2-GIA-P2.pdf

Full Transcript

INF8102: Sécurité dans les environnements
infonuagique

02- Gestion des identitiés et des accès
(Partie -2)

Abdeljalil Beniiche
1
PRÉSENTATION : CONTENU ET ACTIVITÉS

Contenu Activités
Laboratoire 1: Identity, Access, and
Modèle de responsabilité partagée AWS Key Management
AWS Identity and Access Management
(IAM)
Sécurisation d’un nouveau compte AWS
Sécurisation des comptes

UNIVERSITÉ D’INGÉNIERIE 2
SIMILITUDES ENTRE AWS ET L’INFORMATIQUE
TRADITIONNELLE

Espace informatique traditionnel sur site AWS

Groupes
Sécurité de sécurité
Pare-feu ACL Administrateurs ACL réseau IAM

Réseaux
Routeur Pipeline réseau Commutateur Elastic Load Balancing Amazon VPC

Serveurs
Calcul
sur site Instances
AMI Amazon EC2

Stockage
DAS SAN NAS SGBDR et base de
données Amazon Amazon Amazon Amazon
EBS EFS S3 RDS

UNIVERSITÉ D’INGÉNIERIE 3
Modèle de responsabilité partagée
AWS

UNIVERSITÉ D’INGÉNIERIE 4
MODÈLE DE RESPONSABILITÉ PARTAGÉE AWS

DONNÉES CLIENT

CLIENT GESTION DES IDENTITÉS ET DES ACCÈS, DES APPLICATIONS ET DES PLATEFORMES

RESPONSABILITÉ POUR
LA SÉCURITÉ DANS LE CLOUD CONFIGURATION DU SYSTÈME D’EXPLOITATION, DU RÉSEAU ET DU PARE-FEU

DONNÉES CÔTÉ CLIENT CHIFFREMENT CÔ TÉ SERVEUR PROTECTIO N DU TRAFIC RÉSEAU
CHIFFREMENT ET INTÉGRITÉ DES (SYSTÈME DE FICHIERS ET/OU DONNÉES) (CHIFFREMENT, IN TÉGRITÉ, IDENTITÉ)
DONNÉES AUTHENTIFICATIO N

LOGICIEL

AWS CALCUL STOCKAGE BASE DE DONNÉES MISE EN RÉSEAU

RESPO NSABILITÉ POUR LA MATÉRIEL/INFRASTRUCTURE MONDIALE AWS
SÉCURITÉ DU CLO UD
EMPLACEMENT
RÉGIONS ZONES DE DISPONIBILITÉ
PÉRIPHÉRIQUE

UNIVERSITÉ D’INGÉNIERIE 5
RESPONSABILITÉ AWS : SÉCURITÉ DU CLOUD

Responsabilités AWS :
Sécurité physique des
Services AWS centres de données
– Accès contrôlé basé
sur les besoins
Calcul Stockage Base de données Réseaux
Infrastructure logicielle et
Infrastructure Régions matérielle
mondiale – Mise hors service du
AWS Zones de
disponibilité Emplacements stockage, journalisation de
périphériques l’accès au système
d’exploitation hôte et audit

Infrastructure réseau
– Détection d’intrusion

Infrastructure de virtualisation
– Isolation des instances

UNIVERSITÉ D’INGÉNIERIE 6
RESPONSABILITÉ DU CLIENT : SÉCURITÉ DANS LE CLOUD

Responsabilités du client :
Système d’exploitation des instances
Données client Amazon Elastic Compute Cloud
(Amazon EC2)
Applications, IAM – Y compris les correctifs et la
maintenance
Configuration du système d’exploitation,
du réseau et du pare-feu
Applications
– Mots de passe, accès basé sur les
Chiffrement
des données Chiffrement
Protection du trafic rôles, etc.
réseau
côté client et
authentification de
côté serveur
(système de fichiers
(chiffrement, Configuration du groupe de sécurité
intégrité et
l’intégrité ou données)
identité) Pare-feux basés sur le système
des données
d’exploitation ou sur l’hôte
Configurable par le client
– Y compris les systèmes de détection
ou de prévention des intrusions
Configurations du réseau
Gestion des comptes
– Paramètres de connexion et
d’autorisation pour chaque
utilisateur
UNIVERSITÉ D’INGÉNIERIE 7
CARACTÉRISTIQUES DE SERVICE ET RESPONSABILITÉ EN
MATIÈRE DE SÉCURITÉ

Infrastructure en tant que
Exemples de services gérés par le client
service (IaaS)
Le client dispose d’une plus grande
souplesse pour configurer les paramètres
de réseau et de stockage
Le client est responsable de la gestion
Amazon Amazon Elastic Amazon Virtual des autres aspects de la sécurité
EC2 Block Store Private Cloud
(Amazon EBS) (Amazon VPC) Le client configure les contrôles d’accès

Exemples de services gérés par AWS Plateforme en tant que service
(PaaS)
Le client n’a pas besoin de gérer
l’infrastructure sous-jacente
AWS gère le système d’exploitation,
AWS Amazon Relational AWS Elast
Lambda Database Service ic Beansta l’application des correctifs à la base de
(Amazon RDS) lk données, la configuration des pare-feux et
la reprise après sinistre (RS)
Le client peut se concentrer sur la
gestion du code ou les données

UNIVERSITÉ D’INGÉNIERIE 8
CARACTÉRISTIQUES DE SERVICE ET
RESPONSABILITÉ EN MATIÈRE DE SÉCURITÉ

Logiciel en tant service (SaaS)
Le logiciel est hébergé de manière
Exemples SaaS centralisée.
Licence sur un modèle d’abonnement
ou sur une base de paiement à
l’utilisation.
AWS Trusted AWS Shield Amazon Chime Les services sont généralement
Advisor accessibles via un navigateur web, une
application mobile ou une interface de
programmation d’application (API).
Les clients ne gèrent pas l’infrastructure
qui prend en charge le service.

UNIVERSITÉ D’INGÉNIERIE 9
 ACTIVITÉ : SCÉNARIO 1 SUR 2

Prenez en considération ce déploiement. Qui est responsable :
AWS ou le client ?

AWS Cloud 1. Mises à niveau et correctifs 6. Mises à niveau ou
Virtual Private Cloud du système d’exploitation correctifs Oracle si l’instance
sur l’instance EC2 ? Oracle est exécutée comme
(VPC)
RÉPONSE : Le client instance Amazon RDS ?
RÉPONSE : AWS
2. Sécurité physique des
Amazon
centres de données ? 7. Mises à niveau ou correctifs
Simple Oracle si Oracle s’exécute sur
Storage Amazon Instance RÉPONSE : AWS
EC2 Oracle une instance EC2 ?
Service 3. Infrastructure de virtualisation ? RÉPONSE : Le client
(Amazon S3)
RÉPONSE : AWS
Infrastructure mondiale 4. Paramètres des groupes de sécurité
8. Configuration de l’accès
au compartiment S3 ?
AWS Amazon EC2 ? RÉPONSE : Le client
RÉPONSE : Le client
5. Configuration des applications
qui s’exécutent sur l’instance EC2 ?
RÉPONSE : Le client

UNIVERSITÉ D’INGÉNIERIE 10
 ACTIVITÉ : SCÉNARIO 2 SUR 2

Prenez en considération ce déploiement. Qui est responsable :
AWS ou le client ?

Clés SSH
1. S’assurer qu’AWS Management 6. Assurer l’isolation du
(Secure Console n’est pas piratée ? réseau entre les données des
Shell) clients AWS ?
Interface de RÉPONSE : AWS
AWS ligne de RÉPONSE : AWS
Management commande
2. Configuration du sous-réseau ?
Console AWS (AWS RÉPONSE : Le client 7. Assurer une connexion réseau
Passerelle à faible latence entre le
VPC Internet CLI) 3. Configuration du VPC ? serveur web et
le compartiment S3 ?
Sous-réseau RÉPONSE : Le client
RÉPONSE : AWS
4. Vous protéger contre les pannes
de réseau dans les régions AWS ? 8. Appliquer l’authentification
Serveur web multifacteur pour toutes les
RÉPONSE : AWS
sur Amazon connexions utilisateur ?
EC2 5. Sécuriser les clés SSH RÉPONSE : Le client
RÉPONSE : Le client
Compartiment
S3 avec objets

UNIVERSITÉ D’INGÉNIERIE 11
 Les responsabilités quant à la sécurité sont

Points clés
réparties entre AWS et le client :
– AWS est responsable de la sécurité du
cloud.

à retenir – Le client est responsable de la sécurité dans
le cloud.
AWS est responsable de la protection
de l’infrastructure (y compris le matériel,
les logiciels, la mise en réseau et les
installations) qui exécutent les services
AWS Cloud.
Pour les services classés dans la catégorie
Infrastructure en tant que service (IaaS),
le client est responsable de l’exécution
des tâches de configuration et de
gestion de la sécurité nécessaires.
– Par exemple, les mises à jour du système
d’exploitation invité et les correctifs de sécurité,
les pare-feux, les configurations des groupes de
sécurité

12
AWS Identity and Access
Management (IAM)

UNIVERSITÉ D’INGÉNIERIE 13
AWS IDENTITY AND ACCESS MANAGEMENT (IAM)

Utilisez IAM pour gérer l’accès aux ressources AWS.
– Une ressource est une entité d’un compte AWS avec laquelle vous pouvez
travailler.
– Exemples de ressources : instance Amazon EC2 ou compartiment Amazon S3.

Exemple : contrôler qui peut résilier les instances Amazon EC2

AWS Identity and
Définissez des droits d’accès précis. Access Management
– Qui peut accéder à la ressource (IAM)
– Quelles ressources sont accessibles et que peut faire l’utilisateur avec ces
ressources
– Comment les ressources sont accessibles

IAM est une fonctionnalité de compte AWS gratuite.

UNIVERSITÉ D’INGÉNIERIE 14
IAM : COMPOSANTS ESSENTIELS

Personne ou application qui peut s’authentifier
Utilisateur IAM avec un compte AWS.

Ensemble d’utilisateurs IAM qui reçoivent
Groupe IAM une autorisation identique.

Document qui définit les ressources accessibles
et le niveau d’accès à chaque ressource.
Stratégie IAM

Mécanisme utile pour accorder un ensemble
Rôle IAM
d’autorisations afin d’effectuer des demandes de
service AWS.

UNIVERSITÉ D’INGÉNIERIE 15
AUTHENTIFICATION EN TANT QU’UTILISATEUR IAM
POUR OBTENIR L’ACCÈS

Lorsque vous définissez un utilisateur IAM, vous sélectionnez les types d’accès que
l’utilisateur est autorisé à utiliser.
Accès par programmation
– Authentifiez-vous avec les outils suivants :
» ID de clé d’accès
» Clé d’accès secrète AWS CLI Outils et
kits SDK
– Fournit un accès à AWS CLI et au kit SDK AWS AWS
Accès à AWS Management Console
– Authentifiez-vous avec les outils suivants :
» ID de compte à 12 chiffres ou alias
» Nom d’utilisateur IAM AWS Management
» Mot de passe IAM Console
– Si elle est activée, l’authentification multifacteur (MFA) demande un code
d’authentification.

UNIVERSITÉ D’INGÉNIERIE 16
MFA
MFA IAM

– L’authentification MFA offre une sécurité renforcée.

– En plus du nom d’utilisateur et du mot de passe,
l’authentification requiert un code d’authentification unique
permettant d’accéder aux services AWS.

Nom
d’utilisateur et
mot de passe

Jeton
d’authentification
MFA

AWS Management Console

UNIVERSITÉ D’INGÉNIERIE 17
AUTORISATION : QUELLES ACTIONS SONT AUTORISÉES

Une fois que l’utilisateur ou l’application est connecté au compte AWS, quelles sont les actions qu’il peut effectuer ?

Instances
Accès
complet
EC2

Lecture
Utilisateur seule
Compartime
IAM, groupe nt S3
IAM ou rôle
IAM Stratégies
IAM

UNIVERSITÉ D’INGÉNIERIE 18
 IAM : AUTORISATION

– Attribue des autorisations via la création d’une stratégie
IAM.

– Les autorisations déterminent les ressources et opérations
qui peuvent être utilisées :
– Par défaut, toutes les autorisations sont implicitement refusées.
– En cas de refus explicite, aucune autorisation ne peut être accordée.
Autorisations
IAM
Bonne pratique : suivez le principe du moindre privilège.

Remarque : la portée des configurations de service IAM est mondiale. Les paramètres
s’appliquent à toutes les régions AWS.

UNIVERSITÉ D’INGÉNIERIE 19
 STRATÉGIES IAM

Une stratégie IAM est un document qui définit les
autorisations
– Contrôle précis des accès
Deux types de stratégies : basées sur Entités IAM
l’identité et basées sur les ressources
Stratégies basées sur l’identité À Utilisateur
attacher à IAM
– Stratégie attachée à une entité IAM un
Utilisateur IAM, groupe IAM ou rôle IAM
Groupe
– Les stratégies spécifient les éléments suivants : Stratégie IAM
Actions pouvant être effectuées par l’entité IAM
Actions ne pouvant pas être effectuées par l’entité
Rôle IAM
– Une même stratégie peut être associée à plusieurs entités.
– Une même entité peut être associée à plusieurs stratégies.
Stratégies basées sur les ressources
– Attachées à une ressource (compartiment S3, par exemple)

UNIVERSITÉ D’INGÉNIERIE 20
 EXEMPLE DE STRATÉGIE IAM

{
"Version": "2012-10-17",
L’ autorisation explicite donne aux utilisateurs
"Statement":[{
accès à une table DynamoDB spécifique et…
"Effect":"Allow",
"Action":["DynamoDB:*","s3:*"],
"Resource":[
"arn:aws:dynamodb:region:account-number-without-hyphens:table/table-name",
"arn:aws:s3:::bucket-name", …aux compartiments Amazon S3.
"arn:aws:s3:::bucket-name/*"]
}, Le refus explicite permet d’empêcher les utilisateurs d’utiliser toute
{ autre action ou ressource AWS que celles autorisées par cette table et
"Effect":"Deny", ces compartiments.
"Action":["dynamodb:*","s3:*"],
"NotResource":["arn:aws:dynamodb:region:account-number-without-hyphens:table/table-name”,
"arn:aws:s3:::bucket-name",
"arn:aws:s3:::bucket-name/*"]
} Une déclaration de refus explicite
] est prioritaire sur une déclaration
} d’autorisation.

UNIVERSITÉ D’INGÉNIERIE 21
 STRATÉGIES BASÉES SUR LES RESSOURCES

Les stratégies basées sur l’identité sont
jointes à un utilisateur, un groupe ou à
un rôle IAM.
Les stratégies basées sur les Compte
ressources sont jointes à une ressource AWS
Utilisateur Compartiment
(pas à un utilisateur, un groupe ou un IAM S3 photos
rôle). MaryMajor
Définies comme
Caractéristiques des stratégies intégrées dans le
attachée
basées sur les ressources compartiment
– Spécifie qui a accès à la ressource
et quelles actions sont autorisées.
– Les stratégies sont intégrées
uniquement, non pas gérées. Stratégie Stratégie
Les stratégies basées sur les ressources ne basée sur basée sur les
Lal’identité
stratégie ressources
La stratégie
sont prises en charge que par certains
services AWS. accorde un accès accorde à
en lecture au l’utilisatrice
compartiment MaryMajor un
de photos accès en lecture.

UNIVERSITÉ D’INGÉNIERIE 22
AUTORISATIONS IAM

Comment IAM détermine les autorisations :

L’autorisation est- L’autorisation est-
elle explicitement Non elle explicitement Non Refus
refusée ? acceptée ?
Refus
implicite
Oui Oui

Refus Autorisation

UNIVERSITÉ D’INGÉNIERIE 23
GROUPES IAM

– Un groupe IAM est un ensemble
d’utilisateurs IAM.
Compte AWS
– Un groupe est utilisé pour accorder
les mêmes autorisations à plusieurs
utilisateurs. Groupe IAM : Groupe IAM : Groupe IAM :
Autorisations accordées en attachant Administrateurs Développeurs Testeurs

une ou plusieurs stratégies IAM au
groupe Carlos Salazar Li Juan Zhang Wei

Márcia Oliveira Mary Major John Stiles
– Un utilisateur peut appartenir
à plusieurs groupes.
Richard Roe Li Juan

– Il n’y a aucun groupe par défaut.

– Les groupes ne peuvent
pas être imbriqués.

UNIVERSITÉ D’INGÉNIERIE 24
 RÔLES IAM

Un rôle IAM est une identité IAM avec des autorisations
spécifiques
Semblable à un utilisateur IAM
– Des stratégies d’autorisation y sont attachées
Différent d’un utilisateur IAM Rôle IAM
– Pas uniquement associé à une seule personne
– Conçu pour être assumé par une personne, une application ou un
service
Le rôle fournit des autorisations de sécurité temporaires

Exemples d’utilisation des rôles IAM pour déléguer l’accès
– Utilisés par un utilisateur IAM dans le même compte AWS que le rôle
– Utilisés par un service AWS, tel qu’Amazon EC2, dans le même compte
que le rôle
– Utilisés par un utilisateur IAM dans un autre compte AWS que le rôle

UNIVERSITÉ D’INGÉNIERIE 25
EXEMPLE D’UTILISATION D’UN RÔLE IAM

Scénario : AWS Cloud
Une application qui s’exécute sur
une instance EC2 a besoin
d’accéder à un compartiment S3. Instance Amazon EC2

Application
Compartiment
Amazon S3
photos

UNIVERSITÉ D’INGÉNIERIE 26
EXEMPLE D’UTILISATION D’UN RÔLE IAM

Scénario : AWS Cloud
Une application qui s’exécute sur
une instance EC2 a besoin
d’accéder à un compartiment S3. Instance Amazon EC2

Application
Compartiment
Amazon S3
photos

Rôle La stratégie IAM
IAM

UNIVERSITÉ D’INGÉNIERIE 27
EXEMPLE D’UTILISATION D’UN RÔLE IAM

Scénario : AWS Cloud
Une application qui s’exécute sur L’application dispose des
une instance EC2 a besoin autorisations nécessaires
d’accéder à un compartiment S3. Instance Amazon EC2 pour accéder au
compartiment S3
Application
3
Solution : Compartiment
Définissez une stratégie IAM qui Rôle assumé par Amazon S3
2 photos
accorde l’accès au compartiment l’instance EC2
S3.
Attachez la stratégie à un rôle. attachée
Rôle 1 La stratégie IAM
Autorisez l’instance EC2 à assumer le IAM accorde l’accès
rôle.
au compartiment
de photos

UNIVERSITÉ D’INGÉNIERIE 28
 Les stratégies IAM sont construites
Points clés avec JavaScript Object Notation
(JSON) et définissent les

à retenir
autorisations.
– Les stratégies IAM peuvent être attachées
à n’importe quelle entité IAM.
– Les entités sont des utilisateurs IAM,
des groupes IAM et des rôles IAM.
Un utilisateur IAM permet à une
personne, une application ou un
service de s’authentifier auprès
d’AWS.
Un groupe IAM est un moyen simple
d’attacher les mêmes stratégies à
plusieurs utilisateurs.
Un rôle IAM peut être associé à des
stratégies d’autorisation et peut être
utilisé pour déléguer un accès
temporaire à des utilisateurs ou à des
applications.

29
Sécurisation d’un nouveau compte
AWS

UNIVERSITÉ D’INGÉNIERIE 30
ACCÈS DE L’UTILISATEUR RACINE DU COMPTE
AWS ET ACCÈS IAM

Bonne pratique : n’utilisez pas
Utilisateur l’utilisateur racine du compte AWS, sauf
racine de IAM si nécessaire.
compte AWS
L’accès à l’utilisateur racine du
compte nécessite une connexion avec
l’adresse
e-mail (et le mot de passe) que vous
avez utilisé pour créer le compte.
Exemples d’actions qui ne peuvent être
effectuées qu’avec l’utilisateur racine du
compte :
Mettre à jour le mot de passe
de l’utilisateur racine du compte
Modifier le programme de support AWS
Restaurer les autorisations d’un
utilisateur IAM
Modifier les paramètres du compte
(par exemple, les coordonnées ou les
régions autorisées)

UNIVERSITÉ D’INGÉNIERIE 31
SÉCURISATION D’UN NOUVEAU COMPTE AWS :
UTILISATEUR RACINE DU COMPTE

Étape 1 : arrêtez d’utiliser l’utilisateur racine du compte dès que
possible.
– L’utilisateur racine du compte a un accès illimité à toutes vos ressources.

Pour arrêter d’utiliser l’utilisateur racine du compte :
1. Connectez-vous en tant qu’utilisateur racine du compte, puis créez un utilisateur
IAM pour vous-même. Enregistrez les clés d’accès si nécessaire.
2. Créez un groupe IAM, accordez-lui l’intégralité des privilèges administrateur et
ajoutez l’utilisateur IAM à ce groupe.
3. Désactivez et supprimez les clés d’accès de l’utilisateur racine de votre compte, si
elles existent.
4. Activez une stratégie de mot de passe pour les utilisateurs.
5. Connectez-vous avec vos nouvelles informations d’identification d’utilisateur IAM.
6. Stockez les autorisations de l’utilisateur racine de votre compte dans un endroit
sécurisé.

UNIVERSITÉ D’INGÉNIERIE 32
SÉCURISATION D’UN NOUVEAU COMPTE AWS : MFA

Étape 2 : activez l’authentification multifacteur (MFA).
– Exigez l’authentification MFA pour l’utilisateur racine de votre compte
et tous les utilisateurs IAM.
– Vous pouvez également utiliser l’authentification MFA pour contrôler
les accès aux API des services AWS.

Options de récupération du jeton d’authentification MFA
– Applications virtuelles compatibles MFA :
Google Authenticator
Authy Authenticator (application Windows pour smartphone) Jeton
– Dispositifs de clé de sécurité U2F : d’authentification
YubiKey, par exemple MFA
– Options MFA matérielles :
Outil de génération automatique de clés ou carte d’affichage offerts par
Gemalto

UNIVERSITÉ D’INGÉNIERIE 33
SÉCURISATION D’UN NOUVEAU COMPTE AWS : AWS
CLOUDTRAIL

Étape 3 : utilisez AWS CloudTrail.
– CloudTrail suit l’activité des utilisateurs sur votre compte.
Journalise toutes les demandes d’API envoyées aux ressources dans tous les services pris en charge de votre
compte.
– L’historique des événements AWS CloudTrail de base est activé par défaut et est gratuit.
Il contient toutes les données d’événement de gestion sur les 90 derniers jours d’activité du compte.

Pour accéder à CloudTrail :
1. Connectez-vous à AWS Management Console, puis choisissez le service CloudTrail.
2. Cliquez sur Event history (Historique des événements) pour afficher, filtrer et rechercher les
événements des 90 derniers jours.

Pour activer les journaux au-delà de 90 jours et activer les alertes
d’événements spécifiés, créez un journal d’activité.
1. Sur la page des journaux d’activité de la console CloudTrail, cliquez sur Create trail (Créer un
journal de suivi).
2. Donnez-lui un nom, appliquez-le à toutes les régions et créez un compartiment Amazon S3 pour le
stockage des journaux.
3. Configurez les restrictions d’accès au niveau du compartiment S3 (par exemple, seuls les utilisateurs
disposant de droits d’administration doivent y avoir accès).

UNIVERSITÉ D’INGÉNIERIE 34
SÉCURISATION D’UN NOUVEAU COMPTE AWS : RAPPORTS
DE FACTURATION

Étape 4 : activez un rapport de facturation, tel que le rapport
d’utilisation et de coût AWS.

Les rapports de facturation fournissent des informations relatives à votre
utilisation des ressources AWS et aux coûts estimés pour cette utilisation.

AWS transmet les rapports à un compartiment Amazon S3 que vous
spécifiez.

– Le rapport est mis à jour au moins une fois par jour.

AWS Cost and Usage Report suit votre utilisation d’AWS et indique les
frais estimés associés à votre compte AWS, par heure ou par jour.

UNIVERSITÉ D’INGÉNIERIE 35
 Points clés Meilleures pratiques pour sécuriser un

à retenir
compte AWS :
Sécurisez les connexions avec
l’authentification multifacteur (MFA).
Supprimez les clés d’accès utilisateur racine
du compte.
Créez des utilisateurs IAM individuels et
accordez des autorisations selon le principe
du moindre privilège.
Utilisez des groupes pour attribuer des
autorisations à des utilisateurs IAM.
Configurez une stratégie stricte en matière
de mots de passe.
Déléguez en utilisant les rôles plutôt qu’en
partageant les informations d’identification.
Surveillez l’activité du compte à l’aide d’AWS
CloudTrail.

36
Sécurisation des comptes AWS

UNIVERSITÉ D’INGÉNIERIE 37
 AWS ORGANIZATIONS

AWS Organizations vous permet de consolider plusieurs
comptes AWS afin de les gérer de manière centralisée.
AWS Organizations
Fonctionnalités de sécurité d’AWS Organizations
– Regroupement des comptes AWS en unités d’organisation (UO) et
association de différentes stratégies d’accès avec chacune d’elles

– Intégration et prise en charge d’IAM
Les autorisations accordées à un utilisateur sont à la croisée des autorisations
accordées par AWS Organizations et des autorisations accordées par IAM dans ce
compte.

– Utilisation de stratégies de contrôle des services pour définir le
contrôle des services AWS et des actions d’API auxquelles chaque compte
AWS peut accéder

UNIVERSITÉ D’INGÉNIERIE 38
AWS ORGANIZATIONS : STRATÉGIES DE CONTRÔLE DES
SERVICES

Les stratégies de contrôle des services (SCP) offrent un contrôle
centralisé sur les comptes.
– Limitez les autorisations disponibles dans un compte faisant partie d’une
organisation.

Assurent que les comptes sont conformes aux directives de contrôle
d’accès.

Les SCP sont similaires aux stratégies d’autorisations IAM :
– Elles utilisent une syntaxe similaire.
– Cependant, une SCP n’accorde jamais d’autorisations.
– Au lieu de cela, les SCP spécifient le nombre maximum d’autorisations pour
une organisation.

UNIVERSITÉ D’INGÉNIERIE 39
AWS KEY MANAGEMENT SERVICE (AWS KMS)

Fonctionnalités d’AWS Key Management Service (AWS KMS) :

– Vous permet de créer et gérer des clés de chiffrement.
– Vous permet de contrôler l’utilisation du chiffrement dans les services AWS et
dans vos applications.
– S’intègre à AWS CloudTrail pour journaliser l’utilisation de toutes les clés.
– Utilise des modules de sécurité matériels (HSM) validés par la norme
FIPS 140-2 pour la protection des clés.

AWS Key
Management
Service (AWS KMS)

UNIVERSITÉ D’INGÉNIERIE 40
 AMAZON COGNITO

Fonctionnalités d’Amazon Cognito :

– Ajoute l’inscription des utilisateurs, la connexion et le contrôle
d’accès à vos applications web et mobiles.
– S’adapte à des millions d’utilisateurs.
– Prend en charge la connexion avec les fournisseurs d’identité sur les
réseaux sociaux, tels que Facebook, Google et Amazon, et avec les
fournisseurs d’identité d’entreprise, tels que Microsoft Active Directory via
Security Assertion Markup Language (SAML) 2.0.

Amazon Cognito

UNIVERSITÉ D’INGÉNIERIE 41
 AWS SHIELD

Fonctionnalités d’AWS Shield :

– Offre un service de protection contre le déni de service distribué (DDoS) géré.
– Protège les applications exécutées sur AWS.
– Assure une détection permanente et intègre l’atténuation automatique des
risques.
– AWS Shield Standard activé sans frais supplémentaires. AWS Shield Advanced
est un service payant optionnel.

Utilisez-le pour minimiser les temps d’arrêt et la latence des
applications.

AWS Shield
UNIVERSITÉ D’INGÉNIERIE 42
RESSOURCES SUPPLÉMENTAIRES

Page d’accueil AWS Cloud Security

Ressources de sécurité AWS

Blog sur la sécurité AWS

Bulletins de sécurité

Réalisation de tests d’intrusion et de vulnérabilité

AWS Well-Architected Framework – Pilier Sécurité

Documentation AWS – Bonnes pratiques IAM

UNIVERSITÉ D’INGÉNIERIE 43