Qu'est-ce que la gestion de l'accès aux identités dans AWS ?

Amazon Web Services (AWS) est une partie importante de l'infrastructure Internet. Les estimations rapportées par TheVerge indiquent qu'environ 40 % de tout le trafic Internet s'exécute sur AWS. Les services Internet les plus populaires utilisés par des millions de personnes fonctionnent sur AWS, notamment Airbnb, Expedia, Netflix, Pinterest, Slack, Spotify et bien d'autres. Non seulement des sites Web et des services en ligne populaires entiers fonctionnent sur AWS ; de nombreux sites Web utilisent AWS comme support pour une partie de leur présence en ligne.

Lorsque AWS tombe en panne, comme cela s'est produit à l'occasion, des parties gigantesques de ce qui est reconnu comme Internet cessent de fonctionner. Des problèmes techniques et des failles de sécurité peuvent être à l'origine de ces défaillances. Cela signifie qu'Amazon prend les problèmes de sécurité très au sérieux. AWS protège le réseau et ses clients contre les accès non autorisés en utilisant une gestion robuste de l'accès aux identités.

Qu'est-ce que la gestion de l'accès aux identités ?

La gestion de l'accès à l'identité (IAM) est un programme logiciel ou un service Web utilisé pour contrôler en toute sécurité l'accès aux ressources du réseau. Un système IAM authentifie d'abord un utilisateur via un processus de connexion protégé par mot de passe, puis permet à l'utilisateur d'accéder aux ressources réseau en fonction de ses autorisations autorisées à les utiliser.

Pour les services basés sur le cloud, la gestion de l'accès des utilisateurs du cloud utilise un système d'authentification basé sur le cloud pour déterminer l'identité d'un utilisateur, puis autorise l'accès autorisé. Amazon Web Services (AWS) dispose d'un système de gestion de l'accès aux identités qui fonctionne avec le système cloud AWS.

Gestion des identités et des accès AWS

La gestion des identités et des accès AWS commence par la création d'un compte AWS. Au début, un utilisateur dispose d'une identité de connexion unique qui crée un utilisateur racine qui dispose d'un accès complet aux services AWS pour ce compte. Le compte d'utilisateur root utilise l'adresse e-mail d'une personne et un mot de passe qu'elle crée pour l'authentification.

Les utilisateurs d'AWS doivent protéger ces informations de compte d'utilisateur racine avec une extrême prudence, car c'est le compte qui peut accéder à tout. Reportez-vous à la section des meilleures pratiques ci-dessous pour savoir comment sécuriser au mieux ces informations.

Certaines fonctionnalités d'AWS IAM incluent :

• Accès partagé — Cela permet à d'autres utilisateurs d'avoir accès au compte AWS en utilisant leurs identifiants de connexion.
• Autorisations autorisées granulaires - Les utilisateurs peuvent se voir accorder un accès en fonction d'autorisations très spécifiquement choisies qui vont de l'accès complet à l'accès de groupe à l'accès aux applications jusqu'à l'accès aux fichiers spécifiques protégés par mot de passe et tout le reste.
• Authentification à deux facteurs — Ce choix de sécurité facultatif exige qu'un utilisateur autorisé utilise à la fois le mot de passe/clé d'accès correct et réponde à un code de message texte envoyé à un appareil ou à une adresse e-mail, comme le smartphone ou le compte e-mail d'un utilisateur.
• API sécurisées — Les interfaces de programmation d'applications sécurisées permettent aux programmes logiciels de se connecter aux données et aux services du système AWS nécessaires à l'exécution de leurs fonctions.
• Fédérations d'identité — Ceci permet aux mots de passe des utilisateurs autorisés d'être stockés ailleurs dans un autre système qui est utilisé pour l'identification.
• Audit d'utilisation — En utilisant le service AWS CloudTrial, un journal complet de l'activité d'accès au compte des utilisateurs est enregistré pour les audits de sécurité informatique.

Comprendre le fonctionnement d'AIM sur AWS

La gestion de l'accès aux identités d'Amazon est basée sur les principes d'une structure d'autorisations à plusieurs niveaux qui comprend des ressources, des identités, des entités et des mandataires.

#Ressources

Les ressources peuvent être ajoutées, modifiées ou supprimées du système AWS IAM. Les ressources sont les utilisateurs, les groupes, les rôles, les stratégies et les objets pour les fournisseurs d'identité qui sont stockés par le système.

#Identités

Il s'agit d'objets de ressource AWS IAM qui connectent des stratégies à des identités afin de définir des utilisateurs, des rôles et des groupes.

#Entités

Ce sont ce que le système AWS IAM utilise comme objets de ressource à des fins d'authentification. Sur le système AWS, ce sont les utilisateurs et leurs rôles autorisés. En option, ils peuvent provenir d'un système d'identification fédéré ou SAML qui fournit une vérification d'identité basée sur le Web.

#Principaux

Il peut s'agir d'un utilisateur individuel ou d'une application logicielle autorisée reconnue en tant qu'utilisateur AWS IAM ou d'un rôle IAM autorisé à se connecter et à demander l'accès aux données et aux services.

Meilleures pratiques pour l'administration AWS

Voici quelques bonnes pratiques à suivre pour l'administration AWS.

1. Sécurité du compte utilisateur racine

Le compte d'utilisateur racine créé lors de la première utilisation d'AWS est le plus puissant et constitue la « clé principale » d'un compte AWS. Il ne doit être utilisé que pour configurer le compte et pour quelques opérations nécessaires de gestion de compte et de service. La première connexion nécessite une adresse e-mail et un mot de passe.

Les meilleures pratiques pour protéger ce compte root consistent à utiliser une adresse e-mail à usage unique qui est très complexe avec au moins 8 caractères (avec des symboles, des lettres majuscules, des lettres minuscules et des chiffres) avant le signe "@". Utilisez également un mot de passe unique, différent de l'adresse e-mail qui comporte également au moins 8 caractères, qui comprend des symboles, des chiffres, des lettres majuscules et des lettres minuscules. Les mots de passe plus longs sont meilleurs.

Une fois le compte AWS entièrement configuré et établi, d'autres comptes administratifs sont créés pour une utilisation régulière.

Une fois que le besoin du compte d'utilisateur root pour tout démarrer est terminé, enregistrez les informations d'accès au compte root sur une clé USB en la verrouillant avec un cryptage, puis conservez la clé de cryptage séparée. Mettez la clé USB hors ligne dans un coffre-fort verrouillé, où elle pourra être conservée en toute sécurité jusqu'à ce que vous en ayez besoin ultérieurement.

2. Limiter les autorisations

N'accordez aux utilisateurs et aux applications que les autorisations exactes dont ils ont besoin pour effectuer leur travail. Soyez prudent lorsque vous accordez l'accès à des informations confidentielles et à des services critiques.

3. Problèmes de sécurité

La sécurité est un problème permanent. Cela commence par une structure de conception d'accès utilisateur solide, puis par des audits continus pour détecter les tentatives d'accès non autorisées, ainsi que par la gestion des mots de passe des utilisateurs pour une complexité suffisante et des changements de mot de passe réguliers. Il est important de mettre fin rapidement à l'accès des utilisateurs lorsqu'il n'est plus nécessaire ou souhaité. L'utilisation d'AWS CloudTrial à des fins d'audit est fortement recommandée.

4. Cryptage

Lorsque vous accordez l'accès à AWS à partir d'appareils utilisant Internet, assurez-vous d'utiliser un chiffrement point à point, tel que SSL, pour vous assurer que les données ne sont pas compromises pendant leur transit.

5. FAQ sur AWS Identity Access Management

Les questions fréquemment posées sur la gestion de l'accès aux identités AWS couvrent certains questionnaires pour traiter les problèmes qui vous aident pour la gestion de l'accès AWS.

Détails techniques d'AWS Access Management

La gestion des accès AWS dispose d'un graphique qui montre comment les protocoles IAM s'interfacent avec le système AWS complet basé sur le cloud. Les protocoles IAM incluent des politiques basées sur l'identité, des politiques basées sur les ressources et d'autres politiques utilisées pour l'autorisation.

Au cours du processus d'autorisation, le système AWS vérifie les politiques pour décider d'autoriser ou de refuser l'accès.

La structure globale de la politique repose sur un ensemble de principes clés à plusieurs niveaux, notamment :

• Seul l'utilisateur du compte root dispose d'un accès complet. Par défaut, toutes les autres demandes d'accès sont refusées.
• Seule une stratégie d'identité ou de ressource explicite peut remplacer la valeur par défaut du système.
• Une limite d'autorisations pour une session ou basée sur la politique structurelle d'une organisation (SCP) peut remplacer l'accès accordé par une politique basée sur l'identité ou sur les ressources.
• Une règle de refus spécifique remplace tout accès autorisé sous d'autres paramètres.

Tutoriels AWS IAM

Amazon propose des tutoriels pour ceux qui souhaitent en savoir plus sur la configuration de la gestion des identités et des accès sur AWS.

Les problèmes liés à la configuration d'AWS IAM et à son utilisation correcte sont complexes. Pour s'assurer qu'il est plus facile pour les nouveaux clients d'utiliser le système, Amazon a produit de nombreux tutoriels utiles qui incluent :

• Déléguer l'accès de la console de facturation à la console de facturation
• Utiliser les rôles IAM pour le compte AWS pour déléguer l'accès
• Créer une première politique gérée par le client
• Autoriser les utilisateurs à configurer les informations d'identification et les paramètres MFA

AWS est le leader du secteur pour de nombreuses raisons. Amazon avait besoin de ces services cloud pour ses opérations. Il est devenu évident que proposer ces services à d'autres était une opportunité commerciale pour Amazon à fort potentiel. Aujourd'hui, ce qui a commencé comme une activité secondaire pour Amazon est devenu une partie importante de l'infrastructure Internet mondiale.

L'utilisation du système AWS est presque omniprésente avec l'utilisation d'Internet dans son ensemble. Prenez le temps de configurer les politiques IAM pour protéger la sécurité avec une attention aux détails. La gestion du système IAM est une priorité pour les administrateurs réseau. Combinez cela avec des audits de sécurité informatiques réguliers pour découvrir tout problème potentiel.