🔒 AWS IAM – Identity & Access Management

Le cœur de la sécurité AWS : gestion des identités (utilisateurs, groupes, rôles), des policies JSON et du principe de moindre privilège.

1.1

Concept : IAM, le cœur de la sécurité AWS

Service central qui contrôle qui peut faire quoi, où et sur quelles ressources dans AWS.

Security Identity

1.2

Identités IAM : Users, Groups, Roles

Gestion fine des comptes humains, techniques et des rôles pour les services.

Users Roles

1.3

Policies JSON : Allow / Deny

Structures JSON qui décrivent les autorisations accordées ou refusées.

Policy JSON Allow/Deny

2.1

Managed vs Inline Policies

Différence entre policies réutilisables et policies rattachées à une seule identité.

Managed Inline

2.2

Authentification : Console & API

Accès via console, clés d’API, profils de rôles, Identity Center / SSO.

Access Keys SSO

2.3

MFA & Sécurisation du compte root

Protéger le compte root, activer MFA partout, supprimer les clés root.

MFA Root Account

3.1

Rôles IAM pour services AWS

EC2, Lambda, ECS, Glue : déléguer des autorisations aux services via des rôles.

Service Role EC2/Lambda

3.2

AssumeRole & STS

Assumer un rôle temporaire pour les accès cross-account ou temporaires.

STS Temporary Creds

4.1

Service Control Policies (SCP)

Gouvernance globale avec AWS Organizations pour restreindre tous les comptes.

SCP Organizations

4.2

Resource-Based Policies

Policies directement sur les ressources (S3, KMS, SNS, SQS…).

S3 Policy KMS

5.1

Tags & ABAC (Attribute-Based Access)

Contrôler les accès sur la base de tags sur les ressources et les identités.

Tags ABAC

5.2

Top 10 bonnes pratiques IAM

MFA, rotations, moindre privilège, séparation des comptes, audits réguliers.

Best Practices Security

1. Introduction : IAM, le Gardien du Temple

Le Système Nerveux de la Sécurité AWS

IAM est un service Global (répliqué mondialement, pas spécifique à une région). Il répond à deux questions fondamentales pour chaque requête API :

1. Authentication (AuthN)

"Qui es-tu ?"
Vérification de l'identité via Login/Password, Access Keys, ou Token MFA.
Résultat : "Tu es l'utilisateur Bob".

2. Authorization (AuthZ)

"As-tu le droit de faire ça ?"
Vérification des permissions (Policies) attachées à l'identité.
Résultat : "Bob a le droit de lire S3, mais pas de supprimer".

Le Principe "Deny by Default"

Sur AWS, tout ce qui n'est pas explicitement autorisé est INTERDIT.

Vous créez un nouvel utilisateur ? Il ne peut rien faire.
Vous créez un nouveau rôle ? Il ne peut rien faire.
Il faut attacher une Policy pour "ouvrir" des droits.

Le Jargon IAM (Indispensable)

Terme	Définition	Exemple
Principal	L'entité qui fait l'action. Peut être un Humain (User) ou une Machine (Service, Role).	User `Alice`, Service `lambda.amazonaws.com`.
IAM User	Identité permanente avec des credentials long terme (Password / Access Keys).	Déprécié pour les humains (Préférez SSO). Ok pour CI/CD (parfois).
IAM Role	Identité temporaire que l'on "endosse" (Assume). Fournit des clés temporaires (STS).	Une Lambda qui écrit dans DynamoDB. Un Admin qui se logue via SSO.
IAM Group	Collection d'utilisateurs. Un groupe ne peut PAS contenir d'autres groupes.	Groupe `Developers`, Groupe `Admins`.
Policy	Document JSON définissant les droits.	`AdministratorAccess`, `S3ReadOnly`.

Root User : L'email utilisé pour créer le compte AWS. Il a tous les droits, impossibles à restreindre.
Règle : Sécurisez-le avec MFA, enfermez le mot de passe dans un coffre-fort, et ne l'utilisez JAMAIS au quotidien.

Anatomie d'une Policy

Une Policy est une liste de "Statements". Voici la structure standard :

                            {
                            "Version": "2012-10-17",
                            "Statement": [
                            {
                            "Sid": "AllowS3Read",
                            "Effect": "Allow",
                            "Action": [
                            "s3:GetObject",
                            "s3:ListBucket"
                            ],
                            "Resource": [
                            "arn:aws:s3:::mon-bucket",
                            "arn:aws:s3:::mon-bucket/*"
                            ],
                            "Condition": {
                            "IpAddress": {
                            "aws:SourceIp": "192.0.2.0/24"
                            }
                            }
                            }
                            ]
                            }

Les 4 Éléments Clés (PARC)

Principal (Qui ?) : Implicite si attachée à un User/Role. Explicite dans les Bucket Policies.
Action (Quoi ?) : Le verbe API (ex: dynamodb:PutItem). Le wildcard * est possible (ex: s3:*).
Resource (Sur quoi ?) : L'objet ciblé défini par son ARN (Amazon Resource Name).
Condition (Quand ?) : Optionnel. Filtres (IP, Heure, MFA, Tags).

L'Algorithme de Décision AWS

Quand une requête arrive, AWS évalue TOUTES les policies applicables (Identity-based, Resource-based, SCP, Boundaries). Voici l'ordre logique :

1. Explicit Deny ?

2. Explicit Allow ?

3. Implicit Deny

1. Explicit Deny : Si N'IMPORTE QUELLE policy dit "Effect": "Deny", c'est fini. Le refus l'emporte toujours. (C'est le "Veto").
2. Explicit Allow : S'il n'y a pas de Deny, AWS cherche au moins un "Effect": "Allow". Si trouvé, accès accordé.
3. Implicit Deny : Si rien n'est dit (ni Allow, ni Deny), c'est refusé par défaut.

IAM vs The World

IAM est le moteur interne, mais comment gérer vos utilisateurs humains ?

Service	Public Cible	Relation avec IAM
IAM Identity Center (ex-AWS SSO)	Vos employés (Workforce).	Vous connectez votre Active Directory / Okta. L'utilisateur se logue sur un portail web. AWS lui assigne temporairement un Rôle IAM.
Amazon Cognito	Vos clients (App Mobile/Web).	Gère l'inscription/login (Facebook, Google, Email). Échange le token login contre un Rôle IAM limité pour accéder à AWS (ex: uploader sa photo sur S3).
AWS Organizations	Vos comptes AWS.	Utilise des SCPs (Service Control Policies) pour restreindre ce que les admins IAM peuvent faire dans chaque compte (ex: Interdire de créer des ressources hors d'Europe).

2. Identités IAM : Humains & Machines

IAM Users : Pour qui vraiment ?

Un IAM User est une identité persistante créée dans votre compte AWS.
Tendance 2026 : AWS recommande de NE PLUS créer d'IAM Users pour les humains, mais d'utiliser IAM Identity Center (SSO).

Caractéristiques

Console Access : Login + Password + MFA.
Programmatic Access : Access Key ID + Secret Access Key.
Limite : 5000 users par compte.

Le Risque des Long-Term Credentials

Les Access Keys (AKIA...) n'expirent jamais par défaut.
Si un développeur commite sa clé sur GitHub, votre compte est piraté en 5 minutes (Crypto-mining).
Solution : Préférez les Rôles (Clés temporaires).

IAM Groups : La Gestion à l'échelle

N'attachez JAMAIS de Policy directement à un User ("Inline Policy"). C'est ingérable. Utilisez toujours des Groupes.

Groupe Type	Permissions (Exemple)	Membres
Admins	`AdministratorAccess`	Tech Leads, CTO. (MFA Obligatoire).
Developers	`PowerUserAccess` (Tout sauf IAM).	Équipe Dev.
Audit / Finance	`ReadOnlyAccess` + `Billing`.	Contrôleurs de gestion, Auditeurs externes.

Règle : Un User peut appartenir à plusieurs groupes. Les permissions s'additionnent (Union), sauf si un DENY explicite est présent quelque part.

IAM Roles : L'Identité Temporaire

Un Rôle est un "chapeau" qu'on peut porter temporairement. Il n'a pas de mot de passe ni de clé permanente.

Qui peut assumer un rôle ? (Trust Policy)

Services AWS : "Je suis une Lambda, je veux écrire dans S3".
Cross-Account : "Je suis un User du compte A, je veux voir le compte B".
Web Identity : "Je suis logué avec Google/Facebook".
SAML 2.0 : "Je viens de l'Active Directory d'entreprise".

La Mécanique STS (Security Token Service)

L'entité appelle sts:AssumeRole.
STS vérifie la "Trust Policy".
STS renvoie des clés temporaires (AKIA..., Secret, SessionToken).
Durée de vie : 15 min à 12h (configurable).

Le Compte Root : "Break Glass Only"

Le Root User a TOUS les droits. Il peut fermer le compte, changer les contacts de facturation et contourner toutes les restrictions IAM.

Checklist de sécurisation Root

MFA Hardware : Utilisez une clé physique (YubiKey) stockée dans un coffre.
Supprimer les Access Keys : Le root ne doit JAMAIS avoir de clés API.
Pas d'usage quotidien : Ne l'utilisez que pour changer le plan de support ou récupérer un compte cassé.
Alarme CloudWatch : Configurez une alerte SMS/Slack si le compte Root se connecte ("RootAccountUsage").

Types de Credentials (Identifiants)

Type	Format	Durée	Usage
Console Password	Login + Pwd + MFA	Permanent (avec rotation)	Accès humain via navigateur.
Access Keys (Long Term)	`AKIA...` + Secret	Permanent (Danger !)	Scripts CLI locaux, vieux serveurs on-premise. À éviter si possible.
Session Tokens (Short Term)	`ASIA...` + Secret + Token	Temporaire (1h par défaut)	Rôles IAM, EC2 Instance Profile, Lambda, SSO.
X.509 Certs	Clé privée / Certificat	Date d'expiration	Rare. Utilisé pour certains appels API SOAP (Legacy) ou IoT.

3. Policies : Syntaxe, Variables & Évaluation

Déchiffrer le JSON

Une Policy est une collection de "Statements". Chaque Statement est une règle autonome.

                            {
                            "Version": "2012-10-17",
                            "Statement": [
                            {
                            "Sid": "AllowS3HomeDir",
                            "Effect": "Allow",
                            "Action": [
                            "s3:PutObject",
                            "s3:GetObject"
                            ],
                            "Resource": "arn:aws:s3:::mon-bucket/${aws:username}/*"
                            },
                            {
                            "Sid": "DenyProduction",
                            "Effect": "Deny",
                            "Action": "*",
                            "Resource": "*",
                            "Condition": {
                            "StringNotEquals": {
                            "aws:RequestedRegion": "eu-west-3"
                            }
                            }
                            }
                            ]
                            }

Les Éléments Clés

Effect : Allow ou Deny. Le Deny gagne toujours.
Action : Le verbe API (ex: s3:List*). Attention à NotAction qui autorise tout SAUF ce qui est listé (dangereux avec Allow).
Resource : L'objet ciblé (ARN). Wildcards * autorisés.
Principal : Obligatoire uniquement pour les Resource-based Policies (Bucket Policy, Trust Policy).

Où stocker la Policy ?

Il existe trois façons d'attacher des droits. Le choix impacte la maintenabilité.

Type	Description	Best Practice
AWS Managed Générique	Créées par AWS (ex: `AdministratorAccess`). On ne peut pas les modifier.	Utile pour démarrer vite, mais souvent trop permissif (viole le principe de moindre privilège).
Customer Managed Standard	Créées par vous. Autonomes. Réutilisables sur plusieurs Rôles/Users.	Recommandé. Supporte le Versioning (jusqu'à 5 versions pour rollback facile).
Inline Policy Spécifique	Intégrée directement dans l'objet User/Role. Si on supprime le Rôle, la policy disparaît.	À utiliser pour les exceptions strictes (ex: éviter qu'un admin ne s'enlève ses propres droits) ou pour contourner la limite de taille des Managed Policies.

Le Flux de Décision : "Ai-je le droit ?"

Quand une requête arrive, AWS compile TOUTES les policies (SCP, Resource, Identity, Boundary).

L'Algorithme en 4 étapes

1. DENY Explicite ? Si une seule policy dit "Deny", c'est fini. REFUSÉ.
2. SCP (Organizations) Allow ? Si une SCP ne donne pas l'autorisation, c'est un Deny implicite.
3. ALLOW Explicite ? Y a-t-il au moins une policy qui dit "Allow" ? Sinon REFUSÉ (Implicite).
4. Boundary / Session ? Si une Boundary existe, l'Allow doit être présent DANS la Boundary ET dans l'Identity Policy (Intersection).

Astuce Debug : Si vous avez un "Access Denied" incompréhensible, vérifiez s'il n'y a pas une SCP au niveau du compte ou une Permission Boundary sur le rôle.

Variables & Conditions : L'IAM Dynamique

Au lieu de créer 1000 policies pour 1000 utilisateurs, créez une seule policy générique avec des variables.

Variables Magiques

${aws:username} : Le nom de l'user IAM.
${aws:PrincipalTag/Department} : La valeur du tag "Department" sur le rôle.

"Resource": "arn:aws:s3:::home-bucket/${aws:username}/*"

Cette ligne donne à chaque utilisateur l'accès UNIQUEMENT à son dossier personnel.

Conditions Puissantes

Date : DateLessThan (Accès temporaire).
IP : IpAddress (Restriction VPN).
MFA : Bool: { "aws:MultiFactorAuthPresent": "true" } (Force le MFA pour les actions critiques).

Permissions Boundaries : La "Laisse" pour Admin

Comment déléguer la création de Rôles à un développeur sans qu'il ne se crée un rôle "Admin" pour lui-même ?

Sans Boundary

Alice (Dev) a le droit CreateRole.
Elle crée un Rôle "SuperAdmin" avec AdministratorAccess.
Elle assume ce rôle.
Résultat : Alice est devenue Admin du compte (Privilege Escalation).

Avec Boundary

On oblige Alice à attacher la Boundary "DevBoundary" à tous les rôles qu'elle crée.
Cette Boundary interdit l'accès Admin.
Même si Alice attache "AdministratorAccess", l'intersection avec la Boundary bloquera les droits.

Formule : Droits Effectifs = (Identity Policy) ∩ (Permissions Boundary).

4. Authentification : Clés, MFA & Hygiène

Long-Term vs Short-Term Credentials

La fuite de clés d'accès est la cause n°1 des piratages cloud. Comprenez la différence pour réduire le risque.

Access Keys (AKIA...)

Quoi : Clés statiques liées à un IAM User.
Durée : Infinie (jusqu'à rotation manuelle).
Risque : Critique. Si commité sur GitHub, c'est fini.
Usage : À bannir pour les humains. OK pour vieux serveurs hors AWS.

STS Tokens (ASIA...)

Quoi : Clés dynamiques générées par sts:AssumeRole.
Durée : 15 min à 12h (Max).
Sécurité : Expire automatiquement. Nécessite un SessionToken.
Usage : Rôles EC2, Lambda, SSO, MFA.

MFA : Ne demandez pas, obligez !

Activer le MFA dans la console ne suffit pas. Un utilisateur peut utiliser la CLI sans MFA si vous ne l'interdisez pas explicitement.

Policy : "Force MFA"

{ "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "BoolIfExists": { "aws:MultiFactorAuthPresent": "false" } } }

Cette policy bloque TOUT si le MFA n'est pas présent lors de l'auth.

Types de MFA supportés

FIDO2 / WebAuthn (Best) : YubiKey, TouchID. Résistant au phishing.
Virtual MFA (Standard) : Google Authenticator, Authy. Gratuit.
Hardware TOTP : Token physique Gemalto (Pour les environnements haute sécurité).

Cycle de vie des clés (Hygiène)

Une clé de plus de 90 jours est une faille de sécurité.

Étape	Action Ops
1. Création	Générer la clé 2 (Key2). L'application a maintenant Key1 (Active) et Key2 (Inactive).
2. Propagation	Déployer Key2 dans l'application/script.
3. Désactivation	Passer Key1 en statut `Inactive` (ne pas supprimer tout de suite !).
4. Validation	Attendre quelques jours pour voir si quelque chose casse.
5. Suppression	Supprimer définitivement Key1.

Automatisation : Utilisez AWS Secrets Manager pour faire tourner les credentials de base de données (RDS) automatiquement sans intervention humaine.

S'authentifier en CLI comme un Pro

N'utilisez pas aws configure avec des Access Keys statiques. Utilisez SSO.

La méthode moderne (SSO)

                            # 1. Configurer le profil
                            aws configure sso
                            > SSO start URL: https://my-org.awsapps.com/start
                            > SSO Region: us-east-1
                            > Account: Production
                            > Role: Developer

                            # 2. Se loguer (Ouvre le navigateur)
                            aws sso login --profile prod-dev

                            # 3. Utiliser (Valide 8h)
                            aws s3 ls --profile prod-dev

Avantages

Pas de clés stockées en clair dans ~/.aws/credentials.
MFA géré par votre fournisseur d'identité (Okta, Azure AD).
Passage facile d'un compte à l'autre.

IAM Credential Report : L'Audit

Comment savoir qui n'a pas activé son MFA ou qui a une clé vieille de 3 ans ?

Credential Report : Un fichier CSV téléchargeable qui liste tous les users, status du MFA, date de dernière rotation de mot de passe, et date de dernière utilisation des clés.
Access Analyzer : Détecte les ressources (S3, KMS, Roles) qui sont accessibles publiquement ou depuis un autre compte AWS.

La commande "Kill Switch"

Si une clé fuite, désactivez-la immédiatement :
aws iam update-access-key --access-key-id AKIA... --status Inactive --user-name Bob

5. Rôles IAM : AssumeRole, Trust & Fédération

Le Concept : "Qui a le droit de porter le chapeau ?"

Un Rôle IAM est composé de deux documents JSON distincts. On oublie souvent le second.

Permissions Policy : "Que peut faire ce rôle ?" (ex: Lire S3).
Trust Policy : "Qui peut assumer ce rôle ?" (Le Principal).

Analogie : Le Rôle est un badge d'accès visiteur.
- Permission : "Ouvre la porte du Labo".
- Trust : "Seulement les employés du service R&D peuvent prendre ce badge".

Exemple de Trust Policy (JSON)

                            {
                            "Version": "2012-10-17",
                            "Statement": [
                            {
                            "Effect": "Allow",
                            "Principal": {
                            "Service": "ec2.amazonaws.com"  // Seul EC2 peut prendre ce rôle
                            },
                            "Action": "sts:AssumeRole"
                            }
                            ]
                            }

Service Roles : Donner des droits aux machines

Ne mettez jamais de clés d'accès (AKIA) en dur dans le code de vos applications. Utilisez des rôles.

Service	Mécanisme	Sécurité (iam:PassRole)
EC2	Instance Profile. Le service de métadonnées (IMDS) délivre les clés temporaires à l'OS.	Empêcher un développeur de lancer une EC2 avec un rôle "Admin" (Privilege Escalation).
Lambda	Execution Role. Les clés sont injectées dans les variables d'environnement (cachées).	Donner le minimum requis (ex: juste écrire dans CloudWatch et lire DynamoDB).
ECS / EKS	Task Role. Chaque conteneur peut avoir son propre rôle (Isolation fine).	Évite de donner les droits du Node (EC2) à tous les Pods.

Accès Cross-Account : Le Pattern "Jumphole"

Comment permettre à un développeur du compte A (Dev) d'accéder au S3 du compte B (Prod) ?

Compte B (Cible/Prod)

Créer un Rôle CrossAccountS3Access.
Trust Policy : Autoriser le Compte A (Principal: AWS: "123456789012").
External ID : Ajouter une condition sts:ExternalId pour éviter le problème du "Confused Deputy" (si vous êtes un SaaS).

Compte A (Source/Dev)

L'utilisateur Dev doit avoir le droit sts:AssumeRole sur l'ARN du rôle du compte B.
Il lance la commande CLI pour changer de contexte.

Fédération OIDC : GitHub Actions sans Clés !

En 2025, on ne stocke plus de AWS_ACCESS_KEY_ID dans les secrets GitHub. On utilise OIDC.

Le Flux Sécurisé

GitHub contacte AWS : "Je suis le repo mon-org/mon-repo, donne-moi un accès".
AWS vérifie la signature JWT de GitHub.
AWS vérifie que le repo matche la Trust Policy.
AWS renvoie des clés temporaires pour le déploiement.

La Trust Policy OIDC

                            {
                            "Effect": "Allow",
                            "Principal": {
                            "Federated": "arn:aws:iam::123:oidc-provider/token.actions.githubusercontent.com"
                            },
                            "Action": "sts:AssumeRoleWithWebIdentity",
                            "Condition": {
                            "StringLike": {
                            "token.actions.githubusercontent.com:sub": "repo:mon-org/mon-repo:*"
                            }
                            }
                            }

Comment devenir quelqu'un d'autre (CLI)

Commande indispensable pour tester des droits ou accéder à la Prod.

# 1. Demander les clés aws sts assume-role \ --role-arn arn:aws:iam::987654321098:role/ProductionAdmin \ --role-session-name MyDebugSession # 2. La réponse (Credentials temporaires) { "Credentials": { "AccessKeyId": "ASIA...", <-- Notez le 'ASIA' (Temporaire) "SecretAccessKey": "wJalrX...", "SessionToken": "AQoDYX...", <-- Indispensable ! "Expiration": "2023-10-27T15:00:00Z" } } # 3. Vérifier qui je suis aws sts get-caller-identity

Astuce : Configurez votre fichier ~/.aws/config avec des profils source_profile et role_arn pour que la CLI fasse l'assume-role automatiquement.

6. SCP : La Gouvernance Multi-Compte (Organizations)

SCP : La Constitution de votre Cloud

Les Service Control Policies (SCP) ne sont pas de l'IAM classique. Elles se configurent dans le Management Account (le compte payeur) et s'appliquent aux comptes membres.

Structure AWS Organizations

Root : La racine de l'organisation. Une SCP ici affecte 100% des comptes.
OU (Organizational Unit) : Dossiers logiques (ex: "Prod", "Sandbox"). Permet de cibler les règles.
Account : Le compte AWS cible.

Le Pouvoir Absolu

Une SCP limite ce que le Root User d'un compte membre peut faire.
Si une SCP interdit S3 sur le compte "Prod", même l'utilisateur Root du compte "Prod" ne pourra pas utiliser S3.
Exception : Les SCP n'affectent PAS le Management Account lui-même.

L'Intersection des Droits

SCP n'accorde JAMAIS de permissions. C'est un filtre (Guardrail).
Pour qu'une action soit autorisée, elle doit être permise par la SCP ET par IAM.

SCP (Organisation)	IAM (Compte Local)	Résultat Final
Allow S3	Allow S3	ACCORDÉ
Allow S3	Deny S3 (ou pas d'Allow)	REFUSÉ (IAM bloque)
Deny S3	Allow FullAdmin	REFUSÉ (SCP bloque)

Analogie : La SCP est le disjoncteur général de la maison. IAM est l'interrupteur de la chambre. Si le disjoncteur est coupé, l'interrupteur ne sert à rien.

Deny List vs Allow List

Il existe deux façons de configurer vos SCPs.

1. Deny List (Standard)

Config : On laisse la policy par défaut FullAWSAccess (Allow *).
Action : On ajoute des SCPs spécifiques pour INTERDIRE les actions dangereuses.
Avantage : Scalable. Les nouveaux services AWS fonctionnent automatiquement.
Recommandé pour 99% des entreprises.

2. Allow List (Zero Trust)

Config : On SUPPRIME FullAWSAccess.
Action : On ajoute des SCPs pour AUTORISER explicitement chaque service (EC2, S3...).
Inconvénient : Maintenance infernale. Si AWS sort un nouveau service, personne ne peut l'utiliser avant mise à jour.

Les "Must-Have" en Production

1. Region Lock (Conformité RGPD)

Interdire de créer des ressources hors de l'Europe (sauf services globaux).

                    {
                    "Version": "2012-10-17",
                    "Statement": [
                    {
                    "Sid": "DenyOutsideEU",
                    "Effect": "Deny",
                    "NotAction": [
                    "iam:*", "route53:*", "cloudfront:*", "waf:*" // Services globaux exclus
                    ],
                    "Resource": "*",
                    "Condition": {
                    "StringNotEquals": {
                    "aws:RequestedRegion": [ "eu-west-1", "eu-west-3" ]
                    }
                    }
                    }
                    ]
                    }

2. Protection de l'Audit (Anti-Hacker)

Interdire la désactivation de CloudTrail ou Config, même pour un Admin.

"Action": [ "cloudtrail:StopLogging", "cloudtrail:DeleteTrail", "config:StopConfigurationRecorder" ], "Effect": "Deny", "Resource": "*"

Debugger un "Explicit Deny"

Quand une SCP bloque, le message d'erreur est souvent vague : "User is not authorized to perform: ec2:RunInstances with an explicit deny".

Est-ce IAM ou SCP ?

Vérifiez les policies IAM locales (Managed & Inline).
Vérifiez les SCPs attachées au Compte, à l'OU parente, et à la Root. (L'héritage est cumulatif sur les Deny).

L'outil magique : DecodeMessage

Les erreurs CLI contiennent souvent un message encodé.

aws sts decode-authorization-message \ --encoded-message "votre_message_base64_ici"

Le résultat JSON vous dira exactement quelle policy (SCP ou IAM) a causé le blocage.

7. Resource-Based Policies : S3, KMS & Cross-Account

Qui porte la permission ?

Jusqu'à présent, nous avons vu les permissions attachées à l'utilisateur (Identity-based). Certains services permettent d'attacher la permission directement sur l'objet (Resource-based).

Comparatif

Identity-Based Policy	Resource-Based Policy (RBP)
Attachée à un User/Role.	Attachée à une Ressource (S3, KMS, SQS).
Dit : "Je peux accéder à X".	Dit : "Le Principal Y peut m'accéder".
Champ `Principal` : Interdit.	Champ `Principal` : Obligatoire.

Services supportant les RBP

S3 (Bucket Policy)
KMS (Key Policy)
SNS (Topic Policy) & SQS (Queue Policy)
Lambda (Function Policy - pour API Gateway)
Secrets Manager & ECR
Note : EC2 ne supporte PAS les RBP.

Le Casse-tête : Comment AWS décide ?

La logique change radicalement selon que l'accès se fait dans le même compte ou entre comptes différents.

1. Même Compte (Union)

Alice et le Bucket sont dans le Compte A.

Si IAM Policy dit ALLOW...
OU si Bucket Policy dit ALLOW...
... Alors l'accès est ACCORDÉ.

Il suffit d'une seule permission (sauf s'il y a un Deny explicite).

2. Cross-Account (Intersection)

Alice (Compte A) accède au Bucket (Compte B).

L'IAM du Compte A doit dire ALLOW (droit de sortir).
ET la Bucket Policy du Compte B doit dire ALLOW (droit d'entrer).
... Sinon l'accès est REFUSÉ.

Les deux côtés doivent être d'accord.

Exemples S3 (JSON)

1. Accès Cross-Account (Le classique)

Autoriser le compte de "Prod" (111...) à lire le bucket de "Backup" (222...).

                    {
                    "Version": "2012-10-17",
                    "Statement": [
                    {
                    "Sid": "AllowProdAccount",
                    "Effect": "Allow",
                    "Principal": {
                    "AWS": "arn:aws:iam::111111111111:root" 
                    },
                    "Action": "s3:GetObject",
                    "Resource": "arn:aws:s3:::mon-bucket-backup/*"
                    }
                    ]
                    }

Note : Mettre ":root" délègue la gestion à l'admin IAM du compte 111. Il devra ensuite créer une IAM Policy pour ses users.

2. Force HTTPS (Sécurité)

Refuser toute connexion non chiffrée.

"Effect": "Deny", "Principal": "*", "Action": "s3:*", "Resource": "arn:aws:s3:::mon-bucket/*", "Condition": { "Bool": { "aws:SecureTransport": "false" } }

KMS : L'Exception qui confirme la règle

Danger : Contrairement à S3, pour KMS, les permissions IAM NE FONCTIONNENT PAS si la Key Policy ne les autorise pas explicitement.

Le "Default Statement" vital

Quand vous créez une clé via la console, AWS ajoute ceci. Si vous l'enlevez, plus aucun utilisateur IAM du compte (même Admin) ne peut gérer la clé.

                            {
                            "Sid": "Enable IAM User Permissions",
                            "Effect": "Allow",
                            "Principal": {
                            "AWS": "arn:aws:iam::111122223333:root"
                            },
                            "Action": "kms:*",
                            "Resource": "*"
                            }

Pourquoi ? Cela permet de déléguer la gestion de la clé à IAM. Sans cette ligne, la Key Policy devient la seule source de vérité, et si vous vous en excluez, la clé est perdue (appel au support requis).

The Confused Deputy Problem

Un problème de sécurité critique quand un service AWS agit en votre nom.

Le Scénario d'Attaque

Vous autorisez le service "CloudTrail" à écrire dans votre Bucket S3.
Le Hacker configure SON CloudTrail pour écrire dans VOTRE Bucket (puisque votre bucket autorise "le service CloudTrail" en général).
Résultat : Vous payez pour le stockage des logs du hacker, ou il peut écraser vos logs.

La Protection : aws:SourceArn

Dans la Bucket Policy, ajoutez toujours une condition pour vérifier que la ressource source vous appartient.

"Condition": { "StringEquals": { "aws:SourceAccount": "123456789012" }, "ArnLike": { "aws:SourceArn": "arn:aws:cloudtrail:us-east-1:123456789012:trail/*" } }

8. ABAC : Autorisation par Tags & Scalabilité

Pourquoi changer de modèle ?

Le modèle classique (RBAC - Role Based) montre ses limites quand l'entreprise grandit.

RBAC (Classique)

"Le rôle DevTeamA a accès aux ressources bucket-a et instance-a."

Problème : À chaque nouveau projet, il faut modifier la Policy IAM pour ajouter le nouvel ARN.
Limite : Explosion du nombre de rôles (1 par équipe/projet).

ABAC (Moderne)

"L'utilisateur peut accéder à TOUTE ressource qui possède le même Tag 'Project' que lui."

Avantage : Zéro modif de Policy quand on crée un projet.
Scale : 1 seule Policy générique pour 1000 équipes.

Les 3 Variables Clés

Pour écrire du ABAC, il faut comprendre ces trois concepts :

Variable	Signification	Usage
`aws:PrincipalTag/ByKey`	Le tag attaché à l'identité (User ou Rôle) qui fait la demande.	"Qui suis-je ?" (ex: Je suis du Département=Finance).
`aws:ResourceTag/ByKey`	Le tag attaché à la ressource existante ciblée.	"Qu'est-ce que je touche ?" (ex: Une EC2 taggée Département=HR).
`aws:RequestTag/ByKey`	Le tag que je demande d'appliquer lors de la création.	"Quel tag j'essaie de coller ?" (ex: Je crée une EC2 et je veux mettre Département=Finance).

La Policy "Magique"

Voici une policy qui permet à un développeur de démarrer/arrêter/modifier n'importe quelle ressource... SI et seulement SI elle lui appartient.

                    {
                    "Version": "2012-10-17",
                    "Statement": [
                    {
                    "Sid": "AccessSameProject",
                    "Effect": "Allow",
                    "Action": [ "ec2:StartInstances", "ec2:StopInstances" ],
                    "Resource": "*",
                    "Condition": {
                    "StringEquals": {
                    "aws:ResourceTag/Project": "${aws:PrincipalTag/Project}",
                    "aws:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}"
                    }
                    }
                    }
                    ]
                    }

Explication : Si mon Rôle a le tag Project=Blue, cette policy m'autorise automatiquement à toucher toutes les EC2 Project=Blue. Si je change de rôle pour Project=Red, mes accès changent dynamiquement.

La Faille de Sécurité (et sa solution)

Le Risque : Si un utilisateur peut créer une ressource sans tag (ou avec le tag d'une autre équipe), il peut ensuite "s'approprier" des ressources ou contourner le système.

La Solution : Enforce Tag on Create

On oblige l'utilisateur à mettre SES propres tags lors de la création. Sinon, création refusée.

                            {
                            "Sid": "DenyCreateWithoutMyTags",
                            "Effect": "Deny",
                            "Action": "ec2:RunInstances",
                            "Resource": "arn:aws:ec2:*:*:instance/*",
                            "Condition": {
                            "StringNotEquals": {
                            "aws:RequestTag/Project": "${aws:PrincipalTag/Project}"
                            }
                            }
                            }

"Je t'interdis de créer une instance SI le tag 'Project' de la requête n'est pas égal à TON tag 'Project'."

SSO & Session Tags : L'Industrialisation

Comment gérer les tags des utilisateurs s'ils viennent de l'Active Directory (AD) ou d'Okta ?

Principe : Votre IdP (Identity Provider) envoie les attributs (Department, CostCenter) lors de l'authentification SAML/OIDC.
Transitivité : AWS STS transforme ces attributs en Session Tags.
Résultat : L'utilisateur arrive dans AWS avec ses tags déjà collés sur son front.

Trust Policy requise pour accepter les tags

"Action": [ "sts:AssumeRole", "sts:TagSession" ]

L'action sts:TagSession est obligatoire pour laisser passer les tags.

9. Monitoring, Audit & Forensics

CloudTrail : La "Boîte Noire" d'AWS

Chaque action IAM (création d'user, attachement de policy, login) est un événement API enregistré dans CloudTrail.

Anatomie d'un Log IAM

                            {
                            "eventName": "CreateUser",
                            "eventTime": "2023-10-27T10:00:00Z",
                            "userIdentity": {
                            "type": "IAMUser",
                            "userName": "AdminBob",
                            "arn": "arn:aws:iam::123456789012:user/AdminBob"
                            },
                            "sourceIPAddress": "203.0.113.55",
                            "requestParameters": {
                            "userName": "HackerJoe"
                            },
                            "responseElements": {
                            "user": { "arn": "arn:aws:iam::...:user/HackerJoe" }
                            }
                            }

Questions auxquelles CloudTrail répond :

QUI : userIdentity (Qui a fait l'action ?).
QUOI : eventName (Quelle action ?).
QUAND : eventTime.
D'OÙ : sourceIPAddress (IP de l'attaquant ?).

Astuce : Utilisez Athena pour requêter vos logs CloudTrail stockés dans S3 avec du SQL standard.

IAM Access Analyzer : La Preuve Mathématique

Ce n'est pas un simple scanner. Il utilise le "Raisonnement Automatisé" (méthodes formelles) pour prouver mathématiquement qui peut accéder à vos ressources.

Détection d'Exposition

Il scanne en continu vos Policies (Resource-based) pour détecter :

Les Buckets S3 publics.
Les Rôles IAM assumables par n'importe qui (Principal: *).
Les Clés KMS partagées avec des comptes externes inconnus.

Zone de Confiance (Zone of Trust)

Vous définissez votre Organisation AWS comme zone de confiance.
Tout accès venant de l'extérieur de cette zone génère une Finding (Alerte).

Atteindre le "Moindre Privilège"

Comment savoir si un utilisateur a vraiment besoin des droits "Admin" qu'il vous réclame ?

Outil	Fonction	Action Ops
Last Accessed Info	Affiche la date de dernière utilisation de chaque service pour un User/Role.	Si un User a `S3:FullAccess` mais n'a pas touché à S3 depuis 90 jours -> Révoquer le droit.
Credential Report	CSV listant tous les users, status MFA, âge du mot de passe, âge des Access Keys.	Repérer les Access Keys > 180 jours et forcer la rotation.
Policy Sentry (Open Source)	Outil communautaire pour générer des policies restrictives basées sur les Access Levels.	Éviter d'écrire des JSON à la main.

IAM Policy Simulator : Debugger l'invisible

"Pourquoi j'ai une erreur 403 Access Denied alors que j'ai mis AdministratorAccess ?"
C'est la question la plus fréquente. Le simulateur permet de tester sans risque.

Ce qu'il teste :

Identity-based Policies.
Resource-based Policies.
Permissions Boundaries.
SCP (Organizations).

Scénario de Test

Principal : User "Alice"
Action : s3:PutObject
Resource : arn:aws:s3:::prod-bucket/config
Context : IP=1.2.3.4

Résultat : DENIED
Cause : SCP "DenyProdWrite" (Ligne 12).

SecOps : Alertes Temps Réel (EventBridge)

N'attendez pas l'audit trimestriel. Soyez notifié sur Slack/Email 2 secondes après une action suspecte.

Pattern EventBridge : "Alerte Création Admin"

{ "source": ["aws.iam"], "detail-type": ["AWS API Call via CloudTrail"], "detail": { "eventSource": ["iam.amazonaws.com"], "eventName": [ "CreateUser", "AttachUserPolicy", "CreateLoginProfile" // Console Access ], "requestParameters": { "policyArn": ["arn:aws:iam::aws:policy/AdministratorAccess"] } } }

Architecture : CloudTrail -> EventBridge Rule -> SNS Topic -> Lambda (Slack) ou Email.

10. Best Practices : La Checklist de Sécurité IAM

Verrouiller la Porte d'Entrée

La gestion des identités est la première ligne de défense.

🚫 À Bannir (Don't)

Utiliser le compte Root pour les tâches quotidiennes.
Créer des IAM Users pour les humains (sauf exception).
Partager des Access Keys par email ou Slack.
Avoir des clés d'accès vieilles de > 90 jours.

✅ À Faire (Do)

Activer le SSO (Identity Center) relié à votre IdP (Okta/AD).
Forcer le MFA pour TOUS les utilisateurs humains (via Policy).
Utiliser des Rôles pour les applications (EC2, Lambda).
Configurer une alerte CloudWatch sur l'usage du Root.

Le Principe du Moindre Privilège (Least Privilege)

C'est facile à dire, difficile à faire. Voici la méthode pragmatique.

Niveau	Action	Outil
1. Débutant	Utiliser les AWS Managed Policies (ex: `ReadOnlyAccess`).	Console IAM.
2. Intermédiaire	Écrire des Customer Managed Policies. Restreindre les `Resource` (pas de `"Resource": "*"`).	Visual Editor / Terraform.
3. Expert	Générer la policy basée sur l'activité réelle. AWS analyse les logs CloudTrail et propose une policy stricte.	IAM Access Analyzer (Policy Generation).

Conseil : Commencez large en Dev, puis utilisez Access Analyzer pour "tailler" les permissions avant la Prod.

IAM is Code (GitOps)

Ne cliquez jamais dans la console pour changer des droits en Prod. Traitez IAM comme du code applicatif.

Pourquoi ?

Audit : Git Log = Qui a changé les droits ?
Rollback : git revert annule une erreur de sécu.
Review : Pull Request obligatoire pour élever des privilèges.

Pipeline CI/CD Sécurisé

Développeur commit un fichier Terraform/CloudFormation.
Linter (Checkov / cfn-nag) : Bloque si "Action": "*" ou "Principal": "*" est détecté.
Deploy : Appliqué automatiquement.

Ceinture et Bretelles : SCPs Indispensables

Si vous utilisez AWS Organizations, appliquez ces SCPs sur vos comptes membres pour empêcher le pire.

1. Interdire de quitter la région (Region Lock)

{ "Effect": "Deny", "NotAction": ["cloudfront:*", "iam:*", "route53:*"], "Resource": "*", "Condition": { "StringNotEquals": { "aws:RequestedRegion": ["eu-west-1", "eu-west-3"] } } }

2. Empêcher le Root User d'agir (Root Lock)

{ "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "StringLike": { "aws:PrincipalArn": "arn:aws:iam::*:root" } } }

Cela oblige à utiliser des rôles IAM, même si on a le mot de passe root !

Faire le ménage (Hygiène)

Un environnement IAM sain est un environnement propre.

Nettoyage Mensuel

Supprimer les Users inactifs > 90 jours.
Supprimer les Rôles inactifs (regarder "Last Accessed").
Supprimer les Clés d'accès non utilisées.

Outils d'automatisation

AWS Config : Règle iam-user-unused-credentials-check.
Security Hub : Score de conformité IAM CIS Benchmark.
ElectricEye / Prowler : Outils open-source d'audit de sécurité.