La securite d'abord, car la securite est tres importante ! Lorsque vous creez un compte Amazon Web Services, ce compte est appele root. Le compte de niveau root a un acces complet a toutes les ressources executees dans l'environnement cloud et je recommande totalement de ne pas utiliser votre compte root pour gerer les ressources.

Que devez-vous faire pour garder votre compte AWS securise ?

  1. Configurer l'Authentification Multi-Facteurs pour le compte root

    Vous avez peut-etre deja entendu parler d'Authentification a 2 Etapes ou d'Authentification a 2 Facteurs. Dans l'ecosysteme Amazon, nous appelons cette couche de securite supplementaire MFA. L'utilisateur root de ce compte n'a pas l'authentification multi-facteurs (MFA) activee. Activez MFA pour ameliorer la securite de ce compte.

  2. Definir une politique de mot de passe

    Une politique de mot de passe est un ensemble de regles qui definissent les exigences de complexite et les periodes de rotation obligatoires pour les mots de passe de vos utilisateurs IAM.

    Vous pouvez definir :
    - Longueur minimale du mot de passe
    - Exiger au moins une lettre majuscule de l'alphabet latin (A-Z)
    - Exiger au moins une lettre minuscule de l'alphabet latin (a-z)
    - Exiger au moins un chiffre
    - Exiger au moins un caractere non alphanumerique
    - Activer l'expiration du mot de passe
    - L'expiration du mot de passe necessite la reinitialisation par l'administrateur
    - Autoriser les utilisateurs a changer leur propre mot de passe
    - Empecher la reutilisation du mot de passe

  3. Desactiver les Regions dont vous n'avez pas besoin

    Dans les Parametres du Compte, chaque region est activee separement dans Amazon Web Services. Par exemple, si vous prevoyez d'executer vos services dans la region de Londres (eu-west-2), vous n'avez en realite pas besoin des autres regions et vous devriez absolument les desactiver. Vous ne pouvez pas desactiver les regions Global Endpoint et US East (N. Virginia). Tous les services d'authentification d'Amazon Web Services s'executent dans Global Endpoint, certains services s'executent uniquement dans la region North Virginia (us-east-1). C'est la raison pour laquelle vous ne pouvez pas les desactiver.

  4. Creer une Politique

    Une politique definit les permissions AWS que vous pouvez attribuer a un utilisateur, un groupe ou un role. Vous pouvez creer et editer une politique dans l'editeur visuel et/ou en utilisant JSON.

    Vous pouvez definir des actions specifiques pour des services et ressources specifiques sur la page creer une politique.

  5. Creer un Role IAM

    Les roles IAM sont un moyen securise d'accorder des permissions aux entites de confiance. Exemples d'entites :
    - Utilisateur IAM dans un autre compte
    - Code d'application s'executant sur une instance EC2 qui doit effectuer des actions sur les ressources AWS
    - Un service AWS qui doit agir sur les ressources de votre compte pour fournir ses fonctionnalites
    - Utilisateurs d'un annuaire d'entreprise qui utilisent la federation d'identite avec SAML
    - Les roles IAM emettent des cles valables pour de courtes durees, ce qui en fait un moyen plus securise d'accorder l'acces.

  6. Separer vos departements avec des Groupes d'Utilisateurs

    Un utilisateur IAM est une entite que vous creez dans AWS pour representer la personne ou l'application qui l'utilise pour interagir avec AWS. Un utilisateur peut appartenir a un maximum de 10 groupes. Vous pouvez attacher jusqu'a 10 politiques a ce groupe d'utilisateurs. Tous les utilisateurs de ce groupe auront les permissions definies dans les politiques selectionnees.

  7. Appliquer les bonnes pratiques


    Accorder l'acces au moindre privilege : Etablir un principe de moindre privilege garantit que les identites sont autorisees a effectuer uniquement l'ensemble minimal de fonctions necessaires pour accomplir une tache specifique.

    Utiliser AWS Organizations : Gerer et gouverner centralement votre environnement a mesure que vous faites evoluer vos ressources AWS.

    Activer la federation d'identite : Gerer les utilisateurs et l'acces sur plusieurs services depuis votre source d'identite preferee.

    Activer MFA : Pour plus de securite, nous recommandons d'exiger l'authentification multi-facteurs (MFA) pour tous les utilisateurs.

    Faire tourner les identifiants regulierement.

    Activer IAM Access Analyzer.

    Apprendre plus sur toutes les bonnes pratiques de securite.

J'espere que cet article vous aidera a utiliser votre compte Amazon Web Service de maniere securisee !