Bonnes pratiques pour sécuriser les accès et utilisateurs

Il existe deux types d’utilisateurs différents dans le stockage objet Cloud Avenue : Le propriétaire du compte (utilisateur racine) ou un utilisateur IAM ( Identity and Access Management).

L’utilisateur racine est créé lorsque votre compte Cloud Avenue est créé, les informations de connexions qui vous ont été transmise ( Accès Key / Secret Key ) sont liées à cette utilisateur

Les utilisateurs IAM sont créés par l’utilisateur racine ou un administrateur IAM pour le compte. Tous ont des informations d’identification de sécurité.

Utilisateur Racine

Informations d’identification utilisateur racine

Les informations d’identification du propriétaire du compte permettent un accès total à toutes les ressources du compte. Vous ne pouvez pas utiliser de stratégies IAM ( policies ) pour refuser explicitement à l’utilisateur racine l’accès aux ressources.

Pour cette raison, nous vous recommandons de protéger les clés d’accès de votre utilisateur racine, Il y a des tâches spécifiques qui sont limitées à l’utilisateur racine. Par exemple, seul l’utilisateur racine peut fermer votre compte.

Protéger les clés d’accès de votre utilisateur racine

N’utilisez pas la clé d’accès de votre utilisateur racine. La clé d’accès de votre utilisateur racine octroie un accès total à toutes vos ressources pour tous les services. Vous ne pouvez pas restreindre les autorisations associées à la clé d’accès de votre utilisateur racine.

Par conséquent, protégez la clé d’accès de votre utilisateur racine comme vos numéros de carte de crédit ou autres codes sensibles. Voici quelques moyens d’y parvenir :

  •   Il est vivement recommandé de ne pas utiliser l’utilisateur racine pour vos tâches quotidiennes, y compris pour les tâches administratives. Au lieu de cela, utilisez vos informations d’identification d’utilisateur racine uniquement pour créer votre utilisateur administrateur IAM. Ensuite, mettez en sécurité les informations d’identification de l’utilisateur racine et utilisez-les uniquement pour effectuer certaines tâches de gestion des comptes et des services.

   Si vous avez une clé d’accès pour votre utilisateur racine, faites-la tourner (modifiez-la) régulièrement.

  • Ne communiquez jamais le mot de passe ou les clés d’accès de votre utilisateur racine à quiconque. Les autres sections de ce document abordent différentes façons d’éviter d’avoir à partager vos informations d’identification d’utilisateur racine avec d’autres utilisateurs.

Tâches nécessitant des informations d’identification utilisateur racine

Nous vous recommandons d’utiliser un utilisateur IAM disposant des autorisations appropriées pour exécuter des tâches. Toutefois, vous pouvez exécuter les tâches indiquées ci-dessous uniquement lorsque vous vous vous connectez tant qu’utilisateur racine d’un compte.

Taches :

  •    Modifiez les paramètres de votre compte. Cela inclut le nom du compte, l’adresse e-mail, le mot de passe de l’utilisateur racine et les clés d’accès utilisateur racine. Les autres paramètres de compte tels que les coordonnées
  •    Restaurez les autorisations utilisateur IAM. Si le seul administrateur IAM révoque accidentellement ses propres autorisations, vous pouvez vous connecter en tant qu’utilisateur racine pour modifier les stratégies et restaurer ces autorisations.
  •    Clôturez votre compte
  •    Modifiez ou supprimez une stratégie de compartiment S3 qui comprend un ID de VPC ou un ID de point de terminaison de VPC non valide.

Utilisateur IAM

Informations d’identification IAM

Avec un utilisateur IAM, vous pouvez contrôler en toute sécurité l’accès au service S3 ainsi qu’aux ressources pour les utilisateurs. Par exemple, si vous avez besoin d’autorisations de niveau administrateur, vous pouvez créer un utilisateur IAM, accordez un accès total à cet utilisateur, puis utilisez ces informations d’identification pour interagir avec le service S3 de Cloud Avenue. Si vous avez besoin de modifier ou de révoquer vos autorisations, vous pouvez supprimer ou modifier les stratégies qui sont associées à cet utilisateur IAM.

Si vous avez plusieurs utilisateurs qui ont besoin d’accéder à votre compte S3, vous pouvez créer des informations d’identification uniques pour chaque utilisateur et définir qui a accès à quelles ressources. Vous n’avez pas besoin de partager les informations

Accorder les privilèges les plus faibles possible

Lorsque vous créez des politiques IAM, suivez le conseil de sécurité standard du moindre privilège, principe selon lequel il ne faut accorder que les autorisations requises pour une seule tâche. Déterminez les actions que les utilisateurs (et les rôles) doivent effectuer et élaborez des politiques leur permettant de réaliser uniquement ces tâches.

Commencez avec un minimum d’autorisations et accordez-en d’autres si nécessaire. Cette méthode est plus sûre que de commencer avec des autorisations trop permissives et d’essayer de les restreindre plus tard. Par exemple, vous pouvez créer des utilisateurs IAM avec un accès en lecture seule aux ressources et distribuez ces informations d’identification aux utilisateurs

Gérer les Utilisateurs IAM

  1. Créer un User IAM via la commande aws-cli « create-user« 
  2. Donnez à l’utilisateur à un accès au service, cela nécessite des clés d’accès. la commande aws-cli associé est : create-access-key

Gérer les policies

Pour créer une policie via les commandes aws-cli suivre le lien https://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/access_policies_create-cli.html

Pour lier une policie à un User via les commandes aws-cli suivre le : https://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policy-cli

Accéder aux Clés S3 (informations d’identification de sécurité)

Les informations d’identification de sécurité au service de stockage objet sont disponible sur la console dans l’onglet « Informations d’identification »: