Principes fondamentaux d’AWS Identity and Access Management (IAM)

Pour tous vos services AWS, AWS Gestion des identités et des accès (IAM) fournit des techniques de contrôle d’accès sécurisées. Le cœur de la sécurité AWS est AWS IAM car il vous donne la possibilité de gérer l’accès en configurant une authentification multifacteur pour une plus grande sécurité, en créant des utilisateurs et des groupes, en accordant des autorisations et des politiques spécifiques aux utilisateurs souhaités, et bien plus encore. La cerise sur le gâteau, c’est qu’IAM est gratuit !

Allons-y!

AWS IAM expliqué :

Un de Défis majeurs adopter le cloud, c’est Sécurité. Compte tenu de l’attention et de l’attention médiatique dont font l’objet les principales plates-formes cloud, il est louable qu’AWS IAM adopte une approche aussi méticuleuse pour accorder des droits et contrôler l’accès à vos environnements. IAM vous permet de gérer Qui peut accéder à vos ressources (authentification) et Comment (autorisation). Pour cette raison, AWS peut être utilisé pour créer des environnements incroyablement sécurisés.

Il existe de nombreux types de services de sécurité disponibles, mais AWS en utilise fréquemment certains, notamment :

• JE SUIS
• Système de gestion des clés (KMS)
• Ayant appris
• Pare-feu d’accès Web (WAF)

Les fonctionnalités clés d’AWS IAM

L’IAM doit être considérée comme la première étape Sauvegarde tout votre Ressources et services AWS. Examinons quelques-unes des principales caractéristiques :

Authentification: AWS IAM vous permet d’émettre et d’activer l’authentification pour les ressources, les personnes, les services et les applications au sein de votre compte AWS. Il vous permet également de créer et de gérer des identités, telles que des utilisateurs, des groupes et des rôles.

Autorisations : Si l’équipe de développeurs a besoin d’un accès complet au service EC2 et que l’équipe marketing a besoin d’accéder à certains compartiments S3. Vous pouvez configurer et ajuster ces autorisations à l’aide d’IAM conformément aux exigences de vos utilisateurs.

Autorisation: La gestion ou l’autorisation d’accès d’IAM est composée de deux parties principales : les autorisations et les stratégies.

Accès partagé aux comptes AWS : La plupart des entreprises ont plusieurs comptes AWS et le partage d’accès entre eux est parfois nécessaire. Vous pouvez accomplir cela sans divulguer vos informations de connexion à l’aide d’IAM.

Fédération d’identité : Votre entreprise peut fréquemment avoir à fédérer l’accès de différents fournisseurs d’identité comme Okta, G Suite ou Active Directory. Vous pouvez y parvenir grâce à la capacité de fédération d’identité d’IAM.

Authentification IAM

Les identités suivantes sont utilisées pour l’authentification ou la gestion des identités dans AWS IAM :

Utilisateurs: Les utilisateurs IAM sont ceux qui ont besoin d’accéder à vos ressources ou services AWS, via la console AWS ou l’AWS CLI.

Groupes: les groupes IAM sont des collections d’utilisateurs auxquels sont attachés des droits. En classant les utilisateurs en fonction de leur fonction/rôle, de leur service ou de toute autre nécessité, les groupes offrent une approche simple pour gérer les autorisations pour les utilisateurs ayant des exigences comparables. Ensuite, le groupe peut être utilisé pour gérer toutes les autorisations de ces utilisateurs à la fois.

Les rôles: Les rôles IAM sont des entités au sein d’AWS qui fournissent les autorisations qu’un rôle peut exercer et les types d’entités qui peuvent assumer ce rôle. Un rôle peut être utilisé par n’importe quelle ressource à laquelle il autorise l’autorisation, plutôt que d’être directement associé à une personne ou à un service spécifique. Les rôles vous permettent de fournir aux utilisateurs, services et applications extérieurs à votre entreprise un accès à plusieurs comptes pour vos ressources AWS.

Autorisation IAM

Dans IAM, les stratégies qui accordent des autorisations régissent la gestion des autorisations ou des accès.

Autorisations: Une stratégie doit être ajoutée à un utilisateur ou un groupe nouvellement établi pour lui accorder les autorisations nécessaires pour effectuer des opérations sur les ressources AWS.

Pour toutes les identités AWS, vous pouvez fournir des autorisations (utilisateurs, groupes et rôles). L’attribution des autorisations peut être effectuée dans l’un des Deux manières:

Basé sur l’identité: Politiques qui sont apposées sur des individus, des groupes ou des postes spécifiques

Basé sur les ressources: règles connectées aux ressources AWS telles que les compartiments S3, les référentiels ECR, etc.

Rédaction de nouvelles politiques:

Gérer les autorisations IAM : Cette page fournit des liens rapides pour vous aider à attribuer et à gérer les autorisations IAM.

Actions, ressources et clés de condition pour les services AWS : Clés pour les actions, les ressources et les circonstances Une liste complète de toutes les activités qui peuvent être effectuées sur différents services AWS. Pour en savoir plus, vous pouvez cliquer ici.

Simulateur de politique sur AWS : Créez des simulations d’accès pour vérifier que les stratégies fraîchement définies sont fonctionnelles du début à la fin. Pour en savoir plus, vous pouvez cliquer ici.

En général, les règles doivent adhérer au concept de moindre privilège.

Les politiques peuvent être plutôt Détaillé par exemple, regardez le bloc de code suivant :

{

  "Statement": [

    {

      "Action": [

        "iam:ChangePassword",

        "iam:CreateLoginProfile",

        "iam:DeleteLoginProfile",

        "iam:GetLoginProfile",

        "iam:GetUser",

        "iam:UpdateLoginProfile"

      ],

      "Effect": "Allow",

      "Resource": "*",

      "Sid": "AllowManageOwnPasswords"

    }

  ],

  "Version": "2012-10-17"

}

À l’aide d’IAM, configurez une stratégie de mot de passe pour votre compte AWS

Nous vous aiderons à configurer la politique de mot de passe de votre compte AWS dans cette section.

1. Cliquer sur « Paramètres du compte » dans la console AWS IAM, comme illustré ici :

2. Ensuite, sélectionnez le bouton intitulé « Définir la politique de mot de passe ».

3. Tu peux maintenant Créez votre politique de mot de passe en spécifiant un ensemble de directives et en choisissant le niveau minimum de complexité d’un mot de passe qu’un utilisateur IAM peut créer. L’illustration suivante satisfait aux critères conseillés par le Centre de sécurité Internet (CEI):

Conclusion:

IAM est la plus importante de toutes les mesures de sécurité mises en place par AWS, la plus grande plate-forme et fournisseur de cloud, pour améliorer la sécurité. AWS a créé le modèle de devoir partagé pour établir et répartir la responsabilité de la sécurité et de la conformité entre les clients et AWS.