Gestion des identités et autorisations sur AWS, quelles ...... · AWS IAM, AWS Directory Service,...

37
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. SUMMIT Gestion des identités et autorisations sur AWS, quelles sont vos options ? Julien ROYERE, Solutions Architect Public Sector SEC102 Julien LARGILLIERE, IS&T Platform Domain Leader

Transcript of Gestion des identités et autorisations sur AWS, quelles ...... · AWS IAM, AWS Directory Service,...

Page 1: Gestion des identités et autorisations sur AWS, quelles ...... · AWS IAM, AWS Directory Service, AWS Secrets Manager, Amazon Cognito, AWS Single Sign- On (SSO), AWS Organizations,

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

Gestion des identités et autorisations sur AWS, quelles sont vos options ?

Julien ROYERE, Solutions Architect Public Sector

S E C 1 0 2

Julien LARGILLIERE, IS&T Platform Domain Leader

Page 2: Gestion des identités et autorisations sur AWS, quelles ...... · AWS IAM, AWS Directory Service, AWS Secrets Manager, Amazon Cognito, AWS Single Sign- On (SSO), AWS Organizations,

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

Contexte

• Audience: AWS admins, IT admins, security pros, IAM specialists• Services couverts: AWS IAM, AWS Directory Service, AWS Secrets

Manager, Amazon Cognito, AWS Single Sign-On (SSO), AWS Organizations, Amazon Cloud Directory, AWS Resource Access Manager (RAM)

• Niveau estimé : 200/300• Description : Vous êtes perdus entre la gestion de l’identité sur les

services cloud, sur vos instances virtuelles, ou comment gérer des droits d’accès dans vos scripts en partageant des secrets de manière protégée ? Venez découvrir les services au coeur de la sécurité de vos systèmes et services dans le Cloud AWS.

Page 3: Gestion des identités et autorisations sur AWS, quelles ...... · AWS IAM, AWS Directory Service, AWS Secrets Manager, Amazon Cognito, AWS Single Sign- On (SSO), AWS Organizations,

S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.

Page 4: Gestion des identités et autorisations sur AWS, quelles ...... · AWS IAM, AWS Directory Service, AWS Secrets Manager, Amazon Cognito, AWS Single Sign- On (SSO), AWS Organizations,

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

Clarification sur le cadre de la session

Identité

Authentification, autorisation, audit, et gouvernance pour vos

applications Cloud

Gestion de l’identité et des accèsAWS Identity and Access

Management (IAM)(le service)

Authentifie et autorisel’accès aux API AWS

incluant(le sujet)

Role PermissionsIdentité

Page 5: Gestion des identités et autorisations sur AWS, quelles ...... · AWS IAM, AWS Directory Service, AWS Secrets Manager, Amazon Cognito, AWS Single Sign- On (SSO), AWS Organizations,

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

Gestion de l’identité et des accès c’est…

Valide les identités de

manière sécurisée

Autorisation

Répond aux demandes de

conformité

Audit/Gouvernance

Page 6: Gestion des identités et autorisations sur AWS, quelles ...... · AWS IAM, AWS Directory Service, AWS Secrets Manager, Amazon Cognito, AWS Single Sign- On (SSO), AWS Organizations,

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

L’identité à tous les niveaux

Console de gestion AWS / APIs

Infrastructure AWS

ApplicationsAWS

Vos applications

Développeurs

Admins

Securité Salariés

Clients

Partenaires

Gestion de l’identité et des accès

Page 7: Gestion des identités et autorisations sur AWS, quelles ...... · AWS IAM, AWS Directory Service, AWS Secrets Manager, Amazon Cognito, AWS Single Sign- On (SSO), AWS Organizations,

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

Types de comptes: Root / AWS / IAM

CompteUtilisateurRoot (email

unique)

COMPTE AWS

UtilisateurIAM

- Compte Utilisateur Root : Gère le compteAWS

- Unique par compte AWS- Pas de limitation de droits !!!- Requis pour certains changements spécifiques

dans le compte AWS, comme les options de paiement

- Utilisateur IAM : Gère les ressources dans un compte AWS- Plusieurs par compte AWS (nom unique)- Limité par des politiques d’accès IAM

- COMPTE AWS : Héberge les ressources AWS- Fournit l’accès à toutes les Régions AWS- Possède des limites “soft” et “hard”

Page 8: Gestion des identités et autorisations sur AWS, quelles ...... · AWS IAM, AWS Directory Service, AWS Secrets Manager, Amazon Cognito, AWS Single Sign- On (SSO), AWS Organizations,

S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.

Page 9: Gestion des identités et autorisations sur AWS, quelles ...... · AWS IAM, AWS Directory Service, AWS Secrets Manager, Amazon Cognito, AWS Single Sign- On (SSO), AWS Organizations,

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

Identité AWS, annuaires et services d’accès (1/2)

Identité & Authentification

Amazon Cognito

Amazon Cloud Directory

AWS Directory Service

AWS Single Sign-On

AWS Single Sign-OnGère l’accès en “single sign-on” (SSO) vers plusieurs comptes AWS et des applications métier

AWS Directory ServiceService d’annuaire Microsoft Active Directory sur le cloud AWS

Amazon CognitoGestion de l’identité et des accès pour vos applications et APIs

Amazon Cloud DirectoryAnnuaire pour gérer les données de manière hiérarchique

Page 10: Gestion des identités et autorisations sur AWS, quelles ...... · AWS IAM, AWS Directory Service, AWS Secrets Manager, Amazon Cognito, AWS Single Sign- On (SSO), AWS Organizations,

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

Identité AWS, annuaires et services d’accès (2/2)

Autorisation

AWS Identity and Access ManagementGestion d’accès granulaireaux ressources AWS

AWS Secrets ManagerGestion du cycle de vie pour les secrets

Gestion des ressources

AWS OrganizationsGestion par politique de plusieurs comptes AWS

AWS Resource Access ManagerGestionnaire d’accès aux ressources AWS pour partager des ressourcesavec plusieurs comptes AWS

AWS Identity and Access Management (IAM)

AWS Secrets Manager

AWS Organizations

Page 11: Gestion des identités et autorisations sur AWS, quelles ...... · AWS IAM, AWS Directory Service, AWS Secrets Manager, Amazon Cognito, AWS Single Sign- On (SSO), AWS Organizations,

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

Proposer des solutions en fonction des clients…

PMEs Entreprises de taillesmoyennes

Grandes entreprise

s

• Amazon Cognito• Utilisateurs AWS

IAM

• AWS Single Sign-on• AWS Directory Service –

Standard Edition• AWS IAM• AWS Secrets Manager• Amazon Cognito

• AWS Single Sign-on• AWS Directory Service –

Enterprise Edition• AWS IAM• AWS Secrets Manager• Amazon Cognito• Amazon Cloud Directory• AWS Organizations• AWS Resource Access

Manager

Page 12: Gestion des identités et autorisations sur AWS, quelles ...... · AWS IAM, AWS Directory Service, AWS Secrets Manager, Amazon Cognito, AWS Single Sign- On (SSO), AWS Organizations,

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

… et en fonction des cas d’usage

Business versClients

Business versBusiness

Business versSalariés

• Amazon Cognito User Pools

• AWS Single Sign-on• AWS IAM• Amazon Cognito Identity

Pools• AWS Directory Service• AWS Cloud Directory

Page 13: Gestion des identités et autorisations sur AWS, quelles ...... · AWS IAM, AWS Directory Service, AWS Secrets Manager, Amazon Cognito, AWS Single Sign- On (SSO), AWS Organizations,

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

Cas d’usage les plus communs

Gestion d’accès utilisateurs pour un compte et ressources AWS• Developpeurs s’authentifiant en ligne de commande AWS (AWS CLI) or dans la

Console de gestion web • Ingénieurs SecOps executant une fonction LAMBDA

Gestion d’accès des applications vers des données et ressources• Applications exécutant des instances Amazon EC2 ou des containeurs ayant

besoin d’accéder à des données dans Amazon S3

Gestion d’accès utilisateurs vers vos propres applications• Utilisateurs s’authentifiant sur vos applications en utilisant leurs comptes

Facebook, Twitter ou Amazon

Page 14: Gestion des identités et autorisations sur AWS, quelles ...... · AWS IAM, AWS Directory Service, AWS Secrets Manager, Amazon Cognito, AWS Single Sign- On (SSO), AWS Organizations,

S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.

Page 15: Gestion des identités et autorisations sur AWS, quelles ...... · AWS IAM, AWS Directory Service, AWS Secrets Manager, Amazon Cognito, AWS Single Sign- On (SSO), AWS Organizations,

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

Cas #1- Accès utilisateurs vers un compte & ressources AWS

Permettez aux utilisateurs l’authentification sur un compte AWS en utilisants leur identité d’entreprise:

Configurez l’accès SSO fédéré avec chacun de comptes AWS en utilisant AWS IAM

AWS SSO vous aide à créer des utilisateurs et groupes nativement sur AWS, les connecter à des utilisateurs existant dans vos annuaires, définir les permission et gérer l’accès à plusieurs applications et comptes AWS.

Définissez des permissions utilisateurs granulaires dans vos comptes AWS en utilisant des politiques IAM

AWS Organizations vous aide à gouverner l’utilisation des API AWS aux travers de plusieurs comptes AWS

AWS Resource Access Manager (RAM) vous aide à partager de manière sécurisée des ressources AWS avec n’importe quel compte AWS ou dans un domaine AWS Organizations

Page 16: Gestion des identités et autorisations sur AWS, quelles ...... · AWS IAM, AWS Directory Service, AWS Secrets Manager, Amazon Cognito, AWS Single Sign- On (SSO), AWS Organizations,

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

Cas #2- Accès applicatif vers vos données et vos ressources

Evitez de mettre en clair vos login/mot de passe dans votre code

Vous pouvez utiliser des rôles IAM pour sécurisercela:

• Les rôles IAM fonctionnent avec Amazon EC2, les conteneurs Amazon EC2, et les fonctions AWS Lambda

AWS Secrets Manager vous aide facilement à faire tourner, gérer, et récupérer vos login/mot de passe, clefs API, et autres secrets tout au long de leur cycle de vie

Vous pouvez définir des permissions granulaires versvos ressources AWS en utilisant des politiques IAM

Page 17: Gestion des identités et autorisations sur AWS, quelles ...... · AWS IAM, AWS Directory Service, AWS Secrets Manager, Amazon Cognito, AWS Single Sign- On (SSO), AWS Organizations,

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

Cas #3 – Accès utilisateur à vos propres applications

Permettez aux utilisateurs de venir avec leur propreidentité issue d’autre fournisseurs d’identité avec Amazon Cognito

Intégration directe pour Facebook, Google, et Amazon

S’intègre avec des fournisseurs d’identitécompatibles OAuth 2.0, SAML 2.0, et OpenID Connect (OIDC)

Créez des annuaires nativement dans le Cloud avec des profiles utilisateurs étendus

Accès sécurisé à vos applications avec uneprotection pour:

Les activités d’authentification non-usuelles Login/mot de passe compromis

Page 18: Gestion des identités et autorisations sur AWS, quelles ...... · AWS IAM, AWS Directory Service, AWS Secrets Manager, Amazon Cognito, AWS Single Sign- On (SSO), AWS Organizations,

S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.

Page 19: Gestion des identités et autorisations sur AWS, quelles ...... · AWS IAM, AWS Directory Service, AWS Secrets Manager, Amazon Cognito, AWS Single Sign- On (SSO), AWS Organizations,

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

Portfolio large sur la sécurité et l’identité

• AWS Identity & Access Management (IAM)

• AWS Single Sign-On (SSO)

• AWS Directory Service

• Amazon Cloud Directory

• AWS Secrets Manager

• Amazon Cognito

• AWS Organizations

• AWS Resource Access Manager (RAM)

• AWS Security Hub

• Amazon GuardDuty

• AWS CloudTrail

• AWS Config

• AmazonCloudWatch

• VPC Flow Logs

• AWS Systems Manager

• AWS Shield

• AWS Web Application Firewall (AWS WAF)

• Amazon Inspector

• Amazon Virtual Private Cloud (VPC)

• AWS Key Management Service (KMS)

• AWS CloudHSM

• Amazon Macie

• AWS Certificate Manager

• Server-Side Encryption

• AWS Config Rules

• AWS Lambda

Identité Détection Sécuritéd’infrastructure

Réponse àincident

Protection des données

Page 20: Gestion des identités et autorisations sur AWS, quelles ...... · AWS IAM, AWS Directory Service, AWS Secrets Manager, Amazon Cognito, AWS Single Sign- On (SSO), AWS Organizations,

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

Bénéfices de la gestion d’identité et d’accès dans AWS

Vous donne le choix

Sécurisé, complet, flexible

Disponiblequand vous en

avez besoin

Contrôle d’accèsgranulaire

Elastique

Page 21: Gestion des identités et autorisations sur AWS, quelles ...... · AWS IAM, AWS Directory Service, AWS Secrets Manager, Amazon Cognito, AWS Single Sign- On (SSO), AWS Organizations,

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

Bénéfices de la gestion d’identité et d’accès dans AWS

Sécurité à l’échelleVous permet de construire des applications and gérer leur accès de manière plus sécurisé, applicable à l’ensemble de vos ressources

CompletLes nombreux services vous aident à démarrer rapidement, et leur richesse enfonctionnalités permet de satisfaire vos besoins les plus avancés

Flexibilité amélioréeVous offre des options pour répondre à vos besoins tout au long de votreutilisation d’AWS plutôt que vous forcer à vous adapter à AWS

Page 22: Gestion des identités et autorisations sur AWS, quelles ...... · AWS IAM, AWS Directory Service, AWS Secrets Manager, Amazon Cognito, AWS Single Sign- On (SSO), AWS Organizations,

S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.

Page 23: Gestion des identités et autorisations sur AWS, quelles ...... · AWS IAM, AWS Directory Service, AWS Secrets Manager, Amazon Cognito, AWS Single Sign- On (SSO), AWS Organizations,

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

Page 24: Gestion des identités et autorisations sur AWS, quelles ...... · AWS IAM, AWS Directory Service, AWS Secrets Manager, Amazon Cognito, AWS Single Sign- On (SSO), AWS Organizations,

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

Page 25: Gestion des identités et autorisations sur AWS, quelles ...... · AWS IAM, AWS Directory Service, AWS Secrets Manager, Amazon Cognito, AWS Single Sign- On (SSO), AWS Organizations,

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

Page 26: Gestion des identités et autorisations sur AWS, quelles ...... · AWS IAM, AWS Directory Service, AWS Secrets Manager, Amazon Cognito, AWS Single Sign- On (SSO), AWS Organizations,

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

Page 27: Gestion des identités et autorisations sur AWS, quelles ...... · AWS IAM, AWS Directory Service, AWS Secrets Manager, Amazon Cognito, AWS Single Sign- On (SSO), AWS Organizations,

S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.

Page 28: Gestion des identités et autorisations sur AWS, quelles ...... · AWS IAM, AWS Directory Service, AWS Secrets Manager, Amazon Cognito, AWS Single Sign- On (SSO), AWS Organizations,

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

Page 29: Gestion des identités et autorisations sur AWS, quelles ...... · AWS IAM, AWS Directory Service, AWS Secrets Manager, Amazon Cognito, AWS Single Sign- On (SSO), AWS Organizations,

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

Page 30: Gestion des identités et autorisations sur AWS, quelles ...... · AWS IAM, AWS Directory Service, AWS Secrets Manager, Amazon Cognito, AWS Single Sign- On (SSO), AWS Organizations,

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

Page 31: Gestion des identités et autorisations sur AWS, quelles ...... · AWS IAM, AWS Directory Service, AWS Secrets Manager, Amazon Cognito, AWS Single Sign- On (SSO), AWS Organizations,

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

Fonctionnement de l’AssumeRole

Page 32: Gestion des identités et autorisations sur AWS, quelles ...... · AWS IAM, AWS Directory Service, AWS Secrets Manager, Amazon Cognito, AWS Single Sign- On (SSO), AWS Organizations,

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

Page 33: Gestion des identités et autorisations sur AWS, quelles ...... · AWS IAM, AWS Directory Service, AWS Secrets Manager, Amazon Cognito, AWS Single Sign- On (SSO), AWS Organizations,

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

Page 34: Gestion des identités et autorisations sur AWS, quelles ...... · AWS IAM, AWS Directory Service, AWS Secrets Manager, Amazon Cognito, AWS Single Sign- On (SSO), AWS Organizations,

S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.

Page 35: Gestion des identités et autorisations sur AWS, quelles ...... · AWS IAM, AWS Directory Service, AWS Secrets Manager, Amazon Cognito, AWS Single Sign- On (SSO), AWS Organizations,

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

Page 36: Gestion des identités et autorisations sur AWS, quelles ...... · AWS IAM, AWS Directory Service, AWS Secrets Manager, Amazon Cognito, AWS Single Sign- On (SSO), AWS Organizations,

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

Page 37: Gestion des identités et autorisations sur AWS, quelles ...... · AWS IAM, AWS Directory Service, AWS Secrets Manager, Amazon Cognito, AWS Single Sign- On (SSO), AWS Organizations,

S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.