Bien gérer les autorisations AWS IAM dans une startup - retour d’adoption de ConsoleMe

 (engineering.ab180.co)
31 points par gjen6s 2022-02-08 | 3 commentaires | Partager sur WhatsApp
  • Politique de moindre privilège IAM

« Lors de la création de politiques IAM, il faut suivre la recommandation de sécurité standard du moindre privilège et n’accorder que les permissions minimales nécessaires à l’exécution d’une tâche. »

Auparavant, tous les droits étaient accordés aux développeurs, puis il a été décidé d’adopter une politique de moindre privilège.

  • Mise en place d’un processus de demande d’autorisations via Jira

Après avoir récupéré toutes les autorisations existantes, un processus permettant de demander uniquement les droits nécessaires a été mis en place avec Jira + Terraform.

Mais il était difficile à utiliser pour les quatre raisons suivantes :

  1. Un terraform apply demandait environ 3 à 5 minutes

  2. Cela prenait beaucoup de temps en raison de la faible compréhension des politiques IAM par les développeurs

  3. Les demandes d’ajout d’autorisations étaient fréquentes

  4. Comme IAM change souvent, la synchronisation avec GitHub ne correspondait pas toujours

  • ConsoleMe, une lueur d’espoir pour les demandes d’autorisations IAM

Projet open source publié par Netflix en 2020 pour faciliter la gestion des autorisations IAM sur plusieurs comptes AWS. Il fournit une console web qui permet de demander des autorisations IAM et d’utiliser des privilèges temporaires sur des rôles. Les utilisateurs peuvent modifier librement les autorisations dans l’éditeur web, puis l’application est effectuée immédiatement après validation par un administrateur.

  • Attribution de privilèges temporaires avec le SSO (Single sign-on)

Sur AWS, obtenir des privilèges temporaires pour un IAM Role avec AWS STS (Secure Token Service) est plus sûr que d’utiliser un IAM User. Dans ConsoleMe, le SSO permet d’obtenir facilement des privilèges temporaires sur un IAM Role via un compte Google ou un fournisseur SSO.

  • Alors, l’adoption a vraiment amélioré les choses ?

Oui. Après six mois d’adoption et d’utilisation par l’équipe, le constat est le suivant : depuis l’utilisation de ConsoleMe, l’équipe sécurité gère plus facilement les preuves et les journaux liés aux demandes d’autorisations, et pour l’équipe de développement, un processus qui prenait au minimum 30 minutes et jusqu’à une journée est devenu une procédure simple de demande d’autorisations qui ne prend qu’environ 5 minutes, au bénéfice de tout le monde.

À lire aussi

3 commentaires

 
eyelove 2022-02-08

Merci beaucoup pour cette ressource, à titre personnel. :)

Nous devons nous aussi renforcer la sécurité en raison d’un audit comptable, donc cela devrait nous être utile.
 
kbumsik 2022-02-08

Je ne m’y connais pas très bien, mais… (je débute dans une startup...) Je ne savais pas qu’en dehors des audits de sécurité, les audits comptables examinaient aussi la sécurité informatique, wow. Je l’apprends aujourd’hui pour la première fois.

Bon courage pour la préparation de l’audit hehe
 
gjen6s 2022-02-08

La plupart du temps, c’est un audit comptable qui pousse à prêter attention à la sécurité, haha.

Bon courage !