions CloudFront. AWS Certificate Manager
s’occupe également du renouvellement des certificats.Le trafic web qui passe par le
protocole HTTP n’est pas sécurisé. En revanche, le trafic qui passe via le
protocole HTTP sécurisé, ou HTTPS, est chiffré à l’aide du protocole TLS ou SSL. Le
trafic HTTPS est protégé contre les écoutes et les attaques de type intercepteur
(MITM) grâce au chiffrement bidirectionnel de la communication.Les services AWS
prennent en charge le chiffrement des données en transit. Deux exemples de
chiffrement de données en transit sont présentés. Le premier exemple montre une
instance EC2 qui a monté un système de fichiers partagé Amazon EFS. Tout le trafic
de données entre l’instance et Amazon EFS est chiffré avec TLS ou SSL. Pour plus
d’informations sur cette configuration, consultez Chiffrement des données EFS en
transit.Le deuxième exemple montre l’utilisation d’AWS Storage Gateway, un service
de stockage dans le cloud hybride qui fournit un accès sur site au stockage dans
AWS Cloud. Dans cet exemple, Storage Gateway est connecté par Internet à Amazon S3,
et la connexion chiffre les données en transit.
Par défaut, tous les compartiments S3 sont privés, et seuls les utilisateurs
auxquels l’accès a été explicitement accordé peuvent y accéder. Il est essentiel de
gérer et de contrôler l’accès aux données Amazon S3. AWS fournit de nombreux outils
et options pour contrôler l’accès à vos compartiments S3 et aux objets, y
compris:•Utilisation d’Amazon S3 Block Public Access. Ces paramètres supplantent
toutes les autres stratégies ou autorisations d’objet. Activez Block Public
Access(Bloquer l’accès public) pour tous les compartiments pour lesquels vous ne
voulez pas autoriser un accès public. Cette fonctionnalité fournit une méthode
simple pour éviter l’exposition involontaire des données Amazon S3.•Écriture de
stratégies IAMqui spécifie que les utilisateurs peuvent accéder à des compartiments
et des objets spécifiques. Cette méthode a été examinée en détail plus tôt dans ce
module.•Écriture de stratégies de compartimentqui définissent l’accès à des
compartiments ou des objets spécifiques. Cette option est généralement utilisée
lorsque l’utilisateur ou le système ne peut pas s’authentifier à l’aide d’IAM. Les
stratégies de compartiment peuvent être configurées pour accorder l’accès entre les
comptes AWS ou pour accorder un accès public ou anonyme aux données Amazon S3. Si
des stratégies de compartiment sont utilisées, elles doivent être définies avec
soin et testées de manière exhaustive. Vous pouvez spécifier une déclaration de
refus dans une stratégie de compartiment pour restreindre l’accès. L’accès sera
restreint, même si les utilisateurs disposent d’autorisations accordées dans le
cadre d’une stratégie basée sur l’identité, qui est attachée à l’utilisateur.
•Définissez des listes de contrôle d’accès (ACL)sur vos compartiments et objets.
Les ACL sont moins couramment utilisées (les ACL sont antérieures à IAM). Si vous
utilisez des ACL, ne définissez pas un accès trop ouvert ou permissif.•AWS Trusted
Advisorpropose une fonction de vérification des autorisations des compartiments,
qui est un outil utile pour vérifier si l’un des compartiments de votre compte
possède des autorisations qui accordent un accès global.
pacon a la section 6 qu'il s'agit efforts pour assurer la comformuté
AWS fait appel à des organismes externes de certification et à des auditeurs
indépendants pour fournir aux clients des informations relatives aux stratégies,
aux processus et aux contrôles établis et gérés par AWS: Une liste complète des
programmes de conformité AWSest disponible. En outre, pour plus d’informations sur
les services AWS couverts par les programmes d’assurance AWS, consultez Services
AWS couverts par le programme de conformité.Comme exemple de certificationpour
laquelle vous pouvez utiliser les services AWS pour atteindre vos objectifs de
conformité, considérez la certification ISO/IEC 27001:2013. Elle spécifie les
exigences relatives à l’établissement, à la mise en œuvre, à la gestion et à
l’amélioration continue d’un système de gestion de la sécurité de l’information. La
base de cette certification est l’élaboration et la mise en œuvre d’un programme de
sécurité rigoureux qui comprend l’élaboration et la mise en place d’un système de
gestion de la sécurité de l’information. Le système de gestion de la sécurité de
l’information requis dans le cadre de cette norme définit la manière dont AWS gère
en permanence la sécurité de façon globale.AWS fournit également des fonctions de
sécurité et des accords juridiques qui sont conçus pour aider les clients à
respecter les réglementations et les lois courantes. La réglementation HIPAA
(Health Insurance Portability and Accountability Act)en fait partie. Tout comme le
Règlement européen général sur la protection des données (RGPD), protège les droits
fondamentaux des personnes concernées au sein de l’Union européenne en matière de
respect de la confidentialité et de protection des données personnelles. Il intègre
des exigences très strictes qui améliorent et uniformisent les normes de
protection, de sécurité et de conformité des données. Le centre RGPDcontient de
nombreuses ressources pour aider les clients à respecter leurs exigences de
conformité avec cette réglementation.
AWSConfigest un service qui vous permet d’analyser, de contrôler et d’évaluer les
configurations de vos ressourcesAWS. Il surveille et enregistre en permanence les
configurations de vos ressources AWS et vous permet d’automatiser l’évaluation des
configurations enregistrées par rapport aux configurations souhaitées. AWS Config
vous permet d’examiner l’évolution des configurations et des relations entre les
ressources AWS, d’explorer des historiques de configuration de ressources détaillés
et de déterminer votre niveau de conformité global par rapport aux configurations
spécifiées dans vos directives internes. Cela vous permet de simplifier l’audit de
la conformité, l’analyse de la sécurité, la gestion des modifications et le
diagnostic des défaillances opérationnelles.Comme vous pouvez le voir dans la
capture d’écran du tableau de bord AWS Config illustrée ici, AWS Config conserve un
inventaire de toutes les ressources qui existent dans le compte, puis vérifie la
conformité des règles de configuration et des ressources. Les ressources jugées non
conformes sont signalées pour que vous ayez connaissance des problèmes de
configuration qui doivent être résolus dans le compte.AWSConfig est un service
régional. Pour suivre les ressources entre les régions, vous devez l’activer dans
chaque région que vous souhaitez utiliser. AWS Config offre une fonctionnalité
d’agrégation qui permet d’afficher une vue agrégée des ressources sur plusieurs
régions et même plusieurs comptes.
AWS Artifact fournit des téléchargements à la demande des documents de sécurité et
de conformité AWS, tels que les certifications AWS ISO, les rapports PCI (Payment
Card Industry) et les rapports SOC (Service Organization Control). Ces documents
(également appelés «artefacts d’audit») peuvent ensuite être adressés à des
auditeurs ou régulateurs afin d’attester du niveau de sécurité et de conformité de
l’infrastructure et des services AWS dont vous faites usage. Vous pouvez aussi en
tirer parti afin d’évaluer votre propre architecture cloud et l’efficacité des
contrôles effectués en interne dans votre entreprise. AWS Artifact ne fournit que
des documents concernant AWS. Les clients AWS sont responsables de l’élaboration ou
de l’obtention des documents qui prouvent la sécurité et la conformité de leurs
applications. Vous pouvez également utiliser AWS Artifact pour examiner, accepter
et suivre le statut des accords AWS tels que l’accord de partenariat commercial.
Cet accord est généralement nécessaire pour les entreprises soumises à la loi HIPAA
afin de s’assurer que les informations de santé sont correctement protégées. Avec
AWS Artifact, vous pouvez accepter des accords avec AWS et désigner des comptes AWS
qui peuvent légalement traiter des informations soumises à des restrictions
spécifiques. Vous pouvez accepter un accord au nom de plusieurs comptes. Pour
accepter des accords pour plusieurs comptes, utilisez AWS Organizations afin de
créer une organisation. Pour en savoir plus, consultez Gestion des accords dans AWS
Artifact.