SlideShare une entreprise Scribd logo
© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Julien Simon
Principal Technical Evangelist, AWS
julsimon@amazon.fr
@julsimon

Authentification
et autorisation d'accès
avec AWS IAM
Agenda
•  Modèle de sécurité AWS
•  Bases d'IAM
•  Stratégies IAM
•  Stratégies gérées IAM
•  Rôles IAM
•  Fédération d’identité avec IAM
•  Questions et réponses
Modèle de sécurité AWS
AWS se charge
de la sécurité #
DU cloud
Vous
Résumé des épisodes précédents ;)
Services de base AWS
Calcul
 Stockage
 Base de données
 Mise en réseau
Infrastructure globale AWS
Régions
Zones de disponibilité
Emplacements
périphériques
Chiffrement des données
côté client
Chiffrement des données
côté serveur
Protection du #
trafic réseau
Gestion de plateforme, d'applications, d'identité et d'accès
Configuration du système d'exploitation, du réseau et du pare-feu
Applications et contenu client
Vous devez définir
vos contrôles
DANS le cloud
Webinaire “Modèle de sécurité AWS” : https://www.youtube.com/watch?v=1QeKH-5nTIc
•  Vous conservez la propriété et le contrôle total de vos données
•  Vous profitez d'un environnement créé pour les organisations les
plus exigeantes en termes de sécurité
•  AWS gère plus de 1 800 contrôles de sécurité et vous décharge
d’une grande partie du travail de sécurisation
•  Vous devez définir les contrôles de sécurité appropriés à votre
charge de travail
Ce que cela signifie
AWS Identity and Access Management
•  IAM vous permet de contrôler qui a le droit de faire quoi dans votre
compte et sur vos ressources AWS
•  Pour chaque utilisateur, vous pouvez autoriser ou interdire
individuellement chaque opération sur toute ressource AWS
•  Vous pouvez également enregistrer tous les appels à l’API AWS dans
AWS CloudTrail : nous en parlerons en détail dans un autre webinaire
Bases d’IAM
Configurer et utiliser AWS IAM
Console AWS
 Ligne de commande
AWS
Kits de
développement
logiciel AWS
Autres services AWS
Interfaces Opérations Interfaces Développement
Utilisateurs et Groupes IAM
Authentification d’un utilisateur
Les utilisateurs IAM peuvent être authentifiés à l'aide des
éléments suivants :
•  Nom utilisateur + mot de passe
•  Clés d'accès
•  Access Key Id
•  Secret Access Key
•  Authentification multi-facteurs
•  Token matériel
•  Google Authenticator
Ne partagez jamais vos éléments d’authentification. J-A-M-A-I-S !
Informations sur un utilisateur IAM
Stratégies IAM
Stratégies IAM
Les stratégies IAM permettent
d’associer des permissions aux
utilisateurs et aux groupes IAM.

Chaque stratégie contient des
instructions IAM qui définissent
les droits de l'utilisateur.

Elles sont exprimées en JSON.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:Describe*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "elasticloadbalancing:Describe*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:ListMetrics",
"cloudwatch:GetMetricStatistics",
"cloudwatch:Describe*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "autoscaling:Describe*",
"Resource": "*"
}
]
}
AmazonEC2ReadOnlyAccess
http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/
reference_policies_elements.html
Instruction IAM
Principal

Action 

Resource 

Condition
{
"Statement":[{
"Effect":"effect",
"Principal":"principal",
"Action":"action",
"Resource":"arn",
"Condition":{
"condition":{
"key":"value" }
}
}
]
}
Principal – Exemples
Une entité dont l'accès à une ressource est autorisé ou refusé
Désignée par un ARN (Amazon Resource Name)
<!-- Tout le monde (utilisateurs anonymes) -->
"Principal":"AWS":"*.*"
<!-- Compte ou comptes spécifiques -->
"Principal":{"AWS":"arn:aws:iam::123456789012:root" }
"Principal":{"AWS":"123456789012"}
<!-- Utilisateur IAM individuel -->
"Principal":"AWS":"arn:aws:iam::123456789012:user/username"
<!-- Utilisateur fédéré (avec la fédération d'identité web) -->
"Principal":{"Federated":"www.amazon.com"}
"Principal":{"Federated":"graph.facebook.com"}
"Principal":{"Federated":"accounts.google.com"}
<!-- Rôle spécifique -->
"Principal":{"AWS":"arn:aws:iam::123456789012:role/rolename"}
<!-- Service spécifique -->
"Principal":{"Service":"ec2.amazonaws.com"}
Remplacez
par votre
numéro de
compte
Action – Exemples
§  Décrit le type d'accès qui doit être autorisé ou refusé (i.e. l’API AWS)
§  Vous trouverez la description complète dans la documentation des services AWS
§  Les instructions doivent inclure un élément Action ou NotAction
<!-- Action EC2 -->
"Action":"ec2:StartInstances"
<!-- Action IAM -->
"Action":"iam:ChangePassword"
<!-- Action S3 -->
"Action":"s3:GetObject"
<!-- Spécifiez plusieurs valeurs pour l'élément Action-->
"Action":["sqs:SendMessage","sqs:ReceiveMessage"]
<--Utilisez des caractères génériques (* ou ?) dans le nom de l'action.
Cela couvre Créer/Supprimer/Répertorier/Mettre à jour-->
"Action":"iam:*AccessKey*"
Comprendre NotAction
§  Vous permet de spécifier une liste d'actions
§  Peut permettre d'obtenir des stratégies plus courtes qu'avec l'utilisation de l'élément
Action et le refus de nombreuses actions
§  Exemple : supposons que vous souhaitiez tout autoriser à l'exception des API IAM
{
"Version": "2012-10-17",
"Statement": [ {
"Effect": "Allow",
"NotAction": "iam:*",
"Resource": "*"
}
]
}
Comprendre NotAction
{
"Version": "2012-10-17",
"Statement": [ {
"Effect": "Allow",
"NotAction": "iam:*",
"Resource": "*"
}
]
}
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "*",
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "iam:*",
"Resource": "*"
}
]
}
ou
§  Vous permet de spécifier une liste d'actions
§  Peut permettre d'obtenir des stratégies plus courtes qu'avec l'utilisation de l'élément
Action et le refus de nombreuses actions
§  Exemple : supposons que vous souhaitiez tout autoriser à l'exception des API IAM
Comprendre NotAction
{
"Version": "2012-10-17",
"Statement": [ {
"Effect": "Allow",
"NotAction": "iam:*",
"Resource": "*"
}
]
}
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "*",
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "iam:*",
"Resource": "*"
}
]
}
ou
Il ne s'agit pas d'un Deny. Un utilisateur peut
toujours avoir une stratégie distincte qui
octroie IAM:*
Si vous souhaitez empêcher l'utilisateur
de pouvoir appeler les API IAM pour
toujours, utilisez un refus explicite.
§  Vous permet de spécifier une liste d'actions
§  Peut permettre d'obtenir des stratégies plus courtes qu'avec l'utilisation de l'élément
Action et le refus de nombreuses actions
§  Exemple : supposons que vous souhaitiez tout autoriser à l'exception des API IAM
Resource – Exemples
§  L'objet ou les objets demandés
§  Les instructions doivent inclure un élément Resource ou NotResource
<-- Compartiment S3 -->
"Resource":"arn:aws:s3:::my_corporate_bucket/*"
<-- File d'attente SQS-->
"Resource":"arn:aws:sqs:us-west-2:123456789012:queue1"
<-- Plusieurs tables DynamoDB -->
"Resource":["arn:aws:dynamodb:us-west-2:123456789012:table/
books_table",
"arn:aws:dynamodb:us-west-2:123456789012:table/
magazines_table"]
<-- Toutes les instances EC2 d'un compte dans une région -->
"Resource": "arn:aws:ec2:us-east-1:123456789012:instance/*"
Conditions
Critères qui doivent être valides pour que
la stratégie s’applique
•  Peut contenir plusieurs conditions
•  Les clés de condition peuvent contenir
plusieurs valeurs
•  Si une seule condition comprend
plusieurs valeurs pour une clé, la
condition est évaluée à l'aide de
l'opérateur logique OR
•  Plusieurs conditions (ou plusieurs clés
dans une seule condition) : les
conditions sont évaluées à l'aide de
l'opérateur logique AND#
#

Elément Condition
Condition 1 :
Clé1 : Valeur1A
Condition 2 :
Clé3 : Valeur3A
AND
AND
Clé2 : Valeur2A OR Valeur2B
OR ORValeur1B Valeur 1C
Conditions – Exemple
"Condition" : {
"DateGreaterThan" : {"aws:CurrentTime" : "2015-10-08T12:00:00Z"},
"DateLessThan": {"aws:CurrentTime" : "2015-10-08T15:00:00Z"},
"IpAddress" : {"aws:SourceIp" : ["192.0.2.0/24", "203.0.113.0/24"]}
}
Permet à un utilisateur d'accéder à une ressource dans les conditions suivantes :
§  L'heure se situe après 12h le 08/10/2015 ET
§  L'heure se situe avant 15h le 08/10/2015 ET
§  La demande est issue d'une adresse IP située dans la plage 192.0.2.0 /24 #
OU 203.0.113.0 /24
Toutes ces conditions doivent être respectées pour que l'instruction soit appliquée.
AND
OR
Comment procéder si vous souhaitez limiter l'accès à une période et une plage
d'adresses IP spécifiques ?
Variables de stratégie
§  Variables prédéfinies basées sur le contexte de la demande de service
•  Clés existantes (aws:SourceIP, aws:CurrentTime, etc.)
•  Clés propres à l'élément Principal (aws:username, aws:userid,
aws:principaltype)
•  Clés propres au prestataire (graph.facebook.com:id,
www.amazon.com:user_id)
•  Clés SAML (saml:aud, saml:iss)
§  Avantages
•  Simplifie la gestion des stratégies
•  Réduit la nécessité d'avoir des stratégies codées en dur
{	
		"Version":	"2012-10-17",	
		"Statement":	[{	
					"Effect":	"Allow",	
					"Action":	["s3:ListBucket"],	
					"Resource":	["arn:aws:s3:::myBucket"],	
					"Condition":	
		{"StringLike":	
					{"s3:prefix":["home/${aws:username}/*"]}	
								}	
				},	
				{	
						"Effect":"Allow",	
						"Action":["s3:*"],	
						"Resource":	["arn:aws:s3:::myBucket/home/${aws:username}",	
																			"arn:aws:s3:::myBucket/home/${aws:username}/*"]	
				}	
		]	
}	
Stratégie avec variables
Variable dans les conditions
Variable dans les ARN
de ressource
Un utilisateur a accès à son répertoire principal, contenu dans le bucket S3 ‘myBucket’
Application des stratégies
Décision finale = "deny"
(refus explicite)
Oui
Décision finale = "allow"
Oui
Non
 Y a-t-il une
Autorisation ?
La décision
commence par #
le refus
Evaluer toutes #
les stratégies 
applicables
Y a-t-il un #
refus explicite ?
Non
Décision finale = "deny"
(refus par défaut)
§  AWS extrait toutes les stratégies associées
à l'utilisateur et à la ressource.
§  Seules les stratégies correspondant #
à l'action et aux conditions sont évaluées.

§  Si une instruction de
stratégie comporte un
refus, elle a priorité sur
toutes les autres
instructions de stratégie.
§  L'accès est accordé #
en cas d'autorisation
explicite, sans refus.
•  Par défaut, un
refus implicite est
renvoyé.
Un refus est toujours prioritaire sur une autorisation.
Rédiger une stratégie IAM
•  Vous pouvez utiliser une stratégie gérée, liée au poste de
l’utilisateur (Sys Admin, DBA, etc.) ou au service AWS
(AmazonS3ReadOnlyAccess)
•  Vous pouvez également vous inspirer d’une stratégie
existante et l’adapter, par exemple en précisant les
ressources concernées.
•  Vous pouvez enfin partir d’une feuille blanche, en utilisant
par exemple le générateur de stratégies.
Stratégies gérées
Stratégies IAM gérées par AWS
Générateur de stratégies IAM
Générateur de stratégies IAM (suite)
Création d’une stratégie IAM à partir du code
http://blogs.aws.amazon.com/net/post/Tx24U6H2IJVUUTT/Creating-Access-Policies-in-Code
public	Policy	GeneratePolicy(string	bucket,	string	username,	string	ipAddress)
{
				var	statement	=	new	Statement(Statement.StatementEffect.Allow);
	
				//	Autoriser	l'accès	au	sous-dossier	représenté	par	le	nom	d'utilisateur	dans	le	compartiment
				statement.Resources.Add(ResourceFactory.NewS3ObjectResource(bucket,	username	+	"/*"));
	
				//	Autoriser	les	demandes	d'objets	Get	et	Put
				statement.Actions	=	new	List()	
								{	S3ActionIdentifiers.GetObject,		S3ActionIdentifiers.PutObject	};
	
				//	Verrouiller	les	demandes	issues	de	la	machine	cliente.
				statement.Conditions.Add(ConditionFactory.NewIpAddressCondition(ipAddress));
	
				var	policy	=	new	Policy();
				policy.Statements.Add(statement);
	
				return	policy;	
}
Simuler une stratégie IAM
Le simulateur IAM vous permet de vérifier l’efficacité de vos stratégies… et bien sûr
de les débuguer ;)

https://policysim.aws.amazon.com/
Visibilité de l'accès aux API avec AWS CloudTrail
•  AWS CloudTrail capture et
centralise l'accès aux API : 
•  Analyse de sécurité
•  Conformité
•  Dépannage
•  Chaque entrée du journal
AWS CloudTrail contient
l'identité IAM de l'appelant
Rôles IAM
Rôles IAM
•  Un rôle est composé d’une ou plusieurs stratégies IAM
•  Un rôle peut être associé à :
•  Un utilisateur IAM
•  Un groupe d’utilisateurs IAM
•  Un service AWS (par ex., une instance EC2 ou une fonction Lambda)
•  Un compte AWS
•  Pour chaque rôle, il faut définir :
•  Une stratégie d'approbation (Trust Policy) : #
qui est autorisé à assumer ce rôle (authentification MFA, etc.) ?
•  Une stratégie d’autorisation (Access Policy) : #
quels sont les droits associés au rôle ?
Exemple – associer un rôle à une instance EC2
•  Par défaut, une instance EC2
n’a le droit d’accéder à aucun
service AWS. 
•  Au démarrage, il faut donc lui
associer un rôle l’autorisant à
utiliser les services dont elle a
besoin, par exemple S3 ou
RDS.
Exemple – associer un rôle à une fonction Lambda
•  De même, une fonction
Lambda n’a le droit d’accéder
à aucun service AWS. 
•  Au démarrage, il faut donc lui
associer un rôle l’autorisant à
utiliser les services dont elle a
besoin.
AWS Security Token Service
•  STS permet à un utilisateur IAM de créer des permissions temporaires pour le compte
d’utilisateurs externes.
•  Ces permissions ne peuvent pas excéder ceux de l’utilisateur !

•  SDK ou API
•  Création d’un jeton (GetFederationToken)
•  Valable de 15 minutes à 36 heures
•  Droits définis par la stratégie IAM passée en paramètre
•  MFA pas supporté
•  Console
•  Création d’une session (AssumeRole)
•  Valable de 15 à 60 minutes
•  Droits définis par l’intersection du rôle et de la stratégie IAM passée en paramètre
•  MFA supporté
Fédération d’identités
Fédération d’identité
•  Comment autoriser des utilisateurs externes à AWS, dotés de leur
propre identité, à accéder à vos ressources AWS ?
•  Utilisateurs avec une identité “entreprise”
Autoriser l’utilisateur à accéder au compte en Single Sign-On
à Fédération avec un broker propriétaire
à Fédération avec SAML 2.0
à AWS Directory Service
•  Utilisateurs avec une identité “sociale”
Autoriser l’application à accéder au compte
à Fédération d’identité web
à Fédération d’identité web avec AWS Cognito
Fédération d’identité avec broker propriétaire
https://aws.amazon.com/fr/blogs/aws/aws-identity-and-access-management-now-with-identity-federation/
https://aws.amazon.com/code/1288653099190193
Fédération d’identité avec SAML 2.0 #
AssumeRoleWithSAML
AWS (Fournisseur de services)
Connexion AWS
Interface du
navigateur
Base
d'identités
d'entreprise
Fournisseur d'identité
L’utilisateur
se connecte au
fournisseur d'identité
Réponse AuthN 
Publication pour se
connecter
Transmission de la réponse
AuthN
https://aws.amazon.com/fr/blogs/aws/aws-identity-and-access-management-using-saml/
https://aws.amazon.com/fr/blogs/security/enabling-federation-to-aws-using-windows-active-directory-adfs-and-saml-2-0/ 
Fournisseur d’identité
SAML défini dans IAM
AWS Directory Service
•  Ce service géré vous permet de :
•  Connecter facilement un serveur Microsoft Active Directory sur site #
à vos ressources AWS site (AD Connector)
•  Configurer un nouveau serveur AD autonome dans AWS (Simple AD)
•  DS peut utiliser l'annuaire pour autoriser la fédération des utilisateurs
et des groupes de l'annuaire sur le Cloud AWS
•  Pas besoin de développer un fournisseur d’identité externe
https://aws.amazon.com/fr/directoryservice/
https://aws.amazon.com/fr/blogs/aws/new-aws-directory-service/
Fédération d'identité Web#
AssumeRoleWithWebIdentity
AWS IAM
US-EAST-1
EU-WEST-1
AP-SOUTHEAST-1
Services AWS
Amazon
DynamoDB
S3
Authentification
de l'utilisateur
Accès directServices AWS
Jeton
Vérification
Fournisseur
d'identité Web
Stratégie de
vérification
Jeton
Application
mobile
Amazon SQS
https://aws.amazon.com/fr/blogs/aws/aws-iam-now-supports-amazon-facebook-and-google-identity-federation/
https://aws.amazon.com/fr/blogs/security/new-playground-app-to-explore-web-identity-federation-with-amazon-facebook-and-google/
Fédération d’identité Web avec Cognito
https://aws.amazon.com/cognito/
https://aws.amazon.com/fr/blogs/aws/openid-connect-support/
https://aws.amazon.com/fr/blogs/security/building-an-app-using-amazon-cognito-and-an-openid-connect-identity-provider/
Partenaires de fédération d’identité
Conclusion
Comment utiliser les fonctionnalités IAM de façon
optimale ?
Evitez le codage en dur
Inutile d'intégrer des informations
d'identification aux applications – accédez #
aux ressources AWS à l'aide des rôles IAM
pour EC2
•  Pas de clés d'accès codées en dur dans le
code source
•  Pas de clés d’accès copiées sur les
instances EC2
•  Créez des rôles IAM avec des autorisations
ayant le privilège le plus faible 
•  Utilisez les rôles IAM dans l'application 
•  Lancez vos instances EC2 avec un rôle
minimal
Changez les clés d'accès IAM AWS régulièrement
Une durée d'utilisation limitée des clés d'accès
réduit les problèmes potentiels
•  Créez une clé d'accès supplémentaire
•  Mettez à jour toutes les applications afin
d'utiliser la nouvelle clé 
•  Vérifiez que les applications fonctionnent
•  Marquez la clé d'accès précédente comme
inactive
•  Vérifiez que les applications fonctionnent
toujours 
•  Supprimez la clé d'accès inactive
Pour résumer
•  IAM a pour objectif de vous aider à contrôler qui a le droit
de faire quoi à votre compte et à vos ressources
•  IAM peut être fédéré avec des systèmes externes
•  D'autres services AWS peuvent être utilisés pour
configurer et enrichir IAM, par exemple :
•  AWS Directory Service
•  AWS Cognito
•  AWS CloudTrail
Ressources supplémentaires
AWS IAM http://aws.amazon.com/iam
Blog sécurité AWS https://blogs.aws.amazon.com/security/
AWS re:Invent 2016: Become an AWS IAM Policy Ninja in 60mn (SAC303) #
https://www.youtube.com/watch?v=y7-fAT3z8Lo 
AWS re:Invent 2016: IAM Best Practices to Live By (SAC317)
https://www.youtube.com/watch?v=SGntDzEn30s
AWS re:Invent 2014: Bring Your Own Identities – Federating Access to Your
AWS Environment (SEC304) 
https://www.youtube.com/watch?v=debJ3o5w0MA 
AWS re:Invent 2015: A Progressive Journey Through AWS IAM Federation
Options (SEC307)#
https://www.youtube.com/watch?v=-XARG9W2bGc
Merci !
Julien Simon
Principal Technical Evangelist, AWS
julsimon@amazon.fr
@julsimon

Lundi
•  Bonnes pratiques d'authentification avec AWS IAM
•  Chiffrez vos données avec AWS
Mardi
•  Fireside chat avec Matthieu Bouthors et Julien Simon
•  Re:Invent update 1
Mercredi
•  Deep dive : Amazon Virtual Private Cloud
•  Bonnes pratiques anti-DDoS
Jeudi
•  Re:Invent update 2
•  Gérez les incidents de sécurité avec AWS CloudTrail
Vendredi
•  Automatisez vos audits de sécurité avec Amazon Inspector
•  Bonnes pratiques de sécurité sur AWS

Contenu connexe

Tendances

AWS CloudFormation Masterclass
AWS CloudFormation MasterclassAWS CloudFormation Masterclass
AWS CloudFormation Masterclass
Amazon Web Services
 
AWS를 위한 도커, 컨테이너 (이미지) 환경 보안 방안 - 양희선 부장, TrendMicro :: AWS Summit Seoul 2019
AWS를 위한 도커, 컨테이너 (이미지) 환경 보안 방안 - 양희선 부장, TrendMicro :: AWS Summit Seoul 2019AWS를 위한 도커, 컨테이너 (이미지) 환경 보안 방안 - 양희선 부장, TrendMicro :: AWS Summit Seoul 2019
AWS를 위한 도커, 컨테이너 (이미지) 환경 보안 방안 - 양희선 부장, TrendMicro :: AWS Summit Seoul 2019
Amazon Web Services Korea
 
KB국민은행은 시작했다 -  쉽고 빠른 클라우드 거버넌스 적용 전략 - 강병억 AWS 솔루션즈 아키텍트 / 장강홍 클라우드플랫폼단 차장, ...
KB국민은행은 시작했다 -  쉽고 빠른 클라우드 거버넌스 적용 전략 - 강병억 AWS 솔루션즈 아키텍트 / 장강홍 클라우드플랫폼단 차장, ...KB국민은행은 시작했다 -  쉽고 빠른 클라우드 거버넌스 적용 전략 - 강병억 AWS 솔루션즈 아키텍트 / 장강홍 클라우드플랫폼단 차장, ...
KB국민은행은 시작했다 -  쉽고 빠른 클라우드 거버넌스 적용 전략 - 강병억 AWS 솔루션즈 아키텍트 / 장강홍 클라우드플랫폼단 차장, ...
Amazon Web Services Korea
 
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sakka Mustapha
 
Amazon EC2 notes.pdf
Amazon EC2 notes.pdfAmazon EC2 notes.pdf
Amazon EC2 notes.pdf
yididya3
 
Deep dive into AWS IAM
Deep dive into AWS IAMDeep dive into AWS IAM
Deep dive into AWS IAM
Amazon Web Services
 
엔터프라이즈의 효과적인 클라우드 도입을 위한 전략 및 적용 사례-신규진 프로페셔널 서비스 리드, AWS/고병률 데이터베이스 아키텍트, 삼성...
엔터프라이즈의 효과적인 클라우드 도입을 위한 전략 및 적용 사례-신규진 프로페셔널 서비스 리드, AWS/고병률 데이터베이스 아키텍트, 삼성...엔터프라이즈의 효과적인 클라우드 도입을 위한 전략 및 적용 사례-신규진 프로페셔널 서비스 리드, AWS/고병률 데이터베이스 아키텍트, 삼성...
엔터프라이즈의 효과적인 클라우드 도입을 위한 전략 및 적용 사례-신규진 프로페셔널 서비스 리드, AWS/고병률 데이터베이스 아키텍트, 삼성...
Amazon Web Services Korea
 
Microsoft Azure cloud services
Microsoft Azure cloud servicesMicrosoft Azure cloud services
Microsoft Azure cloud services
Najeeb Khan
 
Journey Through The Cloud - Security Best Practices
Journey Through The Cloud - Security Best Practices Journey Through The Cloud - Security Best Practices
Journey Through The Cloud - Security Best Practices
Amazon Web Services
 
AWS 101
AWS 101AWS 101
Access Control for the Cloud: AWS Identity and Access Management (IAM) (SEC20...
Access Control for the Cloud: AWS Identity and Access Management (IAM) (SEC20...Access Control for the Cloud: AWS Identity and Access Management (IAM) (SEC20...
Access Control for the Cloud: AWS Identity and Access Management (IAM) (SEC20...
Amazon Web Services
 
마이크로 서비스를 위한 AWS Cloud Map & App Mesh - Saeho Kim (AWS Solutions Architect)
마이크로 서비스를 위한 AWS Cloud Map & App Mesh - Saeho Kim (AWS Solutions Architect)마이크로 서비스를 위한 AWS Cloud Map & App Mesh - Saeho Kim (AWS Solutions Architect)
마이크로 서비스를 위한 AWS Cloud Map & App Mesh - Saeho Kim (AWS Solutions Architect)
Amazon Web Services Korea
 
Introduction à spring boot
Introduction à spring bootIntroduction à spring boot
Introduction à spring boot
Antoine Rey
 
Aws IAM
Aws IAMAws IAM
AWS IAM and security
AWS IAM and securityAWS IAM and security
AWS IAM and security
Erik Paulsson
 
클라우드로 데이터 센터 확장하기 : 하이브리드 환경을 위한 연결 옵션 및 고려사항::강동환::AWS Summit Seoul 2018
클라우드로 데이터 센터 확장하기 : 하이브리드 환경을 위한 연결 옵션 및 고려사항::강동환::AWS Summit Seoul 2018 클라우드로 데이터 센터 확장하기 : 하이브리드 환경을 위한 연결 옵션 및 고려사항::강동환::AWS Summit Seoul 2018
클라우드로 데이터 센터 확장하기 : 하이브리드 환경을 위한 연결 옵션 및 고려사항::강동환::AWS Summit Seoul 2018 Amazon Web Services Korea
 
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2 Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2
Alphorm
 
What's new in API Connect and DataPower - 2019
What's new in API Connect and DataPower - 2019What's new in API Connect and DataPower - 2019
What's new in API Connect and DataPower - 2019
IBM DataPower Gateway
 
20명 규모의 팀에서 Vault 사용하기
20명 규모의 팀에서 Vault 사용하기20명 규모의 팀에서 Vault 사용하기
20명 규모의 팀에서 Vault 사용하기
Doyoon Kim
 
(DEV203) Amazon API Gateway & AWS Lambda to Build Secure APIs
(DEV203) Amazon API Gateway & AWS Lambda to Build Secure APIs(DEV203) Amazon API Gateway & AWS Lambda to Build Secure APIs
(DEV203) Amazon API Gateway & AWS Lambda to Build Secure APIs
Amazon Web Services
 

Tendances (20)

AWS CloudFormation Masterclass
AWS CloudFormation MasterclassAWS CloudFormation Masterclass
AWS CloudFormation Masterclass
 
AWS를 위한 도커, 컨테이너 (이미지) 환경 보안 방안 - 양희선 부장, TrendMicro :: AWS Summit Seoul 2019
AWS를 위한 도커, 컨테이너 (이미지) 환경 보안 방안 - 양희선 부장, TrendMicro :: AWS Summit Seoul 2019AWS를 위한 도커, 컨테이너 (이미지) 환경 보안 방안 - 양희선 부장, TrendMicro :: AWS Summit Seoul 2019
AWS를 위한 도커, 컨테이너 (이미지) 환경 보안 방안 - 양희선 부장, TrendMicro :: AWS Summit Seoul 2019
 
KB국민은행은 시작했다 -  쉽고 빠른 클라우드 거버넌스 적용 전략 - 강병억 AWS 솔루션즈 아키텍트 / 장강홍 클라우드플랫폼단 차장, ...
KB국민은행은 시작했다 -  쉽고 빠른 클라우드 거버넌스 적용 전략 - 강병억 AWS 솔루션즈 아키텍트 / 장강홍 클라우드플랫폼단 차장, ...KB국민은행은 시작했다 -  쉽고 빠른 클라우드 거버넌스 적용 전략 - 강병억 AWS 솔루션즈 아키텍트 / 장강홍 클라우드플랫폼단 차장, ...
KB국민은행은 시작했다 -  쉽고 빠른 클라우드 거버넌스 적용 전략 - 강병억 AWS 솔루션즈 아키텍트 / 장강홍 클라우드플랫폼단 차장, ...
 
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
 
Amazon EC2 notes.pdf
Amazon EC2 notes.pdfAmazon EC2 notes.pdf
Amazon EC2 notes.pdf
 
Deep dive into AWS IAM
Deep dive into AWS IAMDeep dive into AWS IAM
Deep dive into AWS IAM
 
엔터프라이즈의 효과적인 클라우드 도입을 위한 전략 및 적용 사례-신규진 프로페셔널 서비스 리드, AWS/고병률 데이터베이스 아키텍트, 삼성...
엔터프라이즈의 효과적인 클라우드 도입을 위한 전략 및 적용 사례-신규진 프로페셔널 서비스 리드, AWS/고병률 데이터베이스 아키텍트, 삼성...엔터프라이즈의 효과적인 클라우드 도입을 위한 전략 및 적용 사례-신규진 프로페셔널 서비스 리드, AWS/고병률 데이터베이스 아키텍트, 삼성...
엔터프라이즈의 효과적인 클라우드 도입을 위한 전략 및 적용 사례-신규진 프로페셔널 서비스 리드, AWS/고병률 데이터베이스 아키텍트, 삼성...
 
Microsoft Azure cloud services
Microsoft Azure cloud servicesMicrosoft Azure cloud services
Microsoft Azure cloud services
 
Journey Through The Cloud - Security Best Practices
Journey Through The Cloud - Security Best Practices Journey Through The Cloud - Security Best Practices
Journey Through The Cloud - Security Best Practices
 
AWS 101
AWS 101AWS 101
AWS 101
 
Access Control for the Cloud: AWS Identity and Access Management (IAM) (SEC20...
Access Control for the Cloud: AWS Identity and Access Management (IAM) (SEC20...Access Control for the Cloud: AWS Identity and Access Management (IAM) (SEC20...
Access Control for the Cloud: AWS Identity and Access Management (IAM) (SEC20...
 
마이크로 서비스를 위한 AWS Cloud Map & App Mesh - Saeho Kim (AWS Solutions Architect)
마이크로 서비스를 위한 AWS Cloud Map & App Mesh - Saeho Kim (AWS Solutions Architect)마이크로 서비스를 위한 AWS Cloud Map & App Mesh - Saeho Kim (AWS Solutions Architect)
마이크로 서비스를 위한 AWS Cloud Map & App Mesh - Saeho Kim (AWS Solutions Architect)
 
Introduction à spring boot
Introduction à spring bootIntroduction à spring boot
Introduction à spring boot
 
Aws IAM
Aws IAMAws IAM
Aws IAM
 
AWS IAM and security
AWS IAM and securityAWS IAM and security
AWS IAM and security
 
클라우드로 데이터 센터 확장하기 : 하이브리드 환경을 위한 연결 옵션 및 고려사항::강동환::AWS Summit Seoul 2018
클라우드로 데이터 센터 확장하기 : 하이브리드 환경을 위한 연결 옵션 및 고려사항::강동환::AWS Summit Seoul 2018 클라우드로 데이터 센터 확장하기 : 하이브리드 환경을 위한 연결 옵션 및 고려사항::강동환::AWS Summit Seoul 2018
클라우드로 데이터 센터 확장하기 : 하이브리드 환경을 위한 연결 옵션 및 고려사항::강동환::AWS Summit Seoul 2018
 
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2 Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2
 
What's new in API Connect and DataPower - 2019
What's new in API Connect and DataPower - 2019What's new in API Connect and DataPower - 2019
What's new in API Connect and DataPower - 2019
 
20명 규모의 팀에서 Vault 사용하기
20명 규모의 팀에서 Vault 사용하기20명 규모의 팀에서 Vault 사용하기
20명 규모의 팀에서 Vault 사용하기
 
(DEV203) Amazon API Gateway & AWS Lambda to Build Secure APIs
(DEV203) Amazon API Gateway & AWS Lambda to Build Secure APIs(DEV203) Amazon API Gateway & AWS Lambda to Build Secure APIs
(DEV203) Amazon API Gateway & AWS Lambda to Build Secure APIs
 

En vedette

Building Serverless APIs (January 2017)
Building Serverless APIs (January 2017)Building Serverless APIs (January 2017)
Building Serverless APIs (January 2017)
Julien SIMON
 
Bonnes pratiques pour la gestion des opérations de sécurité AWS
Bonnes pratiques pour la gestion des opérations de sécurité AWSBonnes pratiques pour la gestion des opérations de sécurité AWS
Bonnes pratiques pour la gestion des opérations de sécurité AWS
Julien SIMON
 
Viadeo - Cost Driven Development
Viadeo - Cost Driven DevelopmentViadeo - Cost Driven Development
Viadeo - Cost Driven Development
Julien SIMON
 
The AWS DevOps combo (January 2017)
The AWS DevOps combo (January 2017)The AWS DevOps combo (January 2017)
The AWS DevOps combo (January 2017)
Julien SIMON
 
Devops with Amazon Web Services (January 2017)
Devops with Amazon Web Services (January 2017)Devops with Amazon Web Services (January 2017)
Devops with Amazon Web Services (January 2017)
Julien SIMON
 
An introduction to serverless architectures (February 2017)
An introduction to serverless architectures (February 2017)An introduction to serverless architectures (February 2017)
An introduction to serverless architectures (February 2017)
Julien SIMON
 
Developing and deploying serverless applications (February 2017)
Developing and deploying serverless applications (February 2017)Developing and deploying serverless applications (February 2017)
Developing and deploying serverless applications (February 2017)
Julien SIMON
 
Amazon AI (February 2017)
Amazon AI (February 2017)Amazon AI (February 2017)
Amazon AI (February 2017)
Julien SIMON
 
Amazon Inspector
Amazon InspectorAmazon Inspector
Amazon Inspector
Julien SIMON
 
Continuous Deployment with Amazon Web Services
Continuous Deployment with Amazon Web ServicesContinuous Deployment with Amazon Web Services
Continuous Deployment with Amazon Web Services
Julien SIMON
 
Infrastructure as code with Amazon Web Services
Infrastructure as code with Amazon Web ServicesInfrastructure as code with Amazon Web Services
Infrastructure as code with Amazon Web Services
Julien SIMON
 
Iot og personvern 2017
Iot og personvern 2017Iot og personvern 2017
Iot og personvern 2017
Øystein Jakobsen
 
Presentación dia de andalucia pedro
Presentación dia de andalucia pedroPresentación dia de andalucia pedro
Presentación dia de andalucia pedro
Pedro Ramirez Serrano
 
Com clonar i com exportar i importar una màquina virtual
Com clonar i com exportar i importar una màquina virtualCom clonar i com exportar i importar una màquina virtual
Com clonar i com exportar i importar una màquina virtual
Edu Alias
 
Labo XX Antwerp - Densification strategies for the 20th century belt (BUUR)
Labo XX Antwerp - Densification strategies for the 20th century belt (BUUR)Labo XX Antwerp - Densification strategies for the 20th century belt (BUUR)
Labo XX Antwerp - Densification strategies for the 20th century belt (BUUR)
Kevin Penalva-Halpin
 
Filafat ilmu kepolisian
Filafat ilmu kepolisianFilafat ilmu kepolisian
Filafat ilmu kepolisian
rara wibowo
 
AWS re:Invent 2016 recap (part 2)
AWS re:Invent 2016 recap (part 2) AWS re:Invent 2016 recap (part 2)
AWS re:Invent 2016 recap (part 2)
Julien SIMON
 
Repubblicanesimo, repubblicanismo, republicanismo, républicanisme, republican...
Repubblicanesimo, repubblicanismo, republicanismo, républicanisme, republican...Repubblicanesimo, repubblicanismo, republicanismo, républicanisme, republican...
Repubblicanesimo, repubblicanismo, republicanismo, républicanisme, republican...
UNIVERSITY OF COIMBRA
 
Postmarxismo, post marxismo, post marxismo
Postmarxismo, post marxismo, post marxismoPostmarxismo, post marxismo, post marxismo
Postmarxismo, post marxismo, post marxismo
UNIVERSITY OF COIMBRA
 
Património Cultural Português - Panteões de Portugal e Edifícios da Soberania...
Património Cultural Português - Panteões de Portugal e Edifícios da Soberania...Património Cultural Português - Panteões de Portugal e Edifícios da Soberania...
Património Cultural Português - Panteões de Portugal e Edifícios da Soberania...
Artur Filipe dos Santos
 

En vedette (20)

Building Serverless APIs (January 2017)
Building Serverless APIs (January 2017)Building Serverless APIs (January 2017)
Building Serverless APIs (January 2017)
 
Bonnes pratiques pour la gestion des opérations de sécurité AWS
Bonnes pratiques pour la gestion des opérations de sécurité AWSBonnes pratiques pour la gestion des opérations de sécurité AWS
Bonnes pratiques pour la gestion des opérations de sécurité AWS
 
Viadeo - Cost Driven Development
Viadeo - Cost Driven DevelopmentViadeo - Cost Driven Development
Viadeo - Cost Driven Development
 
The AWS DevOps combo (January 2017)
The AWS DevOps combo (January 2017)The AWS DevOps combo (January 2017)
The AWS DevOps combo (January 2017)
 
Devops with Amazon Web Services (January 2017)
Devops with Amazon Web Services (January 2017)Devops with Amazon Web Services (January 2017)
Devops with Amazon Web Services (January 2017)
 
An introduction to serverless architectures (February 2017)
An introduction to serverless architectures (February 2017)An introduction to serverless architectures (February 2017)
An introduction to serverless architectures (February 2017)
 
Developing and deploying serverless applications (February 2017)
Developing and deploying serverless applications (February 2017)Developing and deploying serverless applications (February 2017)
Developing and deploying serverless applications (February 2017)
 
Amazon AI (February 2017)
Amazon AI (February 2017)Amazon AI (February 2017)
Amazon AI (February 2017)
 
Amazon Inspector
Amazon InspectorAmazon Inspector
Amazon Inspector
 
Continuous Deployment with Amazon Web Services
Continuous Deployment with Amazon Web ServicesContinuous Deployment with Amazon Web Services
Continuous Deployment with Amazon Web Services
 
Infrastructure as code with Amazon Web Services
Infrastructure as code with Amazon Web ServicesInfrastructure as code with Amazon Web Services
Infrastructure as code with Amazon Web Services
 
Iot og personvern 2017
Iot og personvern 2017Iot og personvern 2017
Iot og personvern 2017
 
Presentación dia de andalucia pedro
Presentación dia de andalucia pedroPresentación dia de andalucia pedro
Presentación dia de andalucia pedro
 
Com clonar i com exportar i importar una màquina virtual
Com clonar i com exportar i importar una màquina virtualCom clonar i com exportar i importar una màquina virtual
Com clonar i com exportar i importar una màquina virtual
 
Labo XX Antwerp - Densification strategies for the 20th century belt (BUUR)
Labo XX Antwerp - Densification strategies for the 20th century belt (BUUR)Labo XX Antwerp - Densification strategies for the 20th century belt (BUUR)
Labo XX Antwerp - Densification strategies for the 20th century belt (BUUR)
 
Filafat ilmu kepolisian
Filafat ilmu kepolisianFilafat ilmu kepolisian
Filafat ilmu kepolisian
 
AWS re:Invent 2016 recap (part 2)
AWS re:Invent 2016 recap (part 2) AWS re:Invent 2016 recap (part 2)
AWS re:Invent 2016 recap (part 2)
 
Repubblicanesimo, repubblicanismo, republicanismo, républicanisme, republican...
Repubblicanesimo, repubblicanismo, republicanismo, républicanisme, republican...Repubblicanesimo, repubblicanismo, republicanismo, républicanisme, republican...
Repubblicanesimo, repubblicanismo, republicanismo, républicanisme, republican...
 
Postmarxismo, post marxismo, post marxismo
Postmarxismo, post marxismo, post marxismoPostmarxismo, post marxismo, post marxismo
Postmarxismo, post marxismo, post marxismo
 
Património Cultural Português - Panteões de Portugal e Edifícios da Soberania...
Património Cultural Português - Panteões de Portugal e Edifícios da Soberania...Património Cultural Português - Panteões de Portugal e Edifícios da Soberania...
Património Cultural Português - Panteões de Portugal e Edifícios da Soberania...
 

Similaire à Authentification et autorisation d'accès avec AWS IAM

Modèle de sécurité AWS
Modèle de sécurité AWSModèle de sécurité AWS
Modèle de sécurité AWS
Julien SIMON
 
4D Summit Europe 2016 - Conférence d'A&C Consulting : "Stocker des données su...
4D Summit Europe 2016 - Conférence d'A&C Consulting : "Stocker des données su...4D Summit Europe 2016 - Conférence d'A&C Consulting : "Stocker des données su...
4D Summit Europe 2016 - Conférence d'A&C Consulting : "Stocker des données su...
Nathalie Richomme
 
Top 10 des meilleures pratiques de sécurité AWS - 2017-06-08
Top 10  des meilleures pratiques de sécurité AWS - 2017-06-08Top 10  des meilleures pratiques de sécurité AWS - 2017-06-08
Top 10 des meilleures pratiques de sécurité AWS - 2017-06-08
SecludIT
 
AWS Paris Summit 2014 - T2 - Déployer des environnements entreprises hybrides
AWS Paris Summit 2014 - T2 - Déployer des environnements entreprises hybridesAWS Paris Summit 2014 - T2 - Déployer des environnements entreprises hybrides
AWS Paris Summit 2014 - T2 - Déployer des environnements entreprises hybrides
Amazon Web Services
 
La sécurité avec SQL Server 2012
La sécurité avec SQL Server 2012La sécurité avec SQL Server 2012
La sécurité avec SQL Server 2012
Microsoft Technet France
 
Bonnes pratiques anti-DDOS
Bonnes pratiques anti-DDOSBonnes pratiques anti-DDOS
Bonnes pratiques anti-DDOS
Julien SIMON
 
AWS Summit Paris - Track 4 - Session 2 - Migration Cloud, modernisation des a...
AWS Summit Paris - Track 4 - Session 2 - Migration Cloud, modernisation des a...AWS Summit Paris - Track 4 - Session 2 - Migration Cloud, modernisation des a...
AWS Summit Paris - Track 4 - Session 2 - Migration Cloud, modernisation des a...
Amazon Web Services
 
Chiffrez vos données avec AWS KMS et avec AWS CloudHSM
Chiffrez vos données avec AWS KMS et avec AWS CloudHSMChiffrez vos données avec AWS KMS et avec AWS CloudHSM
Chiffrez vos données avec AWS KMS et avec AWS CloudHSM
Julien SIMON
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Microsoft Technet France
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Microsoft Décideurs IT
 
OpenSSO Aquarium Paris
OpenSSO Aquarium ParisOpenSSO Aquarium Paris
OpenSSO Aquarium Paris
Alexis Moussine-Pouchkine
 
Français Canadien Virtual AWSome Day - 2018
Français Canadien Virtual AWSome Day - 2018Français Canadien Virtual AWSome Day - 2018
Français Canadien Virtual AWSome Day - 2018
Amazon Web Services
 
Cy4501 formation-aws-notions-de-base-amazon-web-services
Cy4501 formation-aws-notions-de-base-amazon-web-servicesCy4501 formation-aws-notions-de-base-amazon-web-services
Cy4501 formation-aws-notions-de-base-amazon-web-servicesCERTyou Formation
 
Alphorm.com Formation AWS Certified Security : Specialty
Alphorm.com Formation AWS Certified Security : SpecialtyAlphorm.com Formation AWS Certified Security : Specialty
Alphorm.com Formation AWS Certified Security : Specialty
Alphorm
 
OWASP TOP 10 Proactive
OWASP TOP 10 ProactiveOWASP TOP 10 Proactive
OWASP TOP 10 Proactive
Abdessamad TEMMAR
 
AWS Paris Summit 2014 - T3 - Architecturer avec AWS pour des millions d'util...
AWS Paris Summit 2014 - T3 -  Architecturer avec AWS pour des millions d'util...AWS Paris Summit 2014 - T3 -  Architecturer avec AWS pour des millions d'util...
AWS Paris Summit 2014 - T3 - Architecturer avec AWS pour des millions d'util...
Amazon Web Services
 
AWS Paris Summit 2014 - T4 - Créez votre PaaS avec AWS
AWS Paris Summit 2014 - T4 - Créez votre PaaS avec AWSAWS Paris Summit 2014 - T4 - Créez votre PaaS avec AWS
AWS Paris Summit 2014 - T4 - Créez votre PaaS avec AWS
Amazon Web Services
 
Mon offre de service Office 365 : quelles stratégies de sécurité pour répondr...
Mon offre de service Office 365 : quelles stratégies de sécurité pour répondr...Mon offre de service Office 365 : quelles stratégies de sécurité pour répondr...
Mon offre de service Office 365 : quelles stratégies de sécurité pour répondr...
Maxime Rastello
 
Un Voyage dans le Cloud: Les Meilleures Pratiques Pour Démarrer Dans Le Cloud...
Un Voyage dans le Cloud: Les Meilleures Pratiques Pour Démarrer Dans Le Cloud...Un Voyage dans le Cloud: Les Meilleures Pratiques Pour Démarrer Dans Le Cloud...
Un Voyage dans le Cloud: Les Meilleures Pratiques Pour Démarrer Dans Le Cloud...
Amazon Web Services
 
CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?
Identity Days
 

Similaire à Authentification et autorisation d'accès avec AWS IAM (20)

Modèle de sécurité AWS
Modèle de sécurité AWSModèle de sécurité AWS
Modèle de sécurité AWS
 
4D Summit Europe 2016 - Conférence d'A&C Consulting : "Stocker des données su...
4D Summit Europe 2016 - Conférence d'A&C Consulting : "Stocker des données su...4D Summit Europe 2016 - Conférence d'A&C Consulting : "Stocker des données su...
4D Summit Europe 2016 - Conférence d'A&C Consulting : "Stocker des données su...
 
Top 10 des meilleures pratiques de sécurité AWS - 2017-06-08
Top 10  des meilleures pratiques de sécurité AWS - 2017-06-08Top 10  des meilleures pratiques de sécurité AWS - 2017-06-08
Top 10 des meilleures pratiques de sécurité AWS - 2017-06-08
 
AWS Paris Summit 2014 - T2 - Déployer des environnements entreprises hybrides
AWS Paris Summit 2014 - T2 - Déployer des environnements entreprises hybridesAWS Paris Summit 2014 - T2 - Déployer des environnements entreprises hybrides
AWS Paris Summit 2014 - T2 - Déployer des environnements entreprises hybrides
 
La sécurité avec SQL Server 2012
La sécurité avec SQL Server 2012La sécurité avec SQL Server 2012
La sécurité avec SQL Server 2012
 
Bonnes pratiques anti-DDOS
Bonnes pratiques anti-DDOSBonnes pratiques anti-DDOS
Bonnes pratiques anti-DDOS
 
AWS Summit Paris - Track 4 - Session 2 - Migration Cloud, modernisation des a...
AWS Summit Paris - Track 4 - Session 2 - Migration Cloud, modernisation des a...AWS Summit Paris - Track 4 - Session 2 - Migration Cloud, modernisation des a...
AWS Summit Paris - Track 4 - Session 2 - Migration Cloud, modernisation des a...
 
Chiffrez vos données avec AWS KMS et avec AWS CloudHSM
Chiffrez vos données avec AWS KMS et avec AWS CloudHSMChiffrez vos données avec AWS KMS et avec AWS CloudHSM
Chiffrez vos données avec AWS KMS et avec AWS CloudHSM
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
 
OpenSSO Aquarium Paris
OpenSSO Aquarium ParisOpenSSO Aquarium Paris
OpenSSO Aquarium Paris
 
Français Canadien Virtual AWSome Day - 2018
Français Canadien Virtual AWSome Day - 2018Français Canadien Virtual AWSome Day - 2018
Français Canadien Virtual AWSome Day - 2018
 
Cy4501 formation-aws-notions-de-base-amazon-web-services
Cy4501 formation-aws-notions-de-base-amazon-web-servicesCy4501 formation-aws-notions-de-base-amazon-web-services
Cy4501 formation-aws-notions-de-base-amazon-web-services
 
Alphorm.com Formation AWS Certified Security : Specialty
Alphorm.com Formation AWS Certified Security : SpecialtyAlphorm.com Formation AWS Certified Security : Specialty
Alphorm.com Formation AWS Certified Security : Specialty
 
OWASP TOP 10 Proactive
OWASP TOP 10 ProactiveOWASP TOP 10 Proactive
OWASP TOP 10 Proactive
 
AWS Paris Summit 2014 - T3 - Architecturer avec AWS pour des millions d'util...
AWS Paris Summit 2014 - T3 -  Architecturer avec AWS pour des millions d'util...AWS Paris Summit 2014 - T3 -  Architecturer avec AWS pour des millions d'util...
AWS Paris Summit 2014 - T3 - Architecturer avec AWS pour des millions d'util...
 
AWS Paris Summit 2014 - T4 - Créez votre PaaS avec AWS
AWS Paris Summit 2014 - T4 - Créez votre PaaS avec AWSAWS Paris Summit 2014 - T4 - Créez votre PaaS avec AWS
AWS Paris Summit 2014 - T4 - Créez votre PaaS avec AWS
 
Mon offre de service Office 365 : quelles stratégies de sécurité pour répondr...
Mon offre de service Office 365 : quelles stratégies de sécurité pour répondr...Mon offre de service Office 365 : quelles stratégies de sécurité pour répondr...
Mon offre de service Office 365 : quelles stratégies de sécurité pour répondr...
 
Un Voyage dans le Cloud: Les Meilleures Pratiques Pour Démarrer Dans Le Cloud...
Un Voyage dans le Cloud: Les Meilleures Pratiques Pour Démarrer Dans Le Cloud...Un Voyage dans le Cloud: Les Meilleures Pratiques Pour Démarrer Dans Le Cloud...
Un Voyage dans le Cloud: Les Meilleures Pratiques Pour Démarrer Dans Le Cloud...
 
CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?
 

Plus de Julien SIMON

An introduction to computer vision with Hugging Face
An introduction to computer vision with Hugging FaceAn introduction to computer vision with Hugging Face
An introduction to computer vision with Hugging Face
Julien SIMON
 
Reinventing Deep Learning
 with Hugging Face Transformers
Reinventing Deep Learning
 with Hugging Face TransformersReinventing Deep Learning
 with Hugging Face Transformers
Reinventing Deep Learning
 with Hugging Face Transformers
Julien SIMON
 
Building NLP applications with Transformers
Building NLP applications with TransformersBuilding NLP applications with Transformers
Building NLP applications with Transformers
Julien SIMON
 
Building Machine Learning Models Automatically (June 2020)
Building Machine Learning Models Automatically (June 2020)Building Machine Learning Models Automatically (June 2020)
Building Machine Learning Models Automatically (June 2020)
Julien SIMON
 
Starting your AI/ML project right (May 2020)
Starting your AI/ML project right (May 2020)Starting your AI/ML project right (May 2020)
Starting your AI/ML project right (May 2020)
Julien SIMON
 
Scale Machine Learning from zero to millions of users (April 2020)
Scale Machine Learning from zero to millions of users (April 2020)Scale Machine Learning from zero to millions of users (April 2020)
Scale Machine Learning from zero to millions of users (April 2020)
Julien SIMON
 
An Introduction to Generative Adversarial Networks (April 2020)
An Introduction to Generative Adversarial Networks (April 2020)An Introduction to Generative Adversarial Networks (April 2020)
An Introduction to Generative Adversarial Networks (April 2020)
Julien SIMON
 
AIM410R1 Deep learning applications with TensorFlow, featuring Fannie Mae (De...
AIM410R1 Deep learning applications with TensorFlow, featuring Fannie Mae (De...AIM410R1 Deep learning applications with TensorFlow, featuring Fannie Mae (De...
AIM410R1 Deep learning applications with TensorFlow, featuring Fannie Mae (De...
Julien SIMON
 
AIM361 Optimizing machine learning models with Amazon SageMaker (December 2019)
AIM361 Optimizing machine learning models with Amazon SageMaker (December 2019)AIM361 Optimizing machine learning models with Amazon SageMaker (December 2019)
AIM361 Optimizing machine learning models with Amazon SageMaker (December 2019)
Julien SIMON
 
AIM410R Deep Learning Applications with TensorFlow, featuring Mobileye (Decem...
AIM410R Deep Learning Applications with TensorFlow, featuring Mobileye (Decem...AIM410R Deep Learning Applications with TensorFlow, featuring Mobileye (Decem...
AIM410R Deep Learning Applications with TensorFlow, featuring Mobileye (Decem...
Julien SIMON
 
A pragmatic introduction to natural language processing models (October 2019)
A pragmatic introduction to natural language processing models (October 2019)A pragmatic introduction to natural language processing models (October 2019)
A pragmatic introduction to natural language processing models (October 2019)
Julien SIMON
 
Building smart applications with AWS AI services (October 2019)
Building smart applications with AWS AI services (October 2019)Building smart applications with AWS AI services (October 2019)
Building smart applications with AWS AI services (October 2019)
Julien SIMON
 
Build, train and deploy ML models with SageMaker (October 2019)
Build, train and deploy ML models with SageMaker (October 2019)Build, train and deploy ML models with SageMaker (October 2019)
Build, train and deploy ML models with SageMaker (October 2019)
Julien SIMON
 
The Future of AI (September 2019)
The Future of AI (September 2019)The Future of AI (September 2019)
The Future of AI (September 2019)
Julien SIMON
 
Building Machine Learning Inference Pipelines at Scale (July 2019)
Building Machine Learning Inference Pipelines at Scale (July 2019)Building Machine Learning Inference Pipelines at Scale (July 2019)
Building Machine Learning Inference Pipelines at Scale (July 2019)
Julien SIMON
 
Train and Deploy Machine Learning Workloads with AWS Container Services (July...
Train and Deploy Machine Learning Workloads with AWS Container Services (July...Train and Deploy Machine Learning Workloads with AWS Container Services (July...
Train and Deploy Machine Learning Workloads with AWS Container Services (July...
Julien SIMON
 
Optimize your Machine Learning Workloads on AWS (July 2019)
Optimize your Machine Learning Workloads on AWS (July 2019)Optimize your Machine Learning Workloads on AWS (July 2019)
Optimize your Machine Learning Workloads on AWS (July 2019)
Julien SIMON
 
Deep Learning on Amazon Sagemaker (July 2019)
Deep Learning on Amazon Sagemaker (July 2019)Deep Learning on Amazon Sagemaker (July 2019)
Deep Learning on Amazon Sagemaker (July 2019)
Julien SIMON
 
Automate your Amazon SageMaker Workflows (July 2019)
Automate your Amazon SageMaker Workflows (July 2019)Automate your Amazon SageMaker Workflows (July 2019)
Automate your Amazon SageMaker Workflows (July 2019)
Julien SIMON
 
Build, train and deploy ML models with Amazon SageMaker (May 2019)
Build, train and deploy ML models with Amazon SageMaker (May 2019)Build, train and deploy ML models with Amazon SageMaker (May 2019)
Build, train and deploy ML models with Amazon SageMaker (May 2019)
Julien SIMON
 

Plus de Julien SIMON (20)

An introduction to computer vision with Hugging Face
An introduction to computer vision with Hugging FaceAn introduction to computer vision with Hugging Face
An introduction to computer vision with Hugging Face
 
Reinventing Deep Learning
 with Hugging Face Transformers
Reinventing Deep Learning
 with Hugging Face TransformersReinventing Deep Learning
 with Hugging Face Transformers
Reinventing Deep Learning
 with Hugging Face Transformers
 
Building NLP applications with Transformers
Building NLP applications with TransformersBuilding NLP applications with Transformers
Building NLP applications with Transformers
 
Building Machine Learning Models Automatically (June 2020)
Building Machine Learning Models Automatically (June 2020)Building Machine Learning Models Automatically (June 2020)
Building Machine Learning Models Automatically (June 2020)
 
Starting your AI/ML project right (May 2020)
Starting your AI/ML project right (May 2020)Starting your AI/ML project right (May 2020)
Starting your AI/ML project right (May 2020)
 
Scale Machine Learning from zero to millions of users (April 2020)
Scale Machine Learning from zero to millions of users (April 2020)Scale Machine Learning from zero to millions of users (April 2020)
Scale Machine Learning from zero to millions of users (April 2020)
 
An Introduction to Generative Adversarial Networks (April 2020)
An Introduction to Generative Adversarial Networks (April 2020)An Introduction to Generative Adversarial Networks (April 2020)
An Introduction to Generative Adversarial Networks (April 2020)
 
AIM410R1 Deep learning applications with TensorFlow, featuring Fannie Mae (De...
AIM410R1 Deep learning applications with TensorFlow, featuring Fannie Mae (De...AIM410R1 Deep learning applications with TensorFlow, featuring Fannie Mae (De...
AIM410R1 Deep learning applications with TensorFlow, featuring Fannie Mae (De...
 
AIM361 Optimizing machine learning models with Amazon SageMaker (December 2019)
AIM361 Optimizing machine learning models with Amazon SageMaker (December 2019)AIM361 Optimizing machine learning models with Amazon SageMaker (December 2019)
AIM361 Optimizing machine learning models with Amazon SageMaker (December 2019)
 
AIM410R Deep Learning Applications with TensorFlow, featuring Mobileye (Decem...
AIM410R Deep Learning Applications with TensorFlow, featuring Mobileye (Decem...AIM410R Deep Learning Applications with TensorFlow, featuring Mobileye (Decem...
AIM410R Deep Learning Applications with TensorFlow, featuring Mobileye (Decem...
 
A pragmatic introduction to natural language processing models (October 2019)
A pragmatic introduction to natural language processing models (October 2019)A pragmatic introduction to natural language processing models (October 2019)
A pragmatic introduction to natural language processing models (October 2019)
 
Building smart applications with AWS AI services (October 2019)
Building smart applications with AWS AI services (October 2019)Building smart applications with AWS AI services (October 2019)
Building smart applications with AWS AI services (October 2019)
 
Build, train and deploy ML models with SageMaker (October 2019)
Build, train and deploy ML models with SageMaker (October 2019)Build, train and deploy ML models with SageMaker (October 2019)
Build, train and deploy ML models with SageMaker (October 2019)
 
The Future of AI (September 2019)
The Future of AI (September 2019)The Future of AI (September 2019)
The Future of AI (September 2019)
 
Building Machine Learning Inference Pipelines at Scale (July 2019)
Building Machine Learning Inference Pipelines at Scale (July 2019)Building Machine Learning Inference Pipelines at Scale (July 2019)
Building Machine Learning Inference Pipelines at Scale (July 2019)
 
Train and Deploy Machine Learning Workloads with AWS Container Services (July...
Train and Deploy Machine Learning Workloads with AWS Container Services (July...Train and Deploy Machine Learning Workloads with AWS Container Services (July...
Train and Deploy Machine Learning Workloads with AWS Container Services (July...
 
Optimize your Machine Learning Workloads on AWS (July 2019)
Optimize your Machine Learning Workloads on AWS (July 2019)Optimize your Machine Learning Workloads on AWS (July 2019)
Optimize your Machine Learning Workloads on AWS (July 2019)
 
Deep Learning on Amazon Sagemaker (July 2019)
Deep Learning on Amazon Sagemaker (July 2019)Deep Learning on Amazon Sagemaker (July 2019)
Deep Learning on Amazon Sagemaker (July 2019)
 
Automate your Amazon SageMaker Workflows (July 2019)
Automate your Amazon SageMaker Workflows (July 2019)Automate your Amazon SageMaker Workflows (July 2019)
Automate your Amazon SageMaker Workflows (July 2019)
 
Build, train and deploy ML models with Amazon SageMaker (May 2019)
Build, train and deploy ML models with Amazon SageMaker (May 2019)Build, train and deploy ML models with Amazon SageMaker (May 2019)
Build, train and deploy ML models with Amazon SageMaker (May 2019)
 

Authentification et autorisation d'accès avec AWS IAM

  • 1. © 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Julien Simon Principal Technical Evangelist, AWS julsimon@amazon.fr @julsimon Authentification et autorisation d'accès avec AWS IAM
  • 2. Agenda •  Modèle de sécurité AWS •  Bases d'IAM •  Stratégies IAM •  Stratégies gérées IAM •  Rôles IAM •  Fédération d’identité avec IAM •  Questions et réponses
  • 4. AWS se charge de la sécurité # DU cloud Vous Résumé des épisodes précédents ;) Services de base AWS Calcul Stockage Base de données Mise en réseau Infrastructure globale AWS Régions Zones de disponibilité Emplacements périphériques Chiffrement des données côté client Chiffrement des données côté serveur Protection du # trafic réseau Gestion de plateforme, d'applications, d'identité et d'accès Configuration du système d'exploitation, du réseau et du pare-feu Applications et contenu client Vous devez définir vos contrôles DANS le cloud Webinaire “Modèle de sécurité AWS” : https://www.youtube.com/watch?v=1QeKH-5nTIc
  • 5. •  Vous conservez la propriété et le contrôle total de vos données •  Vous profitez d'un environnement créé pour les organisations les plus exigeantes en termes de sécurité •  AWS gère plus de 1 800 contrôles de sécurité et vous décharge d’une grande partie du travail de sécurisation •  Vous devez définir les contrôles de sécurité appropriés à votre charge de travail Ce que cela signifie
  • 6. AWS Identity and Access Management •  IAM vous permet de contrôler qui a le droit de faire quoi dans votre compte et sur vos ressources AWS •  Pour chaque utilisateur, vous pouvez autoriser ou interdire individuellement chaque opération sur toute ressource AWS •  Vous pouvez également enregistrer tous les appels à l’API AWS dans AWS CloudTrail : nous en parlerons en détail dans un autre webinaire
  • 8. Configurer et utiliser AWS IAM Console AWS Ligne de commande AWS Kits de développement logiciel AWS Autres services AWS Interfaces Opérations Interfaces Développement
  • 10. Authentification d’un utilisateur Les utilisateurs IAM peuvent être authentifiés à l'aide des éléments suivants : •  Nom utilisateur + mot de passe •  Clés d'accès •  Access Key Id •  Secret Access Key •  Authentification multi-facteurs •  Token matériel •  Google Authenticator Ne partagez jamais vos éléments d’authentification. J-A-M-A-I-S !
  • 11. Informations sur un utilisateur IAM
  • 13. Stratégies IAM Les stratégies IAM permettent d’associer des permissions aux utilisateurs et aux groupes IAM. Chaque stratégie contient des instructions IAM qui définissent les droits de l'utilisateur. Elles sont exprimées en JSON. { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:Describe*", "Resource": "*" }, { "Effect": "Allow", "Action": "elasticloadbalancing:Describe*", "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloudwatch:ListMetrics", "cloudwatch:GetMetricStatistics", "cloudwatch:Describe*" ], "Resource": "*" }, { "Effect": "Allow", "Action": "autoscaling:Describe*", "Resource": "*" } ] } AmazonEC2ReadOnlyAccess http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/ reference_policies_elements.html
  • 14. Instruction IAM Principal Action Resource Condition { "Statement":[{ "Effect":"effect", "Principal":"principal", "Action":"action", "Resource":"arn", "Condition":{ "condition":{ "key":"value" } } } ] }
  • 15. Principal – Exemples Une entité dont l'accès à une ressource est autorisé ou refusé Désignée par un ARN (Amazon Resource Name) <!-- Tout le monde (utilisateurs anonymes) --> "Principal":"AWS":"*.*" <!-- Compte ou comptes spécifiques --> "Principal":{"AWS":"arn:aws:iam::123456789012:root" } "Principal":{"AWS":"123456789012"} <!-- Utilisateur IAM individuel --> "Principal":"AWS":"arn:aws:iam::123456789012:user/username" <!-- Utilisateur fédéré (avec la fédération d'identité web) --> "Principal":{"Federated":"www.amazon.com"} "Principal":{"Federated":"graph.facebook.com"} "Principal":{"Federated":"accounts.google.com"} <!-- Rôle spécifique --> "Principal":{"AWS":"arn:aws:iam::123456789012:role/rolename"} <!-- Service spécifique --> "Principal":{"Service":"ec2.amazonaws.com"} Remplacez par votre numéro de compte
  • 16. Action – Exemples §  Décrit le type d'accès qui doit être autorisé ou refusé (i.e. l’API AWS) §  Vous trouverez la description complète dans la documentation des services AWS §  Les instructions doivent inclure un élément Action ou NotAction <!-- Action EC2 --> "Action":"ec2:StartInstances" <!-- Action IAM --> "Action":"iam:ChangePassword" <!-- Action S3 --> "Action":"s3:GetObject" <!-- Spécifiez plusieurs valeurs pour l'élément Action--> "Action":["sqs:SendMessage","sqs:ReceiveMessage"] <--Utilisez des caractères génériques (* ou ?) dans le nom de l'action. Cela couvre Créer/Supprimer/Répertorier/Mettre à jour--> "Action":"iam:*AccessKey*"
  • 17. Comprendre NotAction §  Vous permet de spécifier une liste d'actions §  Peut permettre d'obtenir des stratégies plus courtes qu'avec l'utilisation de l'élément Action et le refus de nombreuses actions §  Exemple : supposons que vous souhaitiez tout autoriser à l'exception des API IAM { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "NotAction": "iam:*", "Resource": "*" } ] }
  • 18. Comprendre NotAction { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "NotAction": "iam:*", "Resource": "*" } ] } { "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "*", "Resource": "*" }, { "Effect": "Deny", "Action": "iam:*", "Resource": "*" } ] } ou §  Vous permet de spécifier une liste d'actions §  Peut permettre d'obtenir des stratégies plus courtes qu'avec l'utilisation de l'élément Action et le refus de nombreuses actions §  Exemple : supposons que vous souhaitiez tout autoriser à l'exception des API IAM
  • 19. Comprendre NotAction { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "NotAction": "iam:*", "Resource": "*" } ] } { "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "*", "Resource": "*" }, { "Effect": "Deny", "Action": "iam:*", "Resource": "*" } ] } ou Il ne s'agit pas d'un Deny. Un utilisateur peut toujours avoir une stratégie distincte qui octroie IAM:* Si vous souhaitez empêcher l'utilisateur de pouvoir appeler les API IAM pour toujours, utilisez un refus explicite. §  Vous permet de spécifier une liste d'actions §  Peut permettre d'obtenir des stratégies plus courtes qu'avec l'utilisation de l'élément Action et le refus de nombreuses actions §  Exemple : supposons que vous souhaitiez tout autoriser à l'exception des API IAM
  • 20. Resource – Exemples §  L'objet ou les objets demandés §  Les instructions doivent inclure un élément Resource ou NotResource <-- Compartiment S3 --> "Resource":"arn:aws:s3:::my_corporate_bucket/*" <-- File d'attente SQS--> "Resource":"arn:aws:sqs:us-west-2:123456789012:queue1" <-- Plusieurs tables DynamoDB --> "Resource":["arn:aws:dynamodb:us-west-2:123456789012:table/ books_table", "arn:aws:dynamodb:us-west-2:123456789012:table/ magazines_table"] <-- Toutes les instances EC2 d'un compte dans une région --> "Resource": "arn:aws:ec2:us-east-1:123456789012:instance/*"
  • 21. Conditions Critères qui doivent être valides pour que la stratégie s’applique •  Peut contenir plusieurs conditions •  Les clés de condition peuvent contenir plusieurs valeurs •  Si une seule condition comprend plusieurs valeurs pour une clé, la condition est évaluée à l'aide de l'opérateur logique OR •  Plusieurs conditions (ou plusieurs clés dans une seule condition) : les conditions sont évaluées à l'aide de l'opérateur logique AND# # Elément Condition Condition 1 : Clé1 : Valeur1A Condition 2 : Clé3 : Valeur3A AND AND Clé2 : Valeur2A OR Valeur2B OR ORValeur1B Valeur 1C
  • 22. Conditions – Exemple "Condition" : { "DateGreaterThan" : {"aws:CurrentTime" : "2015-10-08T12:00:00Z"}, "DateLessThan": {"aws:CurrentTime" : "2015-10-08T15:00:00Z"}, "IpAddress" : {"aws:SourceIp" : ["192.0.2.0/24", "203.0.113.0/24"]} } Permet à un utilisateur d'accéder à une ressource dans les conditions suivantes : §  L'heure se situe après 12h le 08/10/2015 ET §  L'heure se situe avant 15h le 08/10/2015 ET §  La demande est issue d'une adresse IP située dans la plage 192.0.2.0 /24 # OU 203.0.113.0 /24 Toutes ces conditions doivent être respectées pour que l'instruction soit appliquée. AND OR Comment procéder si vous souhaitez limiter l'accès à une période et une plage d'adresses IP spécifiques ?
  • 23. Variables de stratégie §  Variables prédéfinies basées sur le contexte de la demande de service •  Clés existantes (aws:SourceIP, aws:CurrentTime, etc.) •  Clés propres à l'élément Principal (aws:username, aws:userid, aws:principaltype) •  Clés propres au prestataire (graph.facebook.com:id, www.amazon.com:user_id) •  Clés SAML (saml:aud, saml:iss) §  Avantages •  Simplifie la gestion des stratégies •  Réduit la nécessité d'avoir des stratégies codées en dur
  • 25. Application des stratégies Décision finale = "deny" (refus explicite) Oui Décision finale = "allow" Oui Non Y a-t-il une Autorisation ? La décision commence par # le refus Evaluer toutes # les stratégies applicables Y a-t-il un # refus explicite ? Non Décision finale = "deny" (refus par défaut) §  AWS extrait toutes les stratégies associées à l'utilisateur et à la ressource. §  Seules les stratégies correspondant # à l'action et aux conditions sont évaluées. §  Si une instruction de stratégie comporte un refus, elle a priorité sur toutes les autres instructions de stratégie. §  L'accès est accordé # en cas d'autorisation explicite, sans refus. •  Par défaut, un refus implicite est renvoyé. Un refus est toujours prioritaire sur une autorisation.
  • 26. Rédiger une stratégie IAM •  Vous pouvez utiliser une stratégie gérée, liée au poste de l’utilisateur (Sys Admin, DBA, etc.) ou au service AWS (AmazonS3ReadOnlyAccess) •  Vous pouvez également vous inspirer d’une stratégie existante et l’adapter, par exemple en précisant les ressources concernées. •  Vous pouvez enfin partir d’une feuille blanche, en utilisant par exemple le générateur de stratégies.
  • 31. Création d’une stratégie IAM à partir du code http://blogs.aws.amazon.com/net/post/Tx24U6H2IJVUUTT/Creating-Access-Policies-in-Code public Policy GeneratePolicy(string bucket, string username, string ipAddress) { var statement = new Statement(Statement.StatementEffect.Allow); // Autoriser l'accès au sous-dossier représenté par le nom d'utilisateur dans le compartiment statement.Resources.Add(ResourceFactory.NewS3ObjectResource(bucket, username + "/*")); // Autoriser les demandes d'objets Get et Put statement.Actions = new List() { S3ActionIdentifiers.GetObject, S3ActionIdentifiers.PutObject }; // Verrouiller les demandes issues de la machine cliente. statement.Conditions.Add(ConditionFactory.NewIpAddressCondition(ipAddress)); var policy = new Policy(); policy.Statements.Add(statement); return policy; }
  • 32. Simuler une stratégie IAM Le simulateur IAM vous permet de vérifier l’efficacité de vos stratégies… et bien sûr de les débuguer ;) https://policysim.aws.amazon.com/
  • 33. Visibilité de l'accès aux API avec AWS CloudTrail •  AWS CloudTrail capture et centralise l'accès aux API : •  Analyse de sécurité •  Conformité •  Dépannage •  Chaque entrée du journal AWS CloudTrail contient l'identité IAM de l'appelant
  • 35. Rôles IAM •  Un rôle est composé d’une ou plusieurs stratégies IAM •  Un rôle peut être associé à : •  Un utilisateur IAM •  Un groupe d’utilisateurs IAM •  Un service AWS (par ex., une instance EC2 ou une fonction Lambda) •  Un compte AWS •  Pour chaque rôle, il faut définir : •  Une stratégie d'approbation (Trust Policy) : # qui est autorisé à assumer ce rôle (authentification MFA, etc.) ? •  Une stratégie d’autorisation (Access Policy) : # quels sont les droits associés au rôle ?
  • 36. Exemple – associer un rôle à une instance EC2 •  Par défaut, une instance EC2 n’a le droit d’accéder à aucun service AWS. •  Au démarrage, il faut donc lui associer un rôle l’autorisant à utiliser les services dont elle a besoin, par exemple S3 ou RDS.
  • 37. Exemple – associer un rôle à une fonction Lambda •  De même, une fonction Lambda n’a le droit d’accéder à aucun service AWS. •  Au démarrage, il faut donc lui associer un rôle l’autorisant à utiliser les services dont elle a besoin.
  • 38. AWS Security Token Service •  STS permet à un utilisateur IAM de créer des permissions temporaires pour le compte d’utilisateurs externes. •  Ces permissions ne peuvent pas excéder ceux de l’utilisateur ! •  SDK ou API •  Création d’un jeton (GetFederationToken) •  Valable de 15 minutes à 36 heures •  Droits définis par la stratégie IAM passée en paramètre •  MFA pas supporté •  Console •  Création d’une session (AssumeRole) •  Valable de 15 à 60 minutes •  Droits définis par l’intersection du rôle et de la stratégie IAM passée en paramètre •  MFA supporté
  • 40. Fédération d’identité •  Comment autoriser des utilisateurs externes à AWS, dotés de leur propre identité, à accéder à vos ressources AWS ? •  Utilisateurs avec une identité “entreprise” Autoriser l’utilisateur à accéder au compte en Single Sign-On à Fédération avec un broker propriétaire à Fédération avec SAML 2.0 à AWS Directory Service •  Utilisateurs avec une identité “sociale” Autoriser l’application à accéder au compte à Fédération d’identité web à Fédération d’identité web avec AWS Cognito
  • 41. Fédération d’identité avec broker propriétaire https://aws.amazon.com/fr/blogs/aws/aws-identity-and-access-management-now-with-identity-federation/ https://aws.amazon.com/code/1288653099190193
  • 42. Fédération d’identité avec SAML 2.0 # AssumeRoleWithSAML AWS (Fournisseur de services) Connexion AWS Interface du navigateur Base d'identités d'entreprise Fournisseur d'identité L’utilisateur se connecte au fournisseur d'identité Réponse AuthN Publication pour se connecter Transmission de la réponse AuthN https://aws.amazon.com/fr/blogs/aws/aws-identity-and-access-management-using-saml/ https://aws.amazon.com/fr/blogs/security/enabling-federation-to-aws-using-windows-active-directory-adfs-and-saml-2-0/ Fournisseur d’identité SAML défini dans IAM
  • 43. AWS Directory Service •  Ce service géré vous permet de : •  Connecter facilement un serveur Microsoft Active Directory sur site # à vos ressources AWS site (AD Connector) •  Configurer un nouveau serveur AD autonome dans AWS (Simple AD) •  DS peut utiliser l'annuaire pour autoriser la fédération des utilisateurs et des groupes de l'annuaire sur le Cloud AWS •  Pas besoin de développer un fournisseur d’identité externe https://aws.amazon.com/fr/directoryservice/ https://aws.amazon.com/fr/blogs/aws/new-aws-directory-service/
  • 44. Fédération d'identité Web# AssumeRoleWithWebIdentity AWS IAM US-EAST-1 EU-WEST-1 AP-SOUTHEAST-1 Services AWS Amazon DynamoDB S3 Authentification de l'utilisateur Accès directServices AWS Jeton Vérification Fournisseur d'identité Web Stratégie de vérification Jeton Application mobile Amazon SQS https://aws.amazon.com/fr/blogs/aws/aws-iam-now-supports-amazon-facebook-and-google-identity-federation/ https://aws.amazon.com/fr/blogs/security/new-playground-app-to-explore-web-identity-federation-with-amazon-facebook-and-google/
  • 45. Fédération d’identité Web avec Cognito https://aws.amazon.com/cognito/ https://aws.amazon.com/fr/blogs/aws/openid-connect-support/ https://aws.amazon.com/fr/blogs/security/building-an-app-using-amazon-cognito-and-an-openid-connect-identity-provider/
  • 48. Comment utiliser les fonctionnalités IAM de façon optimale ? Evitez le codage en dur Inutile d'intégrer des informations d'identification aux applications – accédez # aux ressources AWS à l'aide des rôles IAM pour EC2 •  Pas de clés d'accès codées en dur dans le code source •  Pas de clés d’accès copiées sur les instances EC2 •  Créez des rôles IAM avec des autorisations ayant le privilège le plus faible •  Utilisez les rôles IAM dans l'application •  Lancez vos instances EC2 avec un rôle minimal Changez les clés d'accès IAM AWS régulièrement Une durée d'utilisation limitée des clés d'accès réduit les problèmes potentiels •  Créez une clé d'accès supplémentaire •  Mettez à jour toutes les applications afin d'utiliser la nouvelle clé •  Vérifiez que les applications fonctionnent •  Marquez la clé d'accès précédente comme inactive •  Vérifiez que les applications fonctionnent toujours •  Supprimez la clé d'accès inactive
  • 49. Pour résumer •  IAM a pour objectif de vous aider à contrôler qui a le droit de faire quoi à votre compte et à vos ressources •  IAM peut être fédéré avec des systèmes externes •  D'autres services AWS peuvent être utilisés pour configurer et enrichir IAM, par exemple : •  AWS Directory Service •  AWS Cognito •  AWS CloudTrail
  • 50. Ressources supplémentaires AWS IAM http://aws.amazon.com/iam Blog sécurité AWS https://blogs.aws.amazon.com/security/ AWS re:Invent 2016: Become an AWS IAM Policy Ninja in 60mn (SAC303) # https://www.youtube.com/watch?v=y7-fAT3z8Lo AWS re:Invent 2016: IAM Best Practices to Live By (SAC317) https://www.youtube.com/watch?v=SGntDzEn30s AWS re:Invent 2014: Bring Your Own Identities – Federating Access to Your AWS Environment (SEC304) https://www.youtube.com/watch?v=debJ3o5w0MA AWS re:Invent 2015: A Progressive Journey Through AWS IAM Federation Options (SEC307)# https://www.youtube.com/watch?v=-XARG9W2bGc
  • 51. Merci ! Julien Simon Principal Technical Evangelist, AWS julsimon@amazon.fr @julsimon Lundi •  Bonnes pratiques d'authentification avec AWS IAM •  Chiffrez vos données avec AWS Mardi •  Fireside chat avec Matthieu Bouthors et Julien Simon •  Re:Invent update 1 Mercredi •  Deep dive : Amazon Virtual Private Cloud •  Bonnes pratiques anti-DDoS Jeudi •  Re:Invent update 2 •  Gérez les incidents de sécurité avec AWS CloudTrail Vendredi •  Automatisez vos audits de sécurité avec Amazon Inspector •  Bonnes pratiques de sécurité sur AWS