gestion des identités et autorisations sur aws, quelles ...... · aws iam, aws directory service,...
TRANSCRIPT
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Gestion des identités et autorisations sur AWS, quelles sont vos options ?
Julien ROYERE, Solutions Architect Public Sector
S E C 1 0 2
Julien LARGILLIERE, IS&T Platform Domain Leader
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Contexte
• Audience: AWS admins, IT admins, security pros, IAM specialists• Services couverts: AWS IAM, AWS Directory Service, AWS Secrets
Manager, Amazon Cognito, AWS Single Sign-On (SSO), AWS Organizations, Amazon Cloud Directory, AWS Resource Access Manager (RAM)
• Niveau estimé : 200/300• Description : Vous êtes perdus entre la gestion de l’identité sur les
services cloud, sur vos instances virtuelles, ou comment gérer des droits d’accès dans vos scripts en partageant des secrets de manière protégée ? Venez découvrir les services au coeur de la sécurité de vos systèmes et services dans le Cloud AWS.
S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Clarification sur le cadre de la session
Identité
Authentification, autorisation, audit, et gouvernance pour vos
applications Cloud
Gestion de l’identité et des accèsAWS Identity and Access
Management (IAM)(le service)
Authentifie et autorisel’accès aux API AWS
incluant(le sujet)
Role PermissionsIdentité
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Gestion de l’identité et des accès c’est…
Valide les identités de
manière sécurisée
Autorisation
Répond aux demandes de
conformité
Audit/Gouvernance
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
L’identité à tous les niveaux
Console de gestion AWS / APIs
Infrastructure AWS
ApplicationsAWS
Vos applications
Développeurs
Admins
Securité Salariés
Clients
Partenaires
Gestion de l’identité et des accès
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Types de comptes: Root / AWS / IAM
CompteUtilisateurRoot (email
unique)
COMPTE AWS
UtilisateurIAM
- Compte Utilisateur Root : Gère le compteAWS
- Unique par compte AWS- Pas de limitation de droits !!!- Requis pour certains changements spécifiques
dans le compte AWS, comme les options de paiement
- Utilisateur IAM : Gère les ressources dans un compte AWS- Plusieurs par compte AWS (nom unique)- Limité par des politiques d’accès IAM
- COMPTE AWS : Héberge les ressources AWS- Fournit l’accès à toutes les Régions AWS- Possède des limites “soft” et “hard”
S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Identité AWS, annuaires et services d’accès (1/2)
Identité & Authentification
Amazon Cognito
Amazon Cloud Directory
AWS Directory Service
AWS Single Sign-On
AWS Single Sign-OnGère l’accès en “single sign-on” (SSO) vers plusieurs comptes AWS et des applications métier
AWS Directory ServiceService d’annuaire Microsoft Active Directory sur le cloud AWS
Amazon CognitoGestion de l’identité et des accès pour vos applications et APIs
Amazon Cloud DirectoryAnnuaire pour gérer les données de manière hiérarchique
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Identité AWS, annuaires et services d’accès (2/2)
Autorisation
AWS Identity and Access ManagementGestion d’accès granulaireaux ressources AWS
AWS Secrets ManagerGestion du cycle de vie pour les secrets
Gestion des ressources
AWS OrganizationsGestion par politique de plusieurs comptes AWS
AWS Resource Access ManagerGestionnaire d’accès aux ressources AWS pour partager des ressourcesavec plusieurs comptes AWS
AWS Identity and Access Management (IAM)
AWS Secrets Manager
AWS Organizations
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Proposer des solutions en fonction des clients…
PMEs Entreprises de taillesmoyennes
Grandes entreprise
s
• Amazon Cognito• Utilisateurs AWS
IAM
• AWS Single Sign-on• AWS Directory Service –
Standard Edition• AWS IAM• AWS Secrets Manager• Amazon Cognito
• AWS Single Sign-on• AWS Directory Service –
Enterprise Edition• AWS IAM• AWS Secrets Manager• Amazon Cognito• Amazon Cloud Directory• AWS Organizations• AWS Resource Access
Manager
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
… et en fonction des cas d’usage
Business versClients
Business versBusiness
Business versSalariés
• Amazon Cognito User Pools
• AWS Single Sign-on• AWS IAM• Amazon Cognito Identity
Pools• AWS Directory Service• AWS Cloud Directory
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Cas d’usage les plus communs
Gestion d’accès utilisateurs pour un compte et ressources AWS• Developpeurs s’authentifiant en ligne de commande AWS (AWS CLI) or dans la
Console de gestion web • Ingénieurs SecOps executant une fonction LAMBDA
Gestion d’accès des applications vers des données et ressources• Applications exécutant des instances Amazon EC2 ou des containeurs ayant
besoin d’accéder à des données dans Amazon S3
Gestion d’accès utilisateurs vers vos propres applications• Utilisateurs s’authentifiant sur vos applications en utilisant leurs comptes
Facebook, Twitter ou Amazon
S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Cas #1- Accès utilisateurs vers un compte & ressources AWS
Permettez aux utilisateurs l’authentification sur un compte AWS en utilisants leur identité d’entreprise:
Configurez l’accès SSO fédéré avec chacun de comptes AWS en utilisant AWS IAM
AWS SSO vous aide à créer des utilisateurs et groupes nativement sur AWS, les connecter à des utilisateurs existant dans vos annuaires, définir les permission et gérer l’accès à plusieurs applications et comptes AWS.
Définissez des permissions utilisateurs granulaires dans vos comptes AWS en utilisant des politiques IAM
AWS Organizations vous aide à gouverner l’utilisation des API AWS aux travers de plusieurs comptes AWS
AWS Resource Access Manager (RAM) vous aide à partager de manière sécurisée des ressources AWS avec n’importe quel compte AWS ou dans un domaine AWS Organizations
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Cas #2- Accès applicatif vers vos données et vos ressources
Evitez de mettre en clair vos login/mot de passe dans votre code
Vous pouvez utiliser des rôles IAM pour sécurisercela:
• Les rôles IAM fonctionnent avec Amazon EC2, les conteneurs Amazon EC2, et les fonctions AWS Lambda
AWS Secrets Manager vous aide facilement à faire tourner, gérer, et récupérer vos login/mot de passe, clefs API, et autres secrets tout au long de leur cycle de vie
Vous pouvez définir des permissions granulaires versvos ressources AWS en utilisant des politiques IAM
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Cas #3 – Accès utilisateur à vos propres applications
Permettez aux utilisateurs de venir avec leur propreidentité issue d’autre fournisseurs d’identité avec Amazon Cognito
Intégration directe pour Facebook, Google, et Amazon
S’intègre avec des fournisseurs d’identitécompatibles OAuth 2.0, SAML 2.0, et OpenID Connect (OIDC)
Créez des annuaires nativement dans le Cloud avec des profiles utilisateurs étendus
Accès sécurisé à vos applications avec uneprotection pour:
Les activités d’authentification non-usuelles Login/mot de passe compromis
S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Portfolio large sur la sécurité et l’identité
• AWS Identity & Access Management (IAM)
• AWS Single Sign-On (SSO)
• AWS Directory Service
• Amazon Cloud Directory
• AWS Secrets Manager
• Amazon Cognito
• AWS Organizations
• AWS Resource Access Manager (RAM)
• AWS Security Hub
• Amazon GuardDuty
• AWS CloudTrail
• AWS Config
• AmazonCloudWatch
• VPC Flow Logs
• AWS Systems Manager
• AWS Shield
• AWS Web Application Firewall (AWS WAF)
• Amazon Inspector
• Amazon Virtual Private Cloud (VPC)
• AWS Key Management Service (KMS)
• AWS CloudHSM
• Amazon Macie
• AWS Certificate Manager
• Server-Side Encryption
• AWS Config Rules
• AWS Lambda
Identité Détection Sécuritéd’infrastructure
Réponse àincident
Protection des données
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Bénéfices de la gestion d’identité et d’accès dans AWS
Vous donne le choix
Sécurisé, complet, flexible
Disponiblequand vous en
avez besoin
Contrôle d’accèsgranulaire
Elastique
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Bénéfices de la gestion d’identité et d’accès dans AWS
Sécurité à l’échelleVous permet de construire des applications and gérer leur accès de manière plus sécurisé, applicable à l’ensemble de vos ressources
CompletLes nombreux services vous aident à démarrer rapidement, et leur richesse enfonctionnalités permet de satisfaire vos besoins les plus avancés
Flexibilité amélioréeVous offre des options pour répondre à vos besoins tout au long de votreutilisation d’AWS plutôt que vous forcer à vous adapter à AWS
S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Fonctionnement de l’AssumeRole
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.