Blog Sécurité du Cloud

Mise en œuvre des politiques de contrôle des ressources AWS : caractéristiques et avantages principaux

Les nouvelles politiques de contrôle des ressources (RCP) d’AWS visent à améliorer le contrôle de l’accès aux ressources.

 

Veuillez noter que cet article a été traduit avec l'aide de l'IA et révisé par un traducteur humain.

Dubie Dubendorfer

3 minute de lecture
Dernière mise à jour 11 février 2025
Varonis for AWS

Contents

    AWS a récemment introduit les politiques de contrôle des ressources (RCP), améliorant ainsi ses outils de gestion des accès et de sécurité cloud. Les RCP permettent aux organisations d’appliquer de manière centralisée des périmètres de données dans leur environnement AWS, ce qui améliore le contrôle de l’accès aux ressources. 

    Cependant, les organisations doivent aborder la mise en œuvre des RCP avec prudence.

    Quelles sont les politiques de contrôle des ressources AWS ? 

    La gestion de l’accès à de multiples ressources à grande échelle peut s’avérer complexe. Identifier les ressources surexposées dans un vaste environnement AWS nécessite un effort manuel considérable, tout comme le maintien de la remédiation de ces surexpositions.

    Les RCP sont un nouveau type de politique d’autorisation gérée au sein d’AWS Organizations. Elles permettent aux administrateurs de définir les autorisations maximales disponibles sur les ressources dans l’ensemble de l’organisation, créant ainsi des garde-fous d’accès permanents.

    Les RCP complètent les politiques de contrôle des services (SCP) existantes, mais fonctionnent indépendamment en se concentrant sur l’accès au niveau des ressources plutôt que sur les autorisations au niveau principal. 

    Principales caractéristiques et avantages 

    • Gestion centralisée : les RCP peuvent être appliquées à la racine, à l’unité organisationnelle (OU) ou au niveau du compte individuel, ce qui permet un contrôle granulaire et une application cohérente des politiques sur plusieurs comptes AWS. 
    • Sécurité renforcée : en limitant l’accès aux ressources à grande échelle, les RCP aident à établir un périmètre de données contrôlé, réduisant ainsi le risque d’accès non autorisé ou de fuite de données. Cependant, utilisez les RCP avec prudence, car la gestion de plusieurs RCP peut devenir difficile à mesure qu’elles augmentent en nombre. 
    • Services pris en charge : actuellement, les RCP prennent en charge cinq services AWS essentiels : Amazon Simple Storage Service (S3), AWS Security Token Service (STS), AWS Key Management Service (KMS), Amazon Simple Queue Service (SQS) et AWS Secrets Manager. Actuellement, elles ne prennent pas en charge RDS, Dynamo DB, d’autres bases de données AWS, les entrepôts de données ou les lacs de données. 
    • Économique : il n’y a pas de frais supplémentaires pour la mise en œuvre et l’utilisation des RCP, ce qui en fait une amélioration de la sécurité accessible aux organisations de toutes tailles. 

    Cas d’utilisation et exemples 

    • Empêcher l’accès public : les RCP peuvent être utilisées pour mettre en œuvre un modèle « refus d’abord », empêchant ainsi l’exposition publique accidentelle de ressources sensibles telles que les compartiments S3, tout en autorisant des exceptions pour les ressources intentionnellement destinées au public. 
    • Renforcement des frontières organisationnelles : les administrateurs peuvent créer des politiques qui refusent l’accès à toutes les identités et à tous les services en dehors de leur organisation AWS, avec des exceptions spécifiques si nécessaire. 
    • Application du chiffrement : les RCP peuvent s’assurer que toutes les données stockées dans les compartiments S3 sont chiffrées au repos ou en transit, maintenant un niveau élevé de protection. 

    Mise en œuvre et bonnes pratiques 

    Pour démarrer avec les RCP, suivez ces étapes : 

    1. Activez la fonctionnalité dans la console AWS Organizations sous la section « Politiques » 
    2. Créez des RCP personnalisées adaptées aux exigences de sécurité de votre entreprise 
    3. Associez les RCP aux entités organisationnelles souhaitées (racine, UO ou comptes). 
    4. Testez minutieusement dans des environnements isolés avant de les appliquer à grande échelle 

    Il est important de comprendre que les RCP, comme les SCP, servent de limites d’autorisations et ne peuvent pas accorder d’autorisations supplémentaires, elles se limitent à restreindre ou à refuser des actions. Il est essentiel de surveiller plusieurs RCP pour s’assurer que toutes les autorisations susceptibles d’être restreintes sont anticipées.

    Récapitulatif 

    Les politiques de contrôle des ressources (RCP) représentent une évolution notable des offres de sécurité d’AWS. En fournissant une méthode centralisée pour contrôler l’accès aux ressources dans l’ensemble de l’organisation, les RCP comblent une lacune critique en matière de sécurité du cloud.

    Cependant, la mise en œuvre des RCP peut présenter certains défis. Les organisations doivent s’assurer que leurs politiques sont rigoureusement testées dans des environnements isolés pour éviter des perturbations non intentionnelles. De plus, la supervision de plusieurs RCP peut être complexe et nécessite une planification minutieuse pour anticiper et traiter les autorisations restreintes. 

    À mesure que l’écosystème AWS évolue, on s’attend à de nouvelles améliorations et à une prise en charge plus étendue des services pour les RCP, renforçant ainsi leur rôle en tant qu’élément clé d’une stratégie de sécurité AWS. Cependant, les organisations doivent aborder la mise en œuvre des RCP avec prudence.

    Réduisez vos risques sans en prendre aucun.

    Il est crucial d’avoir une vue d’ensemble complète de la posture de sécurité et des autorisations d’accès de votre environnement AWS, notamment l’étendue des RCP, pour les utiliser efficacement. Varonis pour AWS offre une visibilité sur ces éléments et bien plus.

    Commencez par une évaluation gratuite des risques. Notre évaluation est prête en quelques minutes et offre une valeur immédiate, vous donnant une vision claire et basée sur les risques des données les plus importantes, ainsi qu’une voie évidente vers une remédiation automatisée. 

    Que dois-je faire maintenant ?

    Vous trouverez ci-dessous trois solutions pour poursuivre vos efforts visant à réduire les risques liés aux données dans votre entreprise:

    1

    Planifiez une démonstration avec nous pour voir Varonis en action. Nous personnaliserons la session en fonction des besoins de votre organisation en matière de sécurité des données et répondrons à vos questions.

    2

    Consultez un exemple de notre évaluation des risques liés aux données et découvrez les risques qui pourraient subsister dans votre environnement. Cette évaluation est gratuite et vous montre clairement comment procéder à une remédiation automatisée.

    3

    Suivez-nous sur LinkedIn, YouTube et X (Twitter) for pour obtenir des informations sur tous les aspects de la sécurité des données, y compris la DSPM, la détection des menaces, la sécurité de l’IA et plus encore.

    Dubie Dubendorfer
    Dubie Dubendorfer Dubie Dubendorfer is a CISSP and AWS-certified IT director with extensive experience in on-premises and cloud IT infrastructure, network security, solutions architecture, and cybersecurity.

    Essayez Varonis gratuitement.

    Obtenez un rapport détaillé sur les risques liés aux données basé sur les données de votre entreprise.
    Se déploie en quelques minutes.
    Commencer Voir un échantillon

    Keep reading

    Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

    comment-configurer-aws-iam-:-éléments,-fonctionnalités-et-composants
    Comment configurer AWS IAM : éléments, fonctionnalités et composants
    comment-configurer-aws-iam-:-éléments,-fonctionnalités-et-composants
    David Gibson
    31 août 2021
    Amazon Web Services (AWS) Identity and Access Management (IAM) est un service Web qui vous aide à gérer de manière sécurisée les accès à AWS. Dans cet article, nous allons voir comment configurer IAM pour contrôler qui est authentifié (connecté) et autorisé (dispose des droits) à utiliser les ressources AWS.
    le-guide-pour-tout-savoir-sur-le-ransomware-:-types-et-définitions-des-attaques-de-ransomware
    Le guide pour tout savoir sur le ransomware : types et définitions des attaques de ransomware
    le-guide-pour-tout-savoir-sur-le-ransomware-:-types-et-définitions-des-attaques-de-ransomware
    David Harrington
    19 août 2021
    Les attaques de ransomware peuvent entraîner une perte significative de données, de fonctionnalité du système et de ressources financières. Mais qu’est-ce qu’un ransomware exactement ? Le ransomware peut prendre différentes formes,...
    la-réalité-du-travail-dans-le-domaine-de-la-cybersécurité :-journée-type-d'un-professionnel
    La réalité du travail dans le domaine de la cybersécurité : journée-type d'un professionnel
    la-réalité-du-travail-dans-le-domaine-de-la-cybersécurité :-journée-type-d'un-professionnel
    Rob Sobers
    29 mars 2020
    Consultez notre entretien avec des spécialistes de différents rôles dans le domaine de la cybersécurité pour savoir en quoi consiste leur travail, notamment les compétences et les ressources nécessaires, et découvrir leurs conseils d’experts.
    qu’est-ce-le-c&c-?-explications-sur-l’infrastructure-de-commande-et-contrôle
    Qu’est-ce le C&C ? Explications sur l’infrastructure de Commande et Contrôle
    qu’est-ce-le-c&c-?-explications-sur-l’infrastructure-de-commande-et-contrôle
    Robert Grimmick
    7 mai 2021
    Cet article décrit l'infrastructure Commande et Contrôle (C&C), utilisée par les hackers pour contrôler des appareils infectés et dérober des données sensibles lors d'une cyberattaque.