Article

AWS : qui a le droit d'ouvrir quoi

IAM, clés, pare-feu applicatif : des couches de protection simples à comprendre.

AWS : qui a le droit d'ouvrir quoi

AWS : qui a le droit d'ouvrir quoi

Une architecture AWS puissante mais mal fermee, c'est une porte ouverte avec un joli salon. La bonne nouvelle : AWS donne les serrures. Encore faut-il les utiliser.


IAM : qui a les cles ?

IAM gere les identites : utilisateurs, groupes, roles, politiques (permissions en JSON).

Schema couches securite AWS IAM KMS WAF
IAM, KMS, reseau, WAF, detection : des couches, pas un outil unique.

Principe central : least privilege - ne donner que le necessaire. Comme ne pas donner toutes les cles de la maison a chaque invite.

Bons reflexes :

  • Roles pour les workloads (EC2, ECS, Lambda) - pas de cles statiques dans le code.
  • Evite le compte racine au quotidien. Active le MFA. Prefere le SSO pour les humains.
  • Un role par metier : app-backend, app-batch, deploy.

KMS : le trousseau chiffre

KMS gere les cles de chiffrement utilisees par S3, EBS, RDS, DynamoDB... et par ton code si besoin.

Objectif : centraliser les cles, savoir qui les utilise.

  • Active le chiffrement au repos partout ou c'est simple.
  • Restreins l'usage des cles via IAM.
  • Surveille les operations sensibles avec CloudTrail.

Secrets : hors du code

Mots de passe, cles API, chaines de connexion :

  • Secrets Manager : rotation auto, integrations fortes.
  • Parameter Store : config (claire ou chiffree).

Regle d'or : jamais de secret en clair dans le code, les images Docker, ou un fichier Git. Si tu viens de Docker prod, c'est la meme idee.


WAF et Shield : le filtre devant la porte

WAF se place devant CloudFront, ALB, API Gateway. Tu bloques certaines IP / pays, tu limites des patterns d'attaque (SQLi, XSS, bots...).

Shield aide contre le DDoS (Standard inclus sur certaines ressources).

Le duo marche bien avec un reseau propre : CloudFront + WAF + ALB + subnets prives.


Hygiene au quotidien

  • Separe dev / staging / prod (comptes ou VPC clairement isoles).
  • Active CloudTrail. Centralise les logs. Alerte sur creation de cles, changement de roles, ouverture de ports.
  • Revois les roles IAM chaque trimestre. Cherche les buckets S3 publics. Mets a jour AMI et deps.

Resume

Trois piliers : IAM propre, chiffrement + secrets bien ranges, surface exposee minimale (WAF, SG, VPC). Ensuite, vois vraiment ce qui se passe avec l'observabilite.

Articles recommandés

Devis par e-mail

Recevoir votre devis

Indiquez votre e-mail : le PDF part tout de suite, sans engagement.

Récapitulatif

    Total HT
    TTC (TVA 20 %)

    Où envoyer votre devis ?

    Le PDF arrive à cette adresse en quelques secondes.

    Préciser votre besoin facultatif
    • Sans engagement
    • Réponse sous 24 h ouvrées
    • Devis PDF par e-mail

    Tarif HT selon les options choisies. Devis PDF envoyé par e-mail.