Comment créer un compte Amazon Web Services pour un utilisateur disposant d’autorisations minimales
Articles techniques ID:
KB82936
Date de la dernière modification : 13/10/2021
Environnement
McAfee Cloud Workload Security (CWS) 5.x pour Amazon Web Services (AWS)
Synthèse
Pour que CWS puisse communiquer avec le cloud AWS, vous devez enregistrer un compte AWS auprès d’ePolicy Orchestrator. Les utilisateurs AWS doivent disposer au moins d’autorisations en lecture seule configurées pour le service Web Amazon Elastique Cloud Compute (EC2).
Veuillez L’CWS propose trois niveaux d’autorisation lors de l’enregistrement d’un compte AWS. Vous pouvez configurer votre compte AWS en fonction de vos besoins. Pour créer un compte d’utilisateur AWS pour un utilisateur disposant d’autorisations minimales, suivez les étapes décrites dans cet article.
Solution
Pour créer un compte utilisateur AWS, procédez comme suit :
- Créer un utilisateur :
- Connectez-vous à votre console de gestion AWS.
- Chargez le Gestion des identités et des accès Tableau de bord (IAM).
- Dans la section Les section, cliquez sur Créer un utilisateur.
- Entrez un nom d’utilisateur.
- Sélectionnez l’option Générer une clé d’accès pour chaque utilisateur, puis cliquez sur Creat.
- Cliquez sur Informations d’identification pour le téléchargement, puis enregistrez le fichier. csv pièces. Ces informations d’identification contiennent à la fois la clé d’accès et la clé secrète.
- Fermez la fenêtre.
- Créer une stratégie :
- Dans le volet de navigation, cliquez sur Politique, Créer une nouvelle stratégie.
- Dans la section Créer une stratégie section, cliquez sur Créer votre propre stratégie.
- Entrez un nom et une description.
- Copiez et collez une ou plusieurs des stratégies suivantes, en fonction de vos besoins :
Ec2-stratégie en lecture seule (découverte/visibilité) -
Cet ensemble de règles autorise uniquement une autorisation utilisateur avec privilèges limités à découvrir les actifs EC2 et à lire les règles de pare-feu.
{
"Version" : "2012-10-17",
"Statement" : [
{
"Effet" : "Autoriser",
« Action » : « EC2 : DESCRIBE * »,
"Ressource" : "*"
}
]
}
Stratégie de correction -Cet ensemble de règles permet à un utilisateur de convertir les groupes de sécurité.
{
"Version" : "2012-10-17",
"Statement" : [
{
"Sid" : "",
"Effet" : "Autoriser",
"Action" : [
« EC2 : AuthorizeSecurityGroupEgress »,
« EC2 : AuthorizeSecurityGroupIngress »,
« EC2 : CreateSecurityGroup »,
« EC2 : DeleteSecurityGroup »,
« EC2 : ModifyInstanceAttribute »,
« EC2 : ModifyNetworkInterfaceAttribute »,
« EC2 : RevokeSecurityGroupEgress »,
« EC2 : RevokeSecurityGroupIngress »,
« EC2 : CreateTags »
],
"Ressource" : [
"*"
]
}
]
}
Stratégie de découverte du trafic réseau -Cet ensemble de règles permet à un utilisateur d’activer les journaux de flux de trafic réseau aux niveaux VPC. Grâce à cette stratégie, CWS de direction peut découvrir les journaux du trafic réseau.
{
"Version" : "2012-10-17",
"Statement" : [
{
"Sid" : "",
"Effet" : "Autoriser",
"Action" : [
« logs : CreateLogGroup »,
« logs : DeleteLogGroup »,
« logs : DescribeLogGroups »,
« logs : DescribeLogStreams »,
« logs : FilterLogEvents »,
« logs : GetLogEvents »,
« logs : CreateLogStream »,
« logs : PutLogEvents »,
« IAM : GetUser »,
« EC2 : CreateFlowLogs »,
« EC2 : DeleteFlowLogs »
],
"Ressource" : [
"*"
]
}
]
}
Amazon la stratégie GuardDuty -Cette stratégie permet à CWS d’identifier Amazon événements GuardDuty (atelier 5.0.1 et versions ultérieures).
{
"Version": "2012-10-17",
"Statement": [
"Sid": "DiscoverGuardGuty",
"Effect": "Allow",
"Action": [
"guardduty:GetThreatIntelSet",
"guardduty:GetIPSet",
"guardduty:ListIPSets",
"guardduty:GetFindings",
"guardduty:ListThreatIntelSets",
"guardduty:GetThreatIntelSet",
"guardduty:GetMasterAccount",
"guardduty:GetIPSet",
"guardduty:ListFindings",
"guardduty:GetMembers",
"guardduty:GetFindingsStatistics",
"guardduty:GetDetector",
"guardduty:ListMembers",
"guardduty:ListDetectors",
"guardduty:GetInvitationsCount",
"guardduty:ListInvitations"
Stratégie de fermeture de la charge de travail -Cet ensemble de règles vous permet d’arrêter la charge de travail sélectionnée en tant que mesure de correction (atelier 5.0.1 et versions ultérieures).
{
"Version": "2012-10-17",
"Statement": [
{ "Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "ec2:StopInstances",
"Resource": "*"
}
- Créer une IAM rôle avec les journaux de flux pour votre compte AWS :
Veuillez Pour accéder aux journaux de flux sur vos réseaux virtuels, vous devez créer un rôle IAM avec les stratégies de journalisation des flux. Vous pouvez ensuite afficher les journaux de flux de trafic de vos réseaux virtuels dans CWS de CWS.
- Connectez-vous à votre console de gestion AWS.
- Pour charger le tableau de bord IAM, sélectionnez IAM.
- Entrez le nom McafeeFlowLogger correspondant à votre rôle, puis cliquez sur Suivant.
Veuillez Le nom du rôle doit être McafeeFlowLoggeret elle est sensible à la casse.
- Dans la page Sélectionner un type de rôle, en regard de Amazon EC2, cliquez sur Sélectionnez.
- Sur la page joindre une stratégie, cliquez sur Etape suivante.
- Sur la page révision, prenez note des ARN correspondant à votre rôle, puis cliquez sur Créer un rôle.
- Attribuez un nom à votre rôle.
- Sous autorisations, développez la section stratégies en ligne, puis cliquez sur Cliquez ici.
- Sélectionnez stratégie personnalisée, puis cliquez sur Sélectionnez.
- Copiez cette stratégie et collez-la dans la fenêtre de document de stratégie. Saisissez le nom de la stratégie dans le champ nom de la stratégie, puis cliquez sur Appliquer la stratégie.
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
- Cette stratégie active le journal de flux VPC au niveau du VPC, pour le compte AWS :
- Sélectionnez l’option Modifier la relation d’approbation.
- Supprimez tout document de stratégie existant.
- Copiez et collez cette stratégie, puis cliquez sur Mettre à jour la stratégie d’approbation.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "vpc-flow-logs.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
- Affectez la stratégie à un utilisateur :
Cette Clé d’accès secret est généré lorsque vous créez le Clé d’accès. Utilisez la clé d’accès et la clé d’accès secrète lors de l’enregistrement de votre compte cloud à l’aide de CWS d’ePO.
- Dans la section Les , sélectionnez l’utilisateur, puis cliquez sur Joindre une stratégie.
- Sur la page synthèse, cliquez sur Ajouter des autorisations et sélectionnez Joindre directement des stratégies existantes.
- Sélectionnez la stratégie que vous avez créée, puis attachez la stratégie.
- Retournez à la page de synthèse et cliquez sur le bouton Informations d’identification de sécurité onglet.
- Cliquez sur Créer un accès clé.
Veuillez Pour plus d’informations sur les stratégies AWS, les autorisations, les rôles et l’accès aux comptes intersites, reportez-vous aux Guide d’installation de Cloud Workload Security.
Clause d'exclusion de responsabilité
Le contenu du présent article a été rédigé en anglais. En cas de divergences entre la version anglaise et sa traduction, la version en anglais prévaut. Certaines parties de ce contenu ont été traduites par le moteur de traduction automatique de Microsoft.
|
