Sécurisez vos informations d’identification d'utilisateur root pour empêcher toute utilisation non autorisée Utiliser un mot de passe utilisateur root fort pour protéger l'accès Sécurisez votre connexion d'utilisateur root avec l'authentification multifactorielle (MFA)Ne créer aucune clé d'accès pour l'utilisateur root Utiliser une approbation par plusieurs personnes pour la connexion de l'utilisateur root dans la mesure du possible Utiliser une adresse e-mail de groupe pour les informations d'identification de l'utilisateur root Restreindre l'accès aux mécanismes de récupération des comptes Sécuriser les identifiants de l’utilisateur racine de votre compte AWS Organizations Surveiller l'accès et l'utilisation

Bonnes pratiques d'utilisateur root pour votre Compte AWS

La première fois que vous créez un Compte AWS, vous commencez avec un ensemble d'informations d'identification par défaut avec un accès complet à toutes les ressources AWS de votre compte. Cette identité est appelée l'utilisateur root Compte AWS. Nous vous recommandons fortement de ne pas accéder à l'utilisateur root Compte AWS, sauf si vous avez une tâche qui nécessite des informations d'identification de l'utilisateur root. Vous devez sécuriser vos informations d'identification de l'utilisateur root et les mécanismes de récupération de votre compte afin de ne pas exposer vos informations d'identification hautement privilégiées à des fins d'utilisation non autorisée.

Pour plusieurs Comptes AWS gérés par AWS Organizations, nous recommandons de supprimer les informations d’identification de l’utilisateur racine des comptes membres afin d’empêcher toute utilisation non autorisée. Vous pouvez supprimer le mot de passe d’utilisateur racine, les clés d’accès, les certificats de signature, ainsi que désactiver et supprimer l’authentification multifactorielle (MFA). Les comptes membres ne peuvent pas se connecter à leur utilisateur racine ni récupérer le mot de passe de leur utilisateur racine. Pour de plus amples informations, consultez Gestion centralisée de l’accès racine pour les comptes membres.

Au lieu d'accéder à l'utilisateur root, créez un utilisateur administratif pour les tâches quotidiennes.

Si vous en avez un nouveau Compte AWS, consultez Configuration d’ Compte AWS.
Pour plusieurs Comptes AWS gérés via AWS Organizations, consultez Configurer l'accès au Compte AWS pour un utilisateur administratif d'IAM Identity Center.

Avec votre utilisateur administratif, vous pouvez ensuite créer des identités supplémentaires pour les utilisateurs qui ont besoin d'accéder aux ressources de votre Compte AWS. Nous vous recommandons fortement d'exiger que les utilisateurs s'authentifient avec des informations d'identification temporaires lorsqu'ils accèdent à AWS.

Pour un Compte AWS unique et autonome, utilisez Rôles IAM pour créer des identités dans votre compte avec des autorisations spécifiques. Les rôles sont destinés à être endossés par toute personne qui en a besoin. En outre, un rôle ne dispose pas d'informations d'identification standard à long terme comme un mot de passe ou des clés d'accès associées. Au lieu de cela, lorsque vous adoptez un rôle, il vous fournit des informations d’identification de sécurité temporaires pour votre session de rôle. Contrairement aux rôles IAM, Utilisateurs IAM dispose d'informations d'identification à long terme telles que des mots de passe et des clés d'accès. Dans la mesure du possible, nous vous recommandons, dans le cadre des bonnes pratiques, de vous appuyer sur des informations d'identification temporaires plutôt que de créer des utilisateurs IAM ayant des informations d'identification à long terme tels que les clés d'accès.
Pour plusieurs Comptes AWS gérés via AWS Organizations, utilisez les utilisateurs de main-d’œuvre d’IAM Identity Center. Avec IAM Identity Center, vous pouvez gérer de manière centralisée les utilisateurs de vos Comptes AWS et les autorisations associées à ces comptes. Gérez vos identités d'utilisateur à l'aide d'IAM Identity Center ou depuis un fournisseur d'identité externe. Pour plus d’informations, consultez Présentation de AWS IAM Identity Center dans le Guide de l’utilisateur AWS IAM Identity Center.

Rubriques

Sécurisez vos informations d’identification d'utilisateur root pour empêcher toute utilisation non autorisée
Utiliser un mot de passe utilisateur root fort pour protéger l'accès
Sécurisez votre connexion d'utilisateur root avec l'authentification multifactorielle (MFA)
Ne créer aucune clé d'accès pour l'utilisateur root
Utiliser une approbation par plusieurs personnes pour la connexion de l'utilisateur root dans la mesure du possible
Utiliser une adresse e-mail de groupe pour les informations d'identification de l'utilisateur root
Restreindre l'accès aux mécanismes de récupération des comptes
Sécuriser les identifiants de l’utilisateur racine de votre compte AWS Organizations
Surveiller l'accès et l'utilisation

Sécurisez vos informations d’identification d'utilisateur root pour empêcher toute utilisation non autorisée

Sécurisez vos informations d’identification d'utilisateur root et ne les utilisez que pour les tâches qui les nécessitent. Pour empêcher toute utilisation non autorisée, ne partagez pas le mot de passe de votre utilisateur root, votre MFA, vos clés d'accès, vos paires de clés CloudFront ou les certificats de signature avec qui que ce soit, à l'exception des personnes ayant un besoin professionnel strict d'accéder à l'utilisateur root.

Ne stockez pas le mot de passe de l'utilisateur root avec des outils qui dépendent des Services AWS dans un compte auquel on accède par le même mot de passe. En cas de perte ou d’oubli de votre mot de passe d’utilisateur racine, vous ne pourrez pas accéder à ces outils. Nous vous recommandons de donner la priorité à la résilience et d'envisager de demander à deux personnes ou plus d'autoriser l'accès à l'emplacement de stockage. L'accès au mot de passe ou à son emplacement de stockage doit être consigné et surveillé.

Utiliser un mot de passe utilisateur root fort pour protéger l'accès

Nous vous recommandons d'utiliser un mot de passe fort et unique. Des outils tels que des gestionnaires de mots de passe dotés d'algorithmes de génération de mots de passe puissants peuvent vous permettre d'atteindre ces objectifs. AWS exige que votre mot de passe remplisse les conditions suivantes :

Avoir un minimum de 8 caractères et un maximum de 128 caractères
Inclure au minimum trois des types de caractères suivants : majuscules, minuscules, chiffres, et les symboles ! @ # $ % ^ & * () <> [] {} | _ + - =
Ne pas être identique au nom ou à l'adresse e-mail de votre compte Compte AWS

Pour de plus amples informations, consultez Modifier le mot de passe de l'Utilisateur racine d'un compte AWS.

Sécurisez votre connexion d'utilisateur root avec l'authentification multifactorielle (MFA)

Étant donné qu'un utilisateur root peut effectuer des actions privilégiées, il est essentiel d'ajouter MFA pour l'utilisateur root comme deuxième facteur d'authentification, en plus de l'adresse e-mail et du mot de passe comme informations d'identification de connexion. Vous pouvez enregistrer jusqu'à huit dispositifs MFA de n'importe quelle combinaison de types MFA actuellement pris en charge avec l'utilisateur root de votre Compte AWS.

Nous vous recommandons fortement d’activer plusieurs dispositifs MFA pour vos informations d’identification d’utilisateur racine afin de renforcer la flexibilité et la résilience de votre politique de sécurité. Tous les types d’Compte AWS (comptes autonomes, comptes de gestion et comptes membres) nécessitent la configuration de l’authentification multifacteur (MFA) pour leur utilisateur racine. Les utilisateurs doivent enregistrer l’authentification multifactorielle (MFA) dans les 35 jours suivant leur première tentative de connexion à l’AWS Management Console si la MFA n’est pas déjà activée.

Les clés de sécurité matérielles certifiées FIDO sont fournies par des fournisseurs tiers. Pour de plus amples informations, consultez Activer une clé de sécurité FIDO pour l'utilisateur root de l'Compte AWS.
Un périphérique matériel qui génère un code numérique à six chiffres basé sur l'algorithme TOTP (mot de passe unique à durée limitée). Pour de plus amples informations, consultez Activer un jeton TOTP matériel pour l'utilisateur root de l'Compte AWS.
Une appli d'authentification virtuelle qui s'exécute sur un téléphone ou un autre appareil et qui égale le niveau d'un dispositif physique. Pour de plus amples informations, consultez Activer un dispositif MFA virtuel pour votre utilisateur root Compte AWS.

Ne créer aucune clé d'accès pour l'utilisateur root

Les touches d'accès vous permettent d'exécuter des commandes dans l'interface de ligne de commande AWS (AWS CLI) ou d'utiliser des opérations d'API à partir d'un des SDK AWS. Nous vous recommandons fortement de ne pas créer de paires de clés d'accès pour votre utilisateur root, car celui-ci dispose d'un accès complet à tous les Services AWS et aux ressources du compte, y compris aux informations de facturation.

Étant donné que peu de tâches requièrent l'utilisateur root et que celles-ci sont rarement effectuées, nous vous recommandons de vous connecter à la AWS Management Console pour effectuer les tâches de l'utilisateur root. Avant de créer des clés d’accès, passez en revueAlternatives aux clés d'accès à long terme.

Utiliser une approbation par plusieurs personnes pour la connexion de l'utilisateur root dans la mesure du possible

Envisagez d'utiliser l'approbation par plusieurs personnes pour garantir qu'aucune personne ne puisse accéder à la fois à la MFA et au mot de passe de l'utilisateur root. Certaines entreprises ajoutent une couche de sécurité supplémentaire en configurant un groupe d'administrateurs ayant accès au mot de passe et un autre groupe d'administrateurs ayant accès à la MFA. Un membre de chaque groupe doit se réunir pour se connecter en tant qu'utilisateur root.

Utiliser une adresse e-mail de groupe pour les informations d'identification de l'utilisateur root

Utilisez une adresse e-mail gérée par votre entreprise et transférez les messages reçus directement à un groupe d'utilisateurs. Si AWS doit contacter le propriétaire du compte, cette approche réduit le risque de retards dans l'intervention, même si les personnes sont en vacances, malades ou ont quitté l'entreprise. L'adresse e-mail utilisée pour l'utilisateur root ne doit pas être utilisée à d'autres fins.

Restreindre l'accès aux mécanismes de récupération des comptes

Veillez à développer un processus pour gérer les mécanismes de récupération des informations d'identification d'utilisateur root au cas où vous auriez besoin d'y accéder en cas d'urgence, telle que la prise de contrôle de votre compte administratif.

Assurez-vous d'avoir accès à votre boîte de réception de messagerie d'utilisateur root afin de pouvoir réinitialiser le mot de passe d'utilisateur root perdu ou oublié.
Si la MFA de votre utilisateur root Compte AWS est perdue, endommagée ou défaillante, vous pouvez vous connecter à l'aide d'une autre MFA enregistrée avec les mêmes informations d'identification de l'utilisateur root. Si vous avez perdu l’accès à toutes vos MFA, vous avez besoin que le numéro de téléphone et l’e-mail utilisés pour enregistrer votre compte soient à jour et accessibles pour récupérer votre MFA. Pour de plus amples informations, consultez la section Récupération d'un dispositif MFA d'utilisateur root.
Si vous choisissez de ne pas stocker votre mot de passe d'utilisateur root et votre MFA, le numéro de téléphone enregistré dans votre compte peut être utilisé comme autre moyen de récupérer les informations d'identification d'utilisateur root. Assurez-vous d'avoir accès au numéro de téléphone de contact, maintenez-le à jour et limitez le nombre de personnes autorisées à gérer le numéro de téléphone.

Personne ne doit avoir accès à la fois à la boîte de réception de messagerie et au numéro de téléphone, car les deux sont des canaux de vérification permettant de récupérer votre mot de passe d'utilisateur root. Il est important que deux groupes de personnes gèrent ces canaux. Un groupe ayant accès à votre adresse e-mail principale et un autre groupe ayant accès au numéro de téléphone principal pour récupérer l'accès à votre compte en tant qu'utilisateur root.

Sécuriser les identifiants de l’utilisateur racine de votre compte AWS Organizations

À mesure que vous passez à une politique multi-comptes avec AWS Organizations, chacun de vos Comptes AWS possède ses propres informations d’identification d’utilisateur racine que vous devez sécuriser. Le compte que vous utilisez pour créer votre organisation est le compte de gestion et les autres comptes de votre organisation sont des comptes membres.

Sécuriser les informations d’identification de l’utilisateur racine pour le compte de gestion

AWS exige que vous enregistriez la MFA pour l’utilisateur racine du compte de gestion de votre organisation. L’enregistrement MFA doit être effectué lors de la première tentative de connexion ou dans le délai de grâce de 35 jours. Si la MFA n’est pas activée dans ce délai, vous devrez vous inscrire avant de pouvoir accéder à l’AWS Management Console. Pour de plus amples informations, consultez Authentification multifactorielle pour Utilisateur racine d'un compte AWS.

Sécuriser les informations d'identification d'utilisateur root pour les comptes membres

Si vous utilisez AWS Organizations pour gérer plusieurs comptes, vous pouvez adopter deux politiques pour sécuriser l’accès de l’utilisateur racine dans vos AWS Organizations.

Centralisez l’accès racine et supprimez les informations d’identification des utilisateurs racines des comptes membres. Supprimez les informations d’identification de l’utilisateur racine, les clés d’accès, les certificats de signature, ainsi que désactivez et supprimez l’authentification multifactorielle (MFA). Lorsque cette politique est utilisée, les comptes membres ne peuvent pas se connecter à leur utilisateur racine ni récupérer le mot de passe de leur utilisateur racine. Pour de plus amples informations, consultez Gestion centralisée de l’accès racine pour les comptes membres.
Sécurisez les informations d’identification de l’utilisateur racine de vos comptes AWS Organizations grâce à la (MFA) afin de renforcer la sécurité de vos comptes. Pour de plus amples informations, consultez Authentification multifactorielle pour Utilisateur racine d'un compte AWS.

Pour plus de détails, consultez la section Accès aux comptes membres de votre organisation dans le AWS OrganizationsGuide de l’utilisateur .

Définir des contrôles de sécurité préventifs dans AWS Organizations à l’aide d’une politique de contrôle des services (SCP)

Si les comptes membres de votre organisation disposent d’informations d’identification de l’utilisateur racine, vous pouvez appliquer un SCP pour restreindre l’accès à l’utilisateur racine du compte membre. Le fait de refuser toutes les actions de l'utilisateur root sur vos comptes membres, à l'exception de certaines actions réservées au root, permet d'empêcher tout accès non autorisé. Pour plus de détails, consultez la section Utiliser une politique de contrôle des services (SCP) pour restreindre ce que l'utilisateur root de vos comptes membres peut faire.

Surveiller l'accès et l'utilisation

Nous vous recommandons d'utiliser vos mécanismes de suivi actuels pour surveiller, alerter et signaler la connexion et l'utilisation des informations d'identification d'utilisateur root, y compris les alertes annonçant la connexion et l'utilisation de l'utilisateur root. Les services suivants peuvent aider à garantir le suivi de l'utilisation des informations d'identification d'utilisateur root et à effectuer des contrôles de sécurité afin d'empêcher toute utilisation non autorisée.

Note

CloudTrail consigne différents événements de connexion pour les sessions de l’utilisateur racine et de l’utilisateur racine privilégié. Ces sessions privilégiées permettent d’effectuer des tâches qui nécessitent des informations d’identification de l’utilisateur racine dans les comptes membres de votre organisation. Vous pouvez utiliser l’événement de connexion pour identifier les actions effectuées par le compte de gestion ou un administrateur délégué à l’aide de sts:AssumeRoot. Pour de plus amples informations, consultez Suivi des tâches privilégiées dans CloudTrail.

Si vous souhaitez recevoir des notifications concernant l'activité de connexion de l'utilisateur root sur votre compte, vous pouvez utiliser Amazon CloudWatch pour créer une règle Events qui détecte l'utilisation des informations d'identification d'utilisateur root et envoie une notification à votre administrateur de sécurité. Pour plus de détails, consultez Surveiller et notifier l'activité de l'utilisateur root du Compte AWS.
Si vous souhaitez configurer des notifications pour vous avertir des actions approuvées de l'utilisateur root, vous pouvez utiliser Amazon EventBridge et Amazon SNS pour rédiger une règle EventBridge afin de suivre l'utilisation de l'utilisateur root pour l'action spécifique et de vous en informer via une rubrique Amazon SNS. Pour obtenir un exemple, consultez Envoyer une notification lorsqu'un objet Amazon S3 est créé.
Si vous utilisez déjà GuardDuty comme service de détection des menaces, vous pouvez étendre sa capacité à vous avertir lorsque les informations d'identification d'utilisateur root sont utilisées sur votre compte.

Cette alerte doit inclure, sans s'y limiter, l'adresse e-mail pour l'utilisateur root. Vérifiez que vous avez des procédures en place pour savoir comment répondre aux alertes afin que le personnel qui reçoit une alerte d'accès d'utilisateur root comprenne comment confirmer que l'accès de l'utilisateur root est attendu et comment remonter l'événement s'il croit qu'un incident de sécurité est en cours. Pour obtenir un exemple illustrant la configuration des alertes, consultez Surveiller et notifier l'activité de l'utilisateur root du Compte AWS.

Évaluer la conformité de la MFA de l'utilisateur root

Les services suivants peuvent aider à évaluer la conformité à la MFA pour les informations d’identification de l’utilisateur racine.

Les règles liées à la MFA ne sont pas conformes si vous suivez la pratique exemplaire consistant à supprimer les informations d’identification de l’utilisateur racine.

Nous recommandons de supprimer les informations d’identification de l’utilisateur racine des comptes membres dans votre organisation afin d’empêcher toute utilisation non autorisée. Après avoir supprimé les informations d’identification de l’utilisateur racine, y compris la MFA, ces comptes de membres sont évalués comme non applicables.

AWS Config fournit des règles pour contrôler le respect des pratiques exemplaires des utilisateurs racine. Vous pouvez utiliser des règles gérées AWS Config pour vous aider à appliquer la MFA aux informations d’identification de l’utilisateur racine. AWS Config peut également identifier les clés d’accès pour l’utilisateur racine.
Le service Security Hub fournit une vue complète de votre état de sécurité dans AWS et vous permet d'évaluer votre environnement AWS par rapport aux normes et aux bonnes pratiques du secteur de la sécurité, par exemple le fait de disposer du service MFA pour l'utilisateur root et de ne pas disposer de clés d'accès de l'utilisateur root. Pour plus de détails sur les règles disponibles, consultez Contrôles AWS Identity and Access Management dans le Guide de l'utilisateur de Security Hub.
Trusted Advisor fournit un contrôle de sécurité qui vous permet de savoir si MFA n'est pas activée sur le compte utilisateur root. Pour de plus amples informations, consultez MFA pour un compte root dans le Guide de l'utilisateur AWS.

Si vous devez signaler un problème de sécurité lié à votre compte, consultez Signaler des e-mails suspects ou Signaler une vulnérabilité. Vous pouvez également contacter AWS pour obtenir de l'aide et des conseils supplémentaires.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Bonnes pratiques de sécurité

Cas d'utilisation métier