Exemples de politiques IAM
Le principe du moindre privilège
Dans AWS, il est crucial de suivre le principe du moindre privilège. Cela signifie que vous ne devez accorder à un utilisateur que les permissions strictement nécessaires pour accomplir ses tâches. Par exemple, si un utilisateur a seulement besoin d’accéder à S3 et de lire certains objets, il ne faut pas lui accorder des permissions pour modifier ou supprimer des objets dans S3, ni l’autoriser à accéder à d’autres services comme EC2 ou IAM. Cela permet de limiter les risques et d’éviter des erreurs ou des attaques potentielles.
Sécurisation des utilisateurs IAM
Une fois que vous avez créé des utilisateurs et attribué des politiques dans IAM, il est crucial de protéger l’accès à ces comptes pour éviter toute compromission. Il existe deux mécanismes de défense principaux pour assurer cette protection : les politiques de mot de passe et l’authentification multifactorielle (MFA).
1. Politiques de Mot de Passe
Les politiques de mot de passe permettent de définir des règles strictes pour garantir que les mots de passe des utilisateurs sont sécurisés. Vous pouvez configurer plusieurs paramètres, comme :
Longueur minimale du mot de passe.
Exigence de types de caractères spécifiques : majuscules, minuscules, chiffres, caractères spéciaux (ex : ?, @).
Autoriser ou non les utilisateurs à modifier leur propre mot de passe.
Expiration régulière des mots de passe, par exemple tous les 90 jours.
Empêcher la réutilisation des mots de passe, afin qu’un utilisateur ne puisse pas revenir à un mot de passe précédent.
Ces politiques contribuent à réduire les risques d’attaques par force brute et renforcent la sécurité globale des comptes AWS.
2. Authentification Multifactorielle (MFA)
L’authentification multifactorielle ajoute une couche supplémentaire de sécurité en combinant un mot de passe et un dispositif de sécurité physique ou virtuel. Avec l’MFA, même si un mot de passe est compromis, un attaquant ne pourra pas accéder à votre compte sans l’appareil physique de l’utilisateur.
Types de dispositifs MFA dans AWS :
Dispositif MFA virtuel : Par exemple, Google Authenticator ou Authy, qui génèrent des codes à usage unique. Ces outils sont faciles à utiliser et peuvent être configurés sur un seul appareil pour plusieurs comptes.
Clé de sécurité universelle à deuxième facteur (U2F) : Dispositifs physiques comme YubiKey, qui s’intègrent directement à votre porte-clé. Ce type de clé peut être utilisé pour plusieurs comptes (root et IAM), ce qui simplifie sa gestion.
Porte-clés matériels MFA : Par exemple, des dispositifs fournis par des tiers comme Gemalto.
Dispositifs MFA pour AWS GovCloud : Dans le cadre du cloud gouvernemental américain, AWS fournit des porte-clés MFA spéciaux, comme ceux de SurePassID.
Pourquoi MFA est Crucial ?
Le MFA empêche un attaquant de se connecter même s’il connaît votre mot de passe, car il lui faudrait également l’appareil physique (comme un téléphone ou une clé USB) pour valider la connexion. Ce double facteur de sécurité rend l’accès beaucoup plus difficile pour les pirates.
