Quelles bonnes pratiques IAM améliorent la sécurité d'un compte AWS ? (Choisissez DEUX réponses.)
Question pour choisir deux bonnes pratiques de sécurité IAM.
Accorder PowerUserAccess à tous les développeurs par défaut afin que le travail ne soit pas bloqué par des autorisations insuffisantes.
PowerUserAccess est une politique gérée très large qui autorise presque toutes les actions, sauf l'administration IAM.
Accorder des autorisations larges par défaut par souci de commodité viole le principe du moindre privilège et augmente l'étendue des dégâts en cas d'erreur ou de fuite d'identifiants, ce qui est incorrect.
Activer la MFA pour les utilisateurs privilégiés et l'utilisateur root.
Correct. La MFA (authentification multifacteur) est un mécanisme qui exige un facteur de vérification supplémentaire, comme un code à usage unique d'une application d'authentification, en plus du mot de passe lors de la connexion. Activer la MFA pour les utilisateurs privilégiés et l'utilisateur root aide à empêcher une connexion non autorisée même si un mot de passe est divulgué. Plus le compte est critique, plus la MFA est recommandée.
Accorder aux utilisateurs uniquement les autorisations minimales nécessaires à leur travail.
Correct. Suivre le principe du moindre privilège et n'autoriser que les actions nécessaires réduit au minimum l'impact d'une fuite ou d'une erreur. C'est un fondement de la conception IAM.
Émettre des clés d'accès à long terme pour les applications au lieu d'utiliser des rôles IAM.
Les clés d'accès à long terme doivent être renouvelées et révoquées manuellement et peuvent être exploitées longtemps en cas de fuite.
La bonne pratique consiste à utiliser des identifiants temporaires via des rôles IAM pour les applications sur EC2, donc l'utilisation courante de clés à long terme n'est pas recommandée et ceci est incorrect.
Si la MFA est configurée sur l'utilisateur root, elle peut être omise pour les utilisateurs IAM.
Configurer la MFA sur l'utilisateur root est en soi une bonne pratique correcte, mais un utilisateur IAM privilégié compromis peut aussi causer des dégâts importants, il ne peut donc pas être exclu de la MFA.
La recommandation est d'activer la MFA pour les utilisateurs privilégiés en plus de l'utilisateur root, donc affirmer qu'elle peut être omise est faux et ceci est incorrect.
Bonnes pratiques IAM : MFA pour les utilisateurs privilégiés/root, accorder le moindre privilège, éviter l'usage quotidien de root, ne pas coder en dur les clés d'accès, et utiliser des rôles et des identifiants temporaires.