Ces deux outils intégrés à la console de gestion IAM sont très utiles lors des revues de sécurité, vous permettant de tester vos stratégies IAM, l'accès spécifique à l'utilisateur et l'accès croisé, et même l'envoi d'avertissements, des problèmes sont détectés.
Des examens de sécurité réguliers sont importants
Si vous avez beaucoup d'employés et que vous utilisez des utilisateurs IAM pour les comptes d'employés, vous devriez effectuer des examens de sécurité réguliers pour vous assurer que vos politiques sont contrôlées. Étant donné que les utilisateurs peuvent avoir plusieurs politiques associées à leur compte, il est possible de déraper et d'accorder accidentellement à un utilisateur plus d'autorisations qu'il n'en a besoin. Sans avis de sécurité, cet utilisateur continuera à avoir des autorisations élevées jusqu'à ce que quelqu'un le remarque.
Le problème est exacerbé avec plusieurs comptes. Il est assez courant pour les grandes entreprises d'utiliser AWS Organizations pour séparer leur compte en environnements de développement, de test, de préparation et de production. Cela garde tout séparé et permet à l'environnement de développement d'avoir des autorisations plus laxistes.
Mise en place accès entre comptes est facile; par exemple, vous pouvez donner à un utilisateur de l'environnement de développement l'accès à certaines ressources de l'environnement de test. Vous voudrez vous assurer que l'environnement de production est plus verrouillé et n'autorise pas l'accès aux comptes externes qui n'en ont pas besoin. Et, bien sûr, si vous travaillez avec une autre entreprise, vous pouvez lui donner un accès fédéré à certaines de vos ressources. Vous voudrez vous assurer que cela est configuré correctement, sinon cela peut devenir un problème de sécurité.
Test du simulateur de stratégie, accès par compte
Le concept du simulateur de politique est assez simple. Vous sélectionnez un compte et il assume les autorisations de ce compte et simule les demandes d'API pour tester les ressources auxquelles ce compte a accès.
Dirigez-vous vers le Console de gestion IAM pour l'essayer. Sélectionnez un utilisateur, un groupe ou un rôle dans la barre latérale gauche et sélectionnez un service à tester.
Vous pouvez tester des appels d'API individuels directement en sélectionnant une action spécifique, mais il est beaucoup plus utile de simplement "Tout sélectionner" et de tester automatiquement chaque action possible. Cela peut détecter des erreurs où, par exemple, vous avez donné à un utilisateur un accès en écriture à un compartiment (avec l'intention de lui donner l'autorisation de télécharger), mais vous avez manqué le fait que l'autorisation d'écriture donne également l'autorisation de suppression.
Si vous cliquez sur une action, vous verrez quelle stratégie IAM et quelle règle autorisent cet utilisateur à accéder à cette ressource. Vous pouvez modifier et créer de nouvelles stratégies IAM directement ici, ce qui en fait un IDE de toutes sortes pour IAM. Vraiment, c'est tout ce que fait IAM Policy Simulator, mais il est suffisamment utile pour ne pas avoir besoin d'être super flashy.
Access Analyzer identifie les problèmes d'accès entre comptes
L'analyseur d'accès est un nouvel ajout à la suite IAM qui peut détecter automatiquement les problèmes dans vos paramètres IAM, en particulier lorsqu'il s'agit d'autoriser des ressources en dehors de votre cercle de confiance. Si, par exemple, vous disposez d'une clé KMS dans l'environnement de production à laquelle une personne peut accéder dans l'environnement de développement, Access Analyzer le détecte et vous envoie un avertissement.
Il est entièrement gratuit et fonctionne en arrière-plan de votre compte AWS, vérifiant de temps en temps et vous avertissant des problèmes. Il n'y a aucune raison de ne pas l'activer.
Dirigez-vous vers le Onglet Access Analyzer de la console de gestion IAM, et cliquez sur "Créer un analyseur".
Il devrait s’exécuter automatiquement une fois créé, et si tout va bien, vous ne verrez rien d’autre, juste une liste vide de résultats. S'il trouve quelque chose, vous en serez informé et il apparaîtra dans la liste des résultats.
À partir de là, vous pourrez indiquer si le résultat est un accès prévu ou non.
Si cela déclenche beaucoup de faux positifs, vous pouvez configurer un filtre sous "Règles d'archivage".